Fuente || http://www.ucelay.es
La contratación de servicios que permiten trabajar, almacenar o gestionar online no siempre cumple con la normativa aplicable en protección de datos. En este sentido, el hecho de estar masivamente adoptados no impide que su uso se pueda considerarse ilegal y su empleo gravemente sancionado. Puede sonar drástico pero simplemente gestionar el correo profesional con servicios gratuitos muy conocidos podría incumplir la LOPD (y decimos que “podrían” no cumplir por lo que se dirá después). Lo mismo sucedería con servicios de backup y sincronización como Dropbox o las utilidades derivadas de Google Apps.
¿Exageración?. En absoluto, simple aplicación de la Ley. Pero antes de explicarlo hemos de hacer un matiz previo importante. Estamos hablando de que el uso de tales servicios implique la recogida o tratamiento de datos personales, de manera que en los casos en que esto no se produzca no existe óbice legal desde la perspectiva de la LOPD. De este modo, usar dropbox para almacenar planos de viviendas no incumpliría si no lleva datos personales pero usar este servicio para almacenar radiografías digitalizadas de clientes sí lo haría. En el caso del correo electrónico es casi imposible que no implique tratamiento de datos.
Así es, normalmente todos estos servicios que operan como nube precisan del almacenamiento de datos en servidores centrales proporcionados por estas aplicaciones y que están en manos de otros. Y aquí está el problema. Como consecuencia de ello, es claro que en tales casos se está verificando una transmisión de datos personales del fichero del responsable de los mismos (Por ejemplo, una asesoría que usa el servicio de correo gmail como medio de trabajo) a un tercero (el servicio en la nube, en este caso, Gmail/Google). Es decir, que al enviar un mero correo electrónico estamos depositando los datos de nuestros clientes en los servidores de un tercero. El tratamiento de datos por cuenta de tercero (Gmail) para prestar un servicio al responsable del fichero (La Asesoría) que exija el acceso a datos personales de los ficheros de éste o a los sistemas que los contienen está previsto en la LOPD mediante una figura legal denominada “Encargado de Tratamiento” con quien la Ley exige la celebración de un contrato de tratamiento de datos personales con parte de su contenido determinado legalmente (por ejemplo, si se permite o no la subcontratación). Por tanto, el uso de medios de terceros con acceso a datos es lícito siempre que se celebre dicho contrato. Aquí es donde vienen los problemas: los servicios online como los descritos conllevan la aceptación de condiciones generales de contratación (y de privacidad), predispuestas unilateralmente, sin ajustarse a nuestra legislación y que, por ello, no equivalen al contrato de tratamiento de datos exigido por el artículo 12 de la LOPD:
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
Si a ello añadimos que son servicios con servidores radicados en el extranjero, supone lo que la LOPD además lo conceptúa como transferencia internacional de datos y en estos casos exige que el país de destino sea considerado por la Administración con un nivel de protección adecuado, exista un convenio de colaboración firmado con España en tal sentido o se celebre contrato con especiales garantías. También se contempla la posibilidad legal de que un país no se considere seguro, según la terminología de la Ley, pero una empresa de dicho país sí lo sea. Sería el caso de Estados Unidos: España considera que los USA no garantizan el nivel de protección adecuado porque su legislación basa la privacidad en la autorregulación (Así Facebook hace lo que le da la gana literalmente) pero se permiten lo que se han llamado convenios de Puerto Seguro con empresas concretas que las sujetan a previamente fijadas en aquellos al adherirse a los mismos.
¿Siendo Puerto Seguro sería viable la cesión de datos antedicha?. No, porque faltaría el contrato de tratamiento de datos del art. 12 con las menciones legales por este establecidas. En este sentido, se leen demasiados artículos bienintencionados en blogs de tecnología que hablan de la licitud del servicio que describen en su post por el simple hecho de ser Puerto Seguro.
Conclusiones:
Primera.- Normativa exigente.- La normativa española es muy rigurosa y gravemente sancionadora por lo general. Con los servicios de cloud computing (tipo Google Apps y otros muchos), más aún al ser frecuente la transferencia internacional de datos personales.
