Noticias de Interés

28/05/2011 Publicada en el BOE la Ley que regula el juego online(PDF) 31/03/2011 Juez obliga a devolver el canon a Nokia # 24/03/2011 La Audiencia Nacional anula la normativa que regula el canon digital # 23/03/2011 Audiencia Provincial de Madrid - Caso Indicedonkey y Caso Spanishshare: Enlazar no es delito # 17/03/2011 Miembro de la Academia de Cine detenido por lucrarse colgando películas en la red de forma presuntamente ilícita # 17/03/2011 Estados Unidos bloquea exvagos.es # 03/03/2011 Sentencia contra el canon en la Audiencia Provincial de Barcelona # 15/02/2011 Se aprueba la Ley Sinde en el Congreso-Ya es definitiva # 04/02/2011 Aprobado Proyecto de Ley de Regulación del Juego ONLINE # 01/02/2011 Comisión de Economía del Senado aprueba la Ley Sinde # 26/1/2011 Twitter bloqueado en Egipto por protestas contra Mubarak # 25/1/2011 Alex de la Iglesia diimite tras nefasta Ley Sinde # 24/1/2011 PP y PSOE pactan ley SINDE # 24/1/2011 Gran operación policial contra la pedofília # 15/1/2011 Anonymous convoca ataque DDoS el 16 de enero a las 18:00 por la votación el 18 de Enero de la ley Sinde # 12/1/2011 Tribunal Constitucional: la sentencia del canon europea ha de aplicarse en España porque forma parte de nuestro derecho interno # 11/1/2011 Convocada por internet primera manifestación contra Ley Antitabaco # 11/1/2011 Victoria judicial de Rapidshare en Alemania # 8/1/2011 Manifestaciones en toda España contra Ley Sinde # 8/1/2011 Manifestación en Murcia pro Wikileaks y contra Ley Sinde # 3/1/2011 Sentencia sobre caso Chipspain.com # 23/12/2010 Detenciones de responsables de webs de descarga y grabadores de screeners # 21/12/2010 Hoy se aprueba la ley SINDE con polémica y movilizaciones # 16/12/2010 Detención y registro TaquillaDivx.com # 13-12-2010 Suspensión medidas cautelares contra PSJailbreak #

lunes, 28 de marzo de 2011

Cloud Computing: ¿quien es el responsable de nuestros datos?

Ya hemos hablado de la importancia que el Cloud Computing tiene y tendrá en nuestras vidas y en general de sus riesgos, pero me gustaría pormenorizar en aspectos concretos.

Descripción del problema

En el uso de el cloud computing, el usuario gestiona sus datos fuera de su terminal informática y estos se almacenan en servidores de segundas o incluso terceras empresas. Esto evidentemente supone riesgos que ya vimos en el post sobre riesgos del cloud computing.

El usuario tiene derecho a:

1. Disponer de la información relativa a sus datos personales (consultar, modificar o borrar la misma).
2. Conocer en todo momento quien tiene esos datos, donde y con que finalidad.

Este último aspecto puede ser un problema ya que nos encontramos que los datos no los trata la empresa con la que hemos contratado o suscrito un servicio, sino un tercero.  ¿Quien es entonces el responsable? ¿En que medida? ¿Pueden estos datos acabar en un país con un nivel de protección menor?

La LOPD y su ámbito de aplicación

El art. 2 de la Ley Orgánica de Protección de Datos  (LOPD) y su reglamento aprobado por el Real Decreto 1720/2007 en el art. 3 establecen su ámbito de aplicación y haré algún comentario respecto al cloud computing:

- Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. 

¿Que es un establecimiento en el caso del cloud computing? El artículo parece referirse a un centro de procesamiento físico, lo cual puede ser hasta irrelevante en el caso del cloud computing.

 - Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

 Por interpretación del siguiente apartado se circunscribe al ámbito comunitario sujeto a la  Directiva 95/46/CE.

 - Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

El Documento de Trabajo WP56 de 2002 del Grupo de Trabajo sobre el artículo 29 ya dictaminó que el uso de cookies (almacenados en el ordenador del usuario) servía para  considerarlo medio utilizado para el tránsito.

- Cuando el establecimiento no se encuentre ubicado en territorio español, pero  pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente reglamento.

 En este título VIII se establece el cumplimiento obligatorio de determinadas medidas de seguridad.

-Si el responsable del tratamiento no está establecido en el territorio de la Unión Europea, pero utiliza medios situados en territorio español, este responsable del tratamiento debe designar un representante establecido en territorio español.

Lo que de ser efectivo facilita la identificación del responsable.

-Y por establecimiento hay que entender cualquier instalación que permita el ejercicio efectivo y real de una
actividad, con independencia de la forma jurídica adoptada.

Así, la determinación del responsable esta bastante delimitada legalmente, lo cual no significa que sea fácil o incluso posible de forma efectiva en todos los casos, pero ¿qué sucede cuando los datos son tratados por un tercero? 

El art. 12 de la LOPD y los arts. 20 a 22 de su Reglamento regulan la relación entre el responsable y ese tercero. 

La cesión de datos esta admitida legalmente en el 12.1: "no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento", mediante un contrato en el que se especificará "únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas".

El art 20.2 nos dice que será el responsable del tratamiento el que deberá controlar que el tercero que trate estos datos lo hace conforme al reglamento, incluso si este tercero, habilitado por el propio responsable, subcontrata a otra empresa para tal función.

Es decir, seguimos teniendo al responsable identificado y este será enjuiciable en España.

En breve, una referencia al Movimiento Internacional de Datos.

Para saber mas: 




WP56 de 2002 del Grupo de Trabajo sobre el artículo 29 
Safe Creative #1012140013368

No hay comentarios:

Publicar un comentario en la entrada