Aspectos profesionales: Protección de Datos, Cloud Computing y Sistemas de Gestión.

Blog dedicado a compatibilizar INNOVACIÓN con GRC (Gobierno, Riesgo y Cumplimiento normativo) en las organizaciones. Trata COMPLIANCE penal de la PJ y PBC/FT para Sujetos Obligados. Se alinea con Derecho Digital (TIC) focalizando en Privacidad con visión jurídica y organizativa. Incluye Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo ISO27001 y ENS. Analiza tendencias tecnológicas innovadoras junto a sus cláusulas contractuales.

jueves, 8 de octubre de 2015

Cloud Computing y el día que se declaró inválida la Decisión 2000/520/CE por el TJUE

Resumen: Existe el riesgo de que las agencias gubernamentales de los EE.UU. puedan tener acceso, a través de la aplicación de la Ley Patriota de los Estados Unidos y, en un futuro, mediante los que ahora son otros proyectos de ley, a la información personal de ciudadanos europeos cuando esa información se subcontrata a un prestador de servicios de Cloud en Norteamérica. Analizaremos esas leyes y las compararemos con las españolas equivalentes.

Autor del artículo		Colaboración
José Luis Colom Planas
Actualizado	11 de octubre de 2015

ÍNDICE

1. UBICACIÓN GEOGRÁFICA DE NUESTROS DATOS EN EL CLOUD

1.1. Transferencias Internacionales de Datos (TID) desde España

1.2. Aplicación de las TID al Cloud Computing

1.3. Principios de Puerto Seguro (SAFE HARBOR)

2. LEYES PROPIAS DE ESTADOS UNIDOS

2.1. USA Patriot Act

2.2. FISA Act 2012

2.3. CISPA / HR-3523

2.4. CISA / S-2588

3. LEYES EQUIVALENTES EN ESPAÑA

4. AFECTACIÓN AL CLOUD COMPUTING

5. EJEMPLO A PARTIR DE UNA DECLARACIÓN DE PRIVACIDAD
6. ¿QUÉ DEBE HACERSE AHORA CON LAS TID IMPLEMENTADAS HACIA USA?"

7. BIBLIOGRAFÍA CONSULTADA
8. CONTROL DE CAMBIOS DEL ARTÍCULO

9. DERECHOS DE AUTOR

1. UBICACIÓN GEOGRÁFICA DE NUESTROS DATOS EN EL CLOUD.

Según en qué lugar del mundo esté ubicado nuestro servidor virtual en el CLOUD, cuando introduzcamos datos personales en él, podrá considerarse una cesión o bien una transferencia internacional de datos.

1.1. Transferencias Internacionales de Datos (TID) desde España

Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), transposición de la Directiva europea 95/46/CE, y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD).

Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del EEE (Espacio Económico Europeo), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio europeo.

El Acuerdo EEE, por lo tanto, se aplica ahora a la UE de los 28 y a los 3 Estados miembros de la Asociación Europea de Libre Cambio (AELC): Islandia, Liechtenstein y Noruega. Suiza, aunque no forma parte del EEE, sigue siendo miembro de la AELC.

Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesaria la autorización del Director de la AEPD (Agencia Española de Protección de Datos), salvo:

•Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.

•Que se trate de supuestos legalmente contemplados como excepción de requerir la autorización del Director.

La relación de países cuyo nivel de protección se considera equiparable por la AEPD, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente:

Suiza, de acuerdo con la Decisión de la Comisión 2000/518/ CE, de 26 de julio de 2000.

Las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. [Hasta el 6/10/2015 por STJUE, que la declara inválida].

Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de 2001.

Argentina, de acuerdo con la Decisión 2003/490/CE, de la Comisión de 30 de junio de 2003.

Guernsey, de acuerdo con la Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.

Isla de Man, de acuerdo con la Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.

Jersey, de acuerdo con la Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.

Islas Feroe, de acuerdo con la Decisión 2010/146/UE de la Comisión de 5 de marzo de 2010.

