Según en qué lugar del mundo esté ubicado nuestro servidor virtual en el CLOUD, cuando introduzcamos datos personales en él, podrá considerarse una cesión o bien una transferencia internacional de datos.
Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del EEE (Espacio Económico Europeo), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.
Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesaria la autorización del Director de la AGPD (Agencia Española de Protección de Datos), salvo:
- Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.
- Que se trate de supuestos legalmente contemplados como excepción de requerir la autorización del Director.
La relación de países cuyo nivel de protección se considera equiparable por la AGPD, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente:
- Las entidades estadounidenses adheridas a los principios de " Puerto Seguro" (safe harbor) , [A] de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000.
- República Oriental del Uruguay , de acuerdo con la decisión 2012/484/UE de Ejecución de la Comisión, de 21 de Agosto de 2012.
- Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.
g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Resumiendo, Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD, siendo equivalentes a las cesiones producidas entre empresas dentro del territorio español. Las comunicaciones de datos a países con "nivel de protección equiparable" según la AGPD, constituyen transferencias internacionales de datos. No es necesaria autorización del Director de la AGPD, pero si la notificación a la Agencia. Para las comunicaciones de datos con el resto de países, necesitamos notificarlo, solicitar y esperar la autorización del Director de la AGPD.
De todo lo anteriormente expuesto se deduce que cuando contratamos servicios en el CLOUD, si tratamos datos de carácter personal, es muy importante conocer o elegir en qué país está ubicado el CPD que albergará nuestros servidores virtuales y su almacenamiento correspondiente. Es imprescindible a efectos de cumplimiento con la LOPD y el RLOPD. Algunos proveedores de servicios en el CLOUD como pueden ser "IBM Cloud Computing" o "Colt vCloud", en el catálogo de aprovisionamiento lo primero que solicitan es en que CPD de los varios que disponen deseamos crear nuestro servidor virtual. Para cada CPD se indica claramente el país donde se encuentra ubicado.
En el tratamiento por cuenta de terceros, para que se considere que no hay una cesión de datos, debe intervenir la figura del ENCARGADO DEL TRATAMIENTO. Por tanto debe existir una relación jurídica que vincule al Responsable y al Encargado del Tratamiento, y que delimite de manera precisa, cuál será su actividad con relación al tratamiento de datos personales que realiza el Encargado por cuenta del Responsable del Tratamiento.
Hemos visto que para las empresas estadounidenses que prestan sus servicios de CLOUD en USA, existe la posibilidad de adherirse a los principios de "Puerto Seguro" (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. Dicha adhesión, solamente sirve para que pueda considerarse dicho prestador de servicios de CLOUD por la AGPD española, como ubicado en un país que ofrece un nivel adecuado de protección, lo que permite llevar datos de carácter personal al CLOUD desde España, sin necesidad de esperar la autorización pertinente de la AGPD. Con notificárselo basta.
Existe sin embargo un riesgo adicional cuando almacenamos datos de carácter personal desde España en un CPD en el CLOUD, ubicado principalmente en US, y propiedad de una empresa adscrita o no, a los principios de Puerto Seguro (Safe Harbor).
Existe la USA Patriot Act (Ley Patriota de los Estados Unidos), que es acrónimo de " Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct T errorism" (Unir y Fortalecer América al Proporcionar las Herramientas necesarias para Interceptar y Obstruir el Terrorismo). Esta ley fue sancionada por los Estados Unidos el 24 de octubre de 2001, a raíz de los ataques terroristas del 11 de septiembre de 2001. Las estipulaciones más restrictivas de derechos del Acta fueron inicialmente sancionadas como normas provisionales de emergencia hasta el 31 de diciembre de 2005. Con apenas modificaciones, fue sancionada por el Congreso norteamericano el 2 de marzo de 2006 y promulgada como ley por el presidente Bush el 9 de marzo del mismo año.
Al leer la Ley Patriota de los Estados Unidos, resulta interesante observar que la orden emitida bajo esta Ley se puede entregar a cualquierciudadano norteamericano, sin importar que resida en suelo norteamericano o en el extranjero. De hecho, no hay nada que impida que las autoridades norteamericanas obliguen a un ciudadano norteamericano, que reside temporalmente fuera de su país natal a los efectos de obtener determinada información.
Bajo el Art. 215 de la Ley Patriota de los Estados Unidos, está prohibido para un particular o una empresa que haya recibido esa orden Judicial, divulgar la existencia de esa orden bajo pena de sanción. Siguiendo esa lógica, el empleado ciudadano norteamericano que debe proporcionar determinados documentos a los que tiene acceso como parte de su relación laboral no puede ni siquiera informar a su empleador (o supervisor), ni al CEO o al C.D. (Comité de Dirección) de la empresa.
