e-Valúame

Tag Archives: LOPD

¿Por que tanto lío con la LOPD y el cloud computing?

nube-leyUno los post más leídos de este blog, sin duda es este sobre la LOPD y el cloud computing. Nació como respuesta a un artículo de Javier Maestre sobre los peligros que encierra el cloud computing en relación con la Ley de protección de datos y lo cierto es que se mantiene esa inquietud por el tema porque aparece con asiduidad en el ranking de estadísticas de lecturas de este blog.

Por aquel entonces hubo todo tipo de reacciones, pero ninguna que recuerde o viera aludió al hosting o ASPs como escenarios de referencia. Y es que en lo que a la ley se refiere es exactamente lo mismo. Un hosting te provee de un espacio en una máquina o de una maquina virtual o de una máquina dedicada, y un ASP te ofrece sus instalaciones para que puedas ejecutar aplicaciones, es decir, que cualquiera de la partes del cloud computing, iaas, paas y saas, se comportan como los hostings y ASPs.  Se trata de un tercero que tiene datos de tus clientes o de tus empleados y que debes velar por la seguridad de los mismos.

Entonces: ¿Por qué tanto lío con la LOPD y el cloud computing? En mi opinión responde principalmente a lo siguiente:

  • Lo primero de todo es que el concepto cloud computing es nuevo y no se entiende. La verdad es que no tiene nada de complejo pero son tantos los términos y tantas las opciones tecnológicas que dificulta la predisposición para su compresión.
  • Buscar o encontrar analogías es complicado, en esto y en cualquier otra situación.  Si no se entiende que es el cloud computing es imposible encontrar analogías, pero incluso para aquellos que sabemos algo de esto tampoco hemos hecho alusión al hosting o a los ASPs como escenarios de referencia.
  • Antes el hosting y el ASP se limitaba a unas empresas y ahora prácticamente todo usuario de Internet utiliza cloud computing de algún modo. Sobretodo por la gran cantidad de saas (recordemos que hay más de la que parecen) que están apareciendo y que hace que aumente el buzz sobre el cloud computing y sus peligros, entre ellos el no cumplimiento de la LOPD.
  • Y por último, esa facilidad para utilizar cloud computing (sobretodo saas) puede llevar a empresas a embarcarse en un aplicación sin ser conscientes que deben velar de igual forma los datos personales que manejan.

Por tanto puede ser lioso, pero lo cierto es que cualquier aplicación de la ley sobre los hosting y ASP es perfectamente valida para el cloud computing y por tanto no debe preocuparnos ni más ni menos que en aquellos casos.

Puntos a tener en cuenta para evaluar una saas

saasHace tiempo lancé un post sobre los requisítos mínimos que debería darme una aplicación saas visto desde el punto de vista del cliente, que después de casi un año escribiendo, creo que se quedaron cortos. El otro día llegue hasta este post donde a parte de lo que señalé en mi post, había otros que me parecen importantes destacar y otros más que han ido apareciendo a medida que he ido aprendiendo y descubriendo más datos sobre este mundo de saas. Rehago entonces la lista:

Personalizable. ¿Como de personalizable es la aplicación? Esta una de las características básicas que debe darte una aplicación saas. Si esta va a dar servicio a mucha gente debe haber un equilibrio razonable sobre lo que no es  parametrizable y lo que si es para cubrir las mayores espectativas posibles.  Salesforce lo tiene clarísimo y te permite añadir formulario, tablas e incluso añadir funcionalidad a tu CRM personalizable.

Fiabilidad. Laaplicación saas te ofrece ¿un rendimiento óptimo, disponibilidad  cercana a 24×7, seguridad y confidencialidad de tus datos, facilidades para escalar y facilidades  para añadir nuevos usuarios?. Tiene auditoria externa como  Sas70 tipo II para asegurar que todo lo  anterior puede dartelo con su infraestructura y procedimientos. 

Precio. ¿Cuanto te va costar la aplicación? Cuenta pagos mensuales por  el número de usuarios y  los pagos a realizar por conceptos como consumo de megas, cpu, ancho de banda. Comparalo si puedes con el coste de un software que puedas instalar en tu infraestructura, la inversión en infraestructura si fuera  necesario, el mantenimiento y amortización de esta infraestructura, el mantenimiento del software. Quizás este post te ayude a valorar este punto.

