El cuento de la lechera en la nube 2.0 (o porqué Google no contesta con rotundidad)

[Como habrán visto, y a petición del respetable, hemos introducido la funcionalidad de búsqueda, tanto simple (a su derecha), como avanzada, algo que empezaba a ser una necesidad teniendo en cuenta la cantidad de entradas en las que nos empezamos a mover.]

La semana pasada estuve de vacaciones, y me perdí la entrada de Enrique Dans insistiendo, otra vez, en la conveniencia de gestionar el correo corporativo a través de Google Apps Premium Edition. Bueno, en realidad no me la perdí, pero intenté mantenerme alejado del tema, al menos hasta mi vuelta.

Poco después, el abogado Javier Mestre del Bufete Almeida publicaba un artículo en elmundo.es titulado “El cuento de la lechera 2.0“, poniendo en tela de juicio la conveniencia legal de utilizar los servicios de Google Apps Premium Edition para cuestiones corporativas, en algo que parece casi una respuesta personalizada dirigida a Enrique Dans (“un experto asesor en nuevas tecnologías, de esos que van siempre a la última rodeado de ‘gadgets’ por todos lados”, Javier Mestre dixit). Como respuesta, Carlos Gracia, Director de Google Enterprise España y Portugal, replica con un artículo titulado “Esto no es un cuento 2.0“, y Enrique Dans remata la faena con un artículo en el que critica desde la ignorancia el enfoque de Javier Mestre y respalda los prácticamente inexistentes argumentos proporcionados por el portavoz de Google, casi en calidad del comercial del gigante norteamericano.

Primero de todo decir que muchos artículos que leo en esta línea, y sobre todo sus comentarios, emanan un ligero tufillo a “autogestión” mal entendida, si me dejan expresarlo de esa manera. Da la impresión de que el entorno corporativo es ese en el que la decisión del empleado sobre qué herramientas resultan más o menos productivas (o cómodas) para sus tareas diarias tiene prioridad sobre las decisiones de los departamentos de IT, o las propias normativas y políticas de seguridad implantadas y respaldadas por la dirección. Es, en cierto modo, como si de repente los empleados de una fábrica se negasen a adoptar las medidas obligatorias implantadas por el área de prevención de riesgos laborales, argumentando que son un capricho de la empresa, que les resultan incómodas y que no sirven de nada.

Mi pasado eminentemente técnico me obliga además a poner en tela de juicio la crítica a los servicios de IT corporativos que esgrime constantemente Enrique Dans. Si uno tuviese que creer todo lo que lee, pensaría que la gestión de los sistemas corporativos (incluido el correo electrónico) en la mayoría de empresas es un caos total, y que las caídas y pérdidas de datos se producen día sí, día también. Y si bien el uptime de los servidores en muchas empresas no es del 99,9%, simplemente por una cuestión de mantenimiento rutinario (actualizaciones, mejoras, reinicios, etc.), hay que tener en cuenta que en general, pocas empresas requieren un uptime de esas características si las intervenciones se planifican fuera de horario, y sobre todo en relación con el e-mail. Aún así, mi opinión ha sido siempre que la gestión de los servicios críticos de la compañía en servidores propios debe responder tanto a aspectos de legalidad o eficiencia, como de confidencialidad y control sobre la propia información corporativa, tal y como hemos reflejado en numerosas entradas anteriores. En cualquier caso, el resto de la entrada tiene un tono más “legal” que otra cosa, sin que ello menoscabe lo ya dicho.

Pasando a los artículos, lo cierto es que coincido con algunos comentaristas en que el artículo de Javier Mestre es quizá algo apologético en algunos puntos, aunque no le falta razón. Aunque algunos lectores apuntan a un tono irónico en el artículo de Javier Mestre, no creo que quepa lugar para ello en un periódico de tirada nacional y con un público tan general. Sí es cierto, no obstante, que el contenido quizá intente poner de relieve las grandes diferencias entre las velocidades del mundo tecnológico y el legal. Pero no se preocupen, que los jueces ya están en ello…

