Aspectos profesionales: Protección de Datos, Cloud Computing y Sistemas de Gestión.

Blog dedicado a compatibilizar INNOVACIÓN con GRC (Gobierno, Riesgo y Cumplimiento normativo) en las organizaciones. Trata COMPLIANCE penal de la PJ y PBC/FT para Sujetos Obligados. Se alinea con Derecho Digital (TIC) focalizando en Privacidad con visión jurídica y organizativa. Incluye Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo ISO27001 y ENS. Analiza tendencias tecnológicas innovadoras junto a sus cláusulas contractuales.

jueves, 15 de mayo de 2014

Uso de servicios de “Cloud Storage” en el ámbito profesional de las relaciones entre abogado y cliente

Resumen: Por su indudable interés público y actualidad, presentamos una traducción “no oficial” del Dictamen CNS-57/2013 de la APDCAT (Autoritat Catalana de Protecció de Dades) en relación con la consulta de un Colegio de Abogados, sobre los riesgos que conlleva el uso de "Google Drive©", "Microsoft Skydrive©" y "Dropbox©" en el ámbito profesional de las relaciones entre abogado y cliente. Para facilitar la claridad, se ha fragmentado en apartados.

Autor del artículo		Colaboración
APDCAT (Autoritat Catalana de Protecció de Dades)
Actualizado	29 de enero de 2015

ÍNDICE

1. INTRODUCCIÓN
2. LOS SERVICIOS DE "CLOUD STORAGE"
3. LA ADHESIÓN AL ACUERDO DE “SAFE HARBOR”
4. TRANSMISIÓN DE INFORMACIÓN A EMPRESAS DEL GRUPO
5. MEDIDAS DE SEGURIDAD Y CERTIFICACIÓN DEL PRESTADOR
6. LA SEGURIDAD PROPORCIONADA
6.1. Introducción
6.2. Aspectos de seguridad global
6.3. Aspectos de seguridad de las App de acceso
6.4. El principio de calidad de los datos
6.5. Responsabilidades y resolución de conflictos
7. CONCLUSIONES
8. BIBLIOGRAFÍA REFERENCIADA
9. DERECHOS DE AUTOR

Nota del editor: Complemento este estudio con un completo documento publicado por el Instituto Nacional de Ciberseguridad (INCIBE_©) el 27 de enero de 2015 titulado “Seguridad en servicios de almacenamiento – Análisis de Dropbox y Mega”. Recoge diferentes aspectos relacionados con estos servicios y la seguridad que integran. [9]

1. INTRODUCCIÓN

Informe en relación con la consulta de un colegio de abogados en relación con los riesgos que conlleva el uso de "Google Drive", "Microsoft Skydrive" y "Dropbox" en el ámbito profesional de las relaciones entre abogado y cliente [1].

Se presenta ante la Autoridad Catalana de Protección de Datos un escrito de un colegio de abogados, en que se pide el parecer de la Autoridad en relación con los riesgos que supone el uso de "Google Drive", "Microsoft Skydrive" y "Dropbox" en el ámbito profesional de las relaciones entre abogado y cliente.

Analizada la petición, vista la normativa vigente aplicable, el informe del Coordinador de Auditoría y Seguridad de la Información de la Autoridad y el informe de la Asesoría Jurídica, se dictamina lo siguiente:

(...)

El colegio de abogados solicita, en su escrito de consulta, a juicio de esta Autoridad en relación con los riesgos que conlleva el uso de las aplicaciones "Google Drive", "Microsoft Skydrive" y "Dropbox" para el abogado en caso de que éste decida almacenar documentación relativa a sus clientes.

En concreto, plantea si la certificación ISO/IEC/27001: 2013, junto con el contrato de encargo del tratamiento, y la inclusión, de las empresas proveedoras de estos servicios, el acuerdo "US-EU Safe Harbor" podría considerarse garantía suficiente para cumplir con la normativa de protección de datos personales.

Asimismo, solicita a esta Autoridad que especifique las certificaciones que en este sentido debería adquirir un prestador de servicios de computación en la nube para cumplir estrictamente con la normativa.

Para dar respuesta a todas estas cuestiones, se ha optado por llevar a cabo el análisis de los riesgos derivados del uso de los servicios "Google Drive", "Microsoft Skydrive" y "Dropbox" de manera diferenciada, tal como se indica a continuación:

Los flujos de información y la adhesión de las empresas proveedoras de estos servicios a los principios del acuerdo "US-EU Safe Harbor".
Las medidas de seguridad y la certificación ISO/IEC/27001: 2013 de las empresas proveedoras de estos servicios.
La seguridad proporcionada específicamente por los servicios "Google Drive", "Microsoft Skydrive" y "Dropbox".

No obstante, antes de efectuar este análisis, se harán algunas consideraciones previas en cuanto a la naturaleza de estos servicios, la necesidad de establecer un contrato de encargado del tratamiento con las empresas proveedoras de estos servicios, y sobre las consecuencias derivadas de la existencia de una transferencia internacional de datos.

Asimismo, a pesar de no ser objeto de consulta, se considera necesario hacer referencia, en los últimos apartados de este informe, a otros aspectos que, desde el punto de vista de la protección de datos personales, son también relevantes en la prestación de estos servicios:

El principio de calidad de los datos, las responsabilidades asumidas por las empresas proveedoras de estos servicios y los mecanismos establecidos para la resolución de posibles conflictos.

III

2. LOS SERVICIOS DE "CLOUD STORAGE"

De acuerdo con la información disponible en las páginas web de las respectivas compañías, "Google Drive" (www.drive.google.com), "Microsoft Skydrive" -actualmente, "Microsoft Onedrive"- (https://onedrive.live.com) Y "Dropbox" (www.dropbox.com) son servicios de almacenamiento de información que operan en la nube.

Conviene apuntar que, si bien el escrito de consulta menciona "Google Drive", "Microsoft Skydrive" y "Dropbox" como "aplicaciones", se entiende que se quiere hacer referencia a los "servicios" que utilizan diferentes "aplicaciones" que se ejecutan en distintas plataformas, con el fin de poner las prestaciones de estos servicios al alcance de cualquier usuario.

Esta aclaración se considera necesaria, dado que el análisis de los riesgos para la seguridad de la información derivados del uso de estos servicios -que se llevará a cabo en un otro apartado del presente informe- puede comprender tanto los aspectos de seguridad global de cada uno de los servicios citados, como los aspectos de seguridad de las aplicaciones empleadas para acceder a las prestaciones y funcionalidades que estos servicios ofrecen.

En relación, precisamente, con estas prestaciones y funcionalidades equivalentes en los tres servicios de "Cloud Storage" examinados, procede destacar las siguientes:

Facilitan a los usuarios un espacio para almacenar información (archivos) en formato digital, que es accesible desde Internet mediante una cuenta de usuario.
Permiten almacenar los archivos en diferentes formatos: tratamiento de textos, hojas de cálculo, imágenes, vídeo, audio, etc. Por lo tanto, incorporan las funciones de carga y descarga de los ficheros, así como de sincronización de los ficheros entre el almacenamiento local (en el dispositivo) y el almacenamiento remoto (en el servidor).
Permiten acceder al espacio donde se almacenan los archivos desde cualquier dispositivo con acceso a la red (Internet). Como requisito será necesario que en el dispositivo de acceso se pueda ejecutar un navegador web o una aplicación de escritorio (provista por el mismo prestador del servicio o bien por un tercero), o bien una aplicación tipo App (Fundamentalmente para sistemas Android o iOS que, generalmente, puede ser provista tanto por el propio prestador del servicio como por un tercero).
Incorporan, entre sus funcionalidades básicas, la de compartir con terceros los archivos almacenados en dicho espacio que, por defecto, es de acceso exclusivo el usuario (quien lo ha contratado). Por lo tanto, para compartir los archivos con terceros deberá el usuario autorizar previamente este acceso a su espacio de almacenamiento.

Hechas estas consideraciones iniciales, hay que recordar que, tal como se puso de manifiesto en el Dictamen CNS 24/2012 [2] emitido por esta Autoridad en relación con la contratación del servicio Google Apps for Business (disponible en la web de la Autoridad www.apd.cat ), La contratación de estos servicios TIC tipo "Cloud Computing" o "Computación en la nube" -en el presente caso, servicios de "Cloud Storage"- gestionados por un tercero, cuando su prestación implica tratar datos personales de los ficheros o los sistemas del responsable del fichero o tratamiento, constituye lo que la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) llama "un acceso de datos por cuenta de terceros" (artículo 12).

En este sentido, resulta necesario identificar tanto al responsable del fichero o tratamiento como el encargado del tratamiento, así como sus interacciones, para determinar la responsabilidad de cada uno en el cumplimiento de las normas de protección de datos.

Según el artículo 3.d) de la LOPD se entiende por responsable del fichero o tratamiento "la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento".

Si bien es cierto que, en el ámbito de la "computación en la nube", en determinadas circunstancias resulta complejo identificar quién es el responsable del tratamiento, dado que normalmente los proveedores de estos servicios tienden a determinar unilateralmente los medios y, incluso en algunos casos, los fines de los tratamientos, se entiende que los clientes-usuarios se configuran como los responsables del tratamiento, en la medida en que son los titulares de los ficheros en los que inicialmente se encuentran recogidos los datos que serán transmitidas y que legitiman su tratamiento. Asimismo, se entiende que la capacidad de que dispone el responsable del tratamiento para decidir sobre la finalidad, contenido y uso del tratamiento de los datos se manifiesta en su capacidad para decidir llevar a cabo la contratación de estos servicios.

Por su parte, el artículo 3.g) de la LOPD define, como encargado del tratamiento, "la persona física o a, la autoridad pública, el servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento".

En el supuesto que ahora se examina, por tanto, la posición jurídica del abogado que contrata servicios de "Cloud Storage" es la de responsable del fichero o tratamiento, mientras que las empresas proveedoras de estos servicios -Google, Microsoft y Dropbox- adoptarían la postura de encargados del tratamiento.

Siendo así, la transmisión de información personal (archivos) por el abogado a las empresas Google, Microsoft y Dropbox, para almacenarla en sus servidores, que incluirá datos de sus clientes pero probablemente también datos del propio abogado o, incluso, datos de terceras personas, no tendría consideración de comunicación o cesión de datos en los términos establecidos en el artículo 3.i) de la LOPD.

Ahora bien, para que esto sea posible es necesario que, tal y como se manifiesta en el escrito de consulta, se celebre un contrato de encargado del tratamiento (artículo 12 LOPD), en el que se determine de manera expresa:

Que el encargado del tratamiento debe tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.
Que no puede aplicar ni utilizar los datos con una finalidad distinta de la que figure en el contrato, ni los comunicará a otras personas, ni siquiera para su conservación.
Las medidas de seguridad que el encargado está obligado a implementar.
El retorno o la destrucción de los datos, una vez cumplida la prestación contractual.

Además, deberá darse cumplimiento a las previsiones que el Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD), establece también en este sentido en sus artículos 20, 21 y 22.

Por tanto, de entrada, hay que tener presente que la contratación por parte de un abogado de la prestación de servicios "Cloud Storage" requiere la existencia de un contrato de encargado del tratamiento con el contenido mínimo determinado en estos preceptos.

También se debe tener en cuenta, tal y como se puso de manifiesto en el citado Dictamen CNS 24/2012 [2], que la existencia de este contrato por sí solo no presupone que el tratamiento de los datos se lleve a cabo en este ámbito con todas las garantías exigidas en la normativa de protección de datos personales, dada la pérdida constatada del poder de disposición y de control sobre los datos personales -núcleo esencial del derecho fundamental a la protección de datos (STC 292/2000, de 30 de noviembre [3])- que experimenta el responsable en el mundo de la "computación en la nube".