Conectividad . ¿Te interesa conectar las aplicaciones que ya tienes en tu empresas con la aplicación saas?  Si es asi, ¿Te permite la saas conectarte con esas aplicaciones a través de una API

Quiebra del ISV.- En que caso de quiebra del proveedor de la solución saas, ¿podré disponer del software para ejecutarlo en mis instalaciones? ¿Puedo descargarme los datos de la aplicación y utilizarlo en otro aplicación saas o in-house?

Cobertura del software. Relacionado con el anterior. ¿en que lenguaje está realizado el software? ¿es un lenguaje que tiene aceptación? ¿Podrás encontrar a desarrolladores que te mejoren y arreglen la aplicación en caso de quiebra del ISV?

Mantenimientos del saas.- ¿Disponen de un calendario de actualizaciones y éste es acorde con la no utilización del saas en tu empresa? 

Alojamiento.- ¿Donde tiene el proveedor alojados tus datos? ¿En otro proveedor o en su propia infraestructura?, ¿cumple tu empresa con la LOPD dejando los datos en el proveedor y cumple el proveedor con la LOPD

Monitorización.- ¿Dispone el proveedor de saas de una herramienta para monitorizar el funcionamiento y el rendimiento de la aplicación y esta pueda ser consulta por ti como usuario? Ejemplos de esto lo tenemos en Google, Salesforce, Amazon y Zoho.

Semanario – Semana 5/2009

 Despues de una semana de relax y placer en un lugar que prefiero no decir por respecto, me incorporo con pereza, mucha pereza al mundo laboral, con ganas de pillar el blog y de saber que ha pasado en el mundo.  La crisis sigue ahí, el número de parados crece (o eso dicen) e Israel sigue bombardeando Gaza.  Vamos una alegría y además , aunque para nada  importante,  el cloud computing tampoco se mueve mucho. Dan ganas de irse otra vez 😉 .  Entre el millar de feeds estos son los que más me han llamado la atención:

 

Nico de Velneo sigue con su post: Trabajo Colaborativo. Este el 2º de 3 posts, donde explica las posibilidades de colaboración entre los  desarrollares que utilizan una paas que potencie el trabajo colaborativo como Velneo Paas pretende ofrecer. 

Gmail empieza a ofrecerse con Gears.-  Son movimientos de Google que soprenden porque  han tardado dos años en aplicar su propia tecnologia a uno de sus  productos. Quizás se inteligente que primero lo promueven otros, como Zoho que hace tiempo lo utiliza en Zoho Write y Mail o todo estos otros, pero no deja de sorprender que hayan pasado 2 años desde entonces sobretodo cuando Google Docs nació casi a la par y parecía un perfecto testeador de esta tecnologia.

Nueva encuesta de IDC sobre el crecmiento del saas .- A pesar de la crisis, saas sigue su crecimiento e IDC corrije su predicción dando un crecimiento del 40% de crecmiento para el 2009 con respecto al 2008. 

Nubeblog nos advierte de los riesgos sobre el escalado automático.- Interesante artículo sobre como debemos vigilar las peticiones y/o acceso a nuestro sistema si  nuestro pago es directamente propocional al numero de peticiones y/o acceso.

LOPD y el Cloud computing.- Después del revuelo montado por el artículo de Javier Maestre  , Manuel Bernet deja muy claro que debemos tener cuidado con las empresas que tratarán nuestros datos , las responsabilidades de cada agente implicado en ese tratamiento y el porqué Google dió una respuesta anodina al artículo de Javier.

Semanario – Semana 3/2009

  Poco movimiento ha habido en el mundo cloud computing durante esta semana. Quizás la crisis hace mella. Durante esta semana estas son las noticias que más me han llamado la atención:

Google lanza un programa para que partners .    Es un programa para que partners de todo el mundo vendan sus soluciones Google App Premium. El programa incluye formación técnica y soporte para partners, herramientas par construir tu estragia de marketing ,  ayuda para promocionar y vender productos Google y ayuda para crear y mantener las cuentas de tu clientes.

Enrique Dans habla sobre los costes entre tener el correo externalizado o controlado por ti (in-house).-  A raiz de un interesante informe de Forrester ( al que se puede acceder gratis rellenando un típico formulario) Enrique expone y comenta los resultados del mismo, donde en resumen vienen a decir que es más ecónomico externalizarlo que mantenerlo in-house.