Vayamos primero sobre lo que comenta de la CMT. Hay que destacar primero que, si no estoy equivocado, la CMT no actúa de oficio, sino por interposición de denuncias de terceros. Segundo, la CMT no intervendrá siempre que la empresa utilice Google Apps Premium Edition (o cualquier otro operador) para correo propio, pero sí podría hacerlo si utiliza éste para la prestación de servicios de correo electrónico a terceros. En ese caso, tanto Google como la empresa deberían registrarse en el Registro de operadores de redes y servicios de comunicaciones electrónicas para servicios de correo electrónico, y dudo mucho que Google acceda a ello; en este caso, Telefónica y otros operadores nacionales sí están inscritos, por lo que en ciertas condiciones, no aplica la comparación que indica Borja Prieto entre unos y otros operadores. Al respecto, éste apunta además que “ni la CMT ni la APD van a ir a por una PYME por tener cuentas de correo electrónico en Google”, pero a la luz de algunas noticias recientes, este aspecto no parece que esté tan claro. Porque aunque la CMT no actúe de oficio, no hace mucho la CMT abrió un expediente sancionador a empresas proveedoras de correo electrónico, a raíz de una denuncia de una competidora que sí pagaba las pertinentes tasas. Así que para resumir, ni sí ni no. Utilice Google Apps Premium Edition, si quiere, para su propio correo electrónico, pero sepa que si proporciona servicios de e-mail a terceros a través de Google, podría tener algún problema; valore las ventajas e inconvenientes, el riesgo, y decida.

Respecto a la LOPD, se me ocurren algunas cosas más que decir. Primero, aunque Borja Prieto pone en duda la aplicación de la LOPD en el caso de Google Apps Premium Edition, citando el artículo 2.1 de ésta, “Ámbito de aplicación”:

Artículo 2. Ámbito de aplicación.
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

hay que tener en cuenta que en el caso de una empresa X con domicilio social en España y que gestiona los datos de sus empleados, el tratamiento se lleva a cabo en territorio español, independientemente de que exista un encargado del tratamiento que realice parte del tratamiento por cuenta del responsable en otro país. Por el contrario, la LOPD no es aplicable, por ejemplo, en referencia a los datos de las búsquedas que se realizan en Google; en este caso, el responsable del tratamiento es Google, y no aplica ninguna de las cláusulas anteriores.

De cualquier modo, cabe destacar que el correo electrónico no debe considerarse por sí sólo un tratamiento, sino que deberá formar parte de un tratamiento más amplio, que incluirá previsiblemente datos en soporte papel e informáticos que van más allá del correo electrónico. Por tanto, ni por unas ni por otras cabe decir que a los datos que se gestionan a través de Google Apps Premium Edition no les aplica la LOPD.

En segundo lugar, y a pesar de lo que indican algunos comentaristas de Enrique Dans, EEUU en ningún momento ha sido considerado como un país que proporcione un nivel de protección equiparable a la LOPD o la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.

Tercero, Google efectivamente está acogido al sistema de Puerto Seguro (Safe Harbour) establecido entre la Unión Europea y los EEUU, por el cual puede considerarse que las empresas estadounidenses acogidas a éste proporcionan un nivel de protección equivalente —en nuestro caso— a la LOPD. No obstante, tal y como apunta Emilio Aced [pdf] (Subdirector de Inspección de Datos y Tutela de los Derechos, Agencia de Protección de Datos de la Comunidad de Madrid):

“el sistema se basa, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, estamos ante un esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro”

lo que debe poner al menos parcialmente en cuarentena las declaraciones de Puerto Seguro realizadas tanto por Google como por terceros. Viendo la lista de empresas en la web del gobierno estadounidense, llama la atención la cláusula de exención de responsabilidad que figura como último punto:

“In maintaining the list, the Department of Commerce does not assess and makes no representations to the adequacy of any organization’s privacy policy or its adherence to that policy. Furthermore, the Department of Commerce does not guarantee the accuracy of the list and assumes no liability for the erroneous inclusion, misidentification, omission, or deletion of any organization, or any other action related to the maintenance of the list.”

Es decir: esto es lo que nos han dicho las empresas, pero no nos responsabilizamos de nada. No quieran saber qué pasaría en general si las inspecciones fiscales o de la LOPD las realizasen las propias empresas. Continuando, si acceden a la URL indicada, observarán que las empresas pueden delimitar los datos personales que entran en el ámbito del sistema de Puerto Seguro, de modo que el hecho de que una empresa esté acogida a dicho sistema no implica que toda su gestión de datos personales esté cubierta por el acuerdo.

Siguiendo con el mismo autor, aun diría más:

“Quizás el aspecto más relevante puesto de manifiesto en el informe [informe remitido al GT29 y realizado por la Comisión Europea sobre el Puerto Seguro] son las deficiencias en el grado de transparencia de las entidades adheridas al sistema, ya que existe un porcentaje significativo de las mismas que no han hecho pública su política de privacidad o lo misma presente serias deficiencias respecto del estándar marcado por Puerto Seguro.”

