Posible conflicto entre la LOPD y la ley del territorio donde se ubica el CLOUD

globalidad_cloudPor José Luis Colom Planas

1. UBICACIÓN GEOGRÁFICA DE NUESTROS DATOS EN EL CLOUD.

Según en qué lugar del mundo esté ubicado nuestro servidor virtual en el CLOUD, cuando introduzcamos datos personales en él, podrá considerarse una cesión o bien una transferencia internacional de datos.

1.1. TID (Transferencias Internacionales de Datos)

Las transferencias internacionales de datos, se regulan en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD).

Una transferencia internacional de datos, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del EEE (Espacio Económico Europeo), bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

El Acuerdo EEE, por lo tanto, se aplica ahora a la UE de los 27 y a los 3 Estados miembros de la Asociación Europea de Libre Cambio (AELC): Islandia, Liechtenstein y Noruega. Suiza, aunque no forma parte del EEE, sigue siendo miembro de la AELC.

Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la LOPD y en el RLOPD. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesaria la autorización del Director de la AGPD (Agencia Española de Protección de Datos), salvo:

  • Que los datos se transfieran a un país que ofrezca un nivel adecuado de protección.
  • Que se trate de supuestos legalmente contemplados como excepción de requerir la autorización del Director.

La relación de países cuyo nivel de protección se considera equiparable por la AGPD, según lo establecido en el art. 67 del Reglamento de desarrollo de la LOPD, es la siguiente:

  • Suiza, de acuerdo con la Decisión de la Comisión 2000/518/ CE, de 26 de julio de 2000.
  • Las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), [A] de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000.
  • Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de 2001.
  • Argentina, de acuerdo con la Decisión 2003/490/CE, de la Comisión de 30 de junio de 2003.
  • Guernsey, de acuerdo con la Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003.
  • Isla de Man, de acuerdo con la Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004.
  • Jersey, de acuerdo con la Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008.
  • Islas Feroe, de acuerdo con la Decisión 2010/146/UE de la Comisión de 5 de marzo de 2010.
  • Andorra, de acuerdo con la Decisión 2010/625/UE, de la Comisión de 19 de octubre de 2010.
  • Israel, de acuerdo con la Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
  • República Oriental del Uruguay, de acuerdo con la decisión 2012/484/UE de Ejecución de la Comisión, de 21 de Agosto de 2012.
  • Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012.

[A] El “acuerdo de puerto seguro UE-EE.UU.”, surge para compatibilizar la directiva de la Comisión Europea sobre protección de datos que entró en vigor en octubre de 1998, y prohíbe la transferencia de datos de carácter personal a países no comunitarios que no cumplan con la Unión Europea (UE) la necesaria “adecuación” para la protección de la privacidad. Si bien los Estados Unidos y la UE comparten el objetivo de mejorar la protección de la privacidad de sus ciudadanos, los Estados Unidos tienen un enfoque diferente a la vida privada de la adoptada por la UE. A fin de salvar estas diferencias de enfoque y proporcionar un medio eficiente para las organizaciones de Estados Unidos para cumplir con la Directiva, el Departamento de Comercio de EE.UU., en consulta con la Comisión Europea desarrolló un marco de “puerto seguro” y el sitio web http://export.gov/safeharbor/ , para proporcionar la información que una organización necesitaría para evaluar y unirse al programa “US-EU Safe Harbor”.

Los supuestos que son excepciones a la necesidad de autorización del director de la AGPD, se regulan en el Art. 34 de la LOPD:

a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamiento médico o la gestión de servicios sanitarios.

d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

Resumiendo, Las comunicaciones de datos en el EEE constituyen cesiones de datos a efectos de la aplicación de la LOPD, siendo equivalentes a las cesiones producidas entre empresas dentro del territorio español. Las comunicaciones de datos a países con “nivel de protección equiparable” según la AGPD, constituyen transferencias internacionales de datos. No es necesaria autorización del Director de la AGPD, pero si la notificación a la Agencia. Para las comunicaciones de datos con el resto de países, necesitamos notificarlo, solicitar y esperar la autorización del Director de la AGPD.

