El escándalo Snowden desvela el inclumplimiento de la LOPD por parte de miles de empresas que usan Gmail u Office 365
El uso de Gmail u Office 365 puede suponer sanciones de hasta 300.000 euros para las empresas que no garanticen la confidencialidad empresa-cliente de las comunicaciones. Así se ha puesto de manifiesto tras el reciente escándalo Snowden que afecta a la administración Obama, con las últimas revelaciones hechas públicas referentes al espionaje de millones de cuentas de correo electrónico por parte de la NSA (Agencia de Seguridad Nacional) de los EE. UU.. El ex espía Snowden ha puesto de manifiesto la inseguridad jurídica y legal que afecta a miles de empresas y pequeños negocios que trabajan a diario con servicios como Gmail o Office 365.
Contenido de la información:
Un informe realizado por la empresa Interbel, especializada en soluciones de correo electrónico, ha detectado las graves consecuencias legales que puede afrontar una empresa usuaria de Gmail o Office 365 y que pueden alcanzar los 300.000 euros de sanción si es demandada por un cliente ante la Agencia Española de Protección de Datos (AEPD).
Servidores no sujetos a la legislación europea
Los datos almacenados en los servidores de Gmail y Microsoft pueden estar en cualquier país, sin importar la nacionalidad del titular de éstos. Ello facilita que el gobierno de EE. UU., con más de 1M de personas espiando y rastreando comunicaciones privadas, pueda acceder a la información sin notificarlo al titular y entrando en conflicto con la Ley Orgánica de Protección de Datos. Este ha sido un duro golpe a la confianza respecto a la seguridad de sus datos entre los clientes y las empresas que usan estos proveedores de hosting.
De hecho, tanto Microsoft como Google, en su día firmaron su adhesión voluntaria al acuerdo marco Safe Harbor, firmado entre la UE y el Departamento de Comercio de los EE. UU. para garantizar un standard común en privacidad y confidencialidad de los datos. Este acuerdo las autoriza a operar en Europa sin tener que solicitar autorizaciones específicas a las respectivas agencias nacionales de la UE. Sin embargo, las revelaciones de haber entregado miles de correos a la NSA apuntan a que ambas compañías han violado de forma implícita el acuerdo Safe Harbor.
Los riesgos de utilizar Gmail u Office 365
En este sentido, según establece la LOPD, el cliente de una empresa que haya sellado un acuerdo de confidencialidad con ésta, si sus emails acaban siendo leídos por la NSA , puede interponer una demanda contra la compañía por incumplimiento de la LOPD debido al hecho de que sus datos personales habrían sido vistos por terceros no autorizados. Según fija la ley, las sanciones máximas podrían alcanzar los 300.000 € para aquellas empresas que no garanticen la confidencialidad pactada.
Con independencia de los obvios riesgos y derivaciones de tipo de tipo legal que pueden suponer para las empresas el operar con servicios de correo electrónico alojados en servidores no europeos, otro riesgo importante es el que correos internos y datos relativos a la estrategia del propio negocio pueden ser vistos en cualquier momento y sin previo aviso. Supone una falta total de seguridad en cuanto a confidencialidad e implica un más que evidente riesgo de que esta información no se transfiera a competidores estadounidenses, en virtud del interés patriótico de la Patriot Act.
“Me preocupa que al final estas empresas hayan vulnerado un derecho constitucional como es la privacidad” – comenta Román Martín, Director General de Interbel. “No sólo es importante mirar los aspectos jurídicos que se pueden derivar o la posible pérdida de información confidencial, sino también que datos privados sobre los que podemos ser vulnerables, puedan quedar a merced y voluntad del Gobierno Americano”.
Recomendación
Interbel anota que existen alternativas a Gmail y Office 365 para proteger la seguridad de los datos en las empresas y evitar esta situación. Por ejemplo, teniendo en la empresa un servidor interno de correo electrónico como MDaemon o Exchange, o bien, contratando el servicio a empresas de hosting europeas como Claranet o Telefónica.
Los peligros de la LOPD para las empresas que trabajan en la nube
El Cloud Computing (la computación en la nube) aporta muchas ventajas a las empresas pero precisa de la incorporación de medidas de seguridad técnicas específicas que garanticen la integridad y confidencialidad de los datos, puesto que muchas aplicaciones web pueden estar ubicadas en servidores extranjeros.
Las empresas incorporan cada vez más el Cloud Computing a la prestación de sus servicios para facilitar la intercomunicación y favorecer el desarrollo laboral en cualquier lugar del mundo. Para LOPDGEST, la Solución definitiva a la Ley de Protección de Datos, esta tecnología, que está totalmente ‘en boga’, presenta algunos riesgos que pueden surgir en caso de que se haga un mal uso de la herramienta o no se apliquen las medidas de seguridad pertinentes que permitan una protección extremada de la información, por lo que deberá tenerse especial consideración en cuanto a la pérdida de información, la falta de integridad, o el acceso indebido a la misma por personal no autorizado al efecto.
Según Leopoldo Mallo, director general de LOPDGEST, “debemos ser conscientes de que nos encontramos ante una tecnología que presenta innumerables ventajas para el desarrollo empresarial dentro de una organización, siempre y cuando se incorporen las medidas de seguridad técnicas pertinentes para garantizar la integridad y confidencialidad de la información”.
En España existe una normativa específica cuyo objetivo es proteger y regular el tratamiento de datos de carácter personal y la información empresarial que mediante la utilización de estas aplicaciones web, se alojan en un servidor común a nivel mundial como es Internet. Ésta, es la ya conocida normativa en materia de Protección de Datos, concretamente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD), así como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD (RDLOPD).
Concretamente el artículo 85 del RDLOPD, dispone expresamente que “las medidas exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local”, conforme a las exigencias recogidas en el reglamento.
Información sensible
En este sentido se prevé una serie de medidas de seguridad, tanto técnicas como organizativas, con el objeto de velar por la seguridad de los datos de carácter personal, cuyo incumplimiento podrá acarrear una serie de sanciones preestablecidas. Entre dichas medidas, conviene destacar aquellas eminentemente técnicas, tales como, por ejemplo, el establecimiento de sistemas de identificación y autenticación de usuarios, permitiendo de esta manera establecer un control de acceso lógico a la información, es decir, evitando así un acceso indebido por personal no autorizado al efecto; la definición de procedimientos de realización de copias de respaldo, al menos semanalmente; o por ejemplo el establecimiento de cifrados en la información especialmente sensible cuando se proceda a su transmisión a través de redes públicas, velando así por su integridad.
Asimismo, se recoge la obligación de que los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad asignado, en función del tipo de datos objeto de tratamiento.
Es conveniente tener en cuenta que, dada la propia naturaleza de este tipo de servicios, es muy probable que nos encontremos ante una Transferencia Internacional de Datos, puesto que muchas aplicaciones web se acabarán alojando en servidores extranjeros. El Movimiento Internacional de Datos, viene regulado en la normativa en materia de Protección de Datos, y concretamente en la Instrucción 1/2000, de 1 de diciembre de la Agencia Española de Protección de Datos, en la cual se prohíbe como regla general la Transferencia Internacional de Datos con destino a países que no proporcionen un nivel de protección equiparable al establecido en la LOPD, sin la previa autorización del Director de la Agencia Española de Protección de Datos, salvo determinadas excepciones previstas en la normativa de referencia. Así mismo, también se recoge la obligación de cumplimiento de una serie de requisitos tales como, el deber de información y la correspondiente notificación de la Transferencia a la Agencia Española de Protección de Datos.