El uso de servicios en la nube como Google Drive o Dropbox para almacenar datos está cada vez más generalizado por muy buenas razones, principalmente porque son servicios muy accesibles porque partimos de versiones gratuitas, y a medida que necesitemos más espacio o prestaciones lo podremos adquirir sin un coste desorbitado.
La flexibilidad en su uso a la hora de gestionar documentación o datos de clientes es perfecta, pero como pasa con todo en esta vida, si tenemos un negocio y almacenamos datos de clientes debemos cumplir con la Ley Orgánica de Protección de Datos (LOPD). El quid de la cuestión es, ¿dónde se almacenan esos datos y qué hemos de tener en cuenta desde el punto de vista legal? La respuesta corta es que, en general, se almacenan en los EE.UU., lo que significa alguna complicación.
Empecemos con un breve resumen de lo que debemos cumplir: como empresa, debemos asegurarnos de que se cumple estrictamente la LOPD, y por tanto debemos saber exactamente cómo de estrictos y adecuados a nuestra legislación son en el país en el que se tratan y almacenan los datos.
Para trabajar con una empresa extranjera si somos una empresa española o europea, debemos establecer un contrato en el que se especifiquen las obligaciones y requerimientos necesarios para que dicha empresa extranjera (que almacenará nuestros datos) cumpla exactamente con nuestra ley.
Esto es según el artículo 12 de la LOPD, que establece que «la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato». En ese contrato se establecerán las medidas de seguridad concretas que cumplen con nuestra LOPD, todo sobre las auditorías que se han de realizar periódicamente, los controles…
Además, para tener nuestros datos en EE.UU. hay que tener en cuenta que hemos de cumplir con lo establecido para las transferencias internacionales de datos, sin que eso excluya la aplicación de lo dispuesto en la ley de protección de datos.
Para hacer las cosas más sencillas existe un marco de seguridad llamado «Privacy Shield«, que sustituye al obsoleto y un tanto inseguro «Safe Harbor», y que pretende «proporcionar a las empresas de ambos lados del Atlántico un mecanismo para cumplir los requisitos de la UE en materia de protección de datos al transferir datos personales de la Unión Europea a los Estados Unidos en apoyo del comercio transatlántico».
Por último es necesario incluir en el contrato todo lo necesario para establecer la responsabilidad en caso de fallo del servicio, o incluso en el caso de la corrupción o pérdida de los datos; y también hemos de poner en claro las condiciones de terminación del contrato, y qué sucede con los datos almacenados.
En temas legales y tan cambiantes como la protección de los datos que manejemos de terceros a nivel internacional, lo más recomendable es ponerse en manos de un especialista en la materia, antes de comenzar la actividad.
Más información | Genbeta
Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.