1.2. Aplicación de las TID al CLOUD COMPUTING

De todo lo anteriormente expuesto se deduce que cuando contratamos servicios en el CLOUD, si tratamos datos de carácter personal, es muy importante conocer o elegir en qué país está ubicado el CPD que albergará nuestros servidores virtuales y su almacenamiento correspondiente. Es imprescindible a efectos de cumplimiento con la LOPD y el RLOPD. Algunos proveedores de servicios en el CLOUD como pueden ser “IBM Cloud Computing” o “Colt vCloud”, en el catálogo de aprovisionamiento lo primero que solicitan es en que CPD de los varios que disponen deseamos crear nuestro servidor virtual. Para cada CPD se indica claramente el país donde se encuentra ubicado.

Si elegimos un país del EEE, nuestra introducción de datos en el servidor no se considerará una transferencia internacional de datos. Se tratará de una cesión.

En el tratamiento por cuenta de terceros, para que se considere que no hay una cesión de datos, debe intervenir la figura del ENCARGADO DEL TRATAMIENTO. Por tanto debe existir una relación jurídica que vincule al Responsable y al Encargado del Tratamiento, y que delimite de manera precisa, cuál será su actividad con relación al tratamiento de datos personales que realiza el Encargado por cuenta del Responsable del Tratamiento.

2. LEYES PROPIAS DE ESTADOS UNIDOS

Hemos visto que para las empresas estadounidenses que prestan sus servicios de CLOUD en USA, existe la posibilidad de adherirse a los principios de “Puerto Seguro” (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. Dicha adhesión, solamente sirve para que pueda considerarse dicho prestador de servicios de CLOUD por la AGPD española, como ubicado en un país que ofrece un nivel adecuado de protección, lo que permite llevar datos de carácter personal al CLOUD desde España, sin necesidad de esperar la autorización pertinente de la AGPD. Con notificárselo basta.

Existe sin embargo un riesgo adicional cuando almacenamos datos de carácter personal desde España en un CPD en el CLOUD, ubicado principalmente en US, y propiedad de una empresa adscrita o no, a los principios de Puerto Seguro (Safe Harbor).

2.1. USA Patriot Act

Existe la USA Patriot Act (Ley Patriota de los Estados Unidos), que es acrónimo de “Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism” (Unir y Fortalecer América al Proporcionar las Herramientas necesarias para Interceptar y Obstruir el Terrorismo). Esta ley fue sancionada por los Estados Unidos el 24 de octubre de 2001, a raíz de los ataques terroristas del 11 de septiembre de 2001. Las estipulaciones más restrictivas de derechos del Acta fueron inicialmente sancionadas como normas provisionales de emergencia hasta el 31 de diciembre de 2005. Con apenas modificaciones, fue sancionada por el Congreso norteamericano el 2 de marzo de 2006 y promulgada como ley por el presidente Bush el 9 de marzo del mismo año.

Al leer la Ley Patriota de los Estados Unidos, resulta interesante observar que la orden emitida bajo esta Ley se puede entregar a cualquier ciudadano norteamericano, sin importar que resida en suelo norteamericano o en el extranjero. De hecho, no hay nada que impida que las autoridades norteamericanas obliguen a un ciudadano norteamericano, que reside temporalmente fuera de su país natal a los efectos de obtener determinada información.

Bajo el Art. 215 de la Ley Patriota de los Estados Unidos, está prohibido para un particular o una empresa que haya recibido esa orden Judicial, divulgar la existencia de esa orden bajo pena de sanción. Siguiendo esa lógica, el empleado ciudadano norteamericano que debe proporcionar determinados documentos a los que tiene acceso como parte de su relación laboral no puede ni siquiera informar a su empleador (o supervisor), ni al CEO o al C.D. (Comité de Dirección) de la empresa.

El particular o la empresa que comunica la información al FBI después de habérsele emitido una orden Judicial bajo la Ley Patriota de los Estados Unidos tiene inmunidad total y no puede ser objeto de demandas por daños y perjuicios por ninguna tercera persona con relación, por ejemplo, a la comunicación de información privada o privilegiada relativa a esa tercera persona.

Lo único que deben invocar las autoridades es el hecho de que la información a ser comunicada podría estar relacionada a una investigación en curso relativa a actividades terroristas o de inteligencia secreta; no es necesario demostrar la existencia de un nexo real, probatorio.

