Queremos dar veracidad a lo que escribimos en este Blog sobre privacidad, protección de datos y la ilegalidad de los sistemas de almacenamiento en la Nube que son tan populares y conocidos. Para ello, desde hace algún tiempo, no publicamos nada sin tener una referencia de algún artículo escrito por juristas y abogados. Así evitamos de forma contundente que califiquen nuestras reflexiones como subjetivas o interesadas.
Esperamos que las aportaciones que hacemos desde este Blog sirvan a otros como referencia en cuanto a privacidad y protección de datos. Esperamos que lo expuesto también sirva para acallar a aquellos defensores aficionados de los productos de consumo masivo, una legión que en la mayoría de los casos nunca ofrece argumentos jurídicos ni técnicos como los que exponemos en este Blog.
En estos artículos, sobre todo hablamos de Dropbox. La razón es que nos parece, no sólo a nosotros, también a los abogados, el más pernicioso de todos los sistemas de almacenamiento en la Nube. El problema de Dropbox y por lo que destaca sobre los demás es que pretende venderse como solución adecuada para empresas y profesionales.
Una empresa o profesional no puede usar Dropbox por los siguientes motivos:
- Legalidad. Vulnera las leyes de protección de datos europeas. Realiza transferencias internacionales de datos, no sirve que estén adheridos a “Safe Harbor” como demuestra el informe de la APDCAT.
- Distribución. Es un sincronizador de archivos y como tal distribuye la información en infinidad de dispositivos. Cada ordenador constituye un punto de acceso para la vulneración de la seguridad y la privacidad. Si un empleado tiene 3 ordenadores, los documentos estarán copiados en esos tres ordenadores.
- Conflictos. Cuando más de una persona utiliza Dropbox los archivos están continuamente en conflicto. Si alguien modifica un archivo y se sincroniza entonces machaca el archivo del compañero.
- Compartición. Permite compartir los archivos de la empresa de forma “salvaje” y sin control. Su prioridad no es protejer los archivos sino llegar al máximo de usuarios.
- Desestructuración. Ninguna empresa debe permitir que cualquier usuario pueda modificar la estructura de almacenamiento de archivos y carpetas. La empresa ha de tener una estructura organizada y conocida por sus empleados.
El artículo la que hacemos referencia hoy, va dedicado a aquellos defensores de “Safe Harbor”. Los defensores de Dropbox que argumentan que cumple “Safe Harbor” están enfrentados a las opiniones de los juristas, a las Agencias de protección de Datos, a las declaraciones de Eduard Snowden, a la Comisión Europea y a la misma Angela Merkel.
Recordemos que: De acuerdo con la normativa de protección de datos, la transferencia internacional de datos requiere, como norma general, autorización del Director de la Agencia Española de Protección de Datos (AEPD).
Pues el artículo al que hacemos referencia en esta ocasión fue redactado por Marimón Abogados un despacho internacional con sede en Barcelona. El artículo completo se puede encontrar en este enlace: “La APDCAT alerta de los peligros de Dropbox, Google Drive y Microsoft Onedrive“
Sobre al artículo queremos destacar algunos párrafos:
Sobre Safe Harbor
De acuerdo con la normativa de protección de datos, la transferencia internacional de datos requiere, como norma general, autorización del Director de la Agencia Española de Protección de Datos (AEPD) salvo que (i) los datos se transfieran a un país que ofrezca un nivel adecuado de protección o bien (ii) si se trata da una empresa de Estados Unidos que haya suscrito los principios de Puerto seguro (Safe Harbor).
El Dictamen constata que Google, Microsoft y Dropbox pertenecen al denominado acuerdo US-EU Safe Harbor, sin embargo, el mero hecho de que éstas empresas se encuentren adscritas a este acuerdo podría considerarse insuficiente si la información se transmitiera a otras zonas geográficas más allá de EEUU. En particular, nos encontramos con el problema de que las citadas empresas no informan sobre las zonas geográficas donde se encuentran los servidores o transmiten la información por lo que la APDCAT considera que el abogado que contrate estos servicios debería contar con la autorización del Director de la AEPD antes de proceder a utilizarlos.
Privacidad y uso de los datos
La APDCAT recuerda en su Dictamen la necesidad de establecer de forma clara, por parte de los prestadores de servicios de ‘cloud’, la finalidad por la que serán tratados los datos. En este sentido, constata que las empresas Google, Microsoft y Dropbox no ofrecen información suficiente sobre qué harán con los datos y parece establecerse en sus políticas de privacidad que tratarán los datos para otras finalidades desligadas de la finalidad principal. Si fuera así, ello comportaría una vulneración del principio de calidad de los datos y el abogado, como responsable del tratamiento, podría ser sancionado por la comisión de esta infracción.
La nube cumplidora es una gran herramienta pero hay que asegurarse de que esté alineada con los requisitos de protección de datos
Por supuesto. Por eso Dataprius lleva años firmando los contratos previstos LOPD y ahora RGPD. Firmamos los contratos de tratamiento por parte de terceros por escrito, con datos de ambas partes y entregado en formato PDF. No es un click de aceptación de condiciones.
Agregar que el mismo diseño de la aplicación permite el cumplimiento. Se puede trabajar directamente con los archivos de la Nube sin sincronizar. No sincronizar permite trabajar sin dejar huella en los ordenadores o dispositivos. Cualquier sincronizador vuelca los ficheros privados en diferentes ordenadores y dispositivos haciendo inviable mantener el control del acceso a esos ficheros y por tanto vulnerando RGPD, los ficheros quedan distribuidos en multitud de ordenadores sin control de privacidad.
Gracias por comentar.