Segunda.- Conflicto norma – desarrollo tecnológico y económico.- A pesar de las previsiones legales de aseguramiento de la privacidad, podríamos encontrarnos y, de hecho sucede, con la paradoja de un servicio online con una seguridad muy superior a otro radicado en España que cumple la LOPD con una capacidad técnica o logística inferior comparativamente. Podríamos decir que, de facto, el primero podría ser más seguro que lo previsto por nuestra legislación sin ser legal su uso según nuestra norma. Son los problemas suscitados entre el desarrollo de soluciones tecnológicas de ámbito global y la legislación nacional puestas de manifiesto de continuo por los distintos actores (Entre ellos los propios juristas). En todo caso, no es baladí la previsión del artículo 12 de la LOPD por cuanto una vez salen los datos de nuestra esfera de poder no sabemos lo que podría suceder con ellos y son ya numerosos los casos en los que informaciones personales acaban en manos de Fuerzas de Seguridad de Terceros Países (Los USA, por ejemplo, pero también India tiene un proyecto de monitorización de la red y ya ha advertido a Google de que le tendrá que permitir acceder a toda esa información que almacena si quiere operar en su país) o accesos maliciosos.
3.- Ilegalidad.- Dada la compleja normativa que sujeta el uso de servicios de cloud computing hay que ir caso por caso para no cometer errores. En este sentido, los que relativizan los alcances legales de su uso, frente a los que avisan de la necesidad de comprobar su licitud conforme a nuestra normativa, pueden perjudicar gravemente pese a no tener intención.
En este caso, por ejemplo, Google España no aporta ni una sola consideración sobre nuestra legislación, se trata de una mera apología de los servicios de dicha empresa bajo la premisa de que “si tantos usan nuestros servicios será por algo…”. Y además para justificarse invita a visitar este enlace donde no se puede comprobar absolutamente nada de lo que dice. Y, sin embargo, parece ser que la Agencia Española de Protección de Datos va a emitir un dictamen favorable al uso de Google Apps habiendo cierta incertidumbre hasta entonces. En esta otra opinión, aunque plantea buenas preguntas, el manejo de la legislación es muy incorrecto. Pero para muestra de lo que hemos expueto varios botones que reproducimos aquí para facilitar la lectura:
Primero.- El Dictamen 1/2010 del Grupo de Trabajo del artículo 29 de la Unión Europea publicó lo siguiente a propósito de la figura del encargado de tratamiento con relación al correo electrónico:
Ejemplo nº 18: Plataformas de correo electrónico.
Juan García busca una plataforma de correo electrónico que puedan usar él mismo y los cinco empleados de su empresa. Descubre que una plataforma adecuada y de fácil uso —además de ser la única que se ofrece gratuitamente— conserva los datos personales durante un período excesivo y los transfiere a terceros países sin las salvaguardias apropiadas. Además, las condiciones contractuales son del tipo «o lo tomas o lo dejas». En este caso, el Sr. García debería buscar a otro proveedor o —en caso de presunto incumplimiento de las normas de protección de datos o de ausencia en el mercado de otros proveedores apropiados— remitir el asunto a las autoridades competentes, como la autoridad de protección de datos, el servicio de defensa de los consumidores, las autoridades antimonopolio, etc.
Segundo: La Audiencia Nacional Sala de lo Contencioso-Administrativo, sec. 1ª, en su sentencia de fecha 21-7-2004, confirmada por la del Tribunal Supremo de 28-4-2009, declara en su Fundamento de Derecho noveno sobre el caso de uso de servidores radicados en el extranjero que: “La última infracción imputada a Evento Original de Comunicación, S. L. es la del art. 33 LOPD, consistente en transferir datos de los participantes a Estados Unidos, sin informarles de ello ni recabar su consentimiento ni obtener la preceptiva autorización del Director de la Agencia de Protección de Datos.
El Artículo 33 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal EDL 1999/63731 , establece que: 1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas. 2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.
La actora señala que los datos personales recabados a través de la citada página eran almacenados directamente sobre los equipos informáticos de la entidad Digital Daze, ubicada en Huntinton Beach, California 92615 (Estados Unidos), y que, por tanto, el circuito de comunicaciones no presenta una transmisión desde España hacia Estados Unidos sino justo todo lo contrario, una transmisión desde Estados Unidos hacia España, lo cual no está sujeto a autorización alguna por parte del Director de la Agencia de Protección de Datos. Y que en definitiva, el papel de Evento Original de Comunicación, S. L. en relación con el servidor Digital Daze ubicado físicamente en Estados Unidos se ha limitado a alquilar una máquina en la que cada participante ha ido colocando sus datos. Virtualmente los datos fueron recogidos en todo momento por una empresa española miembro de la CEEE, aunque físicamente, debido a la naturaleza global de internet, el servidor usado para la transmisión “on-line” estaba el Estados Unidos. Y considera que no ha existido transferencia de datos porque los concursantes depositaron sus datos directamente en el servidor Digital Daze, y no concurre la figura del transmitente y destinatario.