Andorra, de acuerdo con la Decisión 2010/625/UE, de la Comisión de 19 de octubre de 2010.

Israel, de acuerdo con la Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

República Oriental del Uruguay, de acuerdo con la decisión 2012/484/UE de Ejecución de la Comisión, de 21 de Agosto de 2012.

Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.

Los supuestos que son excepciones a la necesidad de autorización del director de la AEPD, se regulan en el Art. 34 de la LOPD.

Resumiendo:

Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD, siendo equivalentes a las cesiones producidas entre empresas dentro del territorio español.

Las comunicaciones de datos a países con “nivel de protección equiparable” según la AEPD, constituyen transferencias internacionales de datos. No es necesaria autorización del Director de la AEPD, pero si la notificación a la Agencia.

Para las comunicaciones de datos con el resto de países, necesitamos notificarlo, solicitar y esperar la autorización del Director de la AEPD.

1.2. Aplicación de las TID al Cloud Computing

De todo lo anteriormente expuesto se deduce que cuando contratamos servicios en el Cloud, si tratamos datos de carácter personal, es muy importante conocer o elegir en qué país está ubicado el CPD que albergará nuestros servidores virtuales y su almacenamiento correspondiente. Es imprescindible a efectos de cumplimiento con la LOPD y el RLOPD. Algunos prestadores de servicios de Cloud Computing, en su catálogo de aprovisionamiento lo primero que solicitan es en que CPD, de los diferentes que disponen, deseamos crear nuestro servidor virtual. Para cada CPD se indica claramente el país donde se encuentra ubicado.

Si elegimos un país del EEE, nuestra introducción de datos en el servidor no se considerará una transferencia internacional de datos. Se tratará únicamente de una cesión.

Además, en el tratamiento por cuenta de terceros, para que se considere que no hay una cesión de datos, debe intervenir la figura del Encargado del Tratamiento. Por tanto debe existir una relación jurídica que vincule al Responsable y al Encargado del Tratamiento, y que delimite de manera precisa, cuál será la actividad, en relación al tratamiento de datos personales, que realiza el Encargado por cuenta del Responsable del Tratamiento.

1.3 Principios de Puerto Seguro (SAFE HARBOR)

Es una realidad que muchas empresas prestadoras de servicios de Cloud Computing son estadounidenses. Por ello analizaremos con detalle éste acuerdo hoy declarado inválido.

Mediante la Decisión 2000/520/CE de la Comisión [1] de 26 de julio de 2000, se creó el acuerdo denominado Safe Harbor por el que se establecía una serie de principios en materia de protección de datos de carácter personal.

Hay que decir que ha durado 15 años ya que, el 6 de octubre de 2015, una STJUE en el asunto C-362/14 [2] [3] declara inválida la Decisión 2000/520 y, en consecuencia, los acuerdos de Safe Harbor (Puerto Seguro).

Se trataba de un programa de adscripción voluntaria, basado en la autorregulación, sin ningún control por parte del estado. En otras palabras, se trataba de una presunción de adecuación a la protección exigida en el ámbito de la UE.

Los principios de puerto seguro eran los siguientes:

Notice principle (Notificación): Las entidades adheridas tenían la obligación de informar de la utilización y finalidad de los datos de carácter personal.

Choice principle (Opción): Las entidades adheridas tenían la obligación de ofrecer la posibilidad de decidir si los datos de carácter personal podían ser o no cedidos a un tercero.

Onward transfer principle (Transferencia ulterior): Las entidades adheridas, antes de revelar información a terceros que no participaran en el programa de puerto seguro, debían aplicar los dos principios anteriores (Notificación y opción).

Security principle (Seguridad): Las entidades adheridas, que se encarhaban de recoger y almacenar datos de carácter personal, debían adoptar todas las precauciones que consideraran oportunas con el fin de evitar su pérdida, modificación o destrucción.

Data integrity principle (Integridad de los datos): Las entidades adheridas debían recoger únicamente datos pertinentes respecto a los fines previstos.

