El Grupo de Trabajo del Artículo 29 ha publicado recientemente su Opinión 1/2010 (pdf) a propósito de los conceptos de Responsable del Fichero y Encargado del Tratamiento. Resulta muy interesante el análisis detallado de los conceptos, nada claro en algunos casos, y los problemas que puede plantear especialmente con la proliferación del cloud computing.
En resumen, Responsable del Fichero es la persona física o jurídica que determina los fines y los medios del tratamiento de los datos personales, ya sea porque existe un mandato legal explícito o implícito (en el marco de una relación jurídica o el tráfico mercantil), por via de hecho o con motivo de una obligación contractual. En definitiva, se es responsable del fichero en la medida en que se realice un tratamiento de datos con una finalidad propia y que le corresponde por los motivos anteriores.
Encargado del Tratamiento, por contra, será quien realice un tratamiento de datos por cuenta del Responsable del Fichero, dentro de la prestación de un servicio (subcontratación). Por tanto dicho tratamiento no obedece a una finalidad e interés propios sino del Responsable del Fichero.
Desde el punto de vista de las obligaciones de la normativa sobre protección de datos, y también simplificando, el Responsable del Fichero es quien debe notificar éste ante la Agencia de Protección de Datos correspondiente y garantizar el respeto a los principios y derechos de los afectados, y debe firmar un contrato por escrito con el Encargado del Tratamiento que delimite los datos a los que éste tiene acceso, la finalidad de éste, las medidas de seguridad aplicables y una serie de limitaciones y garantías destinadas a que los datos no se utilicen con un objeto distinto de la prestación del servicio por cuenta del Responsable (arts. 12 de la Ley y 20 a 22 del Reglamento).
Lo anterior se puede complicar bastante y además encuentra muchas limitaciones legales y prácticas en el caso de transferencias internacionales de datos. Veamos algunos escenarios:
-
Transmisión de datos por redes de telecomunicaciones: operadoras (de telefonía fija y móvil, mensajes cortos o datos) y en general ISPs, desde el alojamiento externo de servidores de correo a servicios de correo web como Gmail o de acceso a correo electrónico y a datos corporativos como Blackberry. En estos casos, el ISP interviene como Encargado del Tratamiento respecto de los datos transmitidos (remitente, destinatario, contenido del mensaje y adjuntos, que origina el Responsable), si bien también es Responsable del Fichero respecto de los datos que hacen posible dicha transmisión (datos de tráfico) y los de facturación por el servicio que prestan. Es un claro ejemplo de mandato legal explícito, pues de acuerdo con la Ley de Conservación de Datos, es su responsabilidad almacenar dicha información y ponerla a disposición únicamente en caso de mandato judicial y para la persecución de determinados delitos (al menos en la Unión Europea).
La legislación nacional en concreto aplicable al Responsable o al Encargado viene determinada por el lugar de establecimiento de cada uno de éstos. Con todo, el criterio de la Agencia Española de Protección de Datos es amplio, basta con tener un establecimiento en España para determinar su sujección a la ley española (de ahí que intervenga sobre Facebook (pdf)), y siendo así Google, Blackberry, Nokia y otros que luego veremos, deben cumplir nuestra ley. Echen un vistazo aquí: Google no tiene inscrito ningún fichero con esa finalidad, Research in Motion Spain sólo tiene un fichero de videovigilancia (no tienen ni clientes ni personal, misterioso) y Nokia tiene una maraña de ficheros caótica, aunque puede que por tanto acotar algún fichero termine encajando. En la medida en que tanto Responsable como Encargado estén situados en la Unión Europea, los problemas se reducen. Estos prestadores, además de tener que firmar el correspondiente contrato de encargo de tratamiento, deberán cumplir las medidas establecidas en una legislación armonizada en función del nivel de seguridad de los datos. No obstante, si salimos de ahí nos encontramos con que la salvaguarda de los derechos en materia de protección de datos y la aplicación de las medidas de seguridad correspondientes vendrá determinada únicamente por el contenido de este contrato, por lo que conviene extremar y cuidar estas cuestiones. A propósito de esto, la Comisión Europea ha modificado recientemente las cláusulas tipo para transferencias internacionales (pdf) con motivo de un tratamiento por cuenta de tercero cuando el encargado esté establecido en un país no comunitario que no proporcione un nivel adecuado de protección.
