lunes, 7 de mayo de 2012

LOPD y Dropbox


Recientemente me ha llegado al correo una petición de si podría aclarar si sería factible desde el punto de vista LOPD el utilizar el servicio de Dropbox como un sistema de almacenamiento para el backup de datos e incluso intercambio de información.  Aunque ya di respuesta, considero que puede ser un tema interesante y quiero compartirlo con todos vosotros.

Inicialmente se plantean desde este hecho dos problemas fundamentales en lo concerniente a la gestión de datos de carácter personal:

-          ¿Dónde se encuentra el servicio y cómo se aloja la información?

-          ¿El proveedor accede a la información alojada en su sistema?

En la primera de las circunstancias habría que tener presente la posible transferencia internacional de datos, y posiblemente estar sujeto a comunicación a la AEPD e incluso la necesidad de solicitar permiso en determinadas circunstancias. También hay que tener presente las posibles condiciones particulares del servicio y la posible necesidad para que el prestador deba cumplir unas obligaciones locales, permitiendo por ejemplo el acceso a la información en determinadas circunstancias.

En la segunda hay que tener en cuenta que para la prestación del servicio, el proveedor podría necesitar acceder a la información subida. Por lo tanto en este caso se convertiría en encargado de tratamiento, siendo necesario establecer el acuerdo y las condiciones legales requeridas en esta circunstancia por la Ley Orgánica 15/1999.

Para analizar la situación lo mejor es analizar los términos de servicio y visión de la seguridad que se establece con Dropbox. En algunas circunstancias se comenta con respecto al tratamiento de datos de carácter personal, que puesto que la información se transfiere y almacena de forma cifrada, se cumplen las condiciones necesarias para que no puedan ser consideradas como un fichero de datos tratable por el proveedor. Sin embargo si se analiza la política de privacidad puede extraerse la siguiente información:

Cumplimiento de las leyes y solicitudes de aplicación de las leyes; protección de los derechos de Dropbox. Podemos divulgar a partes ajenas a Dropbox los archivos almacenados en su Dropbox e información relativa a usted que recabemos, cuando creamos de buena fe que la divulgación resulte razonablemente necesaria para (a) cumplir con una ley, reglamentación o solicitud legal obligatoria; (b) proteger la seguridad de cualquier persona y evitar su muerte o una lesión física grave; (c) evitar el fraude o el abuso de Dropbox o de sus usuarios; o bien para (d) proteger los derechos de propiedad de Dropbox. Si proporcionamos sus archivos de Dropbox a un organismo de aplicación de la ley según se estipuló anteriormente, eliminaremos el cifrado de Dropbox de los archivos antes de proporcionarlos a dicho organismo de aplicación de la ley.”

Un dato interesante consiste en que el cifrado es de tipo reversible y la información almacenada, podrá ser facilitada a otros. La causas para ello, podrán ser legales o no.

La condición del cifrado se proporciona definitivamente en el documento sobre la visión general de la seguridad:

“Ciframos los archivos que almacena en Dropbox mediante la norma AES-256, la cual es la misma norma de cifrado usada por bancos para proteger datos de los clientes. El cifrado para el almacenamiento se aplica después de cargados los archivos y nosotros administramos las claves de cifrado.”

En el contrato hay que tener presente que la solicitud de eliminación de la información, podría implicar que no fuera eliminada totalmente por parte del proveedor y por lo tanto los ficheros de datos accesibles por ellos.

“Conservaremos su información durante el tiempo que su cuenta permanezca activa o bien según resulte necesario para prestarle servicios. Si desea cancelar su cuenta o solicitar que dejemos de usar su información para brindarle servicios, puede eliminar su cuenta aquí. Podemos conservar y usar su información según sea necesario para cumplir con nuestras obligaciones legales, resolver disputas y exigir el cumplimiento de nuestros acuerdos. En función de tales requisitos, intentaremos eliminar su información rápidamente una vez recibida su solicitud. No obstante, tenga en cuenta que puede existir cierta latencia al eliminar información de nuestros servidores y después de dicha eliminación, pueden existir versiones de copias de seguridad. Además, no eliminaremos de nuestros servidores archivos que tenga en común con otros usuarios.”

Se recoge también en el documento sobre visión de seguridad, la política de acceso a la información subida al servicio:

“Los empleados de Dropbox tienen prohibido ver el contenido de los archivos que almacenas en tu cuenta de Dropbox, y solo tienen permitido ver los metadatos de los archivos (por ejemplo, las ubicaciones y los nombres de los archivos). Como la mayoría de servicios en línea, tenemos un grupo pequeño de empleados que tienen que poder obtener acceso a los datos de usuario por los motivos mencionados en nuestra política de privacidad (por ejemplo, cuando sea necesario por razones legales). Pero es una excepción poco frecuente, no la regla. Tenemos una estricta política y controles de acceso técnico que prohíben que los empleados obtengan acceso excepto en estas circunstancias poco frecuentes.”

Tal y como se ha recogido puede entenderse por lo tanto que existe una transferencia de datos a un servicio con un cifrado reversible y accesible por parte del proveedor. Es más, establecen que podrán, en determinadas condiciones y por parte de determinadas personas, acceder a la información existente. En el caso de datos de Carácter Personal si nos ceñimos a la normativa, existiría la necesidad de realizar un contrato como encargado de tratamiento, cuestión que evidentemente no se realiza con Dropbox.

Por lo tanto las organizaciones no deberían utilizar este servicio para el almacenamiento de datos de carácter personal, por mucho que se pueda garantizar la seguridad y  muy atractivo sea la posibilidad ofrecida.

5 comentarios:

Anónimo dijo...

Muchas gracias por el artículo. ¿Pasa lo mismo con Sugarsync? En caso negativo, ¿Hay algún servicio similar que cumpla la LOPD española?

Muchas gracias de nuevo

Rafael

Daniel Amoedo Barreiro dijo...

No estoy de acuerdo contigo. Existen varias pronunciaciones de la AEPD a este respecto. Primero, Dropbox se encuentra adherida al sistema de Safe Harbour, lo que exime al Responsable del tratamiento de solicitar la autorización de TID ante la AEPD. En segundo lugar, no es necesario realizar un contrato de prestación de servicios del artículo 12, ya que bastará con la aceptación de las condiciones del servicio para ello. No me parece correcto que des una visión tan restrictiva del asunto, creando en las personas que lo lean una impresión errónea. Sí, se puede utilizar dropbox con datos personales. Saludos.

Tubular dijo...

Un gran articulo, me ha resultado muy útil!! muchas gracias!!!!

David M. dijo...

Interesante el artículo.
¿Si subo datos personales previamente encriptados? , se siguen considerando datos personales, o al estar encriptados simplemente son "datos".

Un saludo.

Go-Space Solutions dijo...

Soy médico y trabajo en un hospital. Recientemente nos han "capado" el acceso a www.dropbox.com. En la era de la tecnología de la información, resulta incomprensible, pues tenemos nuestras tablas, artículos, documentos de consulta, mil archivos que necesitamos a diario. Al hablar ocn el informático me dice que lo hacen para que no almacenemos datos confidenciales de las historias clínicas. Me parece una mal interpretación de la ley, es como si yo tuviera una tienda y no quisiera vender cuchillos para que nadie los use para matar!!! Está claro que la ley nos lo prohibe a los que tenemos acceso a esa información, pero ¿está la empresa propietaria del hospital obligada a impedir el acceso a archivos en la nube?