Por este motivo, y dado que corresponde al abogado, como responsable, la tarea de garantizar a los afectados que sus datos personales serán en todo momento tratados de conformidad con la legislación vigente en materia de protección de datos (artículo 20.2 RLOPD), éste está obligado, de manera inexcusable, a hacer un análisis previo del impacto de la contratación de estos servicios de "Cloud Storage" en la privacidad, con especial atención a los riesgos para la seguridad y la integridad de la información, y a escoger un proveedor que, a su vez, sea capaz de garantizar el cumplimiento de la normativa de protección de datos, tal y como se recoge en el Dictamen 5/2012, de 1 de julio, sobre el Cloud Computing, [4] del Grupo de Trabajo del Artículo 29 de la Directiva Europea 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales.

Hay que decir que, en relación con el análisis de estos riesgos, en el escrito de consulta se plantea, como se ha adelantado, si el hecho de que las empresas proveedoras de estos servicios estén adheridas a los principios del acuerdo "US-EU Safe Harbor", así como que cuenten con la certificación ISO/IEC/27001:2013, podría considerarse garantía suficiente del cumplimiento de la normativa de protección de datos.

Estos aspectos se analizan de manera diferenciada en los apartados siguientes de este informe, tomando como referencia las respectivas condiciones de uso de los servicios "Google Drive", "Microsoft Onedrive" y "Dropbox" vigentes en el momento en que se ha planteado la consulta. Hay que hacer, sin embargo, unas consideraciones previas al respecto:

Dados los términos en que se formula la consulta, las condiciones de uso examinadas son las previstas para las respectivas compañías con carácter general. Es decir, no se han examinado las condiciones de servicio de "Google Drive" para usuarios de una cuenta de "Google Apps" , ni las de "Microsoft Onedrive " para cuentas gestionadas por un tercero, ni las de "Dropbox" para empresas, sin perjuicio de que las observaciones hechas en este informe puedan resultar igualmente aplicables en estos supuestos.

A menudo, estas condiciones de uso contienen varios enlaces con remisiones a otros consideraciones que también deben tenerse en cuenta a la hora de contratar el servicio, algunas de especial trascendencia para la protección de datos personales, tales como, la política de privacidad empleada o las medidas de seguridad aplicadas.

Tal como admiten las mismas compañías, cualquiera de estas condiciones y, especialmente, las relativas a la privacidad pueden ser modificadas en cualquier momento sin necesidad de notificar previamente a sus clientes-usuarios, salvo que se considere, a criterio de la misma compañía, que la revisión puede afectar de manera significativa a sus derechos.

Un ejemplo de esta modificación unilateral lo encontramos en el servicio "Dropbox". En el transcurso de la elaboración del presente informe la empresa Dropbox ha anunciado una actualización de la política de privacidad, así como de las condiciones de uso generales y de las condiciones previstas para las empresas de su servicio "Dropbox". Dichas actualizaciones está previsto que entren en vigor el 24 de marzo de 2014.

Estos hechos ponen de manifiesto la dificultad existente en este ámbito para determinar cuáles son las condiciones exactas de la prestación de estos servicios ya las que se someterá, en concreto, el responsable del tratamiento (el abogado) con su contratación. Es decir, dificultan el análisis previo de los riesgos para la seguridad y la integridad de la información derivados, en este caso, del uso de los servicios "Google Drive", "Microsoft Onedrive" y "Dropbox", al que se hace referencia a continuación.

3. LA ADHESIÓN AL ACUERDO DE SAFE HARBOR

Los flujos de información y la adhesión de las empresas proveedoras de estos servicios los principios del acuerdo "US-EU Safe Harbor".

Teniendo en cuenta el funcionamiento propio de estos servicios de "cloud storage", basado en un almacenamiento de la información en varios servidores en centros de procesamiento de datos, un riesgo que puede amenazar la seguridad de los datos personales y que el responsable del tratamiento o archivo (el abogado) debe tener en cuenta antes de llevar a cabo su contratación es el de la deslocalización de los datos o de los flujos de información que pueden tener lugar. La incertidumbre sobre la ubicación real de la información personal pone de manifiesto la pérdida efectiva de control sobre los datos para parte del responsable y, consecuentemente, la posibilidad de que este vulnere la normativa de protección de datos.

Es posible que la contratación de estos servicios de "Cloud Storage" pueda comportar la realización de una transferencia internacional de datos personales (artículo 5.1.a) RLOPD) si su transmisión tiene lugar fuera del territorio del Espacio Económico Europeo (EEE), ya sea porque esta transmisión constituye una cesión o comunicación de datos (artículo 3.e) LOPD), ya sea porque tiene por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (artículo 12 LOPD).

Veamos, a continuación, que se prevé al respecto para los servicios "Microsoft Onedrive", "Google Drive" y "Dropbox":

"Microsoft Onedrive", de acuerdo con las condiciones generales del servicio, la contratación de este servicio por el cliente-usuario (el abogado) se llevará a cabo con la compañía Microsoft Corporation o, según donde resida el cliente, con una de sus filiales. En este sentido, se señala que, si el lugar de residencia se encuentra en Europa -como sucedería en este caso-, la relación contractual se establece con Microsoft Luxembourg S.à.r.l. (apartado 12 "Entidad contratante de Microsoft"). Por tanto, de inicio, se podría pensar que la transmisión de los datos personales por el abogado a Microsoft no tendría consideración de transferencia internacional de datos, en encontrarse ubicada esta sociedad dentro del EEE, de tal manera que no sería aplicable el régimen previsto en este sentido a la LOPD y el RLOPD. Ahora bien, si examinamos su política de privacidad, se puede comprobar como la compañía prevé almacenar y tratar la información personal recopilada en los Estados Unidos o en otro país en que Microsoft o sus filiales, sociedades del grupo o proveedores de servicios dispongan de instalaciones (apartado "Otra información de privacidad Importante. Dónde se guarda y procesa la información "), sin concretar quienes son estas empresas y donde se encuentran ubicadas físicamente.
"Google Drive", en cuanto a la contratación del servicio de acuerdo con sus condiciones de servicio, ésta se llevaría a cabo con la empresa Google Inc., el domicilio social de la cual está ubicado en California, en Estados Unidos, si bien también sería posible hacerlo con una de sus filiales. En este caso, y a diferencia de Microsoft, no se señala cuáles podrían ser estas empresas filiales. En este sentido, cabe señalar que, en el supuesto de que la contratación tuviera lugar con Google Ireland Limited (lo más probable), la transmisión de los datos personales por el abogado no tendría consideración de transferencia internacional de datos, al encontrarse ubicada esta sociedad dentro del EEE, de tal manera que no sería aplicable el régimen previsto en este sentido a la LOPD y el RLOPD. Ahora bien, del mismo modo que en el caso de Microsoft, si se examina la política de privacidad de Google se puede comprobar que la compañía afirma tratar los datos personales en sus servidores que están ubicados en diferentes países del mundo y reconoce, asimismo, que este tratamiento puede hacerse en un servidor que no esté ubicado en el país de residencia del cliente (apartado "Cómo utilizamos los datos recogidos "), sin concretar pero cuáles serían estos países.
"Dropbox", en cuanto a la contratación del servicio parece ser que, por lo que se desprende de las condiciones del servicio, ésta se llevaría a cabo con una empresa ubicada en California, en Estados Unidos. En este caso, si se examina la política de privacidad vigente en el momento de efectuar la consulta, Se puede comprobar, además, como la compañía prevé que terceros (proveedores de servicio, socios empresariales y otras personas externas de confianza) puedan tener acceso a la información personal tratada (Apartado "3. Intercambio y divulgación de información"), sin concretar, más allá de los servicios de almacenamiento de la empresa Amazon empleados, cuáles son estos terceros y donde se encuentran ubicados físicamente. Cabe señalar que en la versión actualizada de la política de privacidad se omite la referencia a la empresa Amazon, si bien se mantiene que terceros puedan tener acceso a la información del cliente, estableciendo, en este sentido, que dicho acceso será exclusivamente para realizar tareas en nombre de Dropbox (Apartado "Con quién"). A esto hay que añadir que la empresa admite poder almacenar, procesar y transmitir la información a cualquier lugar del mundo, incluidas ubicaciones fuera del país del cliente (apartado "Dónde").

Dadas todas estas previsiones, habrá que tener en cuenta que, en la medida en que la información personal se almacene en servidores ubicados en los Estados Unidos, así como en otras zonas geográficas o terceros países, la transmisión de los datos por el cliente-usuario (el abogado) a los prestadores de servicios "Cloud Storage" señalados -Microsoft, Google o Dropbox- sí tendrá consideración de transferencia internacional de datos (Artículo 5.1.a) RLOPD).

Para que esta transferencia internacional de datos pueda considerarse conforme con la normativa de protección de datos será necesario, además de dar cumplimiento a lo establece la LOPD, obtener la autorización del Director de la Agencia Española de Protección de Datos (artículos 33 LOPD y 137 a 144 RLOPD), salvo que, entre otras excepciones previstas en el artículo 34 LOPD y el artículo 70 RLOPD, los datos se transfieran a países que ofrezcan un nivel adecuado de protección.

Entre estos países (artículo 67 RLOPD), se incluyen las entidades de Estados Unidos adheridas a los principios del acuerdo "US-EU Safe Harbor", de acuerdo con la Decisión 2000/520/CE de la Comisión [5] de 26 de Julio de 2000. Entre ellas encontramos, tal y como señala en el escrito de consulta, las empresas Microsoft, Google y Dropbox (incluso, si fuera el caso, Amazon) por lo que se entiende que los datos facilitados serán tratados con determinadas garantías y condiciones de seguridad.

De acuerdo con estos preceptos, pues, la transferencia internacional de datos desde el cliente a Microsoft, Google o Dropbox, cuando la información se almacene únicamente en servidores ubicados en los Estados Unidos, podría realizarse sin necesidad de autorización del Director de la Agencia, siempre es claro que se cumpliera con el resto de requerimientos de la LOPD.

Ahora bien, dicho esto, hay que tener en cuenta que, a menudo, la aplicación de estos principios de acuerdo Safe Harbor puede ser insuficiente en un entorno como es el de la "computación en la nube", en el que los flujos de información pueden referirse no a Estados Unidos sino a otras zonas geográficas o terceros países. De hecho, este es el caso de las empresas analizadas que, como hemos visto antes, también prevén la transmisión de los datos a servidores ubicados en cualquier otro país en el que la empresa o sus agentes dispongan de instalaciones, así como en diferentes zonas geográficas, sin esclarecer pero sus ubicaciones físicas.

En estos casos, hay que tener en cuenta que la adhesión al acuerdo Safe Harbor se encuentra limitada a las entidades que estén establecidas en los Estados Unidos y que reciben datos personales procedentes de la Unión Europea (artículo 1 de la Decisión de la Comisión Europea de 26 de julio de 2000 sobre la adecuación de la protección conferida por los principios de Puerto Seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de los Estados Unidos de América).

En este sentido, hay que recordar que, si bien las tres empresas proveedoras de estos servicios de "Cloud Storage" informan, por medio de sus políticas de privacidad, de la su adhesión a los principios del acuerdo Safe Harbor, no informan de este mismo extremo con respecto al resto de zonas geográficas en las que podrían ubicarse sus servidores (o los de terceros).

Únicamente "Dropbox" especifica -si bien tal previsión se omite en la política de privacidad actualizada- que emplea el espacio de almacenamiento ofrecido por la empresa Amazon (Apartados "tus cosas y tu privacidad"). Ahora bien, hay que recurrir a la política de privacidad de dicha compañía para conocer que esta empresa también se encuentra adherida a los principios del acuerdo Safe Harbor y, aun así, no se podría descartar que Amazon dispusiera también de servidores ubicados en terceros países con un nivel de protección no equivalente.

