Cómo cumplir con la LOPD usando Dropbox y otros servicios de almacenamiento de datos en «la nube»

dropbox y lopd

Ante la proliferación de usuarios de Dropbox y otros servicios de almacenamiento en «la nube», me gustaría exponer la implicación de la normativa de la  Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

Por supuesto, es innegable la gran utilidad de este sistema de hosting de datos para muchos autónomos y micropymes, que pueden acceder a él desde diferentes sistemas para gestionar sus documentos. Se trata de una herramienta verdaderamente práctica que puede incurrir en un considerable ahorro en infraestructuras para los pequeños negocios y empresas .

Pero, ¿es legal desde el punto de vista de la LOPD?

En función de los datos que almacenemos en este servicio, puede NO ser legal. Y nos arriesgamos a una durísima sanción, ya que su utilización supone una infracción catalogada como MUY GRAVE. En primer lugar, se ha de aclarar que damos por supuesto que hablamos, siempre, de datos personales.

Si utilizamos Dropbox para almacenar nuestra colección de recetas de cocina, o los planos de  un artefacto que nos hemos inventado, en absoluto nos afecta la citada normativa. Aunque, eso sí, deberíamos de tener una copia de seguridad, de los datos almacenados por si acaso.

Pero ¿qué pasa si almacenamos historias clínicas de pacientes? Nos jugamos el cierre de nuestra actividad (por la multa que puede caernos).

Una vez leídas las condiciones del contrato, es decir, esas «Condiciones y términos de uso» a la que muy pocas veces prestamos atención, nos encontramos con las siguientes objeciones:

1.- La empresa propietaria del servicio no se hace responsable, de ninguna manera, de la seguridad de los datos depositados.

2.- Para la realización del servicio, acude a la intervención de una tercera empresa.

3.- Dropbox está radicada en California y se rige por las leyes de ese estado.

4.- Aunque Dropbox está acogido por las normativas de Safe Harbor (puerto seguro), sistema dep rotección de datos reconocido por la Agencia Española de Protección de Datos, la realización de cualquier reclamación no deja de estar complicada .

5.- A pesar del citado Safe Harbor,  la LOPD exige que, a la hora de recoger datos personales, se informe a su titular de que esos datos van a alojarse en un servidor perteneciente a una empresa radicada en EE UU. Además, habría que contar con la autorización del Director de la AEPD.

6.- Así mismo, al ser un tercero el depositario de nuestros datos, aparece la figura del «Encargado de tratamiento«, lo que nos obliga a elaborar y firmar un contrato (según el art. 12 LOPD).

En definitiva, si se desean utilizar servicios como Dropbox, hay que tener en cuenta lo siguiente:

1.- A título eminentemente práctico, se debe de contar con copias de seguridad, ya que a pesar de la magnitud de la empresa y su control de los datos, nadie nos asegura que no pueda perderse nuestra información. Y, según lo que consta en el contrato, si te he visto, no me acuerdo.

2.- Desde el punto de vista legal, se debe de poner en conocimiento de los usuarios que, sus datos, van a salir de la Comunidad Europea y, además, solicitar del Director de la Agencia Española de Protección de Datos, la pertinente autorización para efectuar una «transferencia internacional de datos».

Por último, un aviso: Lo que hemos señalado, se hace extensible al correo Gmail, a otros centros de datos Google y, en general, a gran parte de la Nube (Cloud Computing).

Y un consejo. Cualquier persona nos puede denunciar ante la AEPD. Por lo tanto, aseguraos (con la ayuda de un profesional o, incluso, en la misma AEPD), de que cumplís con todos los requisitos para realizar el tratamiento y almacenamiento de datos de forma correcta y dentro de los márgenes de la legalidad.

Sobre el autor: Javier Pérez Gutiérrez es Experto Universitario en LOPD y Colegiado en el Colegio de Titulados Mercantiles de Madrid. Asesor LOPD desde 2004, lleva más de seis años con la labor de adecuar empresas a la normativa que marca la L. O. 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Más información en JPConsult.

Imagen: FreeDigitalPhotos

Esta entrada fue publicada en Colaboraciones, Curiosidades, Innovacion, Internet y etiquetada , , , , , , , . Guarda el enlace permanente.

6 Comentarios en Cómo cumplir con la LOPD usando Dropbox y otros servicios de almacenamiento de datos en «la nube»

  1. Britt Sörensson dijo:

    Muchas gracias por compartir esta información. No siempre somos concientes de la importancia que tiene cumplir con dichas normas. un saludo

  2. carmen dijo:

    Esta información resulta muy interesante, si bien quisiera añadir que al ser Dropbox un encargado de tratamiento no es necesario informar a los interesados, al tratarse de una entidad adherida a Safe Harbor no resulta necesaria la autorización del Director de la Agencia de Protección de Datos.
    No obstante entiendo que sí debe reflejarse esta información en el fichero inscrito en el Registro de la Agencia y en el Documento de Seguridad del Responsable.
    Saludos.

  3. Juan Pablo dijo:

    Has puesto el ejemplo del médico y las historias clínicas. Está claro que un médico no puede almacenar datos confidenciales de la historia clínica en su Dropbox personal. Pero ¿está obligada la empresa propietaria del hospital a «capar» el acceso a http://www.dropbox.com para que los médicos no puedan hacer un mal uso?
    En mi hospital lo hac

  4. Juan dijo:

    Hola,

    Muy interesante el artículo. Según he podido leer, Dropbox no es tan seguro como parece https://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=25&cad=rja&uact=8&ved=0CFsQFjAEOBQ&url=http%3A%2F%2Fwww.abogados365.com%2Farticulos%2Fla-apdcat-alerta-de-los-peligros-de-dropbox-google-drive-y-microsoft-onedrive.html&ei=eGqhU-_5NKmh0QWG44GwCQ&usg=AFQjCNH2mo_Kuss6PFS4RdbxjcHqm8eiDQ Al parecer las Autoridades de Protección de Datos lo desaconsejan en colectivos profesionales como abogados donde se tratan datos sensibles.

  5. José dijo:

    En realidad, dropbox no cumple la ley de protección de datos. Cualquier profesional que lo use para almacenar algo que deba cumplirla ya está fallando.
    De momento el único servicio en la nube que cumple LOPD que sé es Dataprius. Aquí unos abogados hablando del tema:
    http://derechoinformaticoyprotecciondedatos.blogspot.com.es/2014/05/dropbox-lopd-uso-empresas-profesional.html

Un Pingback

  1. Pingback: Cómo cumplir con la LOPD usando Dropbox y otros servicios de almacenamiento de datos en “la nube” | Spicon