Sin embargo, lo cierto es que Evento Original de Comunicación, S. L., obtenía los datos de los concursantes físicamente a través de la página Web http://www.reto206.net y que sin conocimiento y autorización de los mismos los datos personales recabados se almacenaban directamente sobre los equipos informáticos de la entidad estadounidense Digital Daze, Huntinton Beach, California 92615 (Estados Unidos), donde permanecían hasta que desde la sede de Evento Original de Comunicación, S. L. se ejecutaba la orden semanal de transferencia a los equipos de ASCI DIRECT, S.A.L. como se pone de manifiesto, en el punto 1.8 del Acta de Inspección (folio 109 del expediente).
En definitiva, unos datos personales que se facilitan para participar en un concurso y que se supone que los mismos no van a traspasar la frontera del territorio nacional, sin conocimiento y sin consentimiento alguno de las personas afectadas, aparecen recogidos o almacenados en un equipo informático de una empresa que se encuentra en Estados Unidos.
Y tanto da que el mecanismo empleado haya sido la ubicación directa de los datos personales en el servidor extranjero por los propios afectados, -además, volvemos a repetir, sin su conocimiento y consentimiento- que los datos se hayan transmitido al extranjero, después de pasar por un servidor español, porque el resultado ha sido el mismo: los datos han llegado a conocimiento de una entidad ubicada en el extranjero.
Y que duda acabe que dentro del concepto de transferencia de datos hay que comprender tanto la cesión como la comunicación de los mismos, como entiende la norma 1ª de la Instrucción 1/2000, de 1 de diciembre de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos, interpretación que compartimos.
Aunque es cierto que materialmente los datos personales los depositaba cada concursante en el servidor extranjero, no lo es menos que Evento Original de Comunicación, S. L. utilizaba un sistema técnico por medio del cual aquella persona que accedía a la dirección de internet que hemos dicho, se veía compelida irremediablemente a que los datos personales que facilitaba para participar en un concurso, quedaran reflejados en los archivos de una entidad extranjera, fuera de los límites de la Unión Europea.
Es decir, utilizó a los propios afectados como medios instrumentales de la comunicación de los datos a un país que no proporciona un nivel de protección de datos equiparable y sin autorización del Director de la Agencia de Protección de Datos.
Así pues, estamos en presencia de una conducta que se encuentra tipificada como infracción muy grave en el art. 44.4.e) de la LOPD, con lo cual también ha de confirmarse la sanción impuesta en la resolución impugnada.
Y por supuesto, dicha conducta está incluida dentro del ámbito de aplicación de la LOPD, y no nos encontramos, como nos quiere hacer ver la actora, en el supuesto de exclusión contemplado por el art. 2.1.c: “..salvo que tales medios se utilicen únicamente con fines de tránsito.
(…) Finalmente, Evento Original de Comunicación, S.L. argumenta que la transferencia no requiere la autorización previa del Director de la Agencia toda vez que Digital Daze cumple con los principios de puerto seguro.
Conforme a la Decisión de la Comisión 2000/520/CE, de 26 de julio, publicada el día 25 de agosto de 2000 en el Diario Oficial de las Comunidades Europeas, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa al nivel de protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, cada transferencia de datos desde la Comunidad Europea a Estados Unidos de América deberá cumplir las condiciones siguientes: a) la entidad receptora de los datos deberá haber manifestado de forma inequívoca y pública su compromiso de cumplir los principios de puerto seguro (anexo 1) aplicados de conformidad con las FAQ (anexo II); b) la entidad estará sujeta a la jurisdicción de uno de los organismos públicos estadounidenses que figuran en el anexo VII. La entidad deberá autocertificar su adhesión y notificarlo al Departamento de Comercio de Estados Unidos de América.
Analizando el supuesto en cuestión se observa que la transferencia de datos efectuada desde España al servidor de Digital Daze no cumple las aludidas condiciones, por lo que no puede considerarse que la transferencia goce de un nivel adecuado de protección y que por ende no le sea de aplicación a la misma la obligación contenida en el artículo 33 de la Ley Orgánica 15/1999 EDL 1999/63731.
Resultado del expediente de la Agencia: Una sanción salvaje de 300.000 euros.
RsaN_blog 