En caso de no poder garantizar, por tanto, dicha adhesión a los principios del acuerdo Safe Harbor o que las zonas o países en los que tienen ubicados sus servidores ofrecen un nivel de protección equivalente, y de no darse ninguna otra de las excepciones previstas en la LOPD –como ahora, en el supuesto previsto en el artículo 34.g) LOPD,- haría falta, además de cumplir con los demás extremos de la LOPD, contar con la autorización del Director de la Agencia Española de Protección de Datos.

En este punto, y dados los términos en que se formula la consulta, conviene tener presentes otros elementos adicionales, como el hecho de que, en ese país y por aplicación de la USA Patriot Act (Public Law 107-56-Oct. 26, 2001), la NSA (National Security Agency) tiene capacidad para exigir a los prestadores de servicios, incluidos aquellos que ofrecen servicios de "Computación en la nube", tales como el "cloud storage", la divulgación de todo tipo de informaciones relativas a los ciudadanos norteamericanos pero también a los extranjeros, ubicadas o no en territorio estadounidense, en virtud de una Carta de Seguridad Nacional, sin necesidad de control judicial previo.

De hecho, varias revelaciones de espionaje a gran escala surgidas en los últimos meses (Como, entre otros, el funcionamiento de los programas PRISMA, Evil Olive, Shell Trumpet o Fairview) han evidenciado prácticas de recopilación masiva e indiscriminada de datos por parte de los Estados Unidos, justificadas por razones de seguridad, que han comportado -y conllevan- la vulneración de derechos fundamentales de los ciudadanos, como el derecho a la intimidad y el derecho a la protección de datos personales.

Hay que tener presente que, a consecuencia de estos hechos, las autoridades han solicitado, entre otros aspectos, una revisión de los principios del acuerdo Safe Harbor a que se hace referencia en este informe, a fin de aumentar la transparencia y el control de las empresas que están adheridas y, sobre todo, a fin de limitar al máximo las excepciones que permiten a las autoridades estadounidenses acceder a los datos personales para motivos de seguridad.

Un ejemplo en este sentido lo encontramos en la Comisión Europea que ha elaborado los documentos "El funcionamiento de los principios de Puerto Seguro desde la perspectiva de los ciudadanos y las empresas de la UE” [6] y "El restablecimiento de la confianza en las transferencias de datos entre la UE y los Estados Unidos". [7]

De estos documentos destaca, en concreto, la constatación por parte de la Comisión del hecho que, en la medida en que los programas de supervisión estadounidenses afecten a datos almacenadas en la nube a las que resulte de aplicación la legislación europea sobre protección de datos personales, facilitar a las autoridades de Estados Unidos, sin cumplir los requisitos previstos en esta legislación, el acceso a los datos allí alojadas, incluso, para aquellos que tengan la condición de encargados del tratamiento, supondrá la infracción de la legislación europea de protección de datos -así como de la nacional aplicable-, sin que las excepciones previstas en el marco de los principios de Safe Harbor permitan extraer una conclusión diferente (la Comisión señala expresamente la preocupación existente en torno a empresas como Google y Microsoft, entre otros, dado el elevado número de usuarios de que disponen).

Cabe destacar, fruto de esta situación, la decisión adoptada por el gobierno estadounidense con la voluntad de reformar, tal como se ha exigido, los métodos de recopilación de información para parte de la NSA, con el fin de garantizar un mejor control judicial y reducir los riesgos de un uso inapropiado de esta información.

Sin embargo, el Parlamento Europeo, en una reciente resolución, instó a la Comisión Europea y a los veintiocho países de la Unión Europea a que suspendan el acuerdo Safe Harbor, dado que considera demostrado que las empresas que están adheridas incumplen la obligación de proteger la privacidad de los datos que, en virtud de este acuerdo, pueden transferir desde la Unión Europea a los Estados Unidos.

Estos hechos evidencian que, como se ha dicho, la adhesión de las empresas Microsoft, Google y Dropbox los principios del acuerdo Safe Harbor podría resultar insuficiente en el ámbito examinado. Ahora bien, a fecha de hoy y en la medida en que este acuerdo sigue vigente, la adhesión presupone un tratamiento de los datos personales con ciertas garantías y condiciones de seguridad. Aun así, hay que tener presente que esta adhesión de las empresas proveedoras de los servicios "Cloud Storage" al acuerdo Safe Harbor no exime al responsable del tratamiento del cumplimiento del resto de previsiones establecidas en la normativa española de protección de datos.

4. TRANSMISIÓN DE INFORMACIÓN A EMPRESAS DEL GRUPO

Relacionado con el apartado anterior relativo a los flujos de información, se considera conveniente hacer, a continuación, una referencia específica a las previsiones incluidas en las condiciones del servicio, relativas a la transmisión de la información tratada en empresas o sociedades del grupo:

En el caso de "Microsoft Onedrive", esto se prevé en los apartados "Cómo utilizamos su información personal" y "Otra información de privacidad Importante" de su declaración de privacidad.
En el caso de "Google Drive", se prevé en el apartado "Qué datos personales compartimos. Tratamiento externo" de su política de privacidad.
En el caso de "Dropbox", se prevé en los apartados "Tus cosas y tu privacidad" de las condiciones de servicio y "Proveedores de Servicios, socios empresariales y otros" de su política de privacidad, ambas en sus versiones no actualizadas en fecha 24 de marzo de 2014.

Este tipo de transmisiones de datos, aunque se produzcan entre sociedades integradas en un mismo grupo empresarial, deben considerarse como una comunicación de datos (artículo 3.i LOPD). Por tanto debería concurrir alguno de los supuestos habilitantes previstos el artículo 11 de la LOPD, o bien que, si se trata de una comunicación para que una tercera empresa preste un servicio por cuenta del responsable, se establezca el correspondiente contrato de sub-encargado del tratamiento.

En cualquier caso, y en la medida en que se lleven a cabo fuera del EEE constituyen también transferencias internacionales de datos, tal como hemos expuesto. Habrá, por tanto, que contar con la autorización previa del Director de la Agencia Española de Protección de Datos, salvo que se dé alguna de las excepciones previstas en los artículos 34 LOPD y 70 RLOPD.

Esta autorización puede ser otorgada si, de conformidad con lo establecido en el artículo 70.4 del RLOPD, el grupo empresarial ha adoptado normas o reglas internas en que consten las necesarias garantías de respeto para la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y si se garantiza, asimismo, el cumplimiento de los principios y el ejercicio de los derechos que reconoce la LOPD y el RLOPD.

Es necesario que estas reglas corporativas, conocidas como Binding Corporate Rules (BCR), sean vinculantes para todas las empresas del grupo (artículo 137 RLOPD) y que se haya evaluado la conveniencia de su adopción de acuerdo con las previsiones de los documentos de trabajo elaborados en este sentido por el Grupo de Trabajo del Artículo 29 [8] de la Directiva Europea 95/46/CE.

Corresponde a la Agencia Española de Protección de Datos decidir sobre la adecuación de estas comunicaciones a la normativa de protección de datos.

Por otro lado, también conviene hacer, en este mismo apartado, una referencia específica a las previsiones contenidas en estas condiciones en cuanto a la participación de empresas subcontratadas en la prestación de los servicios de "Cloud Storage":

En el caso de "Microsoft Onedrive" establece que "Podemos compartirla con empresas a las que hemos contratado para ofrecer servicios en nuestro nombre. Cuando compartimos información con estas empresas para que nos ofrezcan sus servicios, no les está permitido utilizarla para ningún otro fin y deben mantener su confidencialidad”.
En el caso de "Google Drive" se establece que "proporcionaremos tus datos personales a Nuestras filiales o a organizaciones y otros terceros de confianza para que lleven a cabo su tratamiento por cuenta de Google siguiendo nuestras instrucciones, de acuerdo con nuestra Política de privacidad y adoptando cuantas medidas sean oportunas para garantizar la confidencialidad y seguridad de dichos datos".
En cuanto a "Dropbox" se establece que "a fecha de entrada en vigor de esta política, utilizamos los servicios de almacenamiento S3 de Amazon para almacenar parte de tu información (por ejemplo, tus Archivos)". Esta previsión, como se ha indicado, ha sido eliminada en la versión actualizada de fecha 24 de marzo de 2014.

Hay que tener en cuenta que, de conformidad con la normativa de protección de datos, el encargado del tratamiento no podrá subcontratar, de forma unilateral con un tercero, la realización de ningún tratamiento que le haya encomendado el responsable del tratamiento (Artículo 21 RLOPD). Por el contrario, sólo es posible efectuar la subcontratación cuando concurran los siguientes requisitos:

Que este tratamiento se haya especificado en el contrato firmado por la entidad contratante y el contratista.
Que el tratamiento de datos de carácter personal se ajuste a las instrucciones del responsable del tratamiento.
Que el contratista encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la LOPD.

Asimismo, de acuerdo con lo establecido en el Dictamen 5/2012, de 1 de julio, [4] sobre el Cloud Computing, del Grupo de Trabajo del Artículo 29 de la Directiva Europea 95/46/CE, en caso que exista uno o varios subcontratistas sería necesario especificar el nombre de cada uno en este contrato. Asimismo, el proveedor de los servicios de "Cloud Storage" debería firmar un contrato específico con cada subcontratista en que se fijen todas las obligaciones que el cliente (el responsable) ha impuesto al proveedor y que éstos también deberán cumplir (apartados 3.3.2 y 3.4.2.7 del Dictamen).

Sólo garantizando el cumplimiento de estas condiciones se podría admitir, desde la vertiente de la protección de datos, la participación de empresas subcontratistas en la prestación de los servicios "Cloud Storage" a contratar por el abogado.

5. MEDIDAS DE SEGURIDAD Y CERTIFICACIÓN DEL PRESTADOR

Las medidas de seguridad y la certificación ISO/IEC/27001: 2013 de las empresas proveedoras de los servicios "Google Drive", "Microsoft Onedrive" y "Dropbox"

Uno de los ejes fundamentales de la normativa de protección de datos es el cumplimiento de las medidas de seguridad que hay que implementar para garantizar no sólo la confidencialidad, sino también la integridad y la disponibilidad de la información que sea objeto de tratamiento con el fin de garantizar, en definitiva, el derecho fundamental a la protección de datos personales.

De entrada, y antes de analizar la seguridad proporcionada específicamente por "Google Drive", "Microsoft Onedrive" y "Dropbox" -que se hará en un apartado diferenciado-, hay destacar que las compañías proveedoras de estos servicios de "Cloud Storage" explicitan en sus condiciones de servicio y de privacidad que ni son responsables de la pérdida de información ni pueden garantizar al 100% la seguridad de la información almacenada en sus servidores (o, en su caso, en los de terceros):

En cuanto a "Microsoft Onedrive" establece que "no Podemos garantizar que los Servicios sean ininterrumpidos, puntuales, seguros ni que estén libres de errores" (Apartado "Microsoft no otorga ninguna garantía adicional" de las condiciones de servicio).
En relación con "Google Drive" se establece que "(...) ni Google ni sus proveedores o distribuidores serán responsables por la Pérdida de (...) datos (....)" (apartado "Responsabilidad por nuestros Servicios" de las condiciones de servicio).
En relación con "Dropbox" establece que "en ningún caso serán responsables Dropbox, sus afiliados, directivos, empleados, agentes, proveedores ni licenciatarios de ningún daño indirecto, especial, incidental, punitivo, ejemplar o consecuente incluida la pérdida de uso, datos, negocios o beneficiarios" (apartado "Limitación de responsabilidad" de las condiciones de servicio, y, en sentido similar, en las nuevas condiciones). Asimismo, reconoce que "ningún método de transmisión ni de almacenamiento electrónico es seguro al 100%" (apartado "Seguridad" de la política de privacidad, aunque este apartado ha sido eliminado de la versión actualizada en fecha 24 de marzo de 2014).

