Dropbox ¿cumple la LOPD?
Si eres usuario de Dropbox, seguramente no recibió un correo o comunicada como este. El caso es que Dropbox ha anunciado que a partir del próximo 1 de junio de 2015 los servicios para usuarios europeos (entre otros lugares), serán prestados desde Irlanda.
Este cambio no es menor y pretende ser una ventaja competitiva frente a otros servicios similares (como Google Drive) para cumplir la normativa europea en materia de protección de datos, desvaneciéndose las dudas sobre la transferencia internacional de datos que el servicio, como se prestaba hasta ahora , comportaba.
¿Qué dice la LOPD sobre almacenar datos fuera de España? La LOPD específicamente prohíbe en su artículo 33, la transferencia temporal o definitiva de datos personales, a países «que no proporcionen un nivel de protección equiparable al que presta la presente Ley».
¿Qué países ofrecen un nivel adecuado de protección? Ahora mismo cumplen estos requisitos cualquier país de la Unión Europea, del Espacio Económico Europeo, así como cualquier país que la Comisión Europea, haya decretado que cumple unos requisitos aceptables.
¿Qué pasa con Dropbox? La política de seguridad de Dropbox deja muy claro que sus servidores y por tanto, cualquier información o datos que alojes en el servicio, están situados en Estados Unidos. A fecha de hoy, Dropbox tiene en vigor el Certificado de Puerto Seguro, protocolo pactado entre la UE y EEUU para permitir que se alojaran datos en empresas estadounidenses, siempre que las empresas que llevaran a cabo este servicio, cumplieran unos mínimos. Dropbox tiene este certificado en vigor hasta el 16 de febrero de 2016.
¿Por qué prestar los servicios desde Irlanda? Con la información anterior puede deducirse que Dropbox, en su modelo actual, cumple con los requisitos mínimos establecidos por la LOPD, así que el cambio en la ubicación de los servidores y por tanto, de los datos alojados en los mismos, responde a un movimiento estratégico en vista a lo que puede venir. Actualmente ya raíz de las revelaciones de Snowden, se ha puesto bajo duda, más que razonable, que la validez del acuerdo de Safe Harbor, pactado en el lejano año 2000.
El Tribunal de Justicia de la Unión Europea, está a punto de emitir su opinión, a través del Abogado General, sobre la validez y vigencia de este acuerdo (la opinión espera para finales de junio) y todo parece indicar que pondrá en seria duda la validez del acuerdo a fin de defender los derechos de los ciudadanos europeos; esto podría provocar que la Comisión mueva ficha y obligue a las empresas de EE.UU. a cumplir nuevos requisitos para considerarlas adecuadas. De ahí el movimiento de Dropbox.
Alojando los datos a Irlanda, ¿ya cumplo? No. En cualquier caso Dropbox debe tratarse como un proveedor más de la empresa, deberás incluirlo en tu Documento de Seguridad y añadir las medidas de seguridad que Dropbox implementa en el servicio, así como una copia de las condiciones del servicio. De esta forma te aseguras ante la AEPD que has sido mínimamente diligente en comprobar las condiciones de seguridad y privacidad de Dropbox. En todo caso ten en cuenta la Guía para clientes de cloud que publicó la AEPD.
El uso de herramientas en el cloud y fuera de la Unión Europea, es una tendencia imparable, pero todo esto debe hacerse cumpliendo la LOPD y las instrucciones de la AEPD. Así, antes de «contratar» un servicio de este tipo, asegúrate de donde quedarán situados tus datos (o las de tu empresa) y aplica los protocolos que procedan según el caso.
Si tienes dudas sobre este o cualquier otro tema, ¡no dudes en contactarnos!