Tus datos están por las nubes (2): ¿Y quién los tiene?

Una vez visto el modelo de negocio del cloud computing resulta obvio que en la mayor parte de los casos nos vamos a encontrar ante una situación que conviene ser examinada a la luz de la legislación sobre protección de datos.

La empresa que contrata un sistema de este tipo va a proceder de inmediato a cargarlo de una enorme cantidad de datos de carácter personal (contabilidad, CRM, nóminas, bases de datos, incluso copias remotas del contenido total de su disco duro), datos que están almacenados en las instalaciones de la empresa que presta el servicio, y que por lo tanto se habrá convertido en lo que se denomina un "encargado de tratamiento", en los términos del artículo 5 del Real Decreto 1720/2007, Reglamento de Desarrollo de la LOPD (RDLOPD):
i) Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Y por lo tanto, según el apartado 2 del artículo 12 de la LOPD, Acceso a los datos por cuenta de terceros:
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
Y en esta última línea tenemos la clave del asunto, porque como es bien sabido, el RDLOPD ha acentuado las implicaciones de esta obligación de implantar medidas de seguridad: ha hecho al responsable del fichero "vigilante" de este requisito, al exigirle en el apartado del artículo 20 del RDLOPD:
Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.
(El subrayado es mío)

Desde el punto de vista operativo significa que si A contrata el acceso a un programa contable alojado en los servidores de B, y resulta que B no cumple con las medidas de seguridad exigidas por la LOPD y resto de leyes relativas a la protección de datos, A podría recibir una desagradable misiva desde la Agencia Española de Protección de Datos (AEPD) que más o menos vendría a preguntarle: "¿Ha cumplido usted (y lo puede demostrar) su deber de velar? ¿Tiene al menos el correspondiente contrato según lo exigido por el artículo 12.2 LOPD?"
Y en fin, las consecuencias (sancionadoras) las conocemos perfectamente.

¿Y cómo averigüar si a día de hoy existe o no la costumbre, la "cultura", de cumplir estas obligaciones legales? Pues sólo se me ocurre una forma: preguntándolo.
Dicho y hecho, envié hace 10 días (entiendo que tiempo más que suficiente para esperar una respuesta) el siguiente correo electrónico a 9 empresas que prestan servicios que se pueden encuadrar dentro del cloud computing:
Estimados Sres.:
Mi empresa está estudiando la posibilidad de utilizar algunas aplicaciones web en sustitución de nuestro software actual.
Les ruego que me informen si firman el contrato que prevé el artículo 12 de la Ley Orgánica 15/1.999, de 13 de diciembre, de protección de datos (LOPD) con cualquier cliente que contrate una aplicación web que trate datos de carácter personal.
La mayoría de las aplicaciones (contabilidad, facturación, CRM, BBDD, etc.) recogen datos de este tipo (la dirección de email lo es), y es fundamental la firma de este contrato.
Saludos cordiales,
¿Qué pensáis que habrán respondido?

Las respuestas a partir de mañana

Resto de la serie:

Foto: Flickr 
Marketing Positivo, Actualizado en: viernes, octubre 31, 2008