Por último, en una ponencia que no tiene desperdicio, este mismo autor apunta que:

“Puerto Seguro es una Decisión de adecuación de carácter sectorial a la que pueden acogerse, exclusivamente, compañías establecidas en los EE.UU., por lo que no se puede extender su aplicación, como en algún momento se ha pretendido (e incluso se sigue pretendiendo) a compañías filiales de empresas americanas establecidas fuera de este país.”

Sin embargo, en los términos de servicio de Google Apps Premium Edition, se indica lo siguiente:

1.7. Data Transfer. As part of providing the Service, Google may store and process Customer Data in the United States or any other country in which Google or its agents maintain facilities. By using the Services, Customer consents to this transfer, processing and storage of Customer Data.

Esto no sólo debilita todavía más cualquier declaración de Puerto Seguro, al no especificar dónde exactamente se procesan los datos del cliente, sino que no le permite al cliente conocer dónde exactamente se gestionan sus datos, dentro de lo que podría ser una transferencia internacional de datos a un país sin las garantías adecuadas y sin ningún tipo de acuerdo similar al de Puerto Seguro.

Sin querer extenderme mucho más, el hecho de que una empresa cumpla el acuerdo de Puerto Seguro, con la validez que quieran darle a éste después de lo indicado arriba, únicamente indica que el tratamiento no debe considerarse como una transferencia internacional de datos para la que haya que obtener la autorización previa del Director de la Agencia de Protección de Datos. Sin embargo, ello no exime a la empresa del resto de obligaciones contempladas por la LOPD o el RDLOPD. Entre otras, podemos destacar el artículo 12.2, segundo párrafo:

Artículo 12. Acceso a los datos por cuenta de terceros.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o
utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a
otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley [Seguridad de los datos] que el encargado del tratamiento está obligado a implementar.

aspectos que no se encuentran en los términos de servicio anteriormente indicados. Por último, y aunque hay más que rascar, me gustaría destacar el artículo 82.2 del RDLOPD, de cuyo cumplimiento y aplicación no es necesario hacer muchos comentarios:

Artículo 82. Encargado del tratamiento.

2. Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

En definitiva, sin entrar más al trapo y tal y como se ha expuesto, no creo que Google Apps Premier Edition esté legalmente libre de problemas para su uso en entornos corporativos, a pesar de Enrique Dans, y creo que esa es principalmente la razón de que la respuesta de Google haya sido tan comedida, vaga y poco concreta. Ahora bien, pasando por alto el hecho de que los datos de carácter personal que gestiona una empresa son propiedad de sus titulares y no de la organización, y que por tanto no está moralmente autorizada a hacer “lo que le de la gana”, cada empresa debe valorar los inconvenientes y ventajas de las distintas alternativas, e implantar las soluciones que considere adecuadas para su caso particular.

No se trata de judicializar la tecnología ni de que las leyes supongan un inhibidor de progreso o desarrollo. Se trata del derecho fundamental que tienen los ciudadanos a la protección de sus datos personales, tal y como se recoge en varias constituciones y en la Carta de los Derechos Fundamentales de la Unión Europea.

Comments

  1. Fantástico análisis, riguroso y objetivo.

    Si me permites, se puede decir una cosita más sobre la LOPD: el artículo 26.2 obliga a notificar a la AEPD, para su registro, la creación de los ficheros con datos personales. En esta notificación, entre otras cosas, debe figurar la ubicación de los datos y las transferencias de datos que se prevean a países terceros. Según esto, si Google no dice, con total garantía, dónde están los datos, es imposible incluso registrar el fichero de forma legal.

  2. Muy bueno el artículo y el apunte anterior del que nadie parece haber hablado y que me ha hecho pensar otro apunte sobre la LOPD, bueno, más bien sobre el nuevo reglamento. Si Google habla de safe harbor es porque reconoce entonces que los servidores están en USA, puesto que no tiene sentido hablar de safe harbor en Europa. Pero resulta que con quien contrata la empresa española es con Google Irlanda (no USA), por lo que entre Google Irlanda y USA me imagino que habrá una relación de subcontratación de la figura del encargado del tratamiento. Algo previsto en el art. 21 del nuevo reglamento de la LOPD y que no tengo claro si con el tema de Google se cumple:

    Artículo 21. Posibilidad de subcontratación de los servicios.
    1. El encargado del tratamiento no podrá subcontratar con un tercero la realización de ningún tratamiento que le hubiera encomendado el responsable del tratamiento, salvo que hubiera obtenido de éste autorización para ello. En este caso, la contratación se efectuará siempre en nombre y por cuenta del responsable del tratamiento.

