LOPD, Safe Harbor, sudor y lágrimas

Publicada el por Sergi

Diría que no estoy solo en esa opinión, pero usar términos legales para describir «problemas» técnicos y al revés, normalmente provoca que no nos entendamos al no comprender el lenguaje.

  1. En UE tenemos una serie de normativas (Directiva 95/46, LOPD y RLOPD, etc…) que protegen los datos personales de las personas físicas, dónde describimos una serie de protecciones que deben tener los datos conforme a qué cosas guardamos, y para salir de la jurisdicción debemos tener en cuenta otros procedimientos
  2. En USA decidieron que si para sacar datos tenían que tener la aprobación del director de la agencia de protección de datos pertinente (al menos en España el RLOPD dice esto), mejor «negociar» con la EU algo, y salió el acuerdo de Safe Harbor, donde las empresas americanas se pueden dar de alta y así evitamos necesitar la aprobación del director para mover datos personales
Hasta aquí todo «normal», la UE pone puertas al campo con directivas que son difíciles de hacer cumplir y ponen una espada de Damocles encima de sus empresas (si alguien el Contact Center se dedica a repartir datos y alega que no se lo ha formado, ¿qué?,y si dejas un formulario libre y meten datos como «mi hijo está enfermo de paperas»,¿tu formulario Web es de nivel alto?), y los de USA definen unos principios de autocumplimiento y permiten operar con un mercado global, y si la lías te meten en una class action de N mil millones de dólares.
No discuto que los datos personales deban ser privados y aplicar el máximo celo en protegerlos, pero debemos encontrar puntos medios.
Pensemos que esto solo afecta a los datos personales y las empresas guardan datos de muchos otros tipos y depende de cuáles nunca guardan datos personales más allá de su gestión de recursos humanos, así que cuidado, que alguien cumpla LOPD sólo indica que no hará cosas raras con los datos de personas, tus secretos comerciales, no están protegidos por esta ley.
Luego tenemos el «cliente» que pide a su proveedor de infraestructura que aquello es LOPD nivel X, y que si viene la AEPD lo haga indemne de cualquier problema (normalmente post implantación, hasta que se enteran los de legal), y claro, una cosa es tener copias cifradas e inventariadas en otra ubicación y otra es que tu aplicación no autentique ni autorice por individuo (grupo callcenter para evitar licencias o problemas en rotaciones). He vivido discusiones de días por temas de estos, hasta que los abogados acaban metiendo más clausulas, no las entienden ni ellos y seguimos para bingo…
También tenemos el que va repitiendo el mantra del Safe Harbor o LOPD para tener ventaja competitiva. Sólo voy a meter dos ejemplos diría que significativos. Rackspace, empresa seria y líder en su mercado está en Safe Harbor lógicamente, pero la mayoría de sus clientes europeos la contratan por el tema de Managed Hosting o Cloud. El énfasis es mio (http://www.export.gov/safehrbr/companyinfo.aspx?id=9164):

Personal Information Received from the EU: Rackspace collects personal information from prospective customers, prospective employees, prospective vendors and other persons located in the European Union who may be interested in a business relationship with Rackspace via website visits, telephone calls, chat, web forms, email and other means; Rackspace uses this information to contact those persons about Rackspace services, employment opportunities, and potential business transactions, and to generally improve the way Rackspace markets its services. Rackspace collects personal information from its customers, vendors and employees located in the European Union; Rackspace uses that information to provide services to those customers, manage relations with vendors, for related financial and other operational purposes and to perform its own human resources functions. Rackspace affiliates located in the European Union provide Rackspace with personal information about their customers, vendors and employees; Rackspace uses this information to assist its affiliates in providing services to those customers, and to assist its affiliates with vendor relations and contract management, human resources management, and their internal financial and other operations. When providing information technology hosting services, Rackspace may process personal data controlled by its customers; Rackspace does not apply Safe Harbor Principles to that data, but processes that data at the direction of its customers and in accordance with the terms of its agreements with its customers.

 En resumen, que los datos que entras en su CRM, los tienen protegidos (lógico), pero lo que metas en los servidores es tu problema

Y Amazon (http://www.export.gov/safehrbr/companyinfo.aspx?id=9319), donde me quedo con esta linea:

Do you agree to cooperate and comply with the European Data Protection Authorities? No

 Así que además de no hablar de lo de AWS (el Cloud de Amazon), te dejarán solo ante el peligro

Con esto no quiero decir que nada hacía USA (o resto del mundo), sino que evalúes los riesgos, donde guardas datos personales y sobretodo cómo lo haces. Las agencias de protección de datos no actúan de oficio (al menos hasta donde yo sé), así que si estableces todos los procedimientos adecuados para proteger esos datos no habría motivo para que alguien presente denuncia en tu contra.

Mi recomendación sería, y ten en cuenta que yo soy ingeniero informático, sé de poco a nada de derecho:

– Si alguien te dice «Safe Harbor», averigua hasta qué extremo
– Los datos personales, la mayoría de veces serán pocos o ninguno (sólo son personales si puedes llegar al individuo, y además cuando hablan como persona física)
– Cuidado con los campos libres de los formularios
– TU sigues siendo el responsable, así que no confíes en que porque le hayas dicho a tu comercial que tu web es Nivel Alto, se establecerá más celo en el control, asegúrate
Involucra a legal en la decisiones a tomar, no en como crujir al proveedor en caso de problemas, sino en qué situaciones permitirán mejor defensa (si guardo los datos cifrados, ¿en qué mejoro?), y te ayudarán a preparar el Business Case de las políticas de seguridad (sino se cifra, tenemos un riesgo estimado de X€)
– Es muy difícil pasar el marrón a otros, así que te toca controlar
– La obligación de cumplir la ley no tiene nada que ven en donde están los servidores, sino donde tienes tu presencia, sea matriz o sucursal y sea esa la que recoja los datos

Espero que sea de ayuda para los que os estéis peleando con todo esto

Saludos

PS: Como veis no tiene nada que ver en si Cloud, Housing, Hosting o en tu propio datacenter, es sobre el control del acceso a los datos, sean personales o no