e-Valúame

Tag Archives: seguridad

La LOPD y el Cloud Computing

nube-leyLeo en el mundo un artículo de Javier Maestre al que llego a través de Error500 y Barrapunto que me ha hecho reflexionar sobre la ley organica de protección de datos y su aplicación a los servicios del cloud computing. Lo primero que tengo que  decir que el artículo está lleno de sarcasmo y  trata a los profesionales informáticos y en concreto a los consultores como unos vende motos con honorarios estratosféricos y con aires cercanos a la burguesía, que te sacarán los ojos sin escrúpulos y encima con soluciones de tres al cuarto.  Como en todo gremio, incluso en la abogacia, hay gente vende motos, sinverguenzas, ladrones, cabrones, etc…pero tratar a todo un sector de la informática por igual me parece poco inteligente y sensacionalista. Incluso hay gente que actuando de buena fe se equivoca y no por eso todo su sector intenta engañar, por ejemplo el título del artículo, «El cuento de la lechera 2.0»  es incorrecto, porque aunque la Web 2.0 y el cloud computing guardan alguna relación , el ejemplo que propone en el artículo es claramente referido al cloud computing no a la Web 2.0. Y no creo que por eso, él tuviera intención de engañar y de hacer mal su trabajo de comunicar o redactar.

Dicho esto, vamos a repasar los artículos de la LOPD que están directamente relacionados con el acceso a los datos por cuenta de terceros o con el hecho de los datos puedan terminar en otros paises. (Al final aparecen  tambien artículos referenciados para no tener que acudir a la ley y un apartado de definiciones)

Artículo 12. Acceso a los datos por cuenta de terceros.

1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

MOVIMIENTO INTERNACIONAL DE DATOS
Artículo 33.  Norma general

1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia Española de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

 Artículo 33.  Excepciones.

Lo dispuesto en el artículo anterior no será de aplicación:

  1. Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
  2. Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
  3. Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
  4. Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
  5. Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  6. Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  7. Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
  8. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
  9. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
  10. Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
  11. Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado. 

En los términos de uso de Google Apps Premium  y en relación a la privacidad de los datos,  el acuerdo (que no contrato y aquí ya me pierdo si un acuerdo tiene el mismo valor que un contrato, que me corrija alguien o intentaré enterarme)  expone claramente lo siguiente: 

17.1.1. Google cumplirá todas las leyes, regulaciones, requisitos regulatorios y códigos de buenas prácticas aplicables en relación con sus obligaciones de tratamiento de datos en virtud del presente Acuerdo, incluido, sin limitaciones, el cumplimiento de todas las disposiciones de la Ley de Protección de Datos de 1998 del Reino Unido y todas las regulaciones o instrumentos que de ella se deriven, así como de la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (colectivamente, las «Leyes de protección de datos«) aplicables a un controlador de datos, y no realizará, provocará ni permitirá que un tercero lleve a cabo ninguna acción que pueda derivar en un incumplimiento por parte del Cliente de las obligaciones mencionadas.

17.1.2. Google reconoce y acepta que para llevar a cabo las obligaciones relativas al tratamiento de datos mencionadas actuará exclusivamente bajo las instrucciones e indicaciones del Cliente. Google cumplirá puntualmente todas las instrucciones e indicaciones que le indique el Cliente, cuyo alcance permitido deberá acordarse entre el Cliente y Google periódicamente.

17.1.3. Google tomará e implementará todos los procedimientos y medidas de seguridad técnicos y organizacionales necesarios o adecuados para garantizar la seguridad y la confidencialidad de los datos personales que procese y protegerá dichos datos personales frente a tratamientos no autorizados o ilegales, pérdidas accidentales, destrucción o daños.

Analizando la exposición de Javier y yendo directamente a las sanciones economícas, habla de que la empresa incurre en una falta grave 44.3.h por:

Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Sin aportar mucho más que mi interpretación de lo que leo porque letrado no soy y hábil con las leyes tampoco, no consigo ver de que forma esta incumpliendo el contrato. Tal y como expone el punto 17 del acuerdo, Google se responsabiliza de cumplir con la directiva europea base de nuestra LOPD tal y como exige el artículo 9 y además actuará bajo las instrucciones del cliente que en este caso es el responsable de la información.  

