Contacto

Para consultas jurídicas "david @ 451.legal"

martes, 21 de febrero de 2012

Google apps y los datos de los abogados

Se está planteando por parte de algunos colegios de abogados la posibilidad de contratar los sistemas de tratamiento de datos con Google Apps.



En su día Javier Maestre, en este artículo, también señaló los problemas de este tipo de soluciones acertadamente, lo que motivo una respuesta de la mismísima Google, respuesta que si bien desmentía lo afirmado por Javier Maestre no analizaba la normativa y las condiciones de sus servicios para demostrar su compatibilidad.

La cuestión es si las aplicaciones que Google pone a disposición de los profesionales cumplen con el contenido de la Ley Orgánica 15/1999 de Protección de Datos (LOPD) y su normativa de desarrollo.

Desconozco si para los colegios de abogados, como el de Barcelona que han migrado su sistema de correo a Google Apps, se ha ofrecido un contrato personalizado y diferente a los términos de servicio que están publicados y accesibles para cualquiera. Es posible porque supongo que el BBVA, que ha anunciado recientemente un cambio similar, habrá exigido algo parecido.

Pero partamos de la base de que no hay un acuerdo específico, sino que simplemente estamos ante el contrato típico que Google publica en internet.

Es evidente que para un abogado Google en este caso, desde el punto de vista de la Protección de Datos, será un mero encargado del tratamiento siendo el abogado o el colegio el responsable del fichero, pues son estos quienes deciden sobre la finalidad, contenido y uso del tratamiento.

De hecho Google se define como procesador de datos en sus ToS:
El Cliente acepta que las responsabilidades de Google no incluyen la administración o gestión interna de los Servicios para el Cliente y que Google actúa únicamente como procesador de datos.
El encargado del tratamiento se define en la LOPD, artículo 3, como:
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Las obligaciones del encargado del tratamiento se establecen tanto en la LOPD como en el Real Decreto 1720/2007 (RPD).

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
Vemos que ya en la LOPD hay una obligación de la existencia de una relación contractual y con un contenido mínimo.

Este contrato serían las condiciones de servicio de Google Apps, disponibles en este enlace.

En las mismas unicamente se dispone, en relación a los datos personales lo siguiente:
1.1 Instalaciones y transferencia de datos. Las instalaciones que se empleen para almacenar y procesar Datos de cliente deberán cumplir con normas de seguridad razonables y en ningún caso podrán ser inferiores a las normas de seguridad de las instalaciones en las que Google almacena y procesa información similar propia. Google ha puesto en marcha procedimientos y sistemas estándares del sector para garantizar la seguridad y la confidencialidad de los Datos de cliente, para protegerlos de amenazas o de peligros previstos contra su seguridad o integridad, y para protegerlos del acceso o del uso no autorizado. Como parte del proceso de proporcionar los Servicios, Google puede transferir, almacenar y procesar los Datos de cliente en los EE.UU. y en otros países donde Google o sus representantes tengan instalaciones. Al hacer uso de los Servicios, el Cliente da su consentimiento para la transferencia, el procesamiento y el almacenamiento de Datos de cliente.
La única referencia que contiene el contrato es sobre las medidas de seguridad, y aunque sabemos que Google está adscrito a la política de Puerto Seguro (Safe Harbour) lo cierto es que el contrato permite enviar datos  a otros países.

Además la única referencia que se hace es a "procedimientos estandar del sector" pero sin más detalles.

Pero como vemos no recoge el contenido mínimo exigido por la LOPD, esto es la obligación de tratar los datos unicamente conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

La ausencia de los elementos de este contenido mínimo, determina, aunque sólo lo sea a efectos formales el incumplimiento de una Ley Orgánica.

Y ello sin entrar a valorar lo que Google hace con los datos, que realmente no podría hacer ningún tipo de labor de indexación o análisis, lo que impediría, por ejemplo, que se mostrase publicidad en Gmail.

Desconozco si los letrados del colegio de Barcelona ven publicidad cuando acceden a su servicio de correo, pero como digo, con este contrato y esta legislación ello no sería posible.

Como se ve, y salvo que el contrato aplicable sea otro, veo muy complicado que la respuesta a la pregunta del Sr. Decano sea afirmativa. 

[Actualización] Hay otra versión del contrato para el caso de firmar con Google Irlanda que tiene más previsiones sobre protección de Datos. Gracias a Alonso Hurtado por el aviso.