Access principle (Acceso): Las entidades adheridas reconocían el derecho de los interesados al conocimiento de los datos de carácter personal que tenían sobre ellos y pudieran así corregirlos, modificarlos o suprimirlos en caso de ser inexactos.

Enforcement principle (Aplicación): Las entidades adheridas incluían una vía de recurso para los interesados que se vean afectados por el incumplimiento de la normativa sobre TID de carácter personal entre EE.UU. y UE.

A priori puede parecer que los tres primeros principios (Notificación, opción y transferencia ulterior) eran garantía suficiente para que la exportación de datos personales desde España a cualquier prestador de servicios de Cloud, con matriz en EE.UU. y adherida a los principios de Safe Harbor, pudiera realizarse sin necesidad de autorización del Director de la AEPD. No obstante, surgen al menos dos riesgos a tener en cuenta:

El primer riesgo surge cuando la misma empresa, o grupo multinacional, dispone de CPDs distribuidos en diferentes países, algunos de ellos sin proporcionar un nivel adecuado o equiparable de protección. Si el prestador de servicios transfiere nuestros datos personales a esas otras ubicaciones puede no sentirse obligado por el tercer principio de Puerto Seguro (transferencia ulterior), que parece más orientado a terceras empresas que a diferentes ubicaciones del mismo grupo empresarial, pudiendo ir a parar los datos, sin saberlo, a un tercer país. Mientras que la mayoría de proveedores de Cloud Computing informan por medio de sus políticas de privacidad de su adhesión a los principios de Puerto Seguro, no todos suelen informar de la ubicación geográfica de los diferentes CPDs que disponen. Esta forma sigilosa de incumplir el deber de informar, siempre que se traten datos personales, es más común en los prestadores que proveen un modelo de entrega de servicios de Cloud basado en SaaS (Software como servicio).

El segundo riesgo, objeto de análisis en los apartado siguientes, se refiere a que en determinados países existan leyes que obliguen a los prestadores de servicios de Cloud a proporcionar la información que se le exija, incluso sin avisar al interesado, conculcando el segundo principio de puerto seguro (opción).

2. LEYES PROPIAS DE ESTADOS UNIDOS DE AMÉRICA

2.1. USA Patriot Act

Hemos visto que para las empresas estadounidenses que prestan, por ejemplo, sus servicios de Cloud en CPDs ubicados en USA, existía la posibilidad de adherirse a los principios de “Puerto Seguro” (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000, hoy invalidada por STJUE. Dicha adhesión únicamente servía para que pudiera considerarse dicho prestador de servicios de Cloud automáticamente, por la autoridad de control española (AEPD), como ubicado en un país que ofrece un nivel adecuado de protección, lo que permitía llevar datos de carácter personal al Cloud desde España, sin necesidad de esperar la autorización pertinente de la AEPD. Con notificárselo bastaba.

No obstante existía un riesgo cuando se almacenaban datos de carácter personal desde España en un CPD propiedad de un prestador de servicios en el Cloud, ubicado principalmente en USA y propiedad de una empresa, adscrita o no, a los principios de Puerto Seguro (Safe Harbor).

Existe la USA Patriot Act (Ley Patriota de los Estados Unidos), que es acrónimo de “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism” (Unir y Fortalecer América al Proporcionar las Herramientas necesarias para Interceptar y Obstruir el Terrorismo). Esta ley fue sancionada por los Estados Unidos el 24 de octubre de 2001, a raíz de los ataques terroristas del 11 de septiembre de 2001. Las estipulaciones más restrictivas de derechos del Acta fueron inicialmente sancionadas como normas provisionales de emergencia hasta el 31 de diciembre de 2005. Con apenas modificaciones, fue sancionada por el Congreso norteamericano el 2 de marzo de 2006 y promulgada como ley por el presidente Bush el 9 de marzo del mismo año. [7]

Al leer la Ley Patriota de los Estados Unidos, resulta particularmente interesante observar que la orden emitida bajo esta Ley se puede entregar a cualquier ciudadano norteamericano, sin importar que resida en suelo norteamericano o en el extranjero. De hecho, no hay nada que impida que las autoridades norteamericanas obliguen a un ciudadano norteamericano, que reside temporalmente fuera de su país natal, a los efectos de obtener determinada información.

