Prohibido, por la LOPD, usar Google Apps, Dropbox y otros servicios en la nube

Este título podría alarmar a más de uno, pero vamos a explicar lo que significa y cómo podemos resolverlo.

Por un lado, tenemos el hecho de que cada día más empresas usamos servicios en la nube para almacenar nuestros datos, poder acceder a ellos desde cualquier dispositivo y colaborar con otras personas. Estas herramientas nos permiten mejorar claramente nuestra productividad. Algunos ejemplos de estos servicios, ampliamente conocidos, son Dropbox y Google Apps.

Por otro lado, tenemos la ley que nos obliga a tener cuidado con los datos que manejamos. Esta ley es la LOPD (Ley orgánica de protección de datos) y el organismo que vela por su cumplimiento es la AEPD (Agencia Española de Protección de Datos).

Esta ley marca las pautas de gestión de los datos que usamos y el mayor o menor celo que debemos tener con ellos. Es decir, no es lo mismo, ni requiere el mismo cuidado o protección, la gestión de una ficha de un producto que la de un cliente donde podamos tener sus datos de contacto.

Uno de los aspectos tratados por la LOPD es el de las transferencias internacionales de datos, indicando que no está permitido, sin una aprobación previa, transmitir datos desde los territorios del Espacio Económico Europeo (EEE) a otros países, salvo alguna excepción, entre las que no está EEUU. Bueno, lo estuvo, pero no lo está desde el pasado 6 de octubre de 2015 cuando el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválida la Decisión de la Comisión 2000/520/CE que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro (Safe Harbour).

Y es aquí donde surge el problema al que hacíamos referencia al comienzo del artículo: la mayor parte de los servicios en la nube que usamos son de empresas de EEUU y por lo tanto debemos tener especial cuidado con los datos que ahí almacenamos, sobre todo los más sensibles.

Entendida la situación, recalcamos que la LOPD no prohibe, como se dio a entender en algún medio, el uso de estos servicios en la nube, solo advierte a las empresas que están gestionado datos personales en esos servicios para que aseguren que no se encuentran fuera del EEE. Eso si, establece la fecha del 29/01/2016 para que los responsables de seguridad de los datos de las empresas resuelvan la situación. Aquí tienes el detalle de lo que marca la AEPD: aplicación de la sentencia de puerto seguro.

Hasta aquí perfecto, pero ahora la cuestión es ¿qué opciones tenemos?:

  • Lo primero es indicar que este es un tema importante pero debemos tener una preocupación relativa ya que la AEPD resalta lo siguiente: "La Agencia en ningún momento ha anunciado su intención de iniciar procedimientos sancionadores por defecto contra las empresas. En la comunicación enviada a los responsables, la AEPD sólo indica que, de no modificarse la base legal para la realización de transferencias, la Agencia podrá iniciar el procedimiento para acordar, en su caso, la suspensión temporal de las transferencias".
  • Opción 1: contactar con el proveedor para obtener la confirmación del país donde almacena mis datos y, si es en EEUU, conocer qué acciones pretende realizar para resolver esta situación.
  • Opción 2: trasladar tus datos a empresas europeas que ofrezcan servicios similares.
  • Opción 3: trasladar tus datos a un sistema propio que puede estar alojado en la nube, en servidores del EEE.

Siguiendo el nuevo enfoque del Blog de Cajasietecontunegocio.com que busca contar un caso real de lo comentado previamente, permítanme elegir a nuestra empresa, Itop, como un ejemplo de empresa canaria que usa Google Apps.

En nuestro caso hemos optado por la opción 3, es decir, implantar un sistema propio de gestión documental alojado en un proveedor de hosting con sus servidores en Francia, por lo tanto dentro del EEE.

Hemos elegido una solución de tipo OpenSource, muy madura y que mejora en varios aspectos algunas de las funcionalidades que ofrece Google Apps o Dropbox. El nombre de esta solución es Alfresco

Para no hacer demasiado largo este artículo, continuaremos con una segunda parte en los próximos días.

Google Plus

Sobre el Autor

Miguel Fernández Cejas

Miguel Fernández Cejas

Socio fundador de Itop, empresa de implantación de soluciones tecnológicas, factoría de software y formación online. Natural de S/C de Tenerife, complementa su formación en Ingeniería Informática con cursos de postgrado en áreas tan diversas como la inteligencia artificial, la gestión de empresas o la calidad.

Cuenta con más de 25 años de experiencia en el mundo de las Tecnologías de la Información, trabajando como programador, consultor, jefe de proyecto, director de área y emprendedor. Trabaja para distintas empresas nacionales e internacionales en ciudades como Tokio, Londres o Madrid. Su pasión por la tecnología unida a su variada experiencia, le impulsa a desarrollar distintos proyectos empresariales donde aplica las nuevas tecnologías al turismo, la sociología, el marketing o la formación. Actualmente trabaja en temas relacionados con aplicaciones de gestión, Business Intelligence, Bigdata, Mobile/Apps e Internet de las Cosas.

Entusiasta del mundo digital busca convertir ideas en nuevos productos y servicios para ayudar a las empresas a ser más eficientes.

Colabora dentro de la temática de Innovación y Tecnología.

Comentarios (1)

  • Marta Martín

    Marta Martín

    18 Febrero 2016 a las 15:01 | #

    ¿Se sabe si la LOPD aplicará sanciones económicas a las empresas por el incumplimiento de esta normativa?

    Responder

Deja un comentario

Estás comentando como invitado.
He leído y acepto la Politica de privacidad y el Aviso legal.
Cajasietecontunegocio
Comprometidosconnuestragente

Suscríbete a nuestra Newsletter

¿Quién es el Responsable de tratamiento de sus datos? El responsable es Cajasiete, Caja Rural, S.C.C. Puede contactar con el Responsable de Protección de datos a través del correo electrónico dpo_cajasiete@cajasiete.com. ¿Con qué finalidad tratamos sus datos personales? Los datos facilitados serán utilizados para el envío periódico de nuestra newsletter, así como noticias e información de interés para el desarrollo y ayuda a negocios. No se tomarán decisiones automatizadas. Los datos personales facilitados se mantendrán hasta que revoque su consentimiento. ¿Cuál es la legitimación para el tratamiento de sus datos? La base legal para el tratamiento de los datos facilitados es su consentimiento prestado mediante la suscripción a la newsletter. ¿A qué destinatarios se comunicarán sus datos? Los datos únicamente se tratarán por el responsable y, no se realizarán cesiones de datos a terceros salvo obligación legal. No se prevén cesiones de datos a terceros países. ¿Cuáles son sus derechos cuando nos facilita sus datos?  Como titular de los datos usted tiene derecho a acceder, actualizar, rectificar y suprimir los datos, así como otros derechos, dirigiéndose a CAJASIETE en La dirección de correo electrónico dpo_cajasiete@cajasiete.com, acreditando su identidad.