Cercador de resolucions, dictàmens i informes

El contracte examinat d'encàrrec del tractament per a la posada en marxa d'una plataforma de participació ciutadana es pot adequar a la normativa de protecció de dades si es tenen en compte les consideracions fetes en el dictamen, en especial, les relatives a la necessitat de concretar les mesures de seguretat a implementar per l'encarregat i el destí de les dades vinculades a la prestació del servei, així com d'informar als usuaris dels aspectes relatius al tractament de les seves dades, sobretot, pel que fa a la publicació prevista. Correspon a l'ajuntament vetllar perquè les transferències internacionals de dades que puguin tenir lloc s'adeqüin a la normativa de protecció de dades.

Tenint en compte la Decisió de la Comissió de 5 de febrer de 2010, la Resolució de l'AEPD de 9 de maig de 2014, així com l'adhesió de Microsoft a l'Escut de Privacitat, es pot considerar que el contracte d'encàrrec del tractament que podria subscriure la Universitat amb Microsoft en relació amb els serveis "Microsoft 365" i "Microsoft Azure", seguiria en principi ajustant-se a les exigències de la normativa de protecció de dades (LOPD, RLOPD i RGPD). Pel que fa a les mesures de seguretat tècniques i organitzatives per garantir la seguretat de les dades, es pot considerar que les previsions de Microsoft en relació amb els serveis "Microsoft 365" i "Microsoft Azure" poden ser, a priori, adequades al que preveu la normativa de protecció de dades tenint en compte que la implantació de les mesures previstes és objecte de certificació i auditoria per part d'un tercer independent.

Les administracions públiques han d'assegurar-se que els tercers prestadors de serveis i de sistemes de comunicació compleixen llurs responsabilitats, ja sigui com a encarregats del tractament o, si escau, com a responsables del tractament de les dades dels usuaris (en el cas dels SMI), atès que el tractament es troba sotmès a les exigències dels principis i garanties de la normativa europea de la protecció de dades (LOPD, RLOPD, i RGPD). Quan considerin l'elecció d'un determinat sistema de missatgeria instantània (SMI) haurien de tenir en compte, especialment, la finalitat de la comunicació, la informació personal que cal tractar; el consentiment dels afectats; el model de seguretat i l'avaluació d'impacte i les concretes mesures de seguretat aplicades; els mecanismes de certificació; les transferències internacionals de dades i la ubicació dels servidors; el dret d'informació i la transparència, en atenció a les previsions de la normativa europea de protecció de dades.

L'adhesió de les empreses Google i Microsoft a l'acord "U.S.-E.U. Safe Harbor" pressuposa, a data d'avui, que les dades personals trameses per l'entitat en virtut de la contractació dels serveis Google Apps for Business o Microsoft Office 365 seran tractades amb determinades garanties i condicions de seguretat. Particularment, aquest tractament restarà plenament garantit en el cas de l'empresa Microsoft, atesa la Resolució TI/00032/2014 de l'Agència Espanyola de Protecció de Dades. Ara bé, caldrà tenir present que les actuacions previstes en les respectives condicions d'ús d'aquests serveis, especialment de Google Apps for Business, poden excedir la finalitat principal per la qual l'entitat encarregaria el tractament de les dades. Així mateix, per tal de considerar adequades les mesures de seguretat global implementades en aquests serveis, serà necessari dur a terme la auditoria prevista a la normativa de protecció de dades. Pel que fa, específicament, a l'ús del servei de correu electrònic, aquest no presenta riscos addicionals per a la seguretat de la informació sempre que s'adoptin les recomanacions fetes al respecte.

Els riscos que suposa l'ús dels serveis "Google Drive", "Microsoft Onedrive" i "Dropbox" per a l'advocat que decideix emmagatzemar-hi documentació relativa als seus clients estarien relacionats, tant amb el funcionament propi d'aquests serveis, com amb les diferents aplicacions i plataformes que permeten l'accés i la gestió dels arxius emmagatzemats. L'adhesió de les empreses proveïdores d'aquests serveis als principis de l'acord Safe Harbor pressuposa, a data d'avui, que les dades personals emmagatzemades per l'advocat seran tractades amb determinades garanties i condicions de seguretat, tot i que podria resultar insuficient. Així mateix, disposar de la certificació ISO/IEC/27001, o de qualsevol altra certificació o estàndard internacional en matèria de seguretat, no és garantia suficient del compliment de les mesures de seguretat del RLOPD. Caldria acompanyar-la de l'auditoria prevista a la normativa de protecció de dades.

La contractació dels serveis Google Apps for Business per un consell comarcal requereix la realització d’una anàlisi prèvia dels riscos que per a la seguretat i integritat de la informació personal pot comportar el seu tractament en entorns que operen en el “núvol”. En la mesura que Google Ireland Limited efectuï un tractament de dades per compte del responsable, la contractació dels seus serveis requereix, d’entrada, la signatura d’un contracte d’encarregat del tractament. No obstant això, ateses les condicions a què se sotmet el servei Google Apps for Business, l’existència d’aquest contracte d’encarregat per si sol no pressuposa que el tractament de les dades per Google Ireland Limited es dugui a terme sempre amb totes les garanties exigides per la normativa espanyola de protecció de dades de caràcter personal.