Comentarios en: El cuento de la lechera en la nube 2.0 (o porqué Google no contesta con rotundidad)

Por: Regulación internacional del cloud computing | a Cloud Hosting

Regulación internacional del cloud computing | a Cloud Hosting — Tue, 10 May 2011 08:08:58 +0000

[...] y EEUU la verdad es que no me convence y no creo que cumpla LOPD como debe, de hecho este buen artículo sobre el puerto seguro os ayudará un poco más a [...]

Por: Manuel Benet

Manuel Benet — Fri, 29 Apr 2011 09:04:24 +0000

Gracias a ti Jaume por el apoyo.

Por: Jaume

Jaume — Thu, 28 Apr 2011 13:36:25 +0000

Muchas gracias a todos. Es muy agradable saber que aun queda gente seria que me pueden aclarar las ideas.

Por: Edgard

Edgard — Wed, 21 Jan 2009 15:52:16 +0000

hola g,
Buena apreciación. Quizás debería haberme referido a la seguridad de la información en su globalidad y no tanto en la confidencialidad de la misma. Aún así, reitero que desde mi punto de vista no es un problema legal. Por mucho que un contrato diga que son los más mejores no me da suficientes garantías. Desde el punto de vista del usuario debe ser la bomba pero para quienes deban velar por la seguridad (todo lo que conlleva garantizar la disponibilidad, confidencialidad e integridad) hay demasiados contras y falta absoluta de control.

Por: g

Wed, 21 Jan 2009 00:55:43 +0000

Edgar dijo…
“[...] Me temo que si Google cumpliera con toda la legislación habida y por haber seguiría siendo una opción un tanto arriesgada desde el punto de vista de la confidencialidad de los datos.”

Sólo desde la lógica, yo creo eso se contradice y que sí es un problema estrictamente legal. Si cumplen la ley, los datos deberían estar igual(*) de seguros que debajo de la almohada (siempre y cuando mi almohada y yo cumplamos la ley).

(*) legalmente hablando, con la suficiente seguridad física y humana.

No soy abogado ni jurista pero ¿me equivoco?

Interesante el artículo, gracias
g

Por: Estanislao

Estanislao — Wed, 21 Jan 2009 00:17:50 +0000

Desde el punto de vista de uno que pasaba por aquí y que tiene un nivel tecnológico del nivel “Press any key”, y el conocimiento jurídico tipo “Firme aquí” me ha parecido muy interesante de cabo a rabo. Incluida la estima que se le tiene al Profeta de las telecomunicaciones. Ya le dije un día que procurara sonreir en las fotos pero no hace caso, voy a ver si consigo que Google le haga la misma sugerencia, igual les hace caso.

Lo dicho, Enhorabuena Sr. Benet.

Por: Edgard

Edgard — Tue, 20 Jan 2009 18:25:03 +0000

Excelente Manuel. Esta frase lo resume todo:
“Da la impresión de que el entorno corporativo es ese en el que la decisión del empleado sobre qué herramientas resultan más o menos productivas (o cómodas) para sus tareas diarias tiene prioridad sobre las decisiones de los departamentos de IT, o las propias normativas y políticas de seguridad implantadas y respaldadas por la dirección.”
Aunque en el fondo creo que no se trata de una problema legal. Me temo que si Google cumpliera con toda la legislación habida y por haber seguiría siendo una opción un tanto arriesgada desde el punto de vista de la confidencialidad de los datos.

Por: Manuel Benet

Manuel Benet — Tue, 20 Jan 2009 16:23:51 +0000

Gracias a ambos por las anotaciones realizadas. Confieso que no había caído en ellas, y demuestran que hay bastante más que rascar y que no es oro todo lo que reluce.

Por: Pedro

Pedro — Tue, 20 Jan 2009 13:45:23 +0000

Muy bueno el artículo y el apunte anterior del que nadie parece haber hablado y que me ha hecho pensar otro apunte sobre la LOPD, bueno, más bien sobre el nuevo reglamento. Si Google habla de safe harbor es porque reconoce entonces que los servidores están en USA, puesto que no tiene sentido hablar de safe harbor en Europa. Pero resulta que con quien contrata la empresa española es con Google Irlanda (no USA), por lo que entre Google Irlanda y USA me imagino que habrá una relación de subcontratación de la figura del encargado del tratamiento. Algo previsto en el art. 21 del nuevo reglamento de la LOPD y que no tengo claro si con el tema de Google se cumple:

Artículo 21. Posibilidad de subcontratación de los servicios.
1. El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento.

2. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos:

1. Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar.

Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación.
2. Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
3. Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior.

En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de aplicación lo previsto en el artículo 20.3 de este reglamento.

3. Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior.

Por: Julio

Julio — Tue, 20 Jan 2009 12:35:21 +0000

Fantástico análisis, riguroso y objetivo. Si me permites, se puede decir una cosita más sobre la LOPD: el artículo 26.2 obliga a notificar a la AEPD, para su registro, la creación de los ficheros con datos personales. En esta notificación, entre otras cosas, debe figurar la ubicación de los datos y las transferencias de datos que se prevean a países terceros. Según esto, si Google no dice, con total garantía, dónde están los datos, es imposible incluso registrar el fichero de forma legal.