Previsiones de este tipo, que, cabe señalar, son formuladas unilateralmente por las empresas que ofrecen los servicios, no pueden considerarse como una eximente de las obligaciones que, en función de la información tratada, pudieran resultar exigibles en base a lo que dispone el artículo 9 de la LOPD.

De acuerdo con este precepto corresponde al responsable del tratamiento y, en su caso, al encargado del tratamiento adoptar las medidas de carácter técnico y organizativo necesarias para garantizar la seguridad de los datos personales que serán tratados, así como para evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Estas medidas de seguridad vienen reguladas en el Título VIII del RLOPD, que las clasifica en tres niveles diferentes -básico, medio y alto- en función de la tipología de datos personales que en cada caso se prevean tratar, y tienen un carácter acumulativo, de tal manera que las establecidas para cada nivel exigen incorporar las previstas para los niveles inferiores (artículos 79 y siguientes).

En el caso de un tratamiento de datos de terceros por cuenta del responsable, como el examinado, cabe recordar que en el contrato de encargado deben quedar fijadas cuales de las medidas de seguridad del RLOPD en concreto se adoptarán (artículo 12.2 LOPD).

Ahora bien, es cierto que la complejidad del funcionamiento de la prestación de servicios de "Cloud Storage" hace que no siempre resulte fácil definir o establecer cuáles son estas medidas de seguridad que se implementarán.

Por ejemplo, es muy probable que en este ámbito se traten a la vez datos que requieren un nivel de protección diferenciado (básico, medio o alto) pero que el proveedor de estos servicios, a fin de establecer una oferta clara para todos sus clientes, acabe aplicando unas medidas de seguridad homogéneas.

En este sentido, cabe apuntar que, por la propia naturaleza de la relación entre abogados y clientes, es posible que algunas de las informaciones personales que almacenen en "Google Drive", en "Microsoft Onedrive" o en "Dropbox" (o, en su caso, en los servidores de terceros) sean especialmente protegidos, es decir, datos que la normativa protege de forma reforzada (artículo 7 LOPD), como pueden ser, los datos de salud o los datos relativos a la comisión de infracciones penales o administrativas, entre otros.

Asimismo, es probable que estas medidas estén articuladas de acuerdo con estándares distintos de los previstos en el RLOPD, como ahora, en normas internacionales o en certificaciones en materia de seguridad informática.

Por ejemplo, el estándar ISO/IEC/27001 "Sistemas de Gestión de la Seguridad de la Información" de la International Standards Organization; la certificación SAS 70 "Statement on Auditing Standards No. 70"; la certificación Systrust y Webtrust del American Institute of Certified Public Accountants (AICPA); la certificación del Federal Information Security Management Act (FISM): NIST SP 800-37 "Guide for the Security Certification and Accreditation of Federal Information Systems", entre otros.

En el escrito de consulta se plantea si el hecho de contar con la certificación ISO/IEC/27001:2013 puede considerarse garantía suficiente para cumplir con la normativa de protección de datos.

Conviene puntualizar que esta versión del estándar fue publicada en octubre de 2013. Aunque incorpora algunas modificaciones respecto de su versión anterior, ISO/IEC/27001:2005, a los efectos que interesan en la presente consulta, pueden considerarse equivalentes, de tal manera que nos referimos de manera genérica al estándar ISO/IEC/27001.

El hecho de que las empresas Microsoft, Google y Dropbox dispusieran de la certificación ISO/IEC/27001 supondría que una entidad de certificación externa, independiente y acreditada hubiera auditado su Sistema de Gestión de Seguridad de la Información (SGSI), determinando su conformidad con el estándar ISO/IEC/27001, su grado de implementación real y su eficacia y, en caso positivo, habría emitido el correspondiente certificado.

Los pilares básicos de este estándar ISO/IEC/27001 comprenden:

El establecimiento de una política, un alcance y unos objetivos para la seguridad de la información.
La elaboración de un análisis de riesgos proporcional a la naturaleza y a la valoración de los activos y los riesgos a que estos activos están expuestos.
La selección de los controles adecuados, de conformidad con los objetivos que se pretenden obtener con estos controles, justificando su elección (recogidos en el Anexo A de la norma).
La mejora continua.

Teniendo en cuenta los apartados de este estándar y, específicamente, los controles para la seguridad de la información establecidos en su Anexo A (en la última versión han pasado de 133 a 114), podría admitirse que, en la medida en que estos controles podrían en cierto modo concordar con diferentes preceptos del RLOPD relativos a las medidas de seguridad (artículos 89 a 104), la aplicación de la ISO/IEC/27001 por una empresa proveedora de servicios "Cloud Storage" le facilitaría el cumplimiento de la normativa de protección de datos en este sentido.

Es decir, disponer de una certificación ISO/IEC/27001 vigente podría considerarse un buen indicio de que los sistemas de información de los proveedores de servicios "Cloud Storage" examinados están convenientemente gestionados desde la perspectiva de la seguridad de la información.

Ahora bien, dicho esto, cabe puntualizar que:

El núcleo del estándar ISO/IEC/27001 es que los riesgos para el sistema de información de la empresa en cuestión se analicen y se gestionen, que la seguridad se planifique, implemente, se revise, se corrija y se mejore. Es decir, el objetivo de este estándar es que la empresa sea capaz de priorizar y seleccionar los controles de acuerdo con las sus posibilidades y sus necesidades (o riesgos) de seguridad.
Aunque las medidas de seguridad susceptibles de ser implantadas en un sistema certificado según el estándar ISO/IEC/27001 puedan concordar con diferentes preceptos del RLOPD, en realidad no hay una relación directa entre estas medidas y las previstas en el RLOPD.

Es decir, disponer de la certificación ISO/IEC/27001 no es garantía de la existencia, a modo de ejemplo, de un documento de seguridad con los contenidos mínimos previstos en la legislación española de protección de datos, de una política de copias de seguridad que cumpla los requisitos del RLOPD, de un registro de acceso a los datos o de un registro de incidencias que cumpla con todos los requisitos previstos en la normativa vigente.

Además, procede señalar la dificultad existente en poder determinar si efectivamente los proveedores de estos servicios de "Cloud Storage" disponen de la certificación ISO/IEC/27001. Ni las condiciones de servicio, ni las políticas de privacidad o, en su caso, de seguridad contienen referencias específicas a esta certificación.

Vemos, pues, que se establece en relación con este aspecto:

La empresa Microsoft explicita en su página web que sus productos "Office 365" y "Microsoft Dynamics CRM Online", así como los respectivos centros de datos y de infraestructuras físicas, han obtenido la certificación ISO/IEC/27001, pero se desconoce si el servicio "Microsoft Onedrive" también podría disponer de esta certificación.
En cuanto a la empresa Google, esta habría obtenido tal certificación para los sistemas, las aplicaciones, los expertos, las tecnologías, los procesos y los centros de datos de "Google Analytics" y de Google "Analytics Premium, desconociéndose, sin embargo, si también la habría obtenido para el servicio de "Google Drive".
Sólo la empresa Dropbox explicita, si bien en el apartado "centro de ayuda" de su página web, que, entre otras certificaciones, la empresa Amazon cuenta con la certificación ISO/IEC/27001, de la que, recordemos, "Dropbox" utiliza las infraestructuras de procesamiento de la información. Por tanto, hay que tener presente que las aplicaciones que ofrece Dropbox no han sido certificadas según el estándar ISO/IEC/27001, sino los servicios de su proveedor Amazon. A esto hay que añadir que la referencia a Amazon ha sido omitida en la actualización de las condiciones de servicio.

Así pues, a la vista de estas consideraciones, hay que decir, en relación con la cuestión concreta planteada en el escrito de consulta, que disponer de la certificación ISO/IEC/27001 -o cualquier otra certificación o estándar internacional en materia de seguridad- podría no equivaler a dar cumplimiento a las previsiones del RLOPD en materia de seguridad.

Para que dicha certificación pueda ser considerada suficiente garantía, ésta debería ir acompañada de la auditoría prevista en el RLOPD, dado que la finalidad de esta medida es, precisamente, pronunciarse de manera directa sobre si las medidas de seguridad implementadas son conformes con la legislación española de protección de datos.

Esta consideración puede hacerse extensible en cuanto a la cuestión planteada en el escrito de consulta relativa a las certificaciones que debería adquirir un prestador de este tipo de servicios. No existe ninguna certificación para proveedores en la nube que verifique, de manera específica, el cumplimiento estricto de las medidas de seguridad previstas en el RLOPD. Cualquier certificación en este ámbito, como en el caso de la ISO/IEC/27001, debería ir acompañada del informe de auditoría a que se ha hecho referencia.

En este punto, conviene recordar que es responsabilidad del abogado (como responsable del tratamiento) velar por que los proveedores de los servicios de "Cloud Storage" (como encargados del tratamiento) garanticen la implementación de las medidas previstas en el RLOPD (artículo 20.2 RLOPD).

VII

6. LA SEGURIDAD PROPORCIONADA

La seguridad proporcionada específicamente por los servicios "Google Drive", "Microsoft Onedrive" y "Dropbox".

6.1. Introducción

Tal y como se ha adelantado en el apartado III de este informe, el análisis de los riesgos para la seguridad de la información en la prestación de los servicios de "Cloud Storage" examinados puede comprender:

A. Los aspectos de seguridad global de cada uno de los servicios citados: lo establecido en las respectivas políticas de servicio, de privacidad y otros documentos.

B. Los aspectos de seguridad de las aplicaciones utilizadas para acceder a las prestaciones y funcionalidades de estos servicios:

Acceso mediante el navegador "web".
Acceso mediante lo que se denomina "aplicación de escritorio".
Acceso mediante una aplicación para dispositivos "móviles".

Hay que puntualizar, en este punto, que en caso de acceso a los servicios mediante aplicaciones de escritorio y aplicaciones para dispositivos móviles es posible emplear aplicaciones provistas por terceros, es decir, no necesariamente provistas por "Google Drive", "Microsoft Onedrive" y "Dropbox". Este uso de aplicaciones de terceros-por razones obvias, no se examina este aspecto- añade riesgos adicionales en función de la identidad de su proveedor. Por lo tanto, hacer sólo la advertencia de que su uso limitará las posibles responsabilidades de Google, Microsoft o Dropbox en relación con la gestión de los ficheros almacenados por el usuario (el abogado).

6.2. Aspectos de seguridad global

Veamos, a continuación, qué previsiones en materia de seguridad contienen las condiciones de servicio y las políticas de privacidad de los diferentes servicios examinados:

6.2.1. Servicio Dropbox

En cuanto al servicio "Dropbox", la única referencia que se hace a la seguridad del servicio en sus condiciones de uso -referencia que se omite en la actualización de 24 de marzo de 2014- es la de que trata aspectos relacionados con la seguridad de la cuenta de usuario (Apartado "Seguridad de la cuenta"). Dicha referencia se limita a determinar que el usuario:

Debe custodiar la contraseña de acceso al servicio.
Está obligado a comunicar inmediatamente a "Dropbox" el uso no autorizado de su cuenta.
Y que es responsabilidad suya utilizar una conexión cifrada al acceder a los servicios de "Dropbox", aunque esta previsión se contradice parcialmente con la información que "Dropbox" proporciona en relación con las medidas de seguridad implantadas en el su servicio, dado que, entre las medidas de seguridad que aporta el proveedor, se prevé precisamente la de cifrar el canal de comunicación.

