noti empresaDropbox, Google Drive, OneDrive, iCloud… tenemos a nuestra disposición una gran cantidad de servicio de almacenamiento en la nube. Cada uno tiene sus características diferenciadoras, pero todos ellos son útiles a la hora de permitirnos almacenar nuestros datos y acceder a ellos desde cualquier lugar y cualquier dispositivo.

Pero más allá de su uso particular, se trata de herramientas que también pueden resultarle útiles a las empresas que quieran ahorrarse un pico. Eso sí, a la hora de trabajar con ellas a este nivel hay una serie de cosas que hay que tener en cuenta si no queremos encontrarnos sin querer con problemas por haber infringido las leyes de protección de datos.

Precisamente por eso hoy vamos a hacer un repaso a en qué terreno de la seguridad jurídica se encuentran las empresas que utilizan los servicios de almacenamiento en la nube, y vamos a contactar con un abogado especializadoen la materia para que nos explique de primera mano cuales son los aspectos a tener en cuenta si nos decantamos por ellos.

Ventajas y desventajas de subir datos a la nube

Una de las principales razones por las que una empresa puede decidir apostar estos servicios es la flexibilidad que ofrecen a la hora de acceder desde cualquier lugar a los datos que tengan alojados en ellos. También es un factor importante la sencillez con la que pueden subir sus datos o archivos desde cualquier dispositivo.

Otra de las ventajas frente a los servidores tradicionales es la económica, ya que una pequeña empresa puede ahorrar en hardware, mantenimiento y personal al utilizarlos, y también en espacio de oficina y otros gastos varios. Lo único de lo que hay que preocuparse es de pagar unas cuotas mensuales que dependerán del espacio y las características que decidan contratar.

A parte de los precios y su facilidad de uso, estos servicios también ofrecen garantías enla integridad de los datos. Esto quiere decir que los proveedores de estos servicios tienen sus propios sistemas redundantes de copia para que estén a salvo en caso de que uno de los servidores falle, algo que es bastante costoso si se quiere implementar en una oficina.

Pero no todo son ventajas. También hay algún inconveniente como la necesidad de un mínimo de conocimientos tecnológicos que no todos los empleados las empresas convencionales poseen. También hay que tener en cuenta la dependencia de terceros, puesto que si la conectividad a Internet falla los datos alojados se vuelven inaccesibles.

A esto hay que añadirle lo que hoy nos atañe, los posibles problemas que puedan surgir con el marco legal vigente. En este aspecto hay que tener en cuenta varias cosas, como conocer el contenido del contrato con el servicio o asegurarnos de cumplir con la LOPD o Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

¿Qué implica la ley de protección de datos?
Si revisamos la Ley Orgánica de Protección de Datos de Carácter Personal, veremos que el artículo 12 dice que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato”, así como debe establecerse expresamente que el encargado del tratamiento “únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento”. Y en el mismo apunta la directiva europea de protección de datos personales.

Vamos, que si tenemos una empresa española o europea tenemos que cumplir con la legislación e introducir obligaciones y requerimientos cuando utilizamos operadores extranjero. Para entender estos requerimientos un poco mejor hemos contactado con el abogado Javier Prenafeta, abogado del despacho Abanlex y especialista en tecnologías de la informática, para pedirle que nos lo explique.

Lo primero que nos cuenta es que “Si los datos están ubicados en territorio europeo, o bien en un país cuya legislación cumpla los estándares europeos en materia de protección de datos, las complicaciones son menores”. Aun así no todo es de color de rosa, e introducir esas obligaciones y requerimientos no siempre es una tarea fácil fuera de Europa.

Por ejemplo tenemos a Estados Unidos, que “no tienen un nivel de exigencia tan elevado como en Europa, y hay que introducir cláusulas sobre medidas de seguridad, controles y auditorías,… que deberá supervisar la empresa”. Aquí hay que aplicar elrégimen de transferencias internacionales de datos, y precisamente para hacerlo más fácil es donde entra el famoso Privacy Shield del que ya os hablamos en febrero.

“Para evitar eso con las transferencias de datos a dicho país se llegó a un acuerdo de Puerto Seguro por parte de la Comisión Europea y el Departamento de Comercio de EE.UU., posteriormente anulado por el Tribunal de Justicia de la Unión Europea, y que será sustituido por el llamado “Privacy Shield”, que en principio dará más garantías. No obstante, hay que tener en cuenta que el hecho de que una entidad esté adherida a dicho sistema no excluye que deban controlarse y exigirse contractualmente el cumplimiento de los parámetros de seguridad de la normativa española y europea”.
Vamos, que para alojar datos personales fuera de la UE implica que la transferencia debe “o bien ser autorizada por el Director de la Agencia de Protección de Datos, o bien encajar en alguna de las excepciones que establece la ley. Por ejemplo, cumplimiento de una obligación del contrato, lo que debería justificarse, que se haga en interés y protección de la salud del afectado, que éste lo consienta expresamente.”

Existen, nos cuenta, mecanismos para afrontar las limitaciones de las transferencias internacionales, aunque no siempre son sencillos y dependen de cada caso. Vamos, que si tenemos una empresa y queremos estar seguros de que no nos llevamos ningún disgusto legal deberíamos consultar nuestro caso con algún experto. Eso, recordemos, siempre y cuando vayamos a almacenar datos personales de terceros.

¿Qué otros aspectos legales hay que tener en cuenta?

También le hemos querido preguntar a nuestro abogado qué otros aspectos legales hay que tener en cuenta a la hora de trabajar con servicios de almacenamiento en la nube. Su respuesta ha sido que también es importante saber los riesgos que vienen ligados a este tipo de servicio, prestándole sobre todo en lo que respecta a los contratos que firmamos con ellos.

“En especial la calidad del servicio garantizada (acuerdo de nivel de servicio), la responsabilidad que asume el proveedor en caso de incidencias como la interrupción o caída del servicio, pérdida o corrupción de los datos”. Vamos, asegurarnos de que si algo falla y perdemos nuestros datos la empresa va a hacerse responsable.

Otro aspecto importante es el de “las condiciones de resolución o terminación del contrato y la recuperación de los datos, y las cláusulas sobre ley aplicable y jurisdicción”. En estos puntos es algo a tener muy en cuenta el tema de la jurisdicción, sobre todo porlos gastos y dificultades extra que puede implicar: “con toda seguridad, en caso de problemas habrá que plantear una reclamación en tribunales extranjeros”.

Lamentablemente en estos aspectos se puede hacer poco más que informarse para conocer las condiciones y valorar los riesgos, ya que las pequeñas y medianas empresas apenas tienen poder de negociación. ¿Podríamos decir por lo tanto que están desprotegidas en el caso de pérdida de datos? Esta es la última pregunta que le hemos hecho a Javier Prenafeta.

“En general, y a la vista de las cláusulas y garantías de los contratos, en mi opinión si. En los casos en que se cumplen las medidas de seguridad, la compensación o indemnizaciones económicas son totalmente insuficientes para cubrir los daños, y por otro lado los contratos se someten a legislación y tribunales extranjeros. Los costes de demandar en EE.UU. son muy elevados, fuera del alcance de la mayoría de la pequeñas y medianas empresas.”

Fuente: Genbeta

http://rubenga.es/2016/04/24/nube-y-proteccion-de-datos-que-deberia-saber-una-empresa-al-usar-dropbox-o-google-drive/