Recopilacion de reacciones al artículo de Javier Maestre sobre la LOPD y el Cloud computing.- Jesus Perez hace una recopilación de las reacciones que ha habido en red a raiz del artículo de Javier Maestre sobre la contratación de servicios en la nube.

Philip Low  me pide que haga eco de un proximo evento que se celebrará en Londres sobre cloud computing.  El evento lleva el nombre de poweredbycloud, se celebrará los días 2 y 3 de febrero y en el mail que me envía  hace referencia a que los lectores de este blog recibirán un descuento si asisten al mismo.

La LOPD y el Cloud Computing

nube-leyLeo en el mundo un artículo de Javier Maestre al que llego a través de Error500 y Barrapunto que me ha hecho reflexionar sobre la ley organica de protección de datos y su aplicación a los servicios del cloud computing. Lo primero que tengo que  decir que el artículo está lleno de sarcasmo y  trata a los profesionales informáticos y en concreto a los consultores como unos vende motos con honorarios estratosféricos y con aires cercanos a la burguesía, que te sacarán los ojos sin escrúpulos y encima con soluciones de tres al cuarto.  Como en todo gremio, incluso en la abogacia, hay gente vende motos, sinverguenzas, ladrones, cabrones, etc…pero tratar a todo un sector de la informática por igual me parece poco inteligente y sensacionalista. Incluso hay gente que actuando de buena fe se equivoca y no por eso todo su sector intenta engañar, por ejemplo el título del artículo, «El cuento de la lechera 2.0»  es incorrecto, porque aunque la Web 2.0 y el cloud computing guardan alguna relación , el ejemplo que propone en el artículo es claramente referido al cloud computing no a la Web 2.0. Y no creo que por eso, él tuviera intención de engañar y de hacer mal su trabajo de comunicar o redactar.

Dicho esto, vamos a repasar los artículos de la LOPD que están directamente relacionados con el acceso a los datos por cuenta de terceros o con el hecho de los datos puedan terminar en otros paises. (Al final aparecen  tambien artículos referenciados para no tener que acudir a la ley y un apartado de definiciones)

Artículo 12. Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

MOVIMIENTO INTERNACIONAL DE DATOS
Artículo 33.  Norma general

1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

 Artículo 33.  Excepciones.

Lo dispuesto en el artículo anterior no será de aplicación:

  1. Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
  2. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  3. Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  4. Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  5. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  6. Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  7. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  8. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
  9. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  10. Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
  11. Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. 

En los términos de uso de Google Apps Premium  y en relación a la privacidad de los datos,  el acuerdo (que no contrato y aquí ya me pierdo si un acuerdo tiene el mismo valor que un contrato, que me corrija alguien o intentaré enterarme)  expone claramente lo siguiente: 

17.1.1. Google cumplirá todas las leyes, regulaciones, requisitos regulatorios y códigos de buenas prácticas aplicables en relación con sus obligaciones de tratamiento de datos en virtud del presente Acuerdo, incluido, sin limitaciones, el cumplimiento de todas las disposiciones de la Ley de Protección de Datos de 1998 del Reino Unido y todas las regulaciones o instrumentos que de ella se deriven, así como de la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (colectivamente, las «Leyes de protección de datos«) aplicables a un controlador de datos, y no realizará, provocará ni permitirá que un tercero lleve a cabo ninguna acción que pueda derivar en un incumplimiento por parte del Cliente de las obligaciones mencionadas.

17.1.2. Google reconoce y acepta que para llevar a cabo las obligaciones relativas al tratamiento de datos mencionadas actuará exclusivamente bajo las instrucciones e indicaciones del Cliente. Google cumplirá puntualmente todas las instrucciones e indicaciones que le indique el Cliente, cuyo alcance permitido deberá acordarse entre el Cliente y Google periódicamente.

17.1.3. Google tomará e implementará todos los procedimientos y medidas de seguridad técnicos y organizacionales necesarios o adecuados para garantizar la seguridad y la confidencialidad de los datos personales que procese y protegerá dichos datos personales frente a tratamientos no autorizados o ilegales, pérdidas accidentales, destrucción o daños.

Analizando la exposición de Javier y yendo directamente a las sanciones economícas, habla de que la empresa incurre en una falta grave 44.3.h por:

Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Sin aportar mucho más que mi interpretación de lo que leo porque letrado no soy y hábil con las leyes tampoco, no consigo ver de que forma esta incumpliendo el contrato. Tal y como expone el punto 17 del acuerdo, Google se responsabiliza de cumplir con la directiva europea base de nuestra LOPD tal y como exige el artículo 9 y además actuará bajo las instrucciones del cliente que en este caso es el responsable de la información.  