El particular o la empresa que comunica la información al FBI después de habérsele emitido una orden Judicial bajo la Ley Patriota de los Estados Unidos tiene inmunidad total y no puede ser objeto de demandas por daños y perjuicios por ninguna tercera persona con relación, por ejemplo, a la comunicación de información privada o privilegiada relativa a esa tercera persona.
Lo único que deben invocar las autoridades es el hecho de que la información a ser comunicada podría estar relacionadaa una investigación en curso relativa a actividades terroristas o de inteligencia secreta; no es necesario demostrar la existencia de un nexo real, probatorio.
El domingo 30 de diciembre, la Secretaría de Prensa de la Casa Blanca emitió un escueto comunicado en el que informó: "El Presidente promulgó la ley H.R. 5949 o 'Ley de Reautorización de Enmiendas a la ley FISA 2012 ', que amplía por cinco años el Título VII de la Ley de Vigilancia de Inteligencia Extranjera FISA (Foreign Intelligence Surveillance Act). Así, los polémicos poderes de vigilancia del gobierno fueron renovados hasta finales de 2017 permitiendo controlar las comunicaciones de los ciudadanos estadounidenses dentro y fuera del país.
CISPA (Cyber Intelligence Sharing and Protection Act o HR-3523) es un proyecto de ley en los Estados Unidos que permite el intercambio de información de tráfico de Internet entre el gobierno de EE.UU. y empresas tecnológicas y de prestación de servicios como son las de telecomunicaciones y de Cloud Computing.
El objetivo declarado del proyecto es ayudar al Gobierno de los EE.UU. a investigar las amenazas y así poder garantizar la seguridad de las redes contra los ataques cibernéticos.
El 18 de Abril de 2013 la Cámara de Representantes USA da luz verde a CISPA, por 288 votos a favor, 127 en contra y 17 abstenciones. Ahora (*) va camino de Senado.
3. LEYES EQUIVALENTES EN ESPAÑA
La ley que regula el CNI y que supone su creación es la LO 11/2002, de 6 de mayo. (1)
"5. Para el cumplimiento de sus funciones, el Centro Nacional de Inteligencia podrá llevar a cabo investigaciones de seguridad sobre personas o entidades en la forma prevista en esta Ley y en la Ley Orgánica reguladora del control judicial previo del Centro Nacional de Inteligencia. Para la realización de estas investigaciones podrá recabar de organismos e instituciones públicas y privadas la colaboración precisa".
Por otra parte, toda la actividad del CNI estará regulada jurídicamente dentro del marco establecido por la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia. (2)
Concretamente se cita en "EXPOSICIÓN DE MOTIVOS":
"A estos efectos, esta Ley Orgánica, cuyo alcance resulta de una interpretación conjunta con la Ley reguladora del Centro Nacional de Inteligencia, determina tanto la forma de nombramiento de un Magistrado del Tribunal Supremo específicamente encargado del control judicial de las actividades del Centro Nacional de Inteligencia, como el procedimiento conforme al cual se acordará o no la autorización judicial necesaria para dichas actividades".
Por tanto concluiré que las empresas de Cloud Computing que prestan servicios con localización de CPDs en el territorio Español, cooperan con las fuerzas de seguridad del Estado siempre que exista una orden judicial que así lo obligue.
Sin conocer a fondo la materialización de actuaciones, si consultamos la Ley Orgánica 2/2002, de 6 de mayo, vemos que la solicitud de autorización al Magistrado del TS por parte del CNI, deberá contener:
"a) Especificación de las medidas que se solicitan.
b) Hechos en que se apoya la solicitud, fines que la motivan y razones que aconsejan la adopción de las medidas solicitadas.
d) Duración de las medidas solicitadas, que no podrá exceder de veinticuatro horas en el caso de afección a la inviolabilidad del domicilio y tres meses para la intervención o interceptación de las comunicaciones postales, telegráficas, telefónicas o de cualquier otra índole, ambos plazos prorrogables por sucesivos períodos iguales en caso de necesidad. (En el caso de Cloud Computing se considera de otra índole, por lo que inicialmente la duración de las medidas será de hasta tres meses prorrogables) ".
NOTA DEL EDITOR: Como tema relacionado, en referencia a la Directiva de Retención de datos de la UE y su transposición al ordenamiento jurídico de los diferentes estados miembros, puede consultarse en este mismo Blog:
Directiva de Retención de datos
Cuando hablamos de Llevar al CLOUD Datos de Carácter Personal recabados de ciudadanos españoles, según la LOPD y el RLOPD el Responsable del Tratamiento (La empresa que contrata los servicios) incluirá un acuerdo de subcontratación suscrito con el Encargado del Tratamiento (La empresa que presta servicios de CLOUD). No es otra cosa que una obligación contractual dirigida a ésta tercera persona proveedora, tendiente a respetar las normas de confidencialidad elaboradas por la ley española. Sin embargo, una vez que la información personal está en manos de la tercera persona proveedora establecida en un país extranjero, la información está sujeta a las leyes de ese país. Si surgiera un conflicto entre la obligación de confidencialidad bajo contrato y la obligación legal de divulgar (como por ejemplo una citación judicial emitida bajo la Ley Patriota de los Estados Unidos), no existe objeción en el sentido de que para el proveedor de servicios CLOUD, prevalecerá la ley del territorio.