Si acudimos a su política de privacidad, se puede comprobar que "Dropbox" afirma, en el apartado "Seguridad":

Utilizar el cifrado en la transmisión de información. Ahora bien, hay que decir que sólo se refiere a cuando se trata de información recogida mediante formularios (habitualmente cuando el usuario se da de alta en el servicio) y, concretamente, se refiere al uso de SSL16 cuando se trata de información relativa a medios de pago, una cuestión que en todo caso creemos que no forma parte del núcleo de la consulta dirigida a esta Autoridad.
Utilizar los estándares generalmente aceptados para proteger la información sin concretar, sin embargo, de qué estándares se trata y, en todo caso, advirtiendo que no pueden garantizar la seguridad al 100%.

Cabe señalar que dicha información sobre la seguridad empleada por "Dropbox" se reduce de forma considerable en la versión actualizada de su política de privacidad, en la que, una vez dicho que disponen de una organización orientada a proteger la información, recuerdan que tienen implantadas medidas de seguridad tales como "la autenticación en dos pasos, el cifrado de archivos en pausa y las alertas al vincular dispositivos y aplicaciones a tu Cuenta".

A pesar de esta reducción de la información relativa a la seguridad, hay que apuntar que "Dropbox" cuenta con un apartado específico, denominado "Resumen de Seguridad", en su página web, que contiene información adicional en este sentido y que, por lo que se desprende de lo dispuesto en su web, se mantiene vigente a pesar de las actualizaciones llevadas a cabo en las condiciones de uso y la política de privacidad.

De acuerdo con el citado "Resumen de Seguridad", los archivos una vez han sido enviados por el cliente son cifrados -es decir, se mantienen cifrados mientras están almacenados-, esclareciendo, en este sentido, que ellos gestionan las claves de este cifrado. Por lo tanto, en cualquier momento "Dropbox" podría descifrar la información o, si estas llaves quedan comprometidas, los archivos podrían ser descifrados por terceros no autorizados, que obviamente también deberían tener acceso a los ficheros.

Ahora bien, también informa de la posibilidad de que el usuario, a fin de gestionar sus propias claves de cifrado, pueda añadir una capa de cifrado antes de transmitirlos, aspecto que hay que valorar positivamente, a pesar de que ello pueda conllevar alguna pérdida de funcionalidad o que, en caso de pérdida de la llave para descifrar, "Dropbox" no podría recuperar la información cifrada por el usuario en origen.

Asimismo, dado que emplea Amazon S3 para almacenar los datos (o, como mínimo, así se afirma hasta la entrada en vigor de la actualización de la política de privacidad), mantiene que dicha compañía emplea medidas de seguridad físicas de grado militar, aunque hay que recurrir a su página web para obtener más información al respecto.

Por lo que respecta a la transmisión de la información entre las diferentes aplicaciones y los servidores, ésta también se realiza de forma cifrada, utilizando un canal seguro, cifrado mediante SSL de 256 bits.

En cuanto a la conservación de los datos, mantiene que tanto él como Amazon realizan copias de seguridad de todos los datos en múltiples ubicaciones, para evitar la pérdida de información.

En cuanto al control de accesos, asegura que su personal sólo tiene acceso a las metadatos de los archivos depositados por los motivos señalados en su política de privacidad, si bien se prevén algunas excepciones (por ejemplo, por requerimientos legales). También afirma emplear medidas de seguridad físicas y electrónicas para evitar accesos no autorizados, aunque no da detalles.

6.2.2. Servicio Google Drive

En relación con el servicio "Google Drive", hay que atender en el apartado "Seguridad de los datos " de su política de privacidad, de acuerdo con el cual:

Hacen copias de seguridad.
Hacen "esfuerzos" para evitar el acceso no autorizado a los datos.
Cifran la transmisión de la información mediante SSL.
Tienen implantados mecanismos de verificación del acceso en dos pasos.
Tienen implantadas medidas de seguridad físicas para impedir el acceso a sus sistemas.
Limitan el acceso de empleados y de terceros que puedan tratar los datos por cuenta de Google, indicando que estas personas están sujetas a estrictas obligaciones de confidencialidad.

Si bien en este y otros apartados de la política de privacidad podemos encontrar mucha información relacionada con la seguridad, hay que decir que la mayor parte de esta información se trata de declaraciones de intenciones y de consejos u orientaciones para los usuarios.

No hay una concreción sobre cuáles son los sistemas de cifrado utilizados, ni donde se emplean, ni explicitan si las infraestructuras son propias o de terceros, ni tampoco informan sobre qué medidas de seguridad se aplican en cada caso o sobre si están sujetos a certificaciones de seguridad específicas. Y es que el hecho de que se trate de una política de privacidad pensada en realidad para todos los servicios ofrecidos por Google no permite conocer cuáles son las medidas técnicas y organizativas que se adoptarán, en particular, en el servicio "Google Drive" para proteger la información que se almacena.

Si se acude al "centro de ayuda" de "Google Drive" sólo obtendremos recomendaciones sobre cómo guardar la información de manera segura -tales como, asegurarse de que la cuenta sea segura; salir de la cuenta en caso de emplear un ordenador compartido; no instalar "Google Drive" en ordenadores públicos; o elegir una configuración para compartir los archivos adecuada para preservar la información personal (privado, cualquier usuario que reciba el enlace o público en la web)-, así como una remisión a la política de privacidad y un serie de herramientas pensadas para proteger la privacidad (por ejemplo, la verificación en dos pasos), pero que no sirven a los efectos de conocer detalles de cómo protege Google sus sistemas de información.

El motivo de estas recomendaciones es, en buena parte, que "Google Drive" está enlazado con "Gmail" -servicio de correo electrónico de Google-, lo que puede comprometer fácilmente los archivos depositados por el cliente (el abogado) si éste, por ejemplo, deja abierta la ventana del navegador o si no protege su cuenta con una contraseña robusta.

Hay que recordar que Google, a partir del año 2012, comenzó a unificar las políticas de privacidad y las condiciones de uso de servicios tan importantes como el correo electrónico, las redes sociales y, también, el servicio de almacenamiento, para facilitar el acceso de los usuarios a todos estos servicios mediante una cuenta única. Esto supone evidentes riesgos desde la perspectiva de la seguridad, dado que si, como se ha dicho, no se protegen convenientemente las credenciales de acceso, consiguiendo el acceso a uno de los servicios sería posible acceder al resto.

6.2.3. Servicio Microsoft Onedrive

En cuanto a "Microsoft Onedrive", hay que decir que en su política de uso sólo se recuerda al usuario, y de manera reiterada, que debe hacer copias de seguridad de la información (apartados "Contenido", "cancelación de los Servicios" y "interrupciones de los Servicios y respaldos "). Por tanto, el cliente (el abogado) debe tener presente que, en este caso concreto, el mismo proveedor del servicio de "Cloud Storage" reconoce no poder garantizar la integridad y la conservación de los datos, tal y como exige la normativa de protección de datos personales (artículos 94 y 102 RLOPD).

No se explicita ninguna otra información en relación con las medidas de seguridad implantadas por Microsoft en sus servicios, más allá de decir que se esfuerzan en mantener los servicios en funcionamiento, por lo tanto, sólo una breve referencia a la disponibilidad, obviamente del todo insuficiente.

Si se acude al apartado "Protección de la Seguridad de la información personal" de la política de privacidad, Microsoft afirma que:

Se comprometen a proteger la seguridad de la información personal de los usuarios.
Aplican medidas de seguridad para evitar el acceso, uso o divulgación no autorizada, así como medidas para evitar el acceso físico a los sistemas de información.
Utilizan el protocolo SSL para el caso de transmisión de información "altamente confidencial" (como tal consideran los números de tarjetas de crédito o las contraseñas).
Informan que, en todo caso, la responsabilidad de mantener las credenciales de acceso de manera confidencial corresponde al usuario.

De la misma manera que Google, Microsoft incorpora, en este mismo apartado, un serie de recomendaciones de seguridad para el cliente-usuario consistentes en no compartir contraseña de la cuenta y al cerrar la sesión antes de salir del sitio web o del servicio empleado, dado que su servicio de "Microsoft Onedrive" también está enlazado con su servicio de correo electrónico, "Outlook".

Así pues, hay que decir que la información sobre la seguridad que aplica Microsoft es muy breve e insuficiente para determinar qué mecanismos concretos se aplican a la protección de la información y de sus sistemas.

Si bien, en la medida en que, de la información proporcionada, Google, Microsoft y Dropbox afirman adoptar normas y medidas técnicas reconocidas para asegurar los datos de sus clientes, se podrían valorar todas estas previsiones examinadas de manera positiva, no se puede obviar que estos mismos proveedores también afirman no poder hacerse responsables de la pérdida de información ni poder garantizar al 100% la seguridad de la información almacenada en sus servidores.

Hay que tener presente que la normativa española vigente en esta materia es clara en establecer la necesidad de dar cumplimiento a las previsiones establecidas en el RLOPD.

Por tanto, hay que tener en cuenta que es posible que las medidas adoptadas por "Google Drive "," Microsoft Onedrive" y "Dropbox" en este sentido, a pesar de ser adecuadas, resulten insuficientes.

Dicho esto, se hacen a los usuarios (el abogado) las siguientes recomendaciones:

Revisar la configuración por defecto del nivel de privacidad del servicio en cuanto a la compartición de ficheros entre usuarios, para evitar publicar, sin conocimiento, información sin que esté protegida por algún sistema de control de acceso.
Realizar copias de seguridad periódicas de la información almacenada.

6.3. Aspectos de seguridad de las App de acceso

Dar a entender, de entrada, que las consideraciones que se hacen a continuación, en relación con el análisis de los riesgos de carácter general de las aplicaciones que permiten el acceso a los ficheros o archivos almacenados en los servicios de "Cloud Storage" pueden hacerse extensibles a todos los servicios analizados en este informe:

Acceso mediante el navegador "web": esta aplicación se emplea para realizar el acceso puntual a archivos almacenados en el servicio. El riesgo más relevante en este tipo de aplicación está relacionado con la protección de la confidencialidad, dado que el hecho de utilizar navegadores para acceder a la información puede implicar el almacenamiento automático, por una parte, de las credenciales de acceso a la información –de especial relevancia cuando se trata de dispositivos de uso compartido- y, por otra parte, los archivos que se descarguen mediante este tipo de aplicación (Habitualmente tienen predeterminada una carpeta del sistema), circunstancia que obliga a gestionarlos, ya sea para desplazarse a otras ubicaciones o bien para suprimirlos, según el caso. En ambos casos, el acceso por parte de terceros al dispositivo u ordenador podría suponer el acceso total o parcial a los archivos almacenados en el servicio. La disponibilidad y la integridad de la información almacenada no están sujetos a unos riesgos específicos por el hecho de utilizar aplicaciones web, más allá de la posibilidad de que un tercer pudiera acceder a los archivos almacenados en el servidor y los modificara o borrara malintencionadamente (por ejemplo, aprovechando las credenciales guardadas de manera automática por el navegador).
Acceso mediante lo que se denomina "aplicación de escritorio": su función es mantener una copia en el ordenador que está vinculado a la cuenta del servicio de manera sincronizada con los archivos que se almacenan en el servidor. Los riesgos relacionados con su uso afectan a la confidencialidad de la información, dado que una vez vinculado el ordenador, la aplicación de escritorio no pide ningún tipo de autenticación, por tanto, cualquier persona que tuviera acceso físico al ordenador (si no se han establecido previamente mecanismos de control de acceso: bloqueo o credenciales de usuario para iniciar sesión) podría acceder también a todos los archivos. Asimismo, la integridad de la información podría verse afectada por un potencial acceso no autorizado que implicara la modificación malintencionada de alguno de los archivos que, a posteriori, sería sincronizado en el servidor.
Acceso mediante una aplicación para dispositivos "móviles" (APPs): su principal función es sincronizar los archivos del servidor con un dispositivo de tipo móvil. En general, sólo si lo decide el usuario los archivos se almacenan en el dispositivo. Un riesgo para la integridad de la información podría derivarse de la no adopción, por parte del usuario, de un sistema de bloqueo de acceso al dispositivo móvil. En este caso, los archivos ubicados en el servidor podrían quedar expuestos a terceros si alguien accede de manera no autorizada (por ejemplo, en caso de pérdida del dispositivo). Además, la propia arquitectura de estas aplicaciones puede conllevar un riesgo en sí misma. En líneas generales, el software malicioso que pueda descargarse en estos dispositivos podría llegar a interactuar con las APPS los servicios de almacenamiento y, por tanto, con los archivos almacenados.