Bajo el Art. 215 de la Ley Patriota de los Estados Unidos, está prohibido para un particular, o una empresa que haya recibido esa orden Judicial, divulgar la existencia de esa orden bajo pena de sanción. Siguiendo esa lógica, el empleado ciudadano norteamericano que debe proporcionar determinados documentos a los que tiene acceso como parte de su relación laboral no puede ni siquiera informar a su empleador (ya se trate del CEO o del Consejo de Administración de la empresa).

El particular o la empresa que comunica la información al FBI después de habérsele emitido una orden Judicial bajo la Ley Patriota de los Estados Unidos tiene inmunidad total y no puede ser objeto de demandas por daños y perjuicios por ninguna tercera persona con relación, por ejemplo, a la comunicación de información privada o privilegiada relativa a esa tercera persona.

Lo único que deben invocar las autoridades es el hecho de que la información a ser comunicada podría estar relacionada a una investigación en curso relativa a actividades terroristas o de inteligencia secreta; no es necesario demostrar la existencia de un nexo real, probatorio.

2.2. FISA Act 2012

El domingo 30 de diciembre, la Secretaría de Prensa de la Casa Blanca emitió un escueto comunicado en el que informó: “El Presidente promulgó la ley H.R. 5949 o ‘Ley de Reautorización de Enmiendas a la ley FISA 2012, [8] [9] que amplía por cinco años el Título VII de la Ley de Vigilancia de Inteligencia Extranjera FISA (Foreign Intelligence Surveillance Act). Así, los polémicos poderes de vigilancia del gobierno fueron renovados hasta finales de 2017 permitiendo controlar las comunicaciones de los ciudadanos estadounidenses dentro y fuera del país.

La ley FISA es tan solo un ejemplo de cómo Estados Unidos ha adoptado un curso de acción que socava las expectativas no solo del derecho a la privacidad, sino también del derecho de no ser requisados o de que los bienes no sean incautados, en pro de la seguridad Nacional.

Dichas actuaciones no están sometidas a una orden judicial, sino que pueden estar sujetas únicamente a la decisión de uno o varios agentes del FBI, por ejemplo.

2.3. CISPA / HR-3523

CISPA (Cyber Intelligence Sharing and Protection Act o HR-3523) es un proyecto de ley en los Estados Unidos que permite el intercambio de información de tráfico de Internet entre el gobierno de EE.UU. y empresas tecnológicas y de prestación de servicios como son las de telecomunicaciones y de Cloud Computing.

El objetivo declarado del proyecto es ayudar al Gobierno de los EE.UU. a investigar las amenazas y así poder garantizar la seguridad de las redes contra los ataques cibernéticos.

El 18 de Abril de 2013 la Cámara de Representantes USA le dió luz verde a CISPA, por 288 votos a favor, 127 en contra y 17 abstenciones, yendo camino del senado cuando la vetó el presidente tras las revelaciones de Edward Snowden.

2.4. CISA / S-2588

El 10 de julio de 2014, la Cybersecurity Information Sharing Act (CISA) / S-2588, fue introducida en el Senado.

Se autodefine como “Para mejorar la ciberseguridad en los Estados Unidos a través de un mayor intercambio de información sobre amenazas de ciberseguridad, y para otros fines”. El senado ha aprobado el Proyecto de ley.

Los que opinan favorablemente consideran que la ley CISA promueve el intercambio de información entre individuos, compañías y el gobierno siempre que se realice de manera voluntaria, los datos sirvan para combatir el cibercrimen y éstos no incluyan información que revele la identidad de los internautas. Además, protege de posibles demandas a las compañías que decidan compartir esta información.

Por otro lado a los detractores les preocupa que la ley CISA no incluya las protecciones adecuadas para defender los derechos de privacidad de los estadounidenses y en realidad no vaya a tener ningún impacto notable sobre la Ciberseguridad.

