¿Es legal usar Dropbox en la empresa?
Cuando el cliente dijo que no tenía lector de CD, mi mundo se vino abajo. Hasta ese momento nunca se me habría ocurrido pensar que en una empresa pudieran no tener lector de CD; de hecho, hasta ese momento había entregado siempre a los clientes la documentación en un CD; ahora, en cambio, tenía que replanteármelo.
Cada vez son más las empresas que ya no usan Cds, ni USB, ni discos duros internos o externos, porque están en la nube, es decir, utilizan servicios de almacenamiento online o Cloud Computing. Ya no es extraño ver empresas que, en su afán natural por reducir costes, han optado por Gmail a la hora de gestionar el correo electrónico corporativo, o confían en Dropbox para guardar todos los datos de la empresa y/o disponer de una copia de seguridad almacenada en internet; lo que significa que, si la empresa maneja una base de datos de -por ejemplo- tres mil clientes (particulares), esos datos podrán ser accedidos por las empresas titulares de Gmail y Dropbox. Y, si a esta situación le aplicamos la LOPD (España) y demás normativa española sobre protección de datos, tenemos dos consecuencias importantes:
1.- Que existe un tratamiento de datos por parte de tercero, lo que obliga a firmar un contrato de encargo de tratamiento de datos que sea conforme a lo estipulado en el art. 12 LOPD. La dificultad estriba aquí en que Gmail y Dropbox no se rigen por la normativa española, sino por la estadounidense, que, en cuanto a protección de datos, atorga a las empresas un cierto margen de autorregulación. En el caso de Gmail y Dropbox, no existe, de entrada, posibilidad alguna de firmar un contrato personalizado, tal y como exige la LOPD, sino que el cliente únicamente puede aceptar o adherirse a unas condiciones generales de contratación.
2.- Que, al mismo tiempo, se produce también un tratamiento por parte de una empresa ubicada fuera de España y la Unión Europea, lo que es calificado por la LOPD automáticamente como una transferencia internacional de datos. En estos casos, cuando un tercero extranjero accede o trata nuestros datos, cobra especial relevancia el país en el que está ubicada la referida empresa extranjera, puesto que la normativa distingue entre países seguros y países no seguros. Las consecuencias jurídicas de unos y otros son muy distintas; así, por ejemplo, para una transferencia internacional de datos a un país no seguro, es necesario solicitar autorización al Director de la Agencia Española de Protección de Datos. Como nota curiosa, diremos que países como Turquía y Estados Unidos no se consideran países seguros, mientras que Argentina sí. El criterio depende de si esos países tienen o no una normativa de protección de datos equiparable a la española y europea.
La Agencia Española de Protección de Datos realizó un Informe sobre el uso del Cloud Computing por parte de los despachos de abogados (uno de los colectivos, por cierto, tradicionalmente más reacios a las nuevas tecnologías) en el que recordaba la aplicación de la normativa española sobre protección de datos y hacía especial hincapié en la necesidad de un contrato específico con el proveedor. El contrato tendría que adecuarse al art. 12 LOPD, como ya hemos comentado más arriba, pero debería incorporar también la obligación del proveedor de aplicar todas las medidas de seguridad técnicas exigidas por la normativa española y europea.
No es poca la responsabilidad que la AEPD atribuye a los despachos de abogados, a los que presupone una capacidad de negociación con las grandes compañías proveedores de almacenamiento online que en realidad no tienen. Sin embargo, parece que les diga a los despachos que, si no quieren incurrir en infracciones de la LOPD, tienen que forzar a dichas compañías a incorporar todas las obligaciones de la normativa española; una postura que, naturalmente, dista mucho de la realidad, mucho más ágil y veloz que nuestros legisladores. El tiempo dirá, pero lo lógico y deseable sería la elaboración de un estándar internacional, como ya ha sucedido en otros ámbitos. Hasta entonces, tendremos que conformarnos con lo que tenemos y cumplir como buenamente podamos.