Dicho esto, a continuación, se hacen algunas consideraciones en relación con el análisis de los riesgos derivados de la implementación concreta que cada proveedor de servicio de "Cloud Storage" ha hecho en las aplicaciones que proporcionan el acceso a sus usuarios.

En este sentido, cabe señalar que los servicios "Google Drive" y "Microsoft Onedrive" contienen previsiones muy similares:

Acceso mediante el navegador "web": El acceso a "Google Drive" o "Microsoft Onedrive" a través de la correspondiente aplicación "Web" se hace mediante un canal seguro basado en "https". Por tanto, en ambos casos, la información será enviada de manera cifrada entre el servidor y el navegador web. Ahora bien, el código de usuario que se utiliza para acceder, tanto en "Google Drive" como "Microsoft Onedrive", es una dirección de correo electrónico. Esto podría implicar un riesgo moderado, en el caso de Google y Microsoft, en el que, como se ha visto, se han unificado los accesos a sus servicios, se convierte en un riesgo muy alto, dado que el conocimiento de dicha dirección de correo electrónico permitiría que un tercero pudiera realizar diversos intentos de acceso a, según el caso, "Google Drive" o "Microsoft Onedrive" y, en caso de éxito, conseguir acceder también a todos los servicios prestados por Google o Microsoft con un cuenta de acceso único. Aunque, en ambos casos, se establecen unos requisitos mínimos para la configuración de la contraseña de acceso (obliga a emplear una contraseña con cierta robustez, que no se podrá reutilizar), estos podrían ser insuficientes, dado que, para el caso de "Google Drive", el intento reiterado de contraseñas erróneas no provoca el bloqueo de la cuenta (Sólo a partir del decimoquinto intento se pide un código tipo "captcha" para evitar intentos de acceso automatizados) y, para el caso de "Microsoft Onedrive", si bien el intento reiterado de contraseñas erróneas sí bloquea la cuenta, basta cambiar su contraseña. Ambas aplicaciones "web" permiten activar lo que llaman "verificaciones en dos pasos ", de modo que ya sea para acceder a la cuenta, o para acceder desde un dispositivo móvil en cuenta, se solicitará al usuario, además de sus credenciales y de su contraseña, un código numérico de 6 dígitos de carácter temporal. Aspecto que hay que valorar positivamente. Además, "Microsoft Onedrive" también permite acceder con un código de uso único cuando lo desee el usuario. Finalmente, hay que tener presente que, una vez se accede a la cuenta, la sesión en "Google Drive "o" Microsoft Onedrive "no caduca o, como mínimo, no caduca en un plazo razonable. Por tanto, hay que tener en cuenta los riesgos que pueden derivarse de este hecho para la información almacenada, tal y como se ha hecho referencia en apartados anteriores.
Acceso mediante lo que se denomina "aplicación de escritorio": Hay que tener presente que, una vez vinculado el ordenador en el que está instalada esta aplicación con, según el caso, la cuenta de "Google Drive" o la cuenta de "Microsoft Onedrive ", no se ha establecido ningún mecanismo adicional de control de acceso. Por tanto, empleará sólo el control de acceso previsto en el ordenador (usuario y contraseña). Esto conlleva que, una vez iniciada la sesión en el ordenador, se podrá acceder a su carpeta local, que contendrá los ficheros sincronizados. Dado que, como se ha visto, ni Google ni Microsoft facilitan información sobre si los archivos almacenados en los servidores se mantienen cifrados, el usuario debe tener presente que, por que los documentos se transmitan cifrados desde su ordenador en "Google Drive" o a "Microsoft Onedrive" y para que se almacenen también cifrados en los respectivos servidores, habría que aplicar sistemas propios de cifrado, de manera que ni éstos proveedores ni terceros podrían tener acceso a su contenido, salvo que dispusieran de la llave para descifrarlos.
Acceso mediante una aplicación para dispositivos "móviles (APPS): Mientras que dicha aplicación en el caso de "Microsoft Onedrive" no incorpora ninguna opción especial de seguridad, hay que decir que la aplicación de "Google Drive" permite cifrar archivos que se almacenan en el dispositivo móvil, aspecto que hay que valorar positivamente. En cuanto a los permisos que requieren las respectivas APPS para ofrecer los servicios, es necesario recordar que en concreto, el relativo al acceso al registro de llamadas solicitado por "Google Drive", resultaría desproporcionado en relación con sus funcionalidades de almacenamiento de archivos.

Mención aparte hay que hacer del servicio "Dropbox". Algunos de los riesgos detectados para la seguridad de la información coinciden con los ya analizados en cuanto a los servicios "Google Drive" y "Microsoft Onedrive", por lo que se hacen extensibles las consideraciones hechas en este sentido en los párrafos anteriores. Ahora bien, se prevén otros aspectos respecto a los cuales hay que hacer algunas consideraciones:

Acceso mediante el navegador "web": En el caso concreto de "Dropbox" (esto no sucede con "Google Drive" ni con "Microsoft Onedrive ") la casilla de memorización automática de las credenciales aparece marcada por defecto. Este hecho conlleva un riesgo alto para la seguridad de la información, especialmente en ordenadores compartidos o en ordenadores de uso público, ya que si el usuario olvida de salir de la sesión, un tercero que posteriormente emplee estos ordenadores y acceda a la dirección https://www.dropbox.com/ podrá acceder a todos los archivos almacenados en el servidor, incluso aunque se hubiera cerrado el navegador o el ordenador de que se trate. Asimismo, "Dropbox" no obliga a usar contraseñas robustas. Además, no hay límites de uso para el caso de reiniciar una contraseña ya empleada anteriormente, es decir, permite que se puedan reutilizar. Poder usar contraseñas no robustas, junto con el hecho de que los intentos reiterados de acceso con contraseñas incorrectas sólo produce el bloqueo de la cuenta durante unos minutos, implica un riesgo moderado de acceso no autorizado a la información almacenada.
Acceso mediante lo que se denomina "aplicación de escritorio": "Dropbox", a diferencia de "Google Drive" y "Microsoft Onedrive", sí mantiene los archivos almacenados en los servidores de forma cifrada. Ahora bien, como se ha apuntado, las claves de descifrado están en poder de la compañía. Por tanto, habría que incorporar sistemas de cifrado propios, a fin de que los documentos se transmitan cifrados desde el ordenador a "Dropbox" y para que se almacenen también cifrados en el servidor (estos ficheros estarán cifrados dos veces). Así, ni Dropbox ni un tercero podrían acceder al contenido los archivos, salvo que dispongan de la clave para descifrarlos.
Acceso mediante una aplicación para dispositivos "móviles" (APPS): "Dropbox" incorpora, como opción especial de seguridad, la posibilidad de añadir un código numérico de 4 dígitos que se solicita cada vez que el usuario quiere acceder a la APP instalada en su dispositivo móvil. En cuanto a los permisos que requiere la APP para ser instalada, el acceso a los contactos sin restricciones podría ser demasiado permisivo, si bien se entiende que podría estar justificado en la funcionalidad que ofrece de compartir archivos con terceros.

Vistas estas previsiones, se puede concluir que los riesgos del uso de los servicios "Google Drive "," Microsoft Onedrive" y "Dropbox", como se plantea en el escrito de consulta, estarían relacionados, no sólo con las particularidades del servicio en sí mismo, sino también con las diferentes aplicaciones y plataformas que permiten el acceso y la gestión de los archivos almacenados por los clientes (el abogado), dado que presentan ciertas vulnerabilidades que podrían dar lugar a la afectación de la información almacenada, especialmente en relación con su confidencialidad, como consecuencia de accesos no autorizados.

Para evitar estos y otros posibles riesgos, se hacen a los usuarios (abogados) las recomendaciones siguientes:

Examinar con cautela qué información se quiere almacenar en estos servicios de "Cloud Storage", así como cuál de esta información podría ser compartida.
No sería recomendable almacenar ni compartir información confidencial o especialmente protegida sin adoptar con carácter previo ninguna medida adicional de seguridad, tal como, por ejemplo, el uso de herramientas que permiten su cifrado antes de ser almacenada (TrueCrypt, Boxcryptor, etc.).
Utilizar contraseñas seguras para las cuentas de usuario (combinar números, letras, símbolos, mayúsculas y minúsculas, y establecer una longitud mínima de 8 caracteres).
Utilizar la verificación en dos pasos que ofrecen todos los proveedores.
En el caso de emplear la aplicación de acceso mediante el "web", no optar por la opción de recordar las credenciales y cerrar la sesión una vez abandone el puesto de trabajo.
En el caso de emplear la aplicación de escritorio, proteger el acceso al ordenador mediante un usuario (local o de red) y una contraseña, o con un mecanismo equivalente, y cifrar los documentos antes de enviarlos a los servicios de almacenamiento.
En el caso de emplear las aplicaciones de dispositivos móviles, proteger siempre el acceso al dispositivo y, si lo permite la aplicación, proteger también el acceso a la App concreta (por ejemplo, el caso de "Dropbox"). Asimismo, abstenerse, en la medida de lo posible, de almacenar los documentos en el propio dispositivo móvil y, si la aplicación lo permite, activar el cifrado de los documentos descargados (por ejemplo, caso de "Google Drive").
Controlar, en todo momento, qué dispositivos se encuentran vinculados a la cuenta del servicio (Es decir, con qué dispositivos se sincroniza la información almacenada) y verificar periódicamente si hay que desvincular alguno.
Aunque, a priori, se pueden utilizar aplicaciones de terceros para acceder a los servicios de almacenamiento examinados, sería bueno utilizar sólo las aplicaciones proporcionadas por los mismos proveedores de los servicios o, en todo caso, verificar que la aplicación provista por otros terceros es confiable.
En caso de acceder al servicio mediante una red inalámbrica, verificar la confianza de la red en cuestión.

VIII

6.4. El principio de calidad de los datos

Otros aspectos relevantes en la prestación de estos servicios: el principio de calidad de los datos.

En este punto, y una vez analizadas la adhesión a los principios del acuerdo de Safe Harbor y la obtención de la certificación ISO/IEC/27001 por los prestadores de los servicios de "Cloud Storage" expresamente manifestadas en el escrito de consulta como posibles mecanismos que garanticen el cumplimiento de la normativa de protección de datos personales, es necesario recordar la existencia de otros aspectos que el abogado, como responsable, también debe tener en cuenta antes de llevar a cabo la contratación de estos servicios.

Cualquier tratamiento de datos personales requiere que se lleve a cabo siempre con pleno respeto a los principios y las obligaciones establecidas en la normativa de protección de datos.

Entre estos principios, hay que destacar, especialmente, el principio de calidad (artículo 4 LOPD), según el cual "los datos de carácter personal sólo se podrán recoger para ser tratadas, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las cuales se han obtenido " (apartado 1), sin que se puedan utilizar "para fines incompatibles con aquellos para los que los datos hubieran sido recogidos. No se considera incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos" (apartado 2).