-
Redes sociales: los titulares de estos servicios actúan como Responsables en la medida en que son ellos quienes determinan los fines y los medios de tratamiento de los datos. Esto es, los usuarios obviamente son los que facilitan la información, pero quien delimita los usos, funcionalidades y establece limitaciones a la misma son las propias redes sociales. No puede ser de otra forma, cuando por ejemplo en las condiciones de uso de Facebook se prohibe al usuario cualquier extracción o utilización de los datos personales de otros usuarios fuera de dicha red, aunque ésta tampoco tiene registrado ningún fichero en la AGPD. Los usuarios podrán ser, en su caso, considerados Responsables del Fichero respecto a los datos de terceros que ellos incorporen a la red (imágenes especialmente), pero no de los que se encuentren en ésta por que los hayan incluido los propios usuarios, aunque los utilicen en el marco de la red social.
-
Publicidad basada en intereses (behavioural advertising): es la publicidad basada en hábitos de navegación, que lleva a mostrar publicidad segmentada en función, no de los contenidos de una página (lo que sería publicidad contextual), sino en sus intereses deducidos de la captura y procesamiento de las páginas visitadas y las búsquedas realizadas. Google lo aplica en Gmail, Youtube y AdSense, operando a través de cookies.
En estos casos, tanto el medio como el proveedor del sistema pueden ser considerados responsables conjuntamente, en la medida en que el primero recaba la información (perfil de usuario, dirección IP, localización, sistema operativo,…) y el segundo determina la finalidad (la monitorización de los usuarios), distribuyéndose las responsabilidades del modo siguiente: el medio debe informar de que terceras partes accederán a sus datos, y el proveedor del sistema debe responder sobre el modo en que los datos se gestionan y garantizar los derechos de los afectados.
-
Computación distribuida: el problema en estos casos reside en la dificultad en conocer en qué recursos en concreto, distribuidos en distintos países, se procesan los datos personales. En caso de que existiera un uso no autorizado de los datos en uno de los grids, éste sería considerado responsable de la infracción como Encargado y el lugar en el que se encontrara determinaría la legislación aplicable.
Volviendo sobre la obligación legal de celebrar un contrato por escrito entre el Responsable y el Encargado, uno puede pensar que bueno, que si no es posible qué le vamos a hacer. Las probabilidades de que RIM, Google o un proveedor de hosting de EE.UU. firmen un contrato en estos términos, incluyendo el cumplimiento de medidas de seguridad de nivel alto (piensen en colectivos como médicos, abogados, compañías de seguros,…) son remotas. El Grupo de Trabajo del Artículo 29 es tajante en estos casos: búsquese otro proveedor o, si sospecha del incumplimiento de las normas sobre protección de datos por parte de éste, póngalo en conocimiento de las autoridades competentes. Mientras tanto, en la medida en que no exista contrato, el acceso por parte de ese tercero se considerará una cesión y, en su caso, una transferencia internacional de datos, debiendo garantizarse las autorizaciones y requisitos correspondientes.
Muy interesante Javier, bien recopiladas todas las opciones.
Y lo de siempre, usar servicios de google (y similares) en entornos profesionales, uff, te puede jugar una mala pasada….
Un saludo.
Hola Javier, me ha venido al pelo este artículo: ahora precisamente estamos analizando la problemática de los servicios en la nube alojados en servidores fuera de España y también fuera de la UE. Básicamente por una cuestión económica: el hospedaje es MUCHO más barato en USA
Gracias de nuevo
Interesantísimo y necesario artículo, Javier. Una nota sobre las redes sociales: no sólo tienen una responsabilidad radical con los datos que sus usuarios les confían. Esa responsabilidad debería ampliarse a dónde se aloja la web. Por mucha política de privacidad que se implemente. Por ejemplo, Facebook no está en una https, por lo que el reclamo es demasiado atractivo para usurpadores o bromistas, y la herramienta no corresponde al grado de seguridad que sería deseable.