Fuente: SeGestion
Cada vez son más las empresas que ya no usan Cds, ni USB, ni discos duros internos o externos, porque están en la nube, es decir, utilizan servicios de almacenamiento online o Cloud Computing. Ya no es extraño ver empresas que, en su afán natural por reducir costes, han optado por Gmail a la hora de gestionar el correo electrónico corporativo, o confían en Dropbox para guardar todos los datos de la empresa y/o disponer de una copia de seguridad almacenada en internet; lo que significa que, si la empresa maneja una base de datos de -por ejemplo- tres mil clientes (particulares), esos datos podrán ser accedidos por las empresas titulares de Gmail y Dropbox. Y, si a esta situación le aplicamos la LOPD (España) y demás normativa española sobre protección de datos, tenemos dos consecuencias importantes:
1.- Que existe un tratamiento de datos por parte de tercero, lo que obliga a firmar un contrato de encargo de tratamiento de datos que sea conforme a lo estipulado en el art. 12 LOPD. La dificultad estriba aquí en que Gmail y Dropbox no se rigen por la normativa española, sino por la estadounidense, que, en cuanto a protección de datos, atorga a las empresas un cierto margen de autorregulación. En el caso de Gmail y Dropbox, no existe, de entrada, posibilidad alguna de firmar un contrato personalizado, tal y como exige la LOPD, sino que el cliente únicamente puede aceptar o adherirse a unas condiciones generales de contratación.
2.- Que, al mismo tiempo, se produce también un tratamiento por parte de una empresa ubicada fuera de España y la Unión Europea, lo que es calificado por la LOPD automáticamente como una transferencia internacional de datos. En estos casos, cuando un tercero extranjero accede o trata nuestros datos, cobra especial relevancia el país en el que está ubicada la referida empresa extranjera, puesto que la normativa distingue entre países seguros y países no seguros. Las consecuencias jurídicas de unos y otros son muy distintas; así, por ejemplo, para una transferencia internacional de datos a un país no seguro, es necesario solicitar autorización al Director de la Agencia Española de Protección de Datos. Como nota curiosa, diremos que países como Turquía y Estados Unidos no se consideran países seguros, mientras que Argentina sí. El criterio depende de si esos países tienen o no una normativa de protección de datos equiparable a la española y europea.
La Agencia Española de Protección de Datos realizó un Informe sobre el uso del Cloud Computing por parte de los despachos de abogados (uno de los colectivos, por cierto, tradicionalmente más reacios a las nuevas tecnologías) en el que recordaba la aplicación de la normativa española sobre protección de datos y hacía especial hincapié en la necesidad de un contrato específico con el proveedor. El contrato tendría que adecuarse al art. 12 LOPD, como ya hemos comentado más arriba, pero debería incorporar también la obligación del proveedor de aplicar todas las medidas de seguridad técnicas exigidas por la normativa española y europea.
No es poca la responsabilidad que la AEPD atribuye a los despachos de abogados, a los que presupone una capacidad de negociación con las grandes compañías proveedores de almacenamiento online que en realidad no tienen. Sin embargo, parece que les diga a los despachos que, si no quieren incurrir en infracciones de la LOPD, tienen que forzar a dichas compañías a incorporar todas las obligaciones de la normativa española; una postura que, naturalmente, dista mucho de la realidad, mucho más ágil y veloz que nuestros legisladores. El tiempo dirá, pero lo lógico y deseable sería la elaboración de un estándar internacional, como ya ha sucedido en otros ámbitos. Hasta entonces, tendremos que conformarnos con lo que tenemos y cumplir como buenamente podamos.
Fuente: SeGestion
Bueno, no deberíamos olvidar que Dropbox, en concreto, está adherido a Puerto Seguro http://safeharbor.export.gov/companyinfo.aspx?id=17837
ResponderBorrarEstoy recién comenzando con la informática. Pero, lo de "puerto seguro" y la noticia me suena a como si un banco utilizase blindados para transportar el dinero, y la caja fuerte donde se almacena no dispone de las medidas de seguridad recomendadas.
ResponderBorrarPara el uso de la nube en el ámbito empresarial, yo optaria por una aplicación que garantice la seuridad, tanto en el cifrado de datos, de subida y bajada, como en el alijamiento.Dataprius(www.dataprius.com) apuesta por servidores que se rigen por la normativa europea de ley de protección de dator y privacidad.
ResponderBorrar