Este principio, junto con el del consentimiento (artículo 6 LOPD), resulta capital en el derecho fundamental a la protección de datos de los afectados (artículo 18.4 CE), tal y como se desprende del resto de previsiones de la propia LOPD, como ahora, estableciendo el derecho de información, en que hay que informar de la finalidad del tratamiento o fichero (artículo 5 LOPD), prohibiendo la creación de determinados ficheros con datos especialmente protegidos (artículo 7 LOPD) o considerando responsable al encargado del tratamiento en caso de que se produzca un cambio en la finalidad (artículo 12.4 LOPD).

En el ámbito del "Cloud Storage" estos principios resultan igualmente de aplicación, por la lo que es necesario establecer con claridad la finalidad o finalidades concretas para las que serán tratados los datos personales por parte de las empresas prestadoras de estos servicios. En este mismo sentido, se manifiesta el Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE en el citado Dictamen 5/2012, de 1 de julio, [4] sobre Cloud Computing (apartados 3.4 y 4.1).

Si se examinan, en este sentido, las previsiones establecidas en las condiciones de uso de los servicios de "Cloud Storage" examinados se puede comprobar, de entrada, que se trata de unas condiciones generales o estándares que las compañías fijan de manera unilateral y que no dejan margen de opción al cliente (el abogado):

En el caso concreto de "Google Drive", para conocer qué supone la aceptación de estas condiciones generales por el cliente, debe acudir a su "centro de ayuda", si bien en ningún momento se hace referencia a este extremo en sus condiciones de servicio. En este "centro de ayuda" especifica brevemente que "como se indica en nuestras condiciones de Servicio, mantienes la propiedad de los Derechos de propiedad intelectual que posees con respecto a ese contenido. En pocas palabras, lo que a ti te pertenece, tuyo es." Por tanto, a priori , podría pensarse que, como consecuencia de tal previsión, Google no podrá disponer de la información almacenada por el abogado ni hacer uso para una finalidad que no esté expresamente autorizada por éste como responsable de su tratamiento, tal y como exige el artículo 12.2 de la LOPD. No obstante, si volvemos a las condiciones de servicio, se puede comprobar que estas prevén, además, que "al subir contenido o al enviarlo por otros medios a nuestros Servicios, concedes a Google (y a sus colaboradores) una licencia mundial para usar, alojar, almacenar, reproducir, modificar, crear obras derivadas (por ejemplo, las que resultan de la traducción, la adaptación u otros cambios que realicemos para que tú contenido se adapte mejor a nuestros Servicios), comunicar, publicar, ejecutar o mostrar públicamente y distribuir dicho contenido. Google usará Los derechos que le confiere esta licencia únicamente con el fin de proporcionar, promocionar y mejorar los Servicios y de desarrollar servicios Nuevos. Esta licencia seguirá vigente inclusivo cuando dejes de usar nuestros Servicios (...)" (apartado "Tu contenido en Nuestros Servicios"). Dada, pues, la disparidad de previsiones, no queda suficientemente claro qué hará Google con el contenido almacenado por el cliente (el abogado) mediante el servicio "Google Drive", contenido que, recordemos, contendrá datos personales tanto del abogado como de sus clientes o, incluso, de terceros. Teniendo en cuenta que la contratación del servicio "Google Drive" implica la aceptación de las condiciones de servicio generales, no puede descartarse, aunque en el "centro de ayuda" citado no se haga referencia, que el resto del clausurado de estas condiciones sean aplicadas igualmente por Google y que, por tanto, se emplee la información depositada con cualquier otra finalidad.
En términos similares se manifiesta "Microsoft Onedrive". Por lo que se desprende de sus condiciones de servicio, Microsoft diferencia el contenido que el cliente (el abogado) "Coloca" en sus servicios (apartado "Contenido") de la información personal que recopila (apartado "Privacidad" ). Esto podría hacer pensar erróneamente que en el "contenido" no constan datos personales, pero, en atención a la definición que de éste se hace por Microsoft ("El contenido incluye todo aquello que cargue, o almacene, o transmita mediante los servicios, como datos, documentos, fotografías, vídeos, música, mensajes de correo electrónico o mensajes instantáneos"), esto no sería así. Es importante tener en cuenta este aspecto porque Microsoft prevé expresamente que "cuando usted carga su contenido en los servicios, acepta que su contenido se podrá modificar, adaptar, guardar, reproducir, distribuir y mostrar en la medida necesaria para protegerle a usted y para proporcionarle, proteger y mejor los productos y servicios de Microsoft".
Por su parte, "Dropbox" parece más claro afirmando que "sigues conservando la propiedad absoluta sobre tus cosas. No pretendemos asumir ningún derecho de propiedad sobre ellas. Estas Condiciones no nos otorgan ningún derecho sobre tus cosas ni tú propiedad intelectual, excepto los derechos limitados necesarios para ejecutar los Servicios (...)" (apartado "Tus cosas y tu privacidad"). Aunque esta previsión desaparece en la política de privacidad actualizada en fecha 24 de marzo de 2014, hay que decir que encontramos una previsión en términos similares en las condiciones de uso, también actualizadas (apartado "Tu contenido y tus permisos").

Por tanto, hay que tener presente que cláusulas de este tipo implican que cualquier información personal que el cliente (el abogado) decida almacenar en los servidores, especialmente de las compañías Google y Microsoft, podrá ser empleada por estas empresas para cualquier uso sin requerir el consentimiento, aspecto particularmente problemático en cuanto a contenidos de archivos privados o confidenciales. Por tanto, como ya se ha hecho mención en este informe, conviene examinar minuciosamente qué información personal se quiere almacenar.

Dicho esto, en cuanto a la finalidad concreta del tratamiento de los datos, tanto "Google Drive" como "Microsoft Onedrive" y "Dropbox" contienen escasas previsiones al respecto en sus condiciones de uso y remiten, en este sentido, a las respectivas políticas de privacidad.

Por tanto, el abogado que contrata estos servicios debe tener presente que acepta que Google, Microsoft o Dropbox, según el caso, trate la información personal depositada de conformidad con la política de privacidad que establece la misma compañía, una política de privacidad que, recordemos, puede ser modificada en cualquier momento (apartados "Acerca de estas condiciones" , "Otra información de privacidad Importante" y "Cambios en Nuestra Política de privacidad", respectivamente).

Aparte de este hecho, hay que señalar que, salvo "Dropbox", se trata de unas políticas de privacidad diseñadas para el conjunto de servicios prestados por Google y Microsoft y no así específicamente para los servicios "Google Drive" y "Microsoft Skydrive", de tal manera que las previsiones contempladas en ellas podrían no encajar con el funcionamiento previsto para este tipo de servicios.

Además, a menudo emplean una terminología imprecisa, expresiones genéricas (tales como, "Podrán" o "es posible", entre otros), así como expresiones ambiguas (como, "Mejorar la experiencia del usuario") que dan lugar a una política de privacidad indeterminada y poco clara.

Todo ello origina una evidente incertidumbre sobre las condiciones exactas en que los datos personales serían tratadas por el encargado (Google, Microsoft o Dropbox) y, al mismo tiempo, pone en evidencia que el responsable (el abogado) no parece tener capacidad suficiente para decidir la forma en que desea que se lleve a cabo este tratamiento, tal y como exige el artículo 12.2 de la LOPD.

Dicho esto, si se examinan, en concreto, estas políticas de privacidad a la que nos remiten las condiciones de servicio puede comprobarse que "Google Drive", "Microsoft Onedrive" y "Dropbox" pueden acceder a datos personales de los que pueda disponer el cliente (el abogado), ya sea porque las facilita directamente (datos personales del abogado y la información personal de sus clientes que el abogado decide almacenar), ya sea porque es Google, Microsoft o Dropbox quien las obtiene cuando el cliente (el abogado) utiliza sus servicios (datos del dispositivo empleado, datos de registro, datos sobre la ubicación física, cookies o identificadores anónimos, etc.). La finalidad para la que se recogen estos datos suele coincidir en los tres proveedores examinados: proporcionar y mejorar el servicio prestado.

Aunque pueda ser razonable que el cliente (abogado) deba aceptar necesariamente un cierto nivel de tratamiento de los datos porque ello puede ser necesario, desde un punto de vista técnico, para la propia prestación del servicio (de "Cloud Storage" en este caso), procede señalar que esto no implica que resulte adecuada la prestación de un consentimiento general, en el sentido de una aceptación incondicionada, para utilizar las datos del cliente (o de terceros) para fines que no resulten estrictamente necesarias para la prestación de dicho servicio (en este aspecto ya se ha hecho referencia en este informe en el apartado anterior relativo a la seguridad de las aplicaciones de acceso a los servicios).

Se hace esta consideración porque la finalidad del tratamiento de los datos alegada (la prestación y mejora del servicio prestado) no es la única finalidad pretendida por los prestadores de servicios de "Cloud Storage" examinados en el presente caso, tal y como se explica a continuación:

Por ejemplo, en el caso de "Google Drive" se establece, en el apartado " Cómo utilizamos los datos recogidos ", que "también utilizamos estos datos para ofrecerte contenido personalizado como, por ejemplo, resultados de búsqueda y anuncios más relevantes" y concreta, más adelante, que sólo no prevé asociar cookies o identificadores anónimos cuando se trate de datos especialmente protegidos. Asimismo, afirma que puede "Combinar la información personal de un Servicio con la información de otros servicios de Google, incluida la información personal, para que puedas compartir contenido con usuarios que conozcas más fácilmente, entre otros usos. (...)."
De la misma manera, "Microsoft Onedrive" prevé, en el apartado "Cómo utilizamos su información personal", que "la información captada a través de uno de los servicios de Microsoft puede combinarse con la información captada a través de otros servicios de Microsoft para ofrecerle una experiencia más coherente y personalizada en sus interacciones con nosotros (...), también Podemos utilizar la información para comunicarnos con usted (...)" y que "(...) la información que captamos puede utilizarse para ayudar a mejorar los anuncios que ve haciéndolos más relevantes para usted."
En el caso concreto de "Dropbox", cabe señalar que, si bien en la política de privacidad vigente hasta el 24 de marzo de 2014 se explica con bastante detalle la finalidad para la que se recogen los datos personales ("proporcionar y mejor nuestro Servicio; administrar tu uso del Servicio; Entender mejor tus necesidades e Intereses; personalizar y mejora tu experiencia; proporcionar u ofrecer actualizaciones de software y anuncios de productos") , además de dar información sobre los datos de geolocalización y sobre el uso Google Analytics, en la nueva versión de esta política de privacidad tal explicación se omite, de tal forma que la nueva redacción no permite conocer con claridad qué uso hará "Dropbox" de los datos personales que recopila. Tan sólo establece que podrían compartir la información pero que no la venderán a terceros con fines publicitarios ni de ningún otro tipo (apartado "Con quién"). Obviamente, resulta más ajustado a la normativa de protección de datos las previsiones de la política de privacidad anteriores a su actualización.

En cuanto a las previsiones de recibir anuncios personalizados, procede señalar que ofrece tanto la posibilidad de consultar y editar la información relacionada con las preferencias de anuncios, como la opción de desactivar la recepción de estos anuncios (apartados "Transparencia y elección" para "Google Drive" y "Visualización de anuncios" para "Microsoft Skydrive" y "Cómo utilizamos la información personal" por "Dropbox", si bien este apartado se omite en la nueva política de privacidad de "Dropbox"). A pesar de valorar positivamente estos mecanismos, procede señalar que la inhabilitación no implica dejar de recibir estos anuncios, sino recibirlos de manera "menos relevante".