Sin embargo la existencia de este contrato no cambia mucho la respuesta. Hay un apartado específico de protección de datos que dice:
  • 1.4. Políticas de privacidad. El Cliente acepta que Google procese los datos personales de sus Usuarios finales como parte de los Servicios dentro del ámbito de las capacidades de dichos Servicios, las cuales se estipulan en las Políticas de privacidad de Google. El Cliente, por lo tanto, solicita a Google que le proporcione los Servicios y procese los datos personales de los Usuarios finales en virtud de las Políticas de privacidad de Google y Google, por su parte, se obliga a llevar a cabo estas acciones. Las Políticas de privacidad de Google se incorporan al presente Acuerdo por referencia. El Cliente acepta proteger la privacidad de los Usuarios finales mediante el cumplimiento de una política, que será debidamente comunicada y que en ningún caso protegerá menos que las propias Políticas de privacidad de Google.
  • 1.5. Protección de datos. En el Apartado 1.4. y 1.5. del presente Acuerdo, los términos "datos personales", "procesar", "control de los datos" y "procesar los datos" reciben el significado que se estipula en la Directiva de la Unión Europea. A propósito de este Acuerdo y con respecto a los datos personales de los Usuarios finales, por el presente, las partes acuerdan que el Cliente será el encargado de realizar el control de los datos y Google el encargado de procesarlos. Google se compromete a aplicar las medidas técnicas y organizativas que correspondan para proteger estos datos personales ante la destrucción o pérdida accidental, modificación, revelación o acceso no autorizado, ya sea de forma accidental o ilegal.
Pero siguen faltando las referencias de obligado cumplimiento por la LOPD.

9 comentarios:

  1. efectivamente, pero además, será necesario la notificacion de la transferencia internacional (que no autorizacion por estar en puerto seguro). La cuestion es quién ha de realizar dicha notificacion?? el Responsable del fichero, que es en mi modesta opinion, el propio colegiado, ya que el Colegio actuaría como encargado del tratamiento en la provisión del servicio de web mail a los colegiados...

    Esto da para un nuevo post..

    PD actualmente, no recibimos publicidad vía el web mail..

    ResponderEliminar
  2. Muy interesante.

    Surgen otras preguntas:

    ¿Es todo esto aplicable a los miles de abogados que usan -profesionalmente- una simple cuenta de gmail? -no app-

    ¿Qué pasa con los también muchos abogados que gestionan su correo a través de hostings situados en el extranjero y de los que se sabe todavía menos que de google (que ya es decir)

    Jose de la Maza

    ResponderEliminar
  3. Es una muy buena idea y sobretodo muy accesible y rápida.

    ResponderEliminar
  4. ESTIMADOS AMIGOS:
    Solicito mi habilitacion de mi cuenta de SOCIALFLIRT.COM porque la tengo bloqueada por un oprobio sexual con mi país Guatemala por unos impostores polares de un vórtice virtual que me calumniaron de violador sexual por especularme de prevaricador segun el reportaje y la consulta popular a Guatemala por REDGUATEDIGITAL.BLOGSPOT.COM y por CNN.COM del telenoticiero norteamericano CNN y por el paradero de los tales por ENTRANDOENLAMADRIGUERA.BLOGSPOT.COM. Pueden solicitar una investigacion policial de mi país Guatemala en el sitio PNC.GOB.GT.

    Atentamente:
    Jorge Vinicio Santos Gonzalez,
    Documento de identificacion personal:
    1999-01058-0101 Guatemala,
    Cédula de Vecindad:
    ORDEN: A-1, REGISTRO: 825,466,
    Ciudadano de Guatemala de la América Central.

    ResponderEliminar
  5. Teneis toda la razon, es muy importante la proteccion de datos

    ResponderEliminar
  6. Google actualizo este verano los T&C, incluyendo las claúsulas exigidas por Google en el articulo 12.2:

    http://www.google.com/apps/intl/es/terms/premier_terms_ie.html

    Cláusula 2:

    2. Procesamiento de datos.

    2.1 Legislación de protección de datos. En el presente Acuerdo, los términos "datos personales", "procesamiento", "controlador" y "procesador" reciben el significado que se estipula en la Directiva de la Unión Europea. Las partes aceptan y reconocen que el procesamiento de los datos personales del Cliente está sujeto a la Legislación de protección de datos.
    2.2 Procesador. Para el propósito de este Acuerdo y con respecto a los datos personales del Cliente, las partes acuerdan que el Cliente será el encargado de realizar el control de los datos y Google el encargado de procesarlos. Dentro del ámbito estipulado en este Acuerdo, el Cliente deberá cumplir con sus obligaciones de controlador y Google con sus obligaciones de procesador según establece la Legislación sobre protección de datos.
    2.3 Alcance del procesamiento. Google procesará los datos personales del Cliente con el fin de mantener, mejorar y proporcionar los Servicios de acuerdo con las leyes aplicables. Google procesará los datos personales del Cliente de acuerdo con las Instrucciones del Cliente (especialmente, de acuerdo con la Cláusula 1.1), siempre y cuando dichas Instrucciones sean coherentes con la capacidad de los Servicios y con la Política de privacidad de Google. Si Google no puede cumplir las Instrucciones del Cliente porque entran en conflicto con el Acuerdo o con el Acuerdo de nivel de servicio, Google se lo notificará al Cliente tan pronto como sea posible. Tras recibir dicha notificación, el Cliente puede rescindir el Acuerdo cuando lo estime oportuno mediante el envío de una notificación por escrito a Google. Si la rescisión se produce antes de que expire el Periodo de vigencia actual de los Servicios, el Cliente deberá abonar todos los Importes adeudados correspondientes al Periodo de vigencia actual.
    2.4 Política de privacidad. El Cliente informará a los Usuarios Finales de que sus datos personales se procesan de conformidad con lo estipulado en el presente Acuerdo y en la Política de privacidad de Google.
    2.5 Seguridad de los datos. Google se compromete a aplicar las medidas técnicas y organizativas que correspondan para proteger los Datos del cliente y evitar su destrucción o pérdida accidental, modificación, revelación o acceso no autorizado, ya sea de forma accidental o ilegal (“Medidas de seguridad”).
    2.6 Personal de Google. Google tomará las medidas adecuadas para garantizar que sus empleados, contratistas y Subcontratistas cumplan las Medidas de seguridad.
    2.7 Incidente de seguridad. Tras el descubrimiento o la notificación de un Incidente de seguridad, Google comunicará al Cliente dicho incidente tan pronto como sea razonablemente posible, teniendo en cuenta la naturaleza de dicho Incidente de seguridad. Google enviará al Cliente todas las notificaciones que corresponda relacionadas con el Incidente de seguridad.
    2.8 Auditoría de seguridad. Durante el Periodo de vigencia, Google mantendrá su informe SSAE 16 tipo II o ISAE 3402 (u otro informe similar) sobre los sistemas de Google para examinar los controles de seguridad lógica, los controles de seguridad física y la disponibilidad del sistema (“Informe de auditoría”) en relación con los Servicios. Al menos cada dieciocho meses, Google encargará a un tercero la elaboración de un Informe de auditoría actualizado.
    2.9 Transferencias de datos. Durante el Periodo de vigencia, Google garantizará que Google Inc. permanezca en el programa Safe Harbor del Departamento de Comercio de Estados Unidos o que adoptará una solución de cumplimiento alternativa que cumpla las disposiciones de los Artículos 25 y 26 de la Directiva de la Unión Europea.
    [.....]

    ResponderEliminar
  7. ESTIMADOS HERMANOS:
    Solicito mi habilitacion de mi cuenta de GOOGLE porque la tengo bloqueada por unos impostores que me difaman de vehemente parafílico en la red de internet por los siguientes antecedentes que GOOGLE me denigra por omision:

    ESTIMADOS HERMANOS:
    Solicito una investigacion hindú de las regiones de Guatemala que me creyeron prevaricador (payaso macabro que zarandea angustiosamente a la gente) y de las regiones de Guatemala que me creyeron un hostigador sexual pretencioso porque mis delatores surrealistas del vórtice virtual me resarcieron con un linchamiento sexual popular pero por mi parafilia voyeurista no alcanzaron perpetrarme cuando me creían prevaricador con mi secuela de calumniarme de hostigador sexual en otras regiones por mi obsesion culminante de las primeras regiones que me resarcieron de prevaricador. El linchamiento sexual popular es una necrofilia consistente en ventosearme al semblante con bates de base ball para perpetrarme pero lamentablemente es masturbatorio para las adversarias.
    Las regiones de mi país Guatemala de la América Central que me creyeron prevaricador son:

    Valle Dorado zona 8 del municipio de Mixco del departamento de Guatemala, Jocotenanago de Antigua Guatemala del departamento de Sacatepéquez, Colonia Justo Rufino Barrios de la zona 21 de la ciudad capital de Guatemala, municipio de Amatitlán del departamento de Guatemala y San Lucas Sacatepéquez del departamento de Sacatepéquez.

    Las regiones de mi país Guatemala de la América Central que me creyeron hostigador sexual son:

    colonia Centroamérica y colonia Tikal 2, ambas de la zona 7 de la ciudad capital de Guatemala.

    Atentamente:
    Jorge Vinicio Santos Gonzalez,
    Documento de identificacion personal:
    1999-01058-0101 Guatemala,
    Cédula de Vecindad:
    ORDEN: A-1, REGISTRO: 825,466,
    Ciudadano de Guatemala de la América Central.

    ResponderEliminar
  8. Buenos días, compañeros. En primer lugar,enhorabuena por este post, que me ha sido de bastante ayuda. Sin embargo, estoy realizando la inscripción de unos ficheros para una empresa que aloja datos en Google Drive y me surgen las siguientes cuestiones:para la inscripción de Google como encargado del tratamiento, no sé dónde acudir para solicitar su CIF, si es que tiene, ni si he de poner la dirección de California o alguna Europea...vamos...que no sé qué hacer ni como seguir.
    Por otro lado,en caso de que haya varios encargados del tratamiento ¿a quién he de poner en la solicitud de inscripción?

    En fin, muchísimas muchísimas gracias.

    Saludos

    ResponderEliminar