La empresa que contrata un sistema de este tipo va a proceder de inmediato a cargarlo de una enorme cantidad de datos de carácter personal (contabilidad, CRM, nóminas, bases de datos, incluso copias remotas del contenido total de su disco duro), datos que están almacenados en las instalaciones de la empresa que presta el servicio, y que por lo tanto se habrá convertido en lo que se denomina un "encargado de tratamiento", en los términos del artículo 5 del Real Decreto 1720/2007, Reglamento de Desarrollo de la LOPD (RDLOPD):
i) Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.Y por lo tanto, según el apartado 2 del artículo 12 de la LOPD, Acceso a los datos por cuenta de terceros:
La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.Y en esta última línea tenemos la clave del asunto, porque como es bien sabido, el RDLOPD ha acentuado las implicaciones de esta obligación de implantar medidas de seguridad: ha hecho al responsable del fichero "vigilante" de este requisito, al exigirle en el apartado del artículo 20 del RDLOPD:
Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento.(El subrayado es mío)
Desde el punto de vista operativo significa que si A contrata el acceso a un programa contable alojado en los servidores de B, y resulta que B no cumple con las medidas de seguridad exigidas por la LOPD y resto de leyes relativas a la protección de datos, A podría recibir una desagradable misiva desde la Agencia Española de Protección de Datos (AEPD) que más o menos vendría a preguntarle: "¿Ha cumplido usted (y lo puede demostrar) su deber de velar? ¿Tiene al menos el correspondiente contrato según lo exigido por el artículo 12.2 LOPD?"
Y en fin, las consecuencias (sancionadoras) las conocemos perfectamente.
¿Y cómo averigüar si a día de hoy existe o no la costumbre, la "cultura", de cumplir estas obligaciones legales? Pues sólo se me ocurre una forma: preguntándolo.
Dicho y hecho, envié hace 10 días (entiendo que tiempo más que suficiente para esperar una respuesta) el siguiente correo electrónico a 9 empresas que prestan servicios que se pueden encuadrar dentro del cloud computing:
Estimados Sres.:
Mi empresa está estudiando la posibilidad de utilizar algunas aplicaciones web en sustitución de nuestro software actual.
Les ruego que me informen si firman el contrato que prevé el artículo 12 de la Ley Orgánica 15/1.999, de 13 de diciembre, de protección de datos (LOPD) con cualquier cliente que contrate una aplicación web que trate datos de carácter personal.
La mayoría de las aplicaciones (contabilidad, facturación, CRM, BBDD, etc.) recogen datos de este tipo (la dirección de email lo es), y es fundamental la firma de este contrato.
Saludos cordiales,¿Qué pensáis que habrán respondido?
Las respuestas a partir de mañana
Resto de la serie:
- Tus datos están por las nubes (1): Cloud Computing
- Tus datos están por las nubes (3): ¿Y cómo los guardan?
- Tus datos están por las nubes (4): Lo que dicen por ahí
Foto: Flickr
Maquiavélico. Es el único adjetivo que se me ocurre. Veo que mantienes tu peculiar sentido del humor ;)
ResponderEliminarEspero las respuestas, aunque las intuyo.
Lo primero que creo que habrán contestado, es algo así como : no se preocupe que los datos de su empresa se encuentran perfectamente protegidos en nuestro servidor por lo que puede confiar plenamente en nosotros, o algo así, ósea en plan tranquilizador, independientemente que cumplan o no con la LOPD y respecto al contrato del articulo 12 de la Ley, quizás necesiten mas de 10 días, para averiguar de que contrato le estas hablando, ,,
ResponderEliminarBueno esto es un comentario un poco irónico. la verdad creo que de todos los que enviaste , ni la mitad consideraran tan necesario la firma del contrato.
Muy buenas, yo también espero las respuestas, pero ojala sea pedirle a las empresas que son ellas la que cumplan y pedirle un justificante, aunque me temo lo peor, y ser ellas las que le digan que cumplen y que ellos ya estén tranquilos.
ResponderEliminarhola una aclaracion: cloud computing no es un "modelo de negocio" sino mas bien una tecnologia que muchos ya usabamos hace tiempo pero no por ese nombre sino comogoogle docs por ejemplo. Mas cuidado con nuestros comentarios. Saludos.
ResponderEliminarLucho
Lucho: "Mas cuidado con nuestros comentarios." :-) ¡Owned!
ResponderEliminarLéete la primera nota de Tus datos están por las nubes, y verás que hablo de cloud computing como modelo de negocio con mucha ironía, precisamente en la línea que tu indicas.
Ahora no nos dejes así! Qué han contestado? O directamente, no lo han hecho?
ResponderEliminarAl final del post tienes el enlace a las respuestas ;)
Eliminar