Dropbox ¿cumple la LOPD?

Si eres usuario de Dropbox, seguramente has recibido un email o comunicada como este. El caso es que Dropbox ha anunciado que a partir del próximo 1 de junio de 2015 los servicios para usuarios europeos (entre otros sitios), serán prestados desde Irlanda. Este cambio no es menor y pretende ser una ventaja competitiva ante otros servicios similares (como Google Drive) para cumplir la normativa europea en materia de protección de datos, despejando las dudas sobre la transferencia internacional de datos que el servicio, como se prestaba hasta ahora, comportaba.

Dropbox
Dropbox

¿Qué dice la LOPD sobre almacenar datos fuera de España?

La LOPD específicamente prohíbe en su artículo 33 la transferencia temporal o definitiva de datos personales, a países “que no proporcionen un nivel de protección equiparable al que presta la presente Ley“.

¿Qué países ofrecen un nivel adecuado de protección? Ahora mismo cumplen estos requisitos cualquier país de la Unión Europea, del Espacio Económico Europeo, así como cualquier país que la Comisión Europea, haya decretado que cumple unos requisitos aceptables. Consulta el listado aquí.

¿Qué pasa con Dropbox? La política de seguridad de Dropbox deja muy claro que sus servidores y por tanto, cualquier información o datos que alojes en el servicio, están ubicados en Estados Unidos. A fecha de hoy, Dropbox tiene en vigor el Certificado de Puerto Seguro, protocolo que se pactó entre la UE y EUA para permitir que se alojaran datos en empresas estadounidenses, siempre que las empresas que llevaran a cabo este servicio, cumplieran unos mínimos. Dropbox tiene este certificado en vigor hasta el 16 de febrero de 2016.

¿Por qué prestar los servicios desde Irlanda? Con la información anterior puede deducirse que Dropbox, en su modelo actual, cumple con los requisitos mínimos establecidos por la LOPD, así que el cambio en la ubicación de los servidores y por tanto, de los datos alojados en los mismos, responde a un movimiento estratégico en vista a lo que puede venir. Actualmente y a raíz de las revelaciones de Snowden, se ha puesto bajo duda, más que razonable, que la validez del acuerdo de Safe Harbour, pactado en el lejano año 2000. El Tribunal de Justicia de la Unión Europea, está a punto de emitir su opinión, a través del Abogado General, sobre la validez y vigencia de este acuerdo (la opinión se espera para finales de junio) y todo parece indicar que pondrá en seria duda la validez del acuerdo en aras de defender los derechos de los ciudadanos europeos; esto podría provocar que la Comisión mueva ficha y obligue a las empresas de EUA a cumplir nuevos requisitos para considerarlas adecuadas. De ahí el movimiento de Dropbox.

¿Alojando los datos en Irlanda, ya cumplo? No. En cualquier caso Dropbox debe tratarse como un proveedor más de la empresa, deberás incluirlo en tu Documento de Seguridad y añadir las medidas de seguridad que Dropbox implementa en el servicio, así como una copia de las condiciones del servicio. De esta forma te aseguras ante la AEPD que has sido mínimamente diligente al comprobar las condiciones de seguridad y privacidad de Dropbox. En todo caso ten en cuenta la Guía para clientes de cloud que publicó la AEPD.

El uso de herramientas en cloud y fuera de la Unión Europea, es una tendencia imparable, pero todo ello debe hacerse cumpliendo la LOPD y las instrucciones de la AEPD. Así, antes de “contratar” un servicio de este tipo, asegúrate de dónde quedarán ubicados tus datos (o los de tu empresa) y aplica los protocolos que procedan según el caso.

La legalidad de tu empresa,
en las mejores manos


93 540 43 32