Consultas Online
Consulta formulada por:
¿Cómo aseguro la protección de datos de socios en el entorno de Google?
02.10.14
Hola,
Nosotros tenemos un archivo de socios inscrito en la Agencia de Protección de Datos, pero ahora estamos introduciendo esos datos en un sistema de información que está en entorno Google. ¿Cómo aseguro la protección de esos datos en ese entorno? debemos incluir alguna cláusula que nos exima de la responsabilidad de lo que hace Google con esos datos?
Gracias
Respuestas
Opinión anónima
02.10.14
Es necesario el consentimiento expreso de los socios para que esos datos estén incluidos en google. No obstante, consultar la Web de la Agencia Española de Protección de Datos http://www.agpd.es tienen un apartado para consultas.
Opinión anónima
02.10.14
Buenos días,
La decisión de alojar datos personales en Google (Drive, Dropbox, etc.) es personal e implica la aceptación de “sus” condiciones de uso (ver “Tu contenido en nuestros servicios” en el enlace https://www.google.es/intl/es/policies/terms/regional.html).
Debería modificarse el contenido del fichero SOCIOS, registrado en el Registro General de la Agencia Española de Protección de Datos (RGAEPD) e incorporar a Google como “encargado de Tratamiento”; Google, al ofrecer un servicio de alojamiento/hosting, se convierte en encargado de tratamiento de vuestros datos personales, con la obligación (teórica), para ambas partes, de redactar y firmar un contrato que regule el tratamiento de datos personales.
Alojar gratuitamente datos personales en una nube/cloud es muy práctico pero, por contra, la seguridad sobre esos datos (evitar su alteración, pérdida, tratamiento o acceso no autorizado) ofrece dudas.
Saludos,
Aportada por:
Trabaja en:
Asesor particular
02.10.14
Estimada Sra.
Estoy totalmente de acuerdo con las opiniones expresadas por mis compañeros. Alojar datos de carácter personal en servidores ubicados fuera del territorio de aplicación de la normativa de protección de datos de carácter personal es una imprudencia, por asumir un riesgo evidente.
Saludos cordiales
Aportada por:
Ingeniero de Desarrollo
Trabaja en:
Asesor particular
03.10.14
Actualmente el único proveedor de servicios en la nube que ha obtenido una resolución favorable de la Agencia Española de Protección de Datos (AEPD) para el almacenamiento de datos personales es Windows Azure. Puedes ver la nota de prensa con el anuncio aquí: http://www.microsoft.com/es-es/news/Press/2014/Jun14/AEPD_servicios_cloud_Microsoft.aspx
Windows Azure no es un sistema tipo Google Drive o Dropbox, sino un entorno más complejo que proporciona diferentes tipos de servicios para crear soluciones en la nube. Dependiendo de qué es lo que queráis hacer con esos datos puede que Windows Azure se adapte a vuestras necesidades o no.
Por otro lado habría que ver qué tipo de información estáis almacenando en el archivo de datos para saber el nivel de seguridad que se debería aplicar.
Un saludo.
Aportada por:
Soporte a ONGs
Trabaja en:
Asesor particular
03.10.14
Hola Begoña,
Esta es la pregunta del millón. Parece mentira, pero en un mundo como el actual, donde el “cloud” está en boca de todos (al menos, de todos los que manejan aspectos de tecnologías de la información) no hay una visión clara sobre esta cuestión, y Google es un caso muy particular, porque su herramienta funciona muy bien, pero su respeto a la privacidad es muy mejorable en lo que respecta al cumplimiento de la LOPD, al menos a día de hoy.
Hay bastantes cosas escritas, pero nada concluyente. Para resumir diría que Google Apps no cumple los requerimientos de la LOPD por 4 cosas principales:
- Su modelo contractual es de “lo tomas o lo dejas”. Por tanto, no puedes establecer cláusulas adhoc y no puedes asegurar ni verificar como obliga la LOPD que cumplen con lo pactado.
- Se reservan el derecho a modificar las cláusulas de privacidad cómo y cuándo quieran.
- No se sabe bien dónde residen sus datos. Tanto pueden estar en Europa (Ok según la LOPD), como en USA (habría que estudiarlo según la LOPD), como en otras partes (no válido según la LOPD).
- Directamente se reservan el derecho a acceder a tus datos “para mejorar el servicio que te ofrecen”. Aunque esto puede que sólo afecte a los datos de las personas que acceden al entorno de Google (cosa que se podría solventar más o menos), y no a los ficheros de socios que introduzcas en su entorno. Pero esto tampoco queda muy claro.
Hay mucha gente incluso administraciones públicas que usan Google Apps. No es ilegal. Pero te arriesgas a que te obliguen a demostrar que tienes en todo momento el “control” de la información. Y con Google, hoy por hoy eso es imposible.
Otra cosa es que estoy casi seguro de que a medio plazo Google y la Comisión Europea se pondrán de acuerdo y entonces no habrá problema. Pero ahora no lo veo claro.
Emilio habla de Microsoft como alternativa (concretamente, la alternativa a Google Apps sería Office 365 en cuanto a prestaciones y funcionalidades), y hasta donde yo he visto legalmente ofrece mejores garantías en todos los sentidos. Nosotros tenemos previsto utilizarlo.
Sin embargo, encontrarás pocos (yo, ninguno) expertos en legislación que te den su aprobación. Creo que es más por desconocimiento o porque no existe jurisprudencia al respecto.