3. LEYES EQUIVALENTES EN ESPAÑA

En España no hay una ley específica tipo las americanas que se han analizado previamente, pero sí que están regulados los objetivos del CNI (Centro Nacional de Inteligencia) activo desde el año 2002, fecha en la que sustituye al antiguo CESID (Centro Superior de Información de la Defensa).

La ley que regula el CNI y que supone su creación es la LO 11/2002, de 6 de mayo. [4]

Si observamos el Artículo 5 “Actividades del Centro Nacional de Inteligencia”, leemos:

“5. Para el cumplimiento de sus funciones, el Centro Nacional de Inteligencia podrá llevar a cabo investigaciones de seguridad sobre personas o entidades en la forma prevista en esta Ley y en la Ley Orgánica reguladora del control judicial previo del Centro Nacional de Inteligencia. Para la realización de estas investigaciones podrá recabar de organismos e instituciones públicas y privadas la colaboración precisa”.

Por otra parte, toda la actividad del CNI estará regulada jurídicamente dentro del marco establecido por la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia. [5]

Si se accede a dicha Ley, reguladora del control judicial previo del Centro Nacional de Inteligencia, en su artículo único se referencia que en los casos en los que se pueda afectar al secreto de las comunicaciones (art 18.2 de la Constitución Española) tenemos que, como se ha tratado con anterioridad, el CNI tiene la capacidad de actuar siempre y cuando exista una resolución judicial previa y favorable que así lo autorice.

Concretamente se cita en “EXPOSICIÓN DE MOTIVOS”:

“A estos efectos, esta Ley Orgánica, cuyo alcance resulta de una interpretación conjunta con la Ley reguladora del Centro Nacional de Inteligencia, determina tanto la forma de nombramiento de un Magistrado del Tribunal Supremo específicamente encargado del control judicial de las actividades del Centro Nacional de Inteligencia, como el procedimiento conforme al cual se acordará o no la autorización judicial necesaria para dichas actividades”.

Por tanto concluiré que las empresas de Cloud Computing que prestan servicios con localización de CPDs en el territorio Español, cooperan con las fuerzas de seguridad del Estado siempre que exista una orden judicial que así lo obligue.

Sin conocer a fondo la materialización de actuaciones, si consultamos la Ley Orgánica 2/2002, de 6 de mayo, vemos que la solicitud de autorización al Magistrado del TS por parte del CNI, deberá contener:

“a) Especificación de las medidas que se solicitan.

b) Hechos en que se apoya la solicitud, fines que la motivan y razones que aconsejan la adopción de las medidas solicitadas.

c) Identificación de la persona o personas [quiero entender físicas y/o Jurídicas] afectadas por las medidas, si fueren conocidas, y designación del lugar donde hayan de practicarse [en nuestro caso el CPD concreto de un CSP].

d) Duración de las medidas solicitadas, que no podrá exceder de veinticuatro horas en el caso de afección a la inviolabilidad del domicilio y tres meses para la intervención o interceptación de las comunicaciones postales, telegráficas, telefónicas o de cualquier otra índole, ambos plazos prorrogables por sucesivos períodos iguales en caso de necesidad. [En el caso de Cloud Computing se considera de otra índole, por lo que inicialmente la duración de las medidas será de hasta tres meses prorrogables]”.

El Magistrado dispondrá lo procedente para salvaguardar la reserva de sus actuaciones, que tendrán la clasificación de secreto.

Por tanto inicialmente el propietario de los datos ignorará que es motivo de actuaciones igual que ignoraría, obviamente, que le han intervenido el teléfono ya que su conocimiento podría incidir en la integridad de los datos y por tanto en la eficacia y confiabilidad del procedimiento abierto.

Si a raíz de las investigaciones se encuentran indicios razonables de la existencia de un delito, evidentemente se tendrá conocimiento de las actuaciones habidas para obtener pruebas catalogadas como evidencias digitales forenses dentro de la instrucción del sumario. Dichas evidencias se conservarán (cuidando la cadena de custodia para que no pierdan validez) al menos hasta la resolución judicial en última instancia (favorable o no), sin ya posibilidad de apelación.