2.2. FISA Act 2012

El domingo 30 de diciembre, la Secretaría de Prensa de la Casa Blanca emitió un escueto comunicado en el que informó: “El Presidente promulgó la ley H.R. 5949 o ‘Ley de Reautorización de Enmiendas a la ley FISA 2012’, que amplía por cinco años el Título VII de la Ley de Vigilancia de Inteligencia Extranjera FISA (Foreign Intelligence Surveillance Act). Así, los polémicos poderes de vigilancia del gobierno fueron renovados hasta finales de 2017 permitiendo controlar las comunicaciones de los ciudadanos estadounidenses dentro y fuera del país.

La ley FISA es tan solo un ejemplo de cómo Estados Unidos ha adoptado un curso de acción que socava las expectativas no solo del derecho a la privacidad, sino también del derecho de no ser requisados o de que nuestros bienes no sean incautados, en pro de la seguridad Nacional.

Los que nos dedicamos a la privacidad y protección de datos, entendemos que las medidas para obtener información sobre las personas deberían estar sometidas a una orden judicial y no estar sujetas únicamente a la decisión de uno o varios agentes del FBI.

2.3. CISPA / HR-3523

CISPA (Cyber Intelligence Sharing and Protection Act o HR-3523) es un proyecto de ley en los Estados Unidos que permite el intercambio de información de tráfico de Internet entre el gobierno de EE.UU. y empresas tecnológicas y de prestación de servicios como son las de telecomunicaciones y de Cloud Computing.

El objetivo declarado del proyecto es ayudar al Gobierno de los EE.UU. a investigar las amenazas y así poder garantizar la seguridad de las redes contra los ataques cibernéticos.

El 18 de Abril de 2013 la Cámara de Representantes USA da luz verde a CISPA, por 288 votos a favor, 127 en contra y 17 abstenciones. Ahora (*) va camino de Senado.

(*) Referido a Mayo de 2013.

3. LEYES EQUIVALENTES EN ESPAÑA

En España no hay una ley específica tipo las americanas que se han analizado previamente, pero sí que están regulados los objetivos del CNI (Centro Nacional de Inteligencia) activo desde el año 2002, fecha en la que sustituye al antiguo CESID (Centro Superior de Información de la Defensa).

La ley que regula el CNI y que supone su creación es la LO 11/2002, de 6 de mayo. (1)

Si observamos el Artículo 5 “Actividades del Centro Nacional de Inteligencia”, leemos:

“5. Para el cumplimiento de sus funciones, el Centro Nacional de Inteligencia podrá llevar a cabo investigaciones de seguridad sobre personas o entidades en la forma prevista en esta Ley y en la Ley Orgánica reguladora del control judicial previo del Centro Nacional de Inteligencia. Para la realización de estas investigaciones podrá recabar de organismos e instituciones públicas y privadas la colaboración precisa”.

Por otra parte, toda la actividad del CNI estará regulada jurídicamente dentro del marco establecido por la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia. (2)

Si se accede a dicha Ley, reguladora del control judicial previo del Centro Nacional de Inteligencia, en su artículo único se referencia que en los casos en los que se pueda afectar al secreto de las comunicaciones (art 18.2 de la Constitución Española) tenemos que, como se ha tratado con anterioridad, el CNI tiene la capacidad de actuar siempre y cuando exista una resolución judicial previa y favorable que así lo autorice.

Concretamente se cita en “EXPOSICIÓN DE MOTIVOS”:

“A estos efectos, esta Ley Orgánica, cuyo alcance resulta de una interpretación conjunta con la Ley reguladora del Centro Nacional de Inteligencia, determina tanto la forma de nombramiento de un Magistrado del Tribunal Supremo específicamente encargado del control judicial de las actividades del Centro Nacional de Inteligencia, como el procedimiento conforme al cual se acordará o no la autorización judicial necesaria para dichas actividades”.

Por tanto concluiré que las empresas de Cloud Computing que prestan servicios con localización de CPDs en el territorio Español, cooperan con las fuerzas de seguridad del Estado siempre que exista una orden judicial que así lo obligue.