Por consiguiente, existe el riesgo de que las agencias gubernamentales de los EE.UU. puedan tener acceso, a través de la aplicación de la Ley Patriota de los Estados Unidos, a la información personal de ciudadanos españoles, cuando esa información se subcontrata a un proveedor de servicios en Norteamérica.
En consecuencia, una empresa ubicada en España que subcontrata la gestión de sus datos a los Estados Unidos, como mínimo debería informar a sus clientes que su información confidencial podría estar a disposición del gobierno de los Estados Unidos en virtud de una orden judicial de ese país.
El hecho de que las empresas españolas que han externalizado sus datos en el Cloud a un CPD ubicado en España puedan sufrir, para una posible investigación, acceso a sus datos almacenados por parte del CNI no es grave dado que dicho organismo está al servicio del Estado Español y NOTA DEL EDITOR: bajo control judicial. Más preocupante sería que agencias federales norteamericanas o de cualquier otro país pudieran acceder a información de empresas españolas que se encuentren enconflicto de intereses en proyectos internacionales con otras empresas equivalentes de ese país.
5. EJEMPLO A PARTIR DE UNA DECLARACIÓN DE PRIVACIDAD
Concretando con un ejemplo, algún proveedor de Norteamérica, dentro de sus condiciones generales de contratación a las que implícitamente se adhiere o suscribe quien utiliza sus servicios, establece cláusulas que vislumbran el efecto de protección ante requerimientos judiciales, dejando sin embargo la puerta abierta a "USA Patriot Act" en la última línea, donde reconoce que podrían no notificarlo.
La DECLARACIÓN DE PRIVACIDAD DE MICROSOFT WINDOWS AZURE" que se trata de una plataforma de Servicios en el Cloud (PaaS), cita textualmente en el apartado "DIVULGACIÓN DE SU INFORMACIÓN":
" No revelaremos los Datos del cliente a terceros (ni siquiera a una autoridad judicial, otra entidad gubernamental o litigante civil, con la excepción de nuestros contratistas) salvo que usted lo indique o por imperativo legal. Si terceras partes se pusiesen en contacto con nosotros solicitando datos de clientes, les indicaríamos que se los solicitasen directamente a ellos. A tal fin, les podríamos proporcionar información de contacto básica. Si nos viésemos obligados a revelar los Datos del cliente a terceros, emplearíamos todos los esfuerzos comercialmente razonables para notificárselo por adelantado,a menos que n os lo impida la ley ".
NOTA DEL EDITOR: Para ampliar datos sobre legislación y CLOUD COMPUTING, puede consultarse en éste mismo Blog:
(1) BOE núm. 109.
(2) BOE núm. 109. "Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia". 07/05/2002.
USA PATRIOT IMPROVEMENT AND REAUTHORIZATION Public Law 109-177 (109th Congress). Mar. 9, 2006. "USA PATRIOT IMPROVEMENT AND REAUTHORIZATION ACT OF 2005". CONGRESSIONAL RECORD --- SENATE. December 27, 2012. " FISA AMENDMENTS ACT REAUTHORIZATION ACT OF 2012". S8384.
UNITED STATES DISTRICT COURT FOR THE NORTHERN DISTRICT OF CALIFORNIA OAKLAND DIVISION. January 4, 2013. CONSOLIDATED MEMORANDUM OF POINTS AND AUTHORITIES IN OPPOSITION TO PLAINTIFF'S CROSS-MOTION FOR SUMMARY JUDGMENT AND REPLY MEMORANDUM IN FURTHER SUPPORT OF DEFENDANT'S MOTION FOR SUMMARY JUDGMENT.
U.S. Department of Justice --- Civil Division. January 3, 2013. "Department of Justice's response to Electronic Frontier Foundation's Freedom of Information Act request to the Department's National Security Division dated July 26, 2012".
112TH CONGRESS 1ST SESSION. 29 November, 2011. "To provide for the sharing of certain cyber thread intelligence. . .". DISCUSSION DRAFT.
CISPA
Todas las imagines bajo licencia 123RF Internacional o extraídas de los documentos referenciados en el apartado BIBLIOGRAFÍA CONSULTADA. La presente obra y su título están
protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Es asociado sénior de la José Luis Colom Planas es auditor y consultor empresarial especializado en protección de datos y gestión de la seguridad de la información.A partir de su dilatada experiencia, edita el Blog temático "Aspectos Profesionales" relacionado con el Derecho digital en sentido amplio. APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro deObservatorio Iberoamericano de Protección de Datos ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática) y ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC), habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del .