El Secretario de Estado Director del Centro Nacional de Inteligencia ordenará la inmediata destrucción del material relativo a todas aquellas informaciones que, obtenidas mediante la autorización prevista en este artículo, no guarden relación con el objeto o fines de la misma.

4. AFECTACIÓN AL CLOUD COMPUTING

Cuando hablamos de Llevar al Cloud Datos de Carácter Personal recabados de ciudadanos españoles, según la LOPD y el RLOPD el Responsable del Tratamiento (La empresa que contrata los servicios) incluirá un acuerdo de subcontratación suscrito con el Encargado del Tratamiento (La empresa que presta servicios de CLOUD). No es otra cosa que una obligación contractual dirigida a ésta tercera persona proveedora, tendiente a respetar las normas de confidencialidad elaboradas por la ley española. Sin embargo, una vez que la información personal está en manos de la tercera persona proveedora establecida en un país extranjero, la información está sujeta a las leyes de ese país. Si surgiera un conflicto entre la obligación de confidencialidad bajo contrato y la obligación legal de divulgar (como por ejemplo una citación judicial emitida bajo la Ley Patriota de los Estados Unidos), no existe objeción en el sentido de que para el proveedor de servicios Cloud, prevalecerá la ley del territorio.

En consecuencia, existe el riesgo de que las agencias gubernamentales de los EE.UU. puedan tener acceso, a través de la aplicación de la Ley Patriota de los Estados Unidos, a la información personal de ciudadanos españoles, cuando esa información se subcontrata a un proveedor de servicios en Norteamérica.

Así las cosas, una empresa ubicada en España que subcontrata la gestión de sus datos a los Estados Unidos, como mínimo debería informar a sus clientes que su información confidencial podría estar a disposición del gobierno de los Estados Unidos en virtud de una orden judicial de ese país.

Un reciente estudio de la Unión Europea titulado: 'Lucha contra la delincuencia cibernética y protección de la privacidad en la nube', asegura que el peligro real reside en el control de EE.UU. de la información almacenada en nubes públicas, que son precisamente propiedad de empresas de ese país. Según el informe, la legislación tiene "fuertes implicaciones para los derechos fundamentales de la UE", ya que permite a EE.UU. acceder legalmente a toda la información del Cloud sin previo aviso ni consulta.

NOTA DEL EDITOR: Protección de datos personales aparte, el hecho de que las empresas españolas que han externalizado sus datos en el Cloud a un CPD ubicado en España puedan sufrir, para una posible investigación, acceso a sus datos almacenados por parte del CNI no es grave dado que dicho organismo está al servicio del Estado Español y bajo control judicial.

Más preocupante sería que agencias federales norteamericanas, o de cualquier otro país, pudieran acceder a información de empresas españolas, que han ubicado sus datos en un prestador de Cloud, con su CPD en USA y que, bajo el amparo de una investigación de terrorismo, se encuentren con sus datos accedidos existiendo, por ejemplo, conflicto de intereses en ofertas para proyectos internacionales.

5. EJEMPLO A PARTIR DE UNA DECLARACIÓN DE PRIVACIDAD

Concretando con un ejemplo, un proveedor de Norteamérica dentro de sus condiciones generales de contratación, a las que implícitamente se adhiere o suscribe quien utiliza sus servicios, establece cláusulas que vislumbran el efecto de verse obligado ante requerimientos gubernamentales, dejando la puerta abierta a “USA Patriot Act” en el texto, donde reconoce que podrían no notificarlo.

La DECLARACIÓN DE PRIVACIDAD de Microsoft [6] actualizada en fecha junio de 2015, como ejemplo, cita textualmente en el apartado de Divulgación de datos:

“(…) Microsoft no revelará Datos del cliente fuera de Microsoft, o sus filiales y empresas afiliadas, excepto (1) si usted lo solicita, (2) con el permiso de un usuario final, (3) como se describe aquí o en su(s) acuerdo(s), (4) en caso de que así lo requiera la legislación vigente.