En relación, en concreto, con las previsiones de Google y de Microsoft de combinar la información personal, procede señalar que ninguna de ellas determina en ningún momento para qué "otros usos" se combinará la información personal de un servicio con la de otro. Se desconoce, asimismo, si ello implica combinar la información personal almacenada en "Google Drive" o "Microsoft Onedrive" con la de otros servicios de los que pueda disponer el abogado. En cualquier caso, hay que recordar que esto conllevaría un uso de los datos personales que excede ampliamente las expectativas que el cliente podría esperar de la utilización de un servicio de "Cloud Storage".

A la vista de estas consideraciones, hay que tener en cuenta, a la hora de contratar estos servicios, que las actuaciones previstas por Google, Microsoft y Dropbox (especialmente, por Google y Microsoft) pueden exceder la finalidad principal por la que el abogado les encargaría el tratamiento de los datos. Destinar la información personal a fines diferentes de la que justificó su obtención, así como combinar la información personal obtenida a través de los diversos servicios o productos que ofrecen para emplearla con múltiples finalidades que no se determinan con claridad, conllevaría una vulneración del principio de calidad, en su vertiente de finalidad (artículo 4.2 LOPD).

Aunque relacionado con el principio de calidad de los datos mencionado, hay que recordar que, en el caso de un tratamiento de datos por cuenta del responsable, la normativa establece la necesidad de establecer en el contrato de encargado previsiones concretas sobre el retorno o la destrucción de los datos, una vez cumplida la prestación contractual (Artículos 12.3 LOPD y 22 RLOPD), pero las condiciones de uso examinadas son poco precisas al respecto:

Google únicamente establece que, en caso de interrupción del servicio y siempre que sea posible, "(...) te informaremos con suficiente antelación y te permitiremos extraer la información del Servicio." (Apartado "Cómo modificar y cancelar nuestros servicios"), sin aportar más información ni esclarecer qué sucede en caso de dejar de emplear su servicio, en este caso, de "Google Drive".
Por su parte Microsoft dispone que, en caso de cancelación del servicio, "Podremos eliminar su contenido de forma permanente de nuestros servidores, sin que exista ninguna obligación de que se lo devolvamos a usted" (apartado "cancelación de Servicios"), previsión que no puede considerarse en ningún caso adecuada.
En cuanto a Dropbox, las nuevas condiciones de uso varían las previsiones hasta ahora establecidas en este sentido. Antes se establecía que, en caso de suspensión o finalización del servicio, "intentaremos comunicártelo por adelantado y ayudarte a recuperar tus datos, aunque pueden darse casos (como Infracciones reiteradas o flagrantes de estas condiciones, una orden judicial o riesgo para otros usuarios) en los que tendríamos que aplicar una suspensión inmediata" (apartado "finalización de los Servicios"). A partir del 24 de marzo de 2014 sólo se establece que, si bien el cliente es libre de dejar de emplear los servicios en cualquier momento, Dropbox se reserva "el derecho a suspender o dar por terminados los servicios en cualquier momento a nuestra discreción y sin previo aviso". Se añade que las cuentas gratuitas inactivas durante doce meses consecutivos pueden ser canceladas y eliminadas.

Asimismo, hay que recordar que en dichas condiciones tampoco se hace ninguna referencia al período de tiempo de conservación de la información personal recogida, más allá de la previsión genérica, en las respectivas políticas de privacidad, de estar obligados a conservarla por motivos legales o legítimos relacionados con la actividad que desarrollan (Apartado "Cómo acceder a tus datos personales y actualizarlos" en el caso Google; apartado "Otra información de privacidad Importante" en el caso de Microsoft; o apartado "Conservación de datos" en el caso de Dropbox).

En relación con estas previsiones, hay que recordar que almacenar y conservar datos personales, por períodos de tiempo indeterminados o injustificados, más allá de las exigencias que se derivan de las finalidades pretendidas en el momento de la recogida, como así parece desprenderse, conllevaría una vulneración del principio de calidad, en su vertiente de exactitud (artículo 4.5 LOPD).

Por otra parte, si bien todavía relacionado con este principio de exactitud, conviene destacar la previsión de Google, en su política de privacidad, de poder "sustituir los números que hayas asociado con anterioridad a tu cuenta de Google de modo que se te identifique de forma coherente en todos nuestros servicios" (apartado "Cómo utilizamos los datos recogidos").

Si bien, por aplicación de este principio, hay que mantener los datos exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado (artículo 4.3 LOPD), hay que poner de manifiesto que la modificación de estos datos deberá realizarse, en todo caso, de acuerdo con la voluntad de su titular (el usuario).

6.5. Responsabilidades y resolución de conflictos

Otros aspectos relevantes en la prestación de estos servicios: responsabilidades y resolución de conflictos.

Dicho esto, se considera conveniente hacer unas consideraciones adicionales en relación con otras previsiones de las condiciones de uso establecidas por estos proveedores de servicios de "Cloud Storage".

Hay que tener en cuenta, a la hora de contratar estos servicios, que, en cuanto al tratamiento de datos personales, tanto Google como Microsoft y Dropbox sólo se comprometen a cumplir aquellas previsiones que se hayan fijado en los respectivos acuerdos suscritos con el cliente (el abogado) y en los términos que se hayan indicado (no ofrecen ninguna garantía adicional ni condición explícita ni implícita de ninguna clase). Previsiones que, como se ha hecho mención a lo largo de este informe, podrían resultar no suficientes desde la vertiente del derecho a la protección de datos personales.

Asimismo, es pertinente señalar qué sucedería en caso de desacuerdo o conflicto sobre alguna de las previsiones establecidas en el contrato de estos servicios de "Cloud Storage":

En las condiciones de servicio aplicables a "Google Drive", de acuerdo con el apartado "Acerca de estas condiciones", cualquier desacuerdo (contractual o no) que se suscite en relación con el acuerdo suscrito se regirá por el derecho del Estado de California, sometiéndose empresa y cliente (el abogado) a la jurisdicción exclusiva de los tribunales federales o estatales del condado de Santa Clara (California, Estados Unidos).
Lo mismo sucede en el caso de "Dropbox", si bien con alguna puntualización. Hasta el 24 de marzo de 2014, Dropbox preveía, en el apartado "Condiciones legales generales" de sus condiciones de servicio, que toda reclamación originada o relacionada con el acuerdo suscrito debía resolverse exclusivamente en los tribunales federales o estatales del condado de San Francisco (California, Estados Unidos). A partir de la entrada en vigor de la actualización de las condiciones, se impone el arbitraje como sistema para resolver las disputas que puedan surgir, si bien se da la opción de renunciar a esta sumisión arbitral. Ahora bien, en aquellos casos en que se considere no aplicable al arbitraje, las reclamaciones continuarán teniendo que resolverse en los tribunales federales o estatales de San Francisco (apartado " Resolución de disputas").
Únicamente Microsoft prevé, en el apartado "Entidad contratante de Microsoft" de las condiciones del servicio "Microsoft Skydrive", que, en caso de que el cliente resida o tenga su sede social en España, el derecho español regirá la interpretación del acuerdo suscrito, si bien cualquier otro conflicto (protección del consumidor, competencia desleal o responsabilidad extracontractual, por ejemplo) se resolverá de conformidad con las leyes del país en que Microsoft dirija sus servicios.

Hay que tener en cuenta, por tanto, que en caso de existir un desacuerdo entre el cliente (el abogado) y Google o Dropbox sobre los términos y/o las condiciones del acuerdo suscrito para la prestación de los servicios "Google Drive" o "Dropbox", respectivamente, la normativa aplicable, a criterio de estas empresas, no sería la española. Esta previsión no puede considerarse adecuada.

Cabe recordar que los ciudadanos españoles, cuyos datos sean tratados para el abogado, tienen derecho a que éste, y también los que intervengan por su cuenta, traten sus datos personales de acuerdo con lo establecido en la LOPD y el RLOPD.

De acuerdo con las consideraciones hechas en este informe en relación con la consulta planteada, se hacen las siguientes conclusiones:

7. CONCLUSIONES

La adhesión de Google, Microsoft o Dropbox los principios del acuerdo "US-EU Safe Harbor" presupone, a fecha de hoy, que los datos personales almacenados por el abogado en sus servicios "Google Drive", "Microsoft Onedrive" y "Dropbox", respectivamente, serán tratados con determinadas garantías y condiciones de seguridad, aunque podría resultar insuficiente, en los términos expuestos en este informe.

Asimismo, disponer de la certificación ISO/IEC/27001, o de cualquier otra certificación o estándar internacional en materia de seguridad, no es garantía suficiente del cumplimiento de las medidas de seguridad del RLOPD. A fecha de hoy, no existe ninguna certificación para proveedores en la nube que verifique, de manera específica, el cumplimiento estricto de las dichas medidas. La certificación ISO/IEC/27001, o cualquier otra, debería ir acompañada de la auditoría prevista en la normativa de protección de datos.

Los riesgos que supone el uso de los servicios "Google Drive", "Microsoft Onedrive" y "Dropbox" para el abogado que decide almacenar documentación relativa a sus clientes estarían relacionados, tanto con el funcionamiento propio de estos servicios, como con las diferentes aplicaciones y plataformas que permiten el acceso y la gestión de los archivos almacenados, ya que presentan ciertas vulnerabilidades que podrían dar lugar a la afectación de la información almacenada, especialmente en relación con su confidencialidad, como consecuencia de accesos no autorizados, en los términos expuestos en este informe.

8. BIBLIOGRAFÍA REFERENCIADA

- [1] APDCAT. “Dictamen CNS 57/2013, emitido por la Autoritat Catalana de Protecció de Dades, documento original en catalán que ha sido traducido de forma “no oficial” en este artículo.

Dictamen CNS 57/2013

- [2] APDCAT. “Dictamen CNS 24/2012, emitido por la Autoritat Catalana de Protecció de Dades, en relación con la contratación del servicio Google Apps for Business”. (En catalán).

Dictamen CNS 24/2012

- [3] STC. “Sentencia 292/2000, de 30 de noviembre de 2000 del Tribunal Constitucional. Recurso de inconstitucionalidad respecto de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”

STC 292/2000

- [4] GRUPO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. “Dictamen 05/2012 sobre la computación en nube”. 1 de Julio de 2012. WP196. 01037/12/ES. Dirección General de Justicia de la Comisión Europea.

WP 196

- [5] COMISIÓN EUROPEA. “Decisión 2000/520/CE de la Comisión sobre la adecuación conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América”.26 de julio de 2000.

Decisión 2000/520/CE

- [6] COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL. “On the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU”. 27 noviembre de 2013.

Functioning of the Safe Harbour

- [7] COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL. “Rebuilding Trust in EU-US Data Flows”. 27 noviembre 2013.

Rebuilding Trust

- [8] ARTICLE 29 - DATA PROTECTION WORKING PARTY. “Working Document: Transfers of personal data to third countries: Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers”. Adopted on 3 June 2003. 11639/02/EN.WP 74.

Working Document

- [9] Instituto Nacional de Ciberseguridad (INCIBE_©). “Seguridad en servicios de almacenamiento – Análisis de Dropbox y Mega”. 27 de enero de 2015.

Estudio servicios almacenamiento INCIBE_

9. DERECHOS DE AUTOR

El Dictamen CNS-57/2013 de la APDCAT, de fecha 28 de marzo de 2014, ha sido publicado por primera vez en la página web de la APDCAT (Autoritat Catalana de Protecció de Dades), una vez analizada la petición, vista la normativa vigente aplicable, el informe del Coordinador de Auditoría y Seguridad de la Información y el informe de la Asesoría Jurídica, ambos de la APDCAT.