La APDCAT alerta de los peligros de Dropbox, Google Drive y Microsoft Onedrive

Hoy en día los abogados disponen de gran variedad de servicios de ‘cloud’, pero no todos ellos ofrecen las mismas garantías de seguridad y de privacidad. Las plataformas Google Drive, Microsoft Onedrive y Dropbox ofrecen servicios muy atractivos para sus usuarios, pero al mismo tiempo despiertan ciertas dudas en cuanto a la privacidad. Por ello, la Agrupación de Jóvenes Abogados de Sabadell del Ilustre Colegio de Abogados de Sabadell (ICASBD) decidió trasladar una consulta formal a la Autoridad Catalana de Protección de Datos (APDCAT) con el fin de que ésta se pronunciara sobre los riesgos que comporta el uso profesional de estos servicios de ‘cloud’ en las relaciones entre abogado y cliente.

En este sentido, el pasado 28 de marzo de 2014 la APDCAT resolvió la consulta (CNS 57/2013) planteada por el ICASBD, abordando los siguientes aspectos:

El Dictamen pone de manifiesto que la posición jurídica del abogado que contrata servicios de ‘cloud’ es la de responsable del fichero o tratamiento mientras que las empresas prestadoras de estos servicios –Google, Microsoft y Dropbox- adoptan la postura de encargado del tratamiento. Así pues, en primer lugar, la contratación por parte de un abogado de un servicio de ‘cloud’ requiere la existencia de un contrato de encargado del tratamiento.

En esta misma línea, la APDCAT establece que el contrato de encargado del tratamiento no presupone por sí solo que el tratamiento de los datos se dará con todas las garantías y por ello emplaza a los abogados, de manera inexcusable, a la realización de un análisis previo de impacto en el que se vislumbren los riegos que supone la contratación del servicio.

De acuerdo con la normativa de protección de datos, la transferencia internacional de datos requiere, como norma general, autorización del Director de la Agencia Española de Protección de Datos (AEPD) salvo que (i) los datos se transfieran a un país que ofrezca un nivel adecuado de protección o bien (ii) si se trata da una empresa de Estados Unidos que haya suscrito los principios de Puerto seguro (Safe Harbor).

El Dictamen constata que Google, Microsoft y Dropbox pertenecen al denominado acuerdo US-EU Safe Harbor, sin embargo, el mero hecho de que éstas empresas se encuentren adscritas a este acuerdo podría considerarse insuficiente si la información se transmitiera a otras zonas geográficas más allá de EEUU. En particular, nos encontramos con el problema de que las citadas empresas no informan sobre las zonas geográficas donde se encuentran los servidores o transmiten la información por lo que la APDCAT considera que el abogado que contrate estos servicios debería contar con la autorización del Director de la AEPD antes de proceder a utilizarlos.

La Agrupación de Jóvenes Abogados de Sabadell del ICASBD planteó ante la APDCAT la cuestión sobre si la certificación ISO/IEC/27001 o alguna otra certificación podría considerarse suficiente para garantizar el cumplimiento de las medidas de seguridad que exige la normativa. De hecho, a menudo nos encontramos servicios de ‘cloud’ garantizados por certificaciones ISO/IEC/27001, como es el caso de Google Drive, Microsoft Ondrive o Dropbox.

A raíz de ello, la APDCAT manifestó que “a fecha de hoy no existe ninguna certificación para proveedores en la nube que verifique, de forma específica, el cumplimiento estricto de dichas medidas” por lo que cualquier certificación debe ir acompañada de una auditoría de protección de datos que garantice el cumplimiento de determinadas obligaciones, como por ejemplo, la existencia de un documento de seguridad, la política de copias de respaldo, el registro de acceso a datos o el registro de incidencias. Así pues, por primera vez, este Dictamen aborda la cuestión de las certificaciones como garantía en materia de protección de datos dejando claro, al menos de momento, la necesidad de solicitar una auditoría de protección de datos para garantizar el cumplimiento de la normativa por parte del prestador de servicio.

En sus términos y condiciones, las citadas empresas afirman adoptar normas y medidas técnicas reconocidas para asegurar los datos de sus clientes. No obstante, analizadas las medidas de seguridad adoptadas por estas empresas, la APDCAT constata que, aún ser adecuadas, podrían resultar insuficientes por lo que recomienda a los abogados: (i) revisar la configuración por defecto del nivel de seguridad y (ii) realizar copias de seguridad periódicas de la información albergada.

La APDCAT recuerda en su Dictamen la necesidad de establecer de forma clara, por parte de los prestadores de servicios de ‘cloud’, la finalidad por la que serán tratados los datos. En este sentido, constata que las empresas Google, Microsoft y Dropbox no ofrecen información suficiente sobre qué harán con los datos y parece establecerse en sus políticas de privacidad que tratarán los datos para otras finalidades desligadas de la finalidad principal. Si fuera así, ello comportaría una vulneración del principio de calidad de los datos y el abogado, como responsable del tratamiento, podría ser sancionado por la comisión de esta infracción.

Los servicios Google Drive, Microsoft Onedrive y Dropbox tienen innumerables ventajas: son estéticamente agradables, poseen muchas funcionalidades, son intuitivos y fáciles de manejar, son económicos, etc. Sin embargo, la normativa de protección de datos exige una serie de obligaciones para los abogados (y demás profesionales) que resultan difíciles de cumplir si éstos utilizan los citados servicios.

Una vez determinada la información que se almacenará en la nube el abogado debe decidir el servicio que utilizará. Tal como expone el dictamen a menudo resulta complicado conocer el tratamiento de los datos efectuado de acuerdo con los términos y condiciones. Por ello, es preferible utilizar servicios de ‘cloud’ de la Unión Europea ya que de este modo aseguramos que los prestadores se encuentren plenamente sujetos a las obligaciones de la Directiva 95/46/CE de Protección de Datos.

Eduard Blasi Casagran