Ir al contenido principal

Tus datos están por las nubes (2): ¿Y quién los tiene?

Una vez visto el modelo de negocio del cloud computing resulta obvio que en la mayor parte de los casos nos vamos a encontrar ante una situación que conviene ser examinada a la luz de la legislación sobre protección de datos.

La empresa que contrata un sistema de este tipo va a proceder de inmediato a cargarlo de una enorme cantidad de datos de carácter personal (contabilidad, CRM, nóminas, bases de datos, incluso copias remotas del contenido total de su disco duro), datos que están almacenados en las instalaciones de la empresa que presta el servicio, y que por lo tanto se habrá convertido en lo que se denomina un "encargado de tratamiento", en los términos del artículo 5 del Real Decreto 1720/2007, Reglamento de Desarrollo de la LOPD (RDLOPD):
i) Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Y por lo tanto, según el apartado 2 del artículo 12 de la LOPD, Acceso a los datos por cuenta de terceros:
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
Y en esta última línea tenemos la clave del asunto, porque como es bien sabido, el RDLOPD ha acentuado las implicaciones de esta obligación de implantar medidas de seguridad: ha hecho al responsable del fichero "vigilante" de este requisito, al exigirle en el apartado del artículo 20 del RDLOPD:
Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.
(El subrayado es mío)

Desde el punto de vista operativo significa que si A contrata el acceso a un programa contable alojado en los servidores de B, y resulta que B no cumple con las medidas de seguridad exigidas por la LOPD y resto de leyes relativas a la protección de datos, A podría recibir una desagradable misiva desde la Agencia Española de Protección de Datos (AEPD) que más o menos vendría a preguntarle: "¿Ha cumplido usted (y lo puede demostrar) su deber de velar? ¿Tiene al menos el correspondiente contrato según lo exigido por el artículo 12.2 LOPD?"
Y en fin, las consecuencias (sancionadoras) las conocemos perfectamente.

¿Y cómo averigüar si a día de hoy existe o no la costumbre, la "cultura", de cumplir estas obligaciones legales? Pues sólo se me ocurre una forma: preguntándolo.
Dicho y hecho, envié hace 10 días (entiendo que tiempo más que suficiente para esperar una respuesta) el siguiente correo electrónico a 9 empresas que prestan servicios que se pueden encuadrar dentro del cloud computing:
Estimados Sres.:
Mi empresa está estudiando la posibilidad de utilizar algunas aplicaciones web en sustitución de nuestro software actual.
Les ruego que me informen si firman el contrato que prevé el artículo 12 de la Ley Orgánica 15/1.999, de 13 de diciembre, de protección de datos (LOPD) con cualquier cliente que contrate una aplicación web que trate datos de carácter personal.
La mayoría de las aplicaciones (contabilidad, facturación, CRM, BBDD, etc.) recogen datos de este tipo (la dirección de email lo es), y es fundamental la firma de este contrato.
Saludos cordiales,
¿Qué pensáis que habrán respondido?

Las respuestas a partir de mañana

Resto de la serie:

Foto: Flickr 

Comentarios

  1. Maquiavélico. Es el único adjetivo que se me ocurre. Veo que mantienes tu peculiar sentido del humor ;)
    Espero las respuestas, aunque las intuyo.

    ResponderEliminar
  2. Lo primero que creo que habrán contestado, es algo así como : no se preocupe que los datos de su empresa se encuentran perfectamente protegidos en nuestro servidor por lo que puede confiar plenamente en nosotros, o algo así, ósea en plan tranquilizador, independientemente que cumplan o no con la LOPD y respecto al contrato del articulo 12 de la Ley, quizás necesiten mas de 10 días, para averiguar de que contrato le estas hablando, ,,

    Bueno esto es un comentario un poco irónico. la verdad creo que de todos los que enviaste , ni la mitad consideraran tan necesario la firma del contrato.