Sin conocer a fondo la materialización de actuaciones, si consultamos la Ley Orgánica 2/2002, de 6 de mayo, vemos que la solicitud de autorización al Magistrado del TS por parte del CNI, deberá contener:

“a) Especificación de las medidas que se solicitan.

b) Hechos en que se apoya la solicitud, fines que la motivan y razones que aconsejan la adopción de las medidas solicitadas.

c) Identificación de la persona o personas (quiero entender físicas y/o Jurídicas) afectadas por las medidas, si fueren conocidas, y designación del lugar donde hayan de practicarse (en nuestro caso el CPD concreto de un CSP).

d) Duración de las medidas solicitadas, que no podrá exceder de veinticuatro horas en el caso de afección a la inviolabilidad del domicilio y tres meses para la intervención o interceptación de las comunicaciones postales, telegráficas, telefónicas o de cualquier otra índole, ambos plazos prorrogables por sucesivos períodos iguales en caso de necesidad. (En el caso de Cloud Computing se considera de otra índole, por lo que inicialmente la duración de las medidas será de hasta tres meses prorrogables)”.

El Magistrado dispondrá lo procedente para salvaguardar la reserva de sus actuaciones, que tendrán la clasificación de secreto.

Por tanto inicialmente el propietario de los datos ignorará que es motivo de actuaciones igual que ignoraría, obviamente, que le han intervenido el teléfono ya que su conocimiento podría incidir en la integridad de los datos y por tanto en la eficacia y confiabilidad del procedimiento abierto.

Si a raíz de las investigaciones se encuentran indicios razonables de la existencia de un delito, evidentemente se tendrá conocimiento de las actuaciones habidas para obtener pruebas catalogadas como evidencias digitales forenses dentro de la instrucción del sumario. Dichas evidencias se conservarán (cuidando la cadena de custodia para que no pierdan validez) al menos hasta la resolución judicial en última instancia (favorable o no), sin ya posibilidad de apelación.

El Secretario de Estado Director del Centro Nacional de Inteligencia ordenará la inmediata destrucción del material relativo a todas aquellas informaciones que, obtenidas mediante la autorización prevista en este artículo, no guarden relación con el objeto o fines de la misma.

NOTA DEL EDITOR: Como tema relacionado, en referencia a la Directiva de Retención de datos de la UE y su transposición al ordenamiento jurídico de los diferentes estados miembros, puede consultarse en este mismo Blog:

Directiva de Retención de datos

4. AFECTACIÓN AL CLOUD COMPUTING

Cuando hablamos de Llevar al CLOUD Datos de Carácter Personal recabados de ciudadanos españoles, según la LOPD y el RLOPD el Responsable del Tratamiento (La empresa que contrata los servicios) incluirá un acuerdo de subcontratación suscrito con el Encargado del Tratamiento (La empresa que presta servicios de CLOUD). No es otra cosa que una obligación contractual dirigida a ésta tercera persona proveedora, tendiente a respetar las normas de confidencialidad elaboradas por la ley española. Sin embargo, una vez que la información personal está en manos de la tercera persona proveedora establecida en un país extranjero, la información está sujeta a las leyes de ese país. Si surgiera un conflicto entre la obligación de confidencialidad bajo contrato y la obligación legal de divulgar (como por ejemplo una citación judicial emitida bajo la Ley Patriota de los Estados Unidos), no existe objeción en el sentido de que para el proveedor de servicios CLOUD, prevalecerá la ley del territorio.

Por consiguiente, existe el riesgo de que las agencias gubernamentales de los EE.UU. puedan tener acceso, a través de la aplicación de la Ley Patriota de los Estados Unidos, a la información personal de ciudadanos españoles, cuando esa información se subcontrata a un proveedor de servicios en Norteamérica.

En consecuencia, una empresa ubicada en España que subcontrata la gestión de sus datos a los Estados Unidos, como mínimo debería informar a sus clientes que su información confidencial podría estar a disposición del gobierno de los Estados Unidos en virtud de una orden judicial de ese país.

Un reciente estudio de la Unión Europea titulado: ‘Lucha contra la delincuencia cibernética y protección de la privacidad en la nube’, asegura que el peligro real reside en el control de EE.UU. de la información almacenada en nubes públicas, que son precisamente propiedad de empresas de ese país. Según el informe, la legislación tiene “fuertes implicaciones para los derechos fundamentales de la UE”, ya que permite a EE.UU. acceder legalmente a toda la información del CLOUD sin previo aviso ni consulta.

