Ante la proliferación de usuarios de Dropbox y otros servicios de almacenamiento en «la nube», me gustaría exponer la implicación de la normativa de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
Por supuesto, es innegable la gran utilidad de este sistema de hosting de datos para muchos autónomos y micropymes, que pueden acceder a él desde diferentes sistemas para gestionar sus documentos. Se trata de una herramienta verdaderamente práctica que puede incurrir en un considerable ahorro en infraestructuras para los pequeños negocios y empresas .
Pero, ¿es legal desde el punto de vista de la LOPD?
En función de los datos que almacenemos en este servicio, puede NO ser legal. Y nos arriesgamos a una durísima sanción, ya que su utilización supone una infracción catalogada como MUY GRAVE. En primer lugar, se ha de aclarar que damos por supuesto que hablamos, siempre, de datos personales.
Si utilizamos Dropbox para almacenar nuestra colección de recetas de cocina, o los planos de un artefacto que nos hemos inventado, en absoluto nos afecta la citada normativa. Aunque, eso sí, deberíamos de tener una copia de seguridad, de los datos almacenados por si acaso.
Pero ¿qué pasa si almacenamos historias clínicas de pacientes? Nos jugamos el cierre de nuestra actividad (por la multa que puede caernos).
Una vez leídas las condiciones del contrato, es decir, esas «Condiciones y términos de uso» a la que muy pocas veces prestamos atención, nos encontramos con las siguientes objeciones:
1.- La empresa propietaria del servicio no se hace responsable, de ninguna manera, de la seguridad de los datos depositados.
2.- Para la realización del servicio, acude a la intervención de una tercera empresa.
3.- Dropbox está radicada en California y se rige por las leyes de ese estado.
4.- Aunque Dropbox está acogido por las normativas de Safe Harbor (puerto seguro), sistema dep rotección de datos reconocido por la Agencia Española de Protección de Datos, la realización de cualquier reclamación no deja de estar complicada .
5.- A pesar del citado Safe Harbor, la LOPD exige que, a la hora de recoger datos personales, se informe a su titular de que esos datos van a alojarse en un servidor perteneciente a una empresa radicada en EE UU. Además, habría que contar con la autorización del Director de la AEPD.
6.- Así mismo, al ser un tercero el depositario de nuestros datos, aparece la figura del «Encargado de tratamiento«, lo que nos obliga a elaborar y firmar un contrato (según el art. 12 LOPD).
En definitiva, si se desean utilizar servicios como Dropbox, hay que tener en cuenta lo siguiente:
1.- A título eminentemente práctico, se debe de contar con copias de seguridad, ya que a pesar de la magnitud de la empresa y su control de los datos, nadie nos asegura que no pueda perderse nuestra información. Y, según lo que consta en el contrato, si te he visto, no me acuerdo.
2.- Desde el punto de vista legal, se debe de poner en conocimiento de los usuarios que, sus datos, van a salir de la Comunidad Europea y, además, solicitar del Director de la Agencia Española de Protección de Datos, la pertinente autorización para efectuar una «transferencia internacional de datos».
Por último, un aviso: Lo que hemos señalado, se hace extensible al correo Gmail, a otros centros de datos Google y, en general, a gran parte de la Nube (Cloud Computing).
Y un consejo. Cualquier persona nos puede denunciar ante la AEPD. Por lo tanto, aseguraos (con la ayuda de un profesional o, incluso, en la misma AEPD), de que cumplís con todos los requisitos para realizar el tratamiento y almacenamiento de datos de forma correcta y dentro de los márgenes de la legalidad.
Sobre el autor: Javier Pérez Gutiérrez es Experto Universitario en LOPD y Colegiado en el Colegio de Titulados Mercantiles de Madrid. Asesor LOPD desde 2004, lleva más de seis años con la labor de adecuar empresas a la normativa que marca la L. O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Más información en JPConsult.
Imagen: FreeDigitalPhotos