Tampoco encuentro motivo a las dos multas graves 44.b y e,  a las que  Javier se refiere. A saber:

b. La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

e. La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.

Google no da información en qué servidor puede almacenar los datos de sus clientes  y por tanto es cierto que podría caer en algún país que no cuente con leyes similares, pero sería Google quien estaría incumpliendo la LOPD y  el contrato con el cliente,  y quedaría  en manos de al Agencia Española de Protección de Datos el decidir si el cliente es tambien  responsable por el deber (implicito, porque no hay nada en la ley que lo diga)  de conocer donde se albergan sus datos.  Pero es que además Google se responsabiliza de que los servidores que utilize cumplirán con sus politicas de seguridad y protección:

2.8. La información que Google recopile puede almacenarse y procesarse en los Estados Unidos o en cualquier otro país en que Google o sus representantes tengan instalaciones, siempre que estas instalaciones se adhieran a normas de seguridad que ofrezcan el mismo nivel de protección que las normas de seguridad de las instalaciones en las que Google almacena y procesa información similar. Al hacer uso de los Servicios, el Cliente da su consentimiento para cualquier transferencia, procesamiento o almacenamiento de información.

Dentro del ejemplo tambien hace alusiones al hecho de  con quien se está firmando el acuerdo y a que si no se tiene información sobre la celebración y contenido. El primer párrafo del acuerdo creo que es bastante claro, sobre con quien se celebra el acuerdo, el momento en que se celebra (click en el botón «Acepto») y el contenido creo que está bien claro:

El Acuerdo de Google Apps edición premier (el «Acuerdo«) se celebra entre Google Ireland Limited, una sociedad constituida con arreglo a la legislación de Irlanda, con domicilio social en Gordon House, Barrow Street, Dublin 4, Irlanda («Google«), y la entidad que acepta las condiciones online estipuladas en este documento (el «Cliente» o «Usted«). El presente Acuerdo tendrá validez a partir de la fecha en la que Usted haga clic en el botón “Acepto” que aparece más abajo (la “Fecha de entrada en vigor”). El presente Acuerdo rige el acceso al Servicio (según se define más adelante) por parte del Cliente y el uso que haga de este.

En resumen, que no encuentro motivo por el cual no aceptar la idea del «experto consultor aburguesado» excepto por el hecho de que no está claro que en el uso de la aplicación se exija el consentimiento explicito por parte del interesado (personal de la empresa, clientes y proveedores)  del almacenamiento de la información por un tercero y su ubicación. Cosa que a la que hace referencia en el artículo pero que Javier no cree que esto sea motivo de sanción.

Por último, tampoco entiendo que  quiera hacer responsable al consultor de que el cliente firme un contrato donde ponga que acepta salir en la relación de clientes que hacen uso del servicio y que Google usará como publicidad. 

11. Publicidad

  • Por el presente documento, el Cliente acepta que Google incluya su nombre en una lista de clientes, con la condición de que no sea el único cliente que figure en ella. La emisión de un comunicado de prensa estará sujeta al consentimiento previo por escrito de ambas partes

En cualquier caso quiero darle las gracias porque me ha hecho reflexionar. Porque es cierto que debemos tener cuidado donde colocamos nuestros datos , a quien le permitimos que manipulen nuestros datos  y que este tercero debe cumplir de igual forma y tener los mecanismos adecuados para garantizar la confidencialidad y seguridad de nuestros datos. Tambien he aprendido que si los datos caen en paises y estados de la CEE, cumplimos con la LOPD, y que tanto personal de la empresa, clientes y proveedores deben dar su consentimiento para el tratamiento de la información personal .

Como dice Antonio Ortiz, internet no tiene fronteras y sin embargo queremos aplicar las leyes que rigen en cada país.  No parece muy lógico.

ANEXOS

            Artículo 7. Datos especialmente protegidos.

1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias.

Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo.

2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.

5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.

6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.

Artículo 9.  Seguridad de los datos.

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Definiciones.

A los efectos de la presente Ley Orgánica se entenderá por:

  1. Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
  2. Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
  3. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
  4. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
  5. Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
  6. Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
  7. Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
  8. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
  9. Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.