NOTA DEL EDITOR: El hecho de que las empresas españolas que han externalizado sus datos en el Cloud a un CPD ubicado en España puedan sufrir, para una posible investigación, acceso a sus datos almacenados por parte del CNI no es grave dado que dicho organismo está al servicio del Estado Español y bajo control judicial. Más preocupante sería que agencias federales norteamericanas o de cualquier otro país pudieran acceder a información de empresas españolas que se encuentren en conflicto de intereses en proyectos internacionales con otras empresas equivalentes de ese país.

En dichos casos se vislumbra imprescindible un estricto registro de actuaciones para ser auditadas a futuro por una autoridad de control, a ser posible supranacional.

5. EJEMPLO A PARTIR DE UNA DECLARACIÓN DE PRIVACIDAD

Concretando con un ejemplo, algún proveedor de Norteamérica, dentro de sus condiciones generales de contratación a las que implícitamente se adhiere o suscribe quien utiliza sus servicios, establece cláusulas que vislumbran el efecto de protección ante requerimientos judiciales, dejando sin embargo la puerta abierta a “USA Patriot Act” en la última línea, donde reconoce que podrían no notificarlo.

La DECLARACIÓN DE PRIVACIDAD DE MICROSOFT WINDOWS AZURE” que se trata de una plataforma de Servicios en el Cloud (PaaS), cita textualmente en el apartado “DIVULGACIÓN DE SU INFORMACIÓN”:
No revelaremos los Datos del cliente a terceros (ni siquiera a una autoridad judicial, otra entidad gubernamental o litigante civil, con la excepción de nuestros contratistas) salvo que usted lo indique o por imperativo legal. Si terceras partes se pusiesen en contacto con nosotros solicitando datos de clientes, les indicaríamos que se los solicitasen directamente a ellos. A tal fin, les podríamos proporcionar información de contacto básica. Si nos viésemos obligados a revelar los Datos del cliente a terceros, emplearíamos todos los esfuerzos comercialmente razonables para notificárselo por adelantado, a menos que nos lo impida la ley”.

Evidentemente la USA Patriot Act se aplica a cualquier proveedor de servicios en USA, aunque aquí cite a Microsoft como ejemplo.

NOTA DEL EDITOR: Para ampliar datos sobre legislación y CLOUD COMPUTING, puede consultarse en éste mismo Blog:

CLOUD COMPUTING Y PROTECCION DE DATOS PERSONALES

O una versión en vídeo:

CLOUD COMPUTING: REGULANDO EL DESORDEN

6. BIBLIOGRAGÍA CONSULTADA

(1) BOE núm. 109. “Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia”. 07/05/2002.

LO 11/2002

(2) BOE núm. 109. “Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia”. 07/05/2002.

LO 2/2002
Public Law 109–177 (109th Congress). Mar. 9, 2006. “USA PATRIOT IMPROVEMENT AND REAUTHORIZATION ACT OF 2005”.
USA PATRIOT IMPROVEMENT AND REAUTHORIZATION
CONGRESSIONAL RECORD — SENATE. December 27, 2012. “FISA AMENDMENTS ACT REAUTHORIZATION ACT OF 2012”. S8384.

FISA 2012 ACT

UNITED STATES DISTRICT COURT FOR THE NORTHERN DISTRICT OF CALIFORNIA OAKLAND DIVISION. January 4, 2013. CONSOLIDATED MEMORANDUM OF POINTS AND AUTHORITIES IN OPPOSITION TO PLAINTIFF’S CROSS-MOTION FOR SUMMARY JUDGMENT AND REPLY MEMORANDUM IN FURTHER SUPPORT OF DEFENDANT’S MOTION FOR SUMMARY JUDGMENT.

MEMORANDUM

MICROSOFT. DECLARACIÓN DE PRIVACIDAD DE WINDOWS AZURE.

MICROSOFT WINDOWS AZURE

U.S. Department of Justice — Civil Division. January 3, 2013. “Department of Justice’s response to Electronic Frontier Foundation’s Freedom of Information Act request to the Department’s National Security Division dated July 26, 2012”.

DEPARTMENT OF JUSTICES’S RESPONSE

ELECTRONIC FRONTIER FOUNDATION. January 10, 2013. “A New Year, a New FISA Amendments Act Reauthorization, But the Same Old Secret Law”. By Mark Rumold.

NEW FISA

112TH CONGRESS 1ST SESSION. 29 November, 2011. “To provide for the sharing of certain cyber thread intelligence. . .”. DISCUSSION DRAFT.

CISPA