¿Cómo aseguro la protección de datos de socios en el entorno de Google?

Estimada Sra.
Estoy totalmente de acuerdo con las opiniones expresadas por mis compañeros. Alojar datos de carácter personal en servidores ubicados fuera del territorio de aplicación de la normativa de protección de datos de carácter personal es una imprudencia, por asumir un riesgo evidente.
Saludos cordiales

Actualmente el único proveedor de servicios en la nube que ha obtenido una resolución favorable de la Agencia Española de Protección de Datos (AEPD) para el almacenamiento de datos personales es Windows Azure. Puedes ver la nota de prensa con el anuncio aquí: http://www.microsoft.com/es-es/news/Press/2014/Jun14/AEPD_servicios_cloud_Microsoft.aspx

Windows Azure no es un sistema tipo Google Drive o Dropbox, sino un entorno más complejo que proporciona diferentes tipos de servicios para crear soluciones en la nube. Dependiendo de qué es lo que queráis hacer con esos datos puede que Windows Azure se adapte a vuestras necesidades o no.

Por otro lado habría que ver qué tipo de información estáis almacenando en el archivo de datos para saber el nivel de seguridad que se debería aplicar.

Un saludo.

Hola Begoña,

Esta es la pregunta del millón. Parece mentira, pero en un mundo como el actual, donde el “cloud” está en boca de todos (al menos, de todos los que manejan aspectos de tecnologías de la información) no hay una visión clara sobre esta cuestión, y Google es un caso muy particular, porque su herramienta funciona muy bien, pero su respeto a la privacidad es muy mejorable en lo que respecta al cumplimiento de la LOPD, al menos a día de hoy.

Hay bastantes cosas escritas, pero nada concluyente. Para resumir diría que Google Apps no cumple los requerimientos de la LOPD por 4 cosas principales:
- Su modelo contractual es de “lo tomas o lo dejas”. Por tanto, no puedes establecer cláusulas adhoc y no puedes asegurar ni verificar como obliga la LOPD que cumplen con lo pactado.
- Se reservan el derecho a modificar las cláusulas de privacidad cómo y cuándo quieran.
- No se sabe bien dónde residen sus datos. Tanto pueden estar en Europa (Ok según la LOPD), como en USA (habría que estudiarlo según la LOPD), como en otras partes (no válido según la LOPD).
- Directamente se reservan el derecho a acceder a tus datos “para mejorar el servicio que te ofrecen”. Aunque esto puede que sólo afecte a los datos de las personas que acceden al entorno de Google (cosa que se podría solventar más o menos), y no a los ficheros de socios que introduzcas en su entorno. Pero esto tampoco queda muy claro.

Hay mucha gente incluso administraciones públicas que usan Google Apps. No es ilegal. Pero te arriesgas a que te obliguen a demostrar que tienes en todo momento el “control” de la información. Y con Google, hoy por hoy eso es imposible.

Otra cosa es que estoy casi seguro de que a medio plazo Google y la Comisión Europea se pondrán de acuerdo y entonces no habrá problema. Pero ahora no lo veo claro.

Emilio habla de Microsoft como alternativa (concretamente, la alternativa a Google Apps sería Office 365 en cuanto a prestaciones y funcionalidades), y hasta donde yo he visto legalmente ofrece mejores garantías en todos los sentidos. Nosotros tenemos previsto utilizarlo.

Sin embargo, encontrarás pocos (yo, ninguno) expertos en legislación que te den su aprobación. Creo que es más por desconocimiento o porque no existe jurisprudencia al respecto.