    2. No obstante lo dispuesto en el apartado anterior, será posible la subcontratación sin necesidad de autorización siempre y cuando se cumplan los siguientes requisitos:

    1. Que se especifiquen en el contrato los servicios que puedan ser objeto de subcontratación y, si ello fuera posible, la empresa con la que se vaya a subcontratar.

    Cuando no se identificase en el contrato la empresa con la que se vaya a subcontratar, será preciso que el encargado del tratamiento comunique al responsable los datos que la identifiquen antes de proceder a la subcontratación.
    2. Que el tratamiento de datos de carácter personal por parte del subcontratista se ajuste a las instrucciones del responsable del fichero.
    3. Que el encargado del tratamiento y la empresa subcontratista formalicen el contrato, en los términos previstos en el artículo anterior.

    En este caso, el subcontratista será considerado encargado del tratamiento, siéndole de aplicación lo previsto en el artículo 20.3 de este reglamento.

    3. Si durante la prestación del servicio resultase necesario subcontratar una parte del mismo y dicha circunstancia no hubiera sido prevista en el contrato, deberán someterse al responsable del tratamiento los extremos señalados en el apartado anterior.

  3. Manuel Benet says

    Gracias a ambos por las anotaciones realizadas. Confieso que no había caído en ellas, y demuestran que hay bastante más que rascar y que no es oro todo lo que reluce.

  4. Excelente Manuel. Esta frase lo resume todo:
    “Da la impresión de que el entorno corporativo es ese en el que la decisión del empleado sobre qué herramientas resultan más o menos productivas (o cómodas) para sus tareas diarias tiene prioridad sobre las decisiones de los departamentos de IT, o las propias normativas y políticas de seguridad implantadas y respaldadas por la dirección.”
    Aunque en el fondo creo que no se trata de una problema legal. Me temo que si Google cumpliera con toda la legislación habida y por haber seguiría siendo una opción un tanto arriesgada desde el punto de vista de la confidencialidad de los datos.

  5. Desde el punto de vista de uno que pasaba por aquí y que tiene un nivel tecnológico del nivel “Press any key”, y el conocimiento jurídico tipo “Firme aquí” me ha parecido muy interesante de cabo a rabo. Incluida la estima que se le tiene al Profeta de las telecomunicaciones. Ya le dije un día que procurara sonreir en las fotos pero no hace caso, voy a ver si consigo que Google le haga la misma sugerencia, igual les hace caso.

    Lo dicho, Enhorabuena Sr. Benet.

  6. Edgar dijo…
    “[…] Me temo que si Google cumpliera con toda la legislación habida y por haber seguiría siendo una opción un tanto arriesgada desde el punto de vista de la confidencialidad de los datos.”

    Sólo desde la lógica, yo creo eso se contradice y que sí es un problema estrictamente legal. Si cumplen la ley, los datos deberían estar igual(*) de seguros que debajo de la almohada (siempre y cuando mi almohada y yo cumplamos la ley).

    (*) legalmente hablando, con la suficiente seguridad física y humana.

    No soy abogado ni jurista pero ¿me equivoco?

    Interesante el artículo, gracias
    g

  7. hola g,
    Buena apreciación. Quizás debería haberme referido a la seguridad de la información en su globalidad y no tanto en la confidencialidad de la misma. Aún así, reitero que desde mi punto de vista no es un problema legal. Por mucho que un contrato diga que son los más mejores no me da suficientes garantías. Desde el punto de vista del usuario debe ser la bomba pero para quienes deban velar por la seguridad (todo lo que conlleva garantizar la disponibilidad, confidencialidad e integridad) hay demasiados contras y falta absoluta de control.

  8. Muchas gracias a todos. Es muy agradable saber que aun queda gente seria que me pueden aclarar las ideas.

  9. Gracias a ti Jaume por el apoyo.

Trackbacks

  1. […] y EEUU la verdad es que no me convence y no creo que cumpla LOPD como debe, de hecho este buen artículo sobre el puerto seguro os ayudará un poco más a […]