Recientemente me ha llegado al correo una petición de si
podría aclarar si sería factible desde el punto de vista LOPD el utilizar el servicio
de Dropbox como un sistema de almacenamiento para el backup de datos e incluso
intercambio de información. Aunque ya di
respuesta, considero que puede ser un tema interesante y quiero compartirlo con
todos vosotros.
Inicialmente se plantean desde este hecho dos problemas
fundamentales en lo concerniente a la gestión de datos de carácter personal:
-
¿Dónde se encuentra el servicio y cómo se
aloja la información?
-
¿El proveedor accede a la información alojada en
su sistema?
En la primera de las circunstancias habría que tener
presente la posible transferencia internacional de datos, y posiblemente estar sujeto
a comunicación a la AEPD e incluso la necesidad de solicitar permiso en
determinadas circunstancias. También hay que tener presente las posibles
condiciones particulares del servicio y la posible necesidad para que el
prestador deba cumplir unas obligaciones locales, permitiendo por ejemplo el
acceso a la información en determinadas circunstancias.
En la segunda hay que tener en cuenta que para la prestación
del servicio, el proveedor podría necesitar acceder a la información subida.
Por lo tanto en este caso se convertiría en encargado de tratamiento, siendo
necesario establecer el acuerdo y las condiciones legales requeridas en esta
circunstancia por la Ley Orgánica 15/1999.
Para analizar la situación lo mejor es analizar los términos de servicio y visión de la seguridad que se establece con Dropbox. En algunas
circunstancias se comenta con respecto al tratamiento de datos de carácter
personal, que puesto que la información se transfiere y almacena de forma
cifrada, se cumplen las condiciones necesarias para que no puedan ser
consideradas como un fichero de datos tratable por el proveedor. Sin embargo si
se analiza la política de privacidad puede extraerse la siguiente información:
“Cumplimiento
de las leyes y solicitudes de aplicación de las leyes; protección de los
derechos de Dropbox. Podemos divulgar a partes ajenas a Dropbox los
archivos almacenados en su Dropbox e información relativa a usted que
recabemos, cuando creamos de buena fe que la divulgación resulte razonablemente
necesaria para (a) cumplir con una ley, reglamentación o solicitud legal
obligatoria; (b) proteger la seguridad de cualquier persona y evitar su muerte
o una lesión física grave; (c) evitar el fraude o el abuso de Dropbox o de sus
usuarios; o bien para (d) proteger los derechos de propiedad de Dropbox. Si
proporcionamos sus archivos de Dropbox a un organismo de aplicación de la ley
según se estipuló anteriormente, eliminaremos el cifrado de Dropbox de los
archivos antes de proporcionarlos a dicho organismo de aplicación de la ley.”
Un dato interesante consiste en que el cifrado es de tipo
reversible y la información almacenada, podrá ser facilitada a otros. La causas
para ello, podrán ser legales o no.
La condición del cifrado se proporciona definitivamente en
el documento sobre la visión general de la seguridad:
“Ciframos los archivos
que almacena en Dropbox mediante la norma AES-256, la cual es la misma norma de
cifrado usada por bancos para proteger datos de los clientes. El cifrado para
el almacenamiento se aplica después de cargados los archivos y nosotros
administramos las claves de cifrado.”
En el contrato hay que tener presente que la solicitud de
eliminación de la información, podría implicar que no fuera eliminada
totalmente por parte del proveedor y por lo tanto los ficheros de datos
accesibles por ellos.
“Conservaremos su
información durante el tiempo que su cuenta permanezca activa o bien según
resulte necesario para prestarle servicios. Si desea cancelar su cuenta o
solicitar que dejemos de usar su información para brindarle servicios, puede
eliminar su cuenta aquí. Podemos conservar y usar su información según sea
necesario para cumplir con nuestras obligaciones legales, resolver disputas y
exigir el cumplimiento de nuestros acuerdos. En función de tales requisitos,
intentaremos eliminar su información rápidamente una vez recibida su solicitud.
No obstante, tenga en cuenta que puede existir cierta latencia al eliminar
información de nuestros servidores y después de dicha eliminación, pueden
existir versiones de copias de seguridad. Además, no eliminaremos de nuestros
servidores archivos que tenga en común con otros usuarios.”
Se recoge también en el documento sobre visión de seguridad,
la política de acceso a la información subida al servicio:
“Los empleados de
Dropbox tienen prohibido ver el contenido de los archivos que almacenas en tu
cuenta de Dropbox, y solo tienen permitido ver los metadatos de los archivos
(por ejemplo, las ubicaciones y los nombres de los archivos). Como la mayoría
de servicios en línea, tenemos un grupo pequeño de empleados que tienen que
poder obtener acceso a los datos de usuario por los motivos mencionados en
nuestra política de privacidad (por ejemplo, cuando sea necesario por razones
legales). Pero es una excepción poco frecuente, no la regla. Tenemos una
estricta política y controles de acceso técnico que prohíben que los empleados
obtengan acceso excepto en estas circunstancias poco frecuentes.”
Tal y como se ha recogido puede entenderse por lo tanto que
existe una transferencia de datos a un servicio con un cifrado reversible y
accesible por parte del proveedor. Es más, establecen que podrán, en
determinadas condiciones y por parte de determinadas personas, acceder a la
información existente. En el caso de datos de Carácter Personal si nos ceñimos
a la normativa, existiría la necesidad de realizar un contrato como encargado
de tratamiento, cuestión que evidentemente no se realiza con Dropbox.
Por lo tanto las organizaciones no deberían utilizar este
servicio para el almacenamiento de datos de carácter personal, por mucho que se
pueda garantizar la seguridad y muy
atractivo sea la posibilidad ofrecida.
5 comentarios:
Muchas gracias por el artículo. ¿Pasa lo mismo con Sugarsync? En caso negativo, ¿Hay algún servicio similar que cumpla la LOPD española?
Muchas gracias de nuevo
Rafael
No estoy de acuerdo contigo. Existen varias pronunciaciones de la AEPD a este respecto. Primero, Dropbox se encuentra adherida al sistema de Safe Harbour, lo que exime al Responsable del tratamiento de solicitar la autorización de TID ante la AEPD. En segundo lugar, no es necesario realizar un contrato de prestación de servicios del artículo 12, ya que bastará con la aceptación de las condiciones del servicio para ello. No me parece correcto que des una visión tan restrictiva del asunto, creando en las personas que lo lean una impresión errónea. Sí, se puede utilizar dropbox con datos personales. Saludos.
Un gran articulo, me ha resultado muy útil!! muchas gracias!!!!
Interesante el artículo.
¿Si subo datos personales previamente encriptados? , se siguen considerando datos personales, o al estar encriptados simplemente son "datos".
Un saludo.
Soy médico y trabajo en un hospital. Recientemente nos han "capado" el acceso a www.dropbox.com. En la era de la tecnología de la información, resulta incomprensible, pues tenemos nuestras tablas, artículos, documentos de consulta, mil archivos que necesitamos a diario. Al hablar ocn el informático me dice que lo hacen para que no almacenemos datos confidenciales de las historias clínicas. Me parece una mal interpretación de la ley, es como si yo tuviera una tienda y no quisiera vender cuchillos para que nadie los use para matar!!! Está claro que la ley nos lo prohibe a los que tenemos acceso a esa información, pero ¿está la empresa propietaria del hospital obligada a impedir el acceso a archivos en la nube?
Publicar un comentario