Microsoft no revelará Datos del cliente a la policía a menos que así lo exija la ley. En caso de que los cuerpos y fuerzas de seguridad del estado se pongan en contacto con Microsoft a fin de solicitar Datos del cliente, Microsoft intentará instar a la autoridad competente a solicitarle los datos directamente a usted. Si nos vemos obligados a revelar Datos del cliente a la autoridad competente, Microsoft le notificará inmediatamente y le proporcionará una copia de la solicitud a menos que lo prohíba la legislación vigente (…)”.

Evidentemente la USA Patriot Act se aplica a cualquier proveedor de servicios en USA, aunque aquí cite a Microsoft como ejemplo.

NOTA DEL EDITOR. Puede consultarse en éste mismo Blog una (quizá demasiado breve) versión en video, que habla de gobierno, gestión y legislación, referidos al Cloud:

CLOUD COMPUTING: REGULANDO EL DESORDEN

6. ¿QUÉ DEBE HACERSE AHORA CON LAS TID IMPLEMENTADAS HACIA USA?

En España, las Decisiones de la Comisión, referentes a protección de datos, y en concreto los acuerdos tipo “safe harbor”, se legitiman en base a la excepción que recoge el artículo 34.k LOPD: “Lo dispuesto en el artículo anterior [referente a la evaluación y autorización del Director de la AEPD] no será de aplicación: k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”.

También en base a la excepción que recoge el artículo 34.a LOPD: “Lo dispuesto en el artículo anterior [referente a la evaluación y autorización del Director de la AEPD] no será de aplicación: a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España”. Evidentemente cualquier acuerdo USA-UE, siendo España miembro de pleno derecho de la UE, queda incluido en la disposición eximente anterior.

Una vez invalidada la Decisión 2000/520/CE conocida como “Safe harbor”, las empresas, dependiendo de la casuística concreta, deberán optar por diferentes soluciones que paso a detallar. Todo ello mientras USA y la UE no suscriban un nuevo acuerdo, confiemos mejor que el actual sometiendo a las empresas que lo suscriban en base a la autorregulación a criterios de inspección de tercera parte, que derive en una nueva Decisión de la Comisión.

Una primera solución, únicamente válida para grupos multinacionales que requieran transferir datos inter-grupo, es suscribir las Normas Corporativas Vinculantes (en inglés Binding Corporate Rules – BCR). [12] No obstante, cabe decir que es un proceso lento de tramitación aunque operativo para esta tipología de organizaciones. El artículo 70.4 RDLOPD dispone: “También podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice asimismo el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, y el presente Reglamento. En este caso, para que proceda la autorización del Director de la Agencia Española de Protección de Datos será preciso que las normas o reglas resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español. En todo caso, la autorización del Director de la Agencia Española de Protección de Datos implicará la exigibilidad de lo previsto en las normas o reglas internas tanto por la Agencia como por los afectados cuyos datos hubieran sido objeto de tratamiento”.
Una segunda solución es suscribir con el CSP prestador en USA cláusulas tipo [11], según la Decisión de la Comisión de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, y requerir del Director de la AEPD la correspondiente autorización para la TID.
Una tercera solución suele ser desproporcionada y muy difícil de cumplir, consistiendo en que el responsable recabe el consentimiento expreso a los afectados por la transferencia, según dispone el artículo 34.e de la LOPD: “Lo dispuesto en el artículo anterior [referente a la evaluación y autorización del Director de la AEPD] no será de aplicación: e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. Para que el consentimiento sea inequívoco deberá ser previamente informado con todos los detalles sin omisión, indicando que sus datos personales están/estarán alojados en un CSP prestador de USA, país que ahora es considerado por la UE como que no cumple el nivel adecuado de protección de los datos personales. Si se solicita desde el principio, esta fórmula podría ser viable, pero hacerlo a posteriori la experiencia demuestra su escasa efectividad ya que, o lo autorizan absolutamente todos los afectados, o se continúa incumpliendo.
La cuarta solución es migrar los datos, especialmente los de naturaleza personal, a otro prestador de servicios de Cloud que garantice que estarán ubicados en un CPD en la Unión Europea. Pensemos que muchos CSP, incluso con matriz en USA, disponen de CPD en algún país del EEE. Si se opta por esta solución, se agradecerá haber previsto una cláusula de portabilidad de los datos. En este punto me gustaría manifestar mi desacuerdo con que se haya suprimido, hoy por hoy, del borrador de nuevo RGPD/UE el artículo que obligaba a los prestadores de Cloud Computing a garantizar la portabilidad de los datos. Si no se regula por vía reglamentaria europea, deberá suscribirse como cláusula contractual privada entre las partes (responsable y encargado) que obligue al CSP, para minimizar el riesgo. [13]