Un saludo.
[…] Problemas en el tratamiento de datos por cuenta de tercero en un contexto global, por Javier Prenafeta. […]
Javier,
Como siempre rápido y en la vanguardia ;-p
Buff, aquí entramos en terreno pantanoso. ¿O siempre estamos en él?
Algunos ya me han dicho que soy un talibán de la protección de datos, a lo que yo les digo que me vean más como consultor de seguridad que abogado, pues ante la in-seguridad de la información y la in-seguridad jurídica existente no nos queda otro que tomarle el pulso a las actividades empresariales poniendo un ojo en la tecnología y otro en la normativa, y diagnosticar nuestro mejor tratamiento a aquélla enfermedad. Cuando digo nuestro mejor tratamiento me refiero al mejor de entre los que podamos pagar. El presupuesto para la seguridad de la información es finitio, mientras que el riesgo de ser sancionados también, pero casi con total seguridad que éste se parece más que nosotros al primo de Zumosol. En definitiva, creo que el cumplimiento o la seguridad total no existen, y por tanto no nos queda más que recurrir al precavido incumplimiento.
¿No nos estamos complicando demasiado la vida con la protección de datos?
En la interpretación de las normas, lo mismo que en la redacción de las mismas no se puede dejar de lado la realidad social y los usos establecidos.
En los próximos años se van a revisar las Directivas de Protección de Datos Personales y de Privacidad Electrónica. Y creo que no deben perderse en cuenta en este futuro debate derivadas tales como los usos de las personas en cuanto a su privacidad -no sus ideas, o manifestaciones sobre lo que les preocupa, sino lo que hacen en pro o en contra de la protección de su privacidad, piensa en los menores nativos digitales y su futuro por ejemplo-, las condiciones de la Sociedad de la Información actual, el nivel de burocracia traído por la normativa existente y que como barrera de desarrollo tecnológico y humano ha de ser considerado,…
Por cierto, que tampoco se deben olvidar al respecto de transferencias internacionales los acuerdos de puerto seguro con USA, y las empresas multinacionales que se integran o no en el listado de personas acogidas al mismo.
Ahora algunas cuestiones y comentarios a los que me temo seguirá cierto debate:
– Datos de tráfico y localización: ¿Tienen los operadores que conservar los datos de tráfico tratados con ocasión de la interconexión?¿Y los de las comunicaciones entrantes? Hay un Considerando, 23 ó 25, no recuerdo ahora mismo, de la Directiva 2006/25/CE que se alega para afirmar por algunos que sólo se han de registrar sólo los datos de las las comunicaciones salientes. Me temo que no es así. Las claves en este sentido: datos generados o tratados, operadores que prestan servicios o explotan redes públicas de comunicaciones, nombre y direcciones de usuarios registrados que sean destino de comunicaciones,…Y si se han de registrar los datos de comunicaciones entrantes, ¿no debería registrar la fecha, hora y duración de las comunicaciones? Piensa en por ejemplo tratar de obtener evidencias del acceso a un buzón de mail de un correo de phishing por medio del derecho de acceso por el afectado al fichero de datos de tráfico y localización. ¿Y tienen las entidades de referencia de portabilidad fija y móvil que aplicar medidas de nivel medio y cumplir con el art. 103 RLOPD por el hecho de tratar tan sólo el dato de tráfico de número de teléfono junto con datos identificativos?¿Es ese dato por sí mismo un dato de tráfico?¿Seguro que las entidades de referencia sólo tratan los números de teléfono y datos identificartivos, o también tratan otros datos de tráfico? Creo que mi respuesta no gustará a muchos, es de un talibán. Pero a la respuesta añado propuestas de gestión del problema, que no de solución, pues me temo ésta no está a nuestro alcance. Qué poco motivador, ¿no?
