Monthly Archives junio 2013

Guía de Cloud Computing para despachos de abogados

    Guardado en BLOG, CLOUD COMPUTING, INTERNET, PRIVACIDAD, PROTECCION DATOS, seguridad información    |    Sin comentarios

ID-100132579El Consejo General de la Abogacía en colaboración con la Agencia Española de Protección de Datos ha elaborado un informe que pretende constituir una guía para los despachos de abogados a la hora de utilizar el cloud computing. Y es que las ventajas de la gestión del despacho y sus expedientes en la nube son innegables, pero ello no debe hacernos olvidar la obligación no sólo de cumplir con la normativa de protección de datos, sino también de preservar el secreto profesional.

A lo largo de cinco puntos, este informe aborda cuestiones tan trascendentes como cuál sería la jurisdicción competente en caso de conflicto cuando los servidores en los que se alojan nuestros expedientes se ubican en países diferentes al nuestro. ¿Es competente el estado en el que físicamente se encuentran los servidores o aquel en el que radica nuestro despacho?

En este punto la respuesta es clara: la normativa aplicable es la ley del Estado donde está ubicado el responsable del tratamiento del fichero, en este caso el despacho de abogados. Por ello, los abogados deberán cerciorarse de que los proveedores de ‘cloud computing’ cumplen la normativa española de protección de datos personales (art. 20.2 del RLOPD). Las garantías exigibles son las establecidas en la LOPD y su reglamento de desarrollo y en ningún caso se podrá pactar la aplicación de una normativa distinta ni excluir la competencia de la AEPD.

Además debemos tener en cuenta que la normativa europea considera transferencia de datos personales la comunicación a países terceros – excepto en el territorio del Espacio Económico Europeo – y  señala que la transferencia ha de limitarse a naciones en las que los datos cuenten con lo que se define como “un nivel de protección adecuado”, salvo que se obtenga, previa la aportación de garantías adecuadas, la autorización del Director de la AEPD.

En el frecuente caso de que ese tercer país no comunitario sea Estados Unidos, si el proveedor se ha adherido voluntariamente al acuerdo de “puerto seguro”(safeharbor) en virtud del cual se obligan a cumplir requisitos equivalentes a los europeos en materia de protección de datos, no será necesaria la citada autorización, si bien siempre será necesario suscribir un contrato de prestación de servicios conforme a la LOPD (FAQ nº 10 de la Decisión 2000/520/CE).

¿Cómo conciliar las utilidades del cloud computing  con el cumplimiento del deber de secreto profesional? El artículo 9.1de la LOPD dispone que “El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado (…)” y a ese deber genérico de conservación se une el deber específico de secreto profesional por parte de los abogados.

Además es frecuente que por el tipo de asuntos profesionales gestionados en nuestros expedientes se encuentren  datos especialmente protegidos, entre los que se encuentran los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas. Por eso, los despachos de abogados deberán exigir a su proveedor el cumplimiento de las medidas de seguridad previstas en los art. 89 y siguientes del RD 1720/2007.

Por tanto, no sólo se debe cumplir con la normativa de protección de datos y suscribir el correspondiente contrato de encargado de tratamiento con el proveedor de servicios cloud (art. 12 LOPD), sino que además debemos incluir ciertas cláusulas relativas a aspectos esenciales para garantizar que el servicio se recibe con todas las garantías técnicas y legales y con pleno respeto al derecho a la protección de datos de carácter personal:

          Régimen de datos

          Cumplimiento de la normativa de protección de datos de carácter personal

          Seguridad en el acceso exclusivamente por los miembros del despacho

          Conservación e integridad de la información

          Disponibilidad del servicio

          Portabilidad de la totalidad de la información almacenada al término del servicio

          Consecuencias en caso de incumplimiento

 

 

 

Image courtesy of [image creator name] / FreeDigitalPhotos.net