7. BIBLIOGRAGÍA CONSULTADA

- [1] Decisión 2000/520/CE de la Comisión. “sobre la adecuación conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América. 26 de julio de 2000.

Decisión 2000/520/CE

- [2] SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala). “En el asunto C‑362/14, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la High Court (Irlanda)”. 6 de octubre de 2015.

STJUE_Safe_Harbor

- [3] TJUE. “COMUNICADO DE PRENSA nº 117/15”. Luxemburgo, 6 de octubre de 2015. Sentencia en el asunto C-362/14. Maximillian Schrems / Data Protection Commissioner.
Comunicado TJUE

- [4] BOE núm. 109. “Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia”. 07/05/2002.

LO 11/2002

- [5] BOE núm. 109. “Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia”. 07/05/2002.

LO 2/2002

- [6] MICROSOFT. “Microsoft Online Services Privacy Statement”. Actualización de junio de 2015,

Declaración de privacidad

- [7] Public Law 109–177 (109th Congress). Mar. 9, 2006. “USA PATRIOT IMPROVEMENT AND REAUTHORIZATION ACT OF 2005”.

USA PATRIOT IMPROVEMENT AND REAUTHORIZATION

- [8] CONGRESSIONAL RECORD --- SENATE. December 27, 2012. “FISA AMENDMENTS ACT REAUTHORIZATION ACT OF 2012”. S8384.

FISA 2012 ACT

- [9] ELECTRONIC FRONTIER FOUNDATION. January 10, 2013. “A New Year, a New FISA Amendments Act Reauthorization, But the Same Old Secret Law”. By Mark Rumold.

NEW FISA

- [10] 112TH CONGRESS 1ST SESSION. 29 November, 2011. “To provide for the sharing of certain cyber thread intelligence. . .”. DISCUSSION DRAFT.

CISPA

- [11] COMISIÓN EUROPEA. “Decisión 2010/87/UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

Cláusulas tipo

- [12] Julián Prieto Hergueta - Subdirector General del Registro General de Protección de Datos en la AEPD. “Transferencias Internacionales de Datos: las garantías de las normas corporativas vinculantes (BCR)”.

BCR y TID

- [13] José Luis Colom. “CLÁUSULAS CONTRACTUALES EN ENTORNOS DE CLOUD COMPUTING”. Blog “Aspectos profesionales”. Publicado en Octubre de 2012 y actualizado en Junio de 2015.

Cláusulas contractuales

8. CONTROL DE CAMBIOS DEL ARTÍCULO

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha	Cambio	Responsable
08/10/2015	Redacción inicial del artículo	Autor
10/10/2015	- Se añade el apartado “6. ¿QUÉ DEBE HACERSE AHORA CON LAS TID IMPLEMENTADAS HACIA USA?”. - También se añade la referencia [11] en el apartado de bibliografía, referente a las “Cláusulas tipo”.	Autor
11/10/2015	- Se justifican jurídicamente las soluciones relacionadas en el apartado 6 y se añade la referencia bibliográfica [12] y [13] sobre BCR y Cláusulas contractuales.	Autor

7. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre el autor:

José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.