– Redes sociales: Se te ha olvidado comentar que les aplica la Ley 25/2007 dado que algunos de sus servicios pueden tomarse. A lo que se podría añadir que entonces por ejemplo Tuenti podrá utilizar los mismos para realizar monitorizar la seguridad en su red, pudiendo por ejemplo detectar falsos perfiles, acosos,… El Grupo del Art. 29 ya decía en su Opinión sobre las redes sociales la primera parte de lo dicho por mí ahora
– Publicidad basada en intereses. El Grupo del Art. 29 emitió ya hace años una opinión al respecto de las transferencias internacionales que nos decía que las cookies instaladas en nuestros ordenadores son medios de tratamiento ubicados en nuestro país y por tanto aplica- La opnión sobre el anonimato en la Red no tiene desperdicio tampoco.
– Computación distribuida: O también computación redundante o por continuidad de negocio. Por ejemplo el caso SWIFT con su establecimiento en USA con sistemas espejos de los disponibles en Europa.
Ahora pongamos unos ejemplos, pero a la inversa.
– Encuadrar o no en la definición de datos de carácter personal las direcciones IP y lo que ello supone de negativa a iniciativas como las bases de datos de las barras antiphishing de los navegadores alimentadas por los propios desarrolladores y terceras empresas, los servicios antifraude y cierre de sitios delictivos, los servicios de vigilancia digital para el inicio de acciones judiciales, solicitudes de borrado definitivos de perfiles y datos personales hechos disponibles en Internet,…
– El ejercicio de la libertad de información, el concepto de medios de comunicación social y la especial consideración que los medios de comunicación social on-line deberían tener.
– La consideración de las muestras biológicas y ADN como dato de carácter personal y lo que ello supone como trabas a la investigación sobre el ADN, nuestra predisposición a unas u otras enfermedades, el desarrollo de medicamentos y tratamientos de enfermedades, la prevención y tratamiento de enfermedades genéticas,… ¿Cómo se come lo de la disociación termina el tratamiento de datos y que ahora en un determinado sector se permita la disociación reversible?¿Entonces estamos jugando a la LOPD o no?¿De verdad van a existir soluciones de anonimización irreversible infalibles o eternas?¿No dependerá todo de la disponibilidad del conocimiento, el tiempo y los medios para hilar tan fino, por tanto de una mayor o menor probabilidad de que el ciudadano medio pueda o no alcanzar tratamientos de informaciones pudiendo llegar a identificar la persona detrás de un conjunto de datos?
Sinceramente, creo que sobre todo hay que eliminar burocracia y poner reglas más claras de cómo se han de hacer las cosas: inscripción de ficheros por países, procedimientos de autorización de transferencias internacionales por cada país,… y sobre todo pensar en centralizar de forma regional. ¿La información que se incluye en el Registro AEPD no la tenemos ya en las webs de algunos de las empresas?
Debemos aceptar que somos humanos, que las leyes no son perfectas, que no toda iniciativa o empresa ni es necesariamente bueno ni tampoco malo, sino que depende,… Por ejemplo, Google Video en Italia, mal por el juez, incidente Google Buzz, mal por Google.
En cuanto a lo del cloud computing creo que es importante tomar en consideración que ya hacemos outsouring con la empresa de al lado, y que quizás está o sus empleados estén más tentados por nuestra información que un Google, Apple,…, quienes por otra parte están muy lejos de entrar a competir con muchos de nosotros, sin que por ello podamos entender que no haya riesgo alguno al tomar la decisión de jugar al cloud computing.
Entonces ¿qué hacemos?
Llevo un tiempo listando de modo informal cuestiones a considerar en la normativa de protección de datos. Entre ellos están los aquí apuntados, pero hay otros muchos asuntos que seguro son de tu interés como por ejemplo la consideración de datos de carácter personal del ADN y muestras biológicas.
Un saludo
Buena información , es dificil encontrar está informacion en
internet, ya tienes una fan …