lunes, 25 de marzo de 2013

Ojo con el uso de dropbox y similares por empresas y profesionales

En los últimos años el uso de servicios de almacenamiento en la nube, tales como Dropbox, Google Drive y similares, ha proliferado en gran medida y hoy en día son muchos los que, debido a sus múltiples ventajas, los aconsejan tanto para particulares, en su ámbito doméstico, como para empresas o profesionales. Sin embargo en este último supuesto se ha de tener especial cuidado con la información que se “suba” a estos servicios cloud. ¿Por qué?
Dejando al margen el hecho de que puede producirse la falta de control de la empresa sobre la información ahí almacenada y el acceso y/o uso que pueden hacer los empleados con dicha información (p. ej. que un trabajador descargue y conserve información de la empresa una vez extinguida la relación laboral), lo que seguramente muchas empresas ignoren es que están infringiendo la normativa sobre protección de datos de carácter personal.
Si en estos espacios virtuales almacenamos datos personales de clientes, tanto con las versiones de pago como con las gratuitas, de conformidad con la normativa europea estas empresas prestadoras del servicio cloud se convierten en encargados del tratamiento de dichos datos, y el art. 12 de la Ley Orgánica de Protección de Datos (LOPD) y el art. 17 de la correspondiente Directiva europea nos obliga a suscribir con ellas un contrato donde se recoja su compromiso de tratar esa información conforme a nuestras instrucciones, así como que no la usará para otras finalidades distintas ni la cederá a otras personas, y en el que asimismo se reflejen las medidas que están obligadas a implementar para garantizar la seguridad de esos datos.
Y aquí hemos de decir que, en su mayoría, los términos y condiciones de estos servicios de almacenamiento no contemplan estas cuestiones, o al menos no adecuadamente. Como ejemplo Dropbox, en cuyas condiciones para empresas se exime de “responsabilidad alguna por eliminaciones o fallos al almacenar cualquier información de una cuenta de Servicios de un Cliente o Usuario final”. Con su adhesión al Puerto Seguro garantiza que tus datos, como usuario/cliente suyo, gozarán de un nivel de protección equivalente al que exige la normativa europea, pero no garantiza por sí solo que así sea respecto a los datos personales de terceros que tú almacenes en Dropbox.
Por otra parte hemos de tener en cuenta que si el prestador o la ubicación de los servidores donde vamos a almacenar esta información se encuentra fuera del territorio del Espacio Económico Europeo, estaremos ante una transferencia internacional de datos y por lo tanto podríamos llegar a necesitar la previa autorización del Director de la Agencia Española de Protección de Datos.
Ahora bien, lo anterior no significa que las empresas españolas no puedan usar estos sistemas cloud de almacenamiento. Eso sí, si no queremos que de la nube nos caiga un chaparrón deberíamos hacerlo o cumpliendo las exigencias anteriores, o no alojando información que contenga datos personales de terceros, o subiendo dicha información una vez la hayamos sometido a un correcto proceso de disociación.