Dropbox, compleix la LOPD?
Si ets usuari de Dropbox, segurament has rebut un email o comunicada com aquest. El cas és que Dropbox ha anunciat que a partir del proper 1 de juny de 2015 els serveis per a usuaris europeus (entre altres llocs), seran prestats des d’Irlanda.
Aquest canvi no és menor i pretén ser un avantatge competitiu davant altres serveis similars (com Google Drive) per complir la normativa europea en matèria de protecció de dades, esvaïnt els dubtes sobre la transferència internacional de dades que el servei, com es prestava fins ara, comportava.
Què diu la LOPD sobre emmagatzemar dades fora d’Espanya? La LOPD específicament prohibeix en el seu article 33, la transferència temporal o definitiva de dades personals, a països “que no proporcionin un nivell de protecció equiparable al que presta la present Llei“.
Quins països ofereixen un nivell adequat de protecció? Ara mateix compleixen aquests requisits qualsevol país de la Unió Europea, de l’Espai Econòmic Europeu, així com qualsevol país que la Comissió Europea, hagi decretat que compleix uns requisits acceptables. Consulta el llistat aquí.
Què passa amb Dropbox? La política de seguretat de Dropbox deixa molt clar que els seus servidors i per tant, qualsevol informació o dades que allotgis en el servei, estan situats a Estats Units. A data d’avui, Dropbox té en vigor el Certificat de Port Segur, protocol que es va pactar entre la UE i els EUA per permetre que s’allotgessin dades en empreses nord-americanes, sempre que les empreses que duguessin a terme aquest servei, complissin uns mínims. Dropbox té aquest certificat en vigor fins al 16 de febrer de 2016.
Per què prestar els serveis des d’Irlanda? Amb la informació anterior pot deduir-se que Dropbox, en el seu model actual, compleix amb els requisits mínims establerts per la LOPD, així que el canvi en la ubicació dels servidors i per tant, de les dades allotjades en els mateixos, respon a un moviment estratègic en vista al que pot venir. Actualment i arran de les revelacions de Snowden, s’ha posat sota dubte, més que raonable, que la validesa de l’acord de Safe Harbour, pactat al llunyà any 2000.
El Tribunal de Justícia de la Unió Europea, és a punt d’emetre la seva opinió, a través de l’Advocat General, sobre la validesa i vigència d’aquest acord (l’opinió s’espera per a finals de juny) i tot sembla indicar que posarà en seriós dubte la validesa de l’acord a fi de defensar els drets dels ciutadans europeus; això podria provocar que la Comissió mogui fitxa i obligui a les empreses dels EUA a complir nous requisits per considerar-les adequades. D’aquí el moviment de Dropbox.
Allotjant les dades a Irlanda, ja compleixo? No. En qualsevol cas Dropbox ha de tractar-se com un proveïdor més de l’empresa, hauràs d’incloure’l en el teu Document de Seguretat i afegir les mesures de seguretat que Dropbox implementa en el servei, així com una còpia de les condicions del servei. D’aquesta forma t’assegures davant l’AEPD que has estat mínimament diligent en comprovar les condicions de seguretat i privacitat de Dropbox. En tot cas tingues en compte la Guia per a clients de cloud que va publicar l’AEPD.
L’ús d’eines al cloud i fora de la Unió Europea, és una tendència imparable, però tot això ha de fer-se complint la LOPD i les instruccions de l’AEPD. Així, abans de “contractar” un servei d’aquest tipus, assegura’t d’on quedaran situats les teves dades (o les de la teva empresa) i aplica els protocols que procedeixin segons el cas.
Si tens dubtes sobre aquest o qualsevol altre tema, no dubtis en contactar-nos!