    ResponderEliminar
  3. Muy buenas, yo también espero las respuestas, pero ojala sea pedirle a las empresas que son ellas la que cumplan y pedirle un justificante, aunque me temo lo peor, y ser ellas las que le digan que cumplen y que ellos ya estén tranquilos.

    ResponderEliminar
  4. hola una aclaracion: cloud computing no es un "modelo de negocio" sino mas bien una tecnologia que muchos ya usabamos hace tiempo pero no por ese nombre sino comogoogle docs por ejemplo. Mas cuidado con nuestros comentarios. Saludos.

    Lucho

    ResponderEliminar
  5. Lucho: "Mas cuidado con nuestros comentarios." :-) ¡Owned!
    Léete la primera nota de Tus datos están por las nubes, y verás que hablo de cloud computing como modelo de negocio con mucha ironía, precisamente en la línea que tu indicas.

    ResponderEliminar
  6. Ahora no nos dejes así! Qué han contestado? O directamente, no lo han hecho?

    ResponderEliminar

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.

Entradas populares de este blog

¿Qué estás poniendo bajo la firma de tu mail?

Un comentario de ayer en el blog sobre sanciones LOPD me recordó un tema que hace tiempo quería comentar: esos curiosos avisos supuestamente legales tan frecuentes al pie de los correos electrónicos, con más tendencia al barroquismo y la extravagancia cuanto más grande es la empresa que lo envía. Se trata de una sanción de 1.200€ a una librería, que aunque incluía en sus correos un enlace a la Política de Privacidad en su web, la Agencia Española de Protección de Datos (AEPD) determinó que aunque sea gratuito, no es un procedimiento sencillo ya que, por un lado, la información que se desprende del enlace no permite relacionarlo de forma fácil ni con el ejercicio del derecho de oposición al tratamiento de datos con fines comerciales ni con la existencia de un procedimiento habilitado para ello y, por otro lado, dicho enlace no remite directamente al procedimiento, sino que enlaza con la información. La historia completa en Cuestión de detalles. Comenta Alejandro , de Esal Consultore

La Lista Robinson de FECEMD y mis perplejidades

Hace ya unas semanas que la Federación de Comercio Electrónico y Marketing Directo (FECEMD) anunció, con la colaboración de la Agencia Española de Protección de Datos (AEPD), su servicio de Lista Robinson, un fichero de exclusión en los términos del artículo 49 del Nuevo Reglamento LOPD, que aseguraban permitirá a los ciudadanos inscribirse para evitar recibir comunicaciones comerciales no deseadas, de empresas con las que no mantengan o no hayan mantenido algún tipo de relación. Como todas las noticias recogidas en diferentes medios me resultaban algo confusas, me he abstenido de dar ninguna opinión hasta no haber acudido a alguna de las presentaciones conjuntas FECEMD-AEPD previstas. Ayer estuve en la que se realizó en la sede de la CEOE en Madrid y tras dos horas de conferencia, preguntas y respuestas, si estoy escribiendo estas líneas no es porque me haya aclarado en absoluto... sino para compartir mis perplejidades y rogar que alguno de los ilustres profesionales del Derecho (e

¿Soluciones "a coste cero"?: empecemos a poner un poco de orden

Importantísimo artículo publicado ayer en El Mundo (otro documento imprescindible a partir de ahora en la carpeta de cualquier consultor, pincha la imagen para verlo más grande) denunciando el mal uso de los fondos para formación de trabajadores con el fin de enmascarar la prestación de servicios de consultoría en protección de datos: La protección de datos se financia con el Forcem. La antigua Forcem, ahora denominada Fundación Tripartita para la Formación en el Empleo, vuelve a estar en entredicho y otra vez es por el uso de los fondos destinados a la formación de trabajadores que gestiona. Empresas dedicadas a la implantación de la protección de datos están utilizando los recursos destinados a cursos de formación como reclamo para pagar sus servicios, en los que la formación únicamente sirve en ocasiones sólo para encubrir la financiación de los recursos. Es lo que ellos denominan la adaptación a la Ley Orgánica de Protección de Datos (LOPD) "a coste cero" en algunos anu