Tampoco encuentro motivo a las dos multas graves 44.b y e,  a las que  Javier se refiere. A saber:

b. La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

e. La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.

Google no da información en qué servidor puede almacenar los datos de sus clientes  y por tanto es cierto que podría caer en algún país que no cuente con leyes similares, pero sería Google quien estaría incumpliendo la LOPD y  el contrato con el cliente,  y quedaría  en manos de al Agencia Española de Protección de Datos el decidir si el cliente es tambien  responsable por el deber (implicito, porque no hay nada en la ley que lo diga)  de conocer donde se albergan sus datos.  Pero es que además Google se responsabiliza de que los servidores que utilize cumplirán con sus politicas de seguridad y protección:

2.8. La información que Google recopile puede almacenarse y procesarse en los Estados Unidos o en cualquier otro país en que Google o sus representantes tengan instalaciones, siempre que estas instalaciones se adhieran a normas de seguridad que ofrezcan el mismo nivel de protección que las normas de seguridad de las instalaciones en las que Google almacena y procesa información similar. Al hacer uso de los Servicios, el Cliente da su consentimiento para cualquier transferencia, procesamiento o almacenamiento de información.

Dentro del ejemplo tambien hace alusiones al hecho de  con quien se está firmando el acuerdo y a que si no se tiene información sobre la celebración y contenido. El primer párrafo del acuerdo creo que es bastante claro, sobre con quien se celebra el acuerdo, el momento en que se celebra (click en el botón «Acepto») y el contenido creo que está bien claro:

El Acuerdo de Google Apps edición premier (el «Acuerdo«) se celebra entre Google Ireland Limited, una sociedad constituida con arreglo a la legislación de Irlanda, con domicilio social en Gordon House, Barrow Street, Dublin 4, Irlanda («Google«), y la entidad que acepta las condiciones online estipuladas en este documento (el «Cliente» o «Usted«). El presente Acuerdo tendrá validez a partir de la fecha en la que Usted haga clic en el botón “Acepto” que aparece más abajo (la “Fecha de entrada en vigor”). El presente Acuerdo rige el acceso al Servicio (según se define más adelante) por parte del Cliente y el uso que haga de este.

En resumen, que no encuentro motivo por el cual no aceptar la idea del «experto consultor aburguesado» excepto por el hecho de que no está claro que en el uso de la aplicación se exija el consentimiento explicito por parte del interesado (personal de la empresa, clientes y proveedores)  del almacenamiento de la información por un tercero y su ubicación. Cosa que a la que hace referencia en el artículo pero que Javier no cree que esto sea motivo de sanción.

Por último, tampoco entiendo que  quiera hacer responsable al consultor de que el cliente firme un contrato donde ponga que acepta salir en la relación de clientes que hacen uso del servicio y que Google usará como publicidad. 

11. Publicidad

  • Por el presente documento, el Cliente acepta que Google incluya su nombre en una lista de clientes, con la condición de que no sea el único cliente que figure en ella. La emisión de un comunicado de prensa estará sujeta al consentimiento previo por escrito de ambas partes

En cualquier caso quiero darle las gracias porque me ha hecho reflexionar. Porque es cierto que debemos tener cuidado donde colocamos nuestros datos , a quien le permitimos que manipulen nuestros datos  y que este tercero debe cumplir de igual forma y tener los mecanismos adecuados para garantizar la confidencialidad y seguridad de nuestros datos. Tambien he aprendido que si los datos caen en paises y estados de la CEE, cumplimos con la LOPD, y que tanto personal de la empresa, clientes y proveedores deben dar su consentimiento para el tratamiento de la información personal .

Como dice Antonio Ortiz, internet no tiene fronteras y sin embargo queremos aplicar las leyes que rigen en cada país.  No parece muy lógico.

ANEXOS

            Artículo 7. Datos especialmente protegidos.

1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

Artículo 9.  Seguridad de los datos.

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Definiciones.

A los efectos de la presente Ley Orgánica se entenderá por:

  1. Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
  2. Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  3. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  4. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
  5. Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
  6. Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
  7. Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
  8. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
  9. Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.