Buscador de resoluciones, dictámenes e informes

El contrato examinado de encargo del tratamiento para la puesta en marcha de una plataforma de participación ciudadana se puede adecuar a la normativa de protección de datos si se tienen en cuenta las consideraciones hechas en el dictamen, en especial, las relativas a la necesidad de concretar las medidas de seguridad a implementar para el encargado y el destino de los datos vinculados a la prestación del servicio, así como de informar a los usuarios de los aspectos relativos al tratamiento de sus datos, sobre todo, con respecto a la publicación prevista. Corresponde al ayuntamiento velar para que las transferencias internacionales de datos que puedan tener lugar se adecuen a la normativa de protección de datos.

Teniendo en cuenta la Decisión de la Comisión de 5 de febrero de 2010, la Resolución del AEPD de 9 de mayo de 2014, así como la adhesión de Microsoft al Escudo de Privacidad, se puede considerar que el contrato de encargo del tratamiento que podría suscribir la Universidad con Microsoft en relación con los servicios "Microsoft 365" y "Microsoft Azure", seguiría en principio ajustándose a las exigencias de la normativa de protección de datos (LOPD, RLOPD y RGPD). Con respecto a las medidas de seguridad técnicas y organizativas para garantizar la seguridad de los datos, se puede considerar que las previsiones de Microsoft en relación con los servicios "Microsoft 365" y "Microsoft Azure" pueden ser, a priori, adecuadas a lo que prevé la normativa de protección de datos teniendo en cuenta que la implantación de las medidas previstas es objeto de certificación y auditoría por parte de uno tercero independiente.

Las administraciones públicas tienen que asegurarse de que los terceros prestadores de servicios y de sistemas de comunicación cumplen sus responsabilidades, ya sea como encargados del tratamiento o, si pega, como responsables del tratamiento de los datos de los usuarios (en el caso de los SMI), dado que el tratamiento se encuentra sometido a las exigencias de los principios y garantías de la normativa europea de la protección de datos (LOPD, RLOPD, y RGPD). Cuando consideren la elección de un determinado sistema de mensajería instantánea (SMI) tendrían que tener en cuenta, especialmente, la finalidad de la comunicación, la información personal que hay que tratar; el consentimiento de los afectados; el modelo de seguridad y la evaluación de impacto y las concretas medidas de seguridad aplicadas; los mecanismos de certificación; las transferencias internacionales de datos y la ubicación de los servidores; el derecho de información y la transparencia, en atención a las previsiones de la normativa europea de protección de datos.

La adhesión de las empresas Google y Microsoft al acuerdo "U.S.-E.U. Safe Harbor" presupone, a fecha de hoy, que los datos personales enviados por la entidad en virtud de la contratación de los servicios Google Apps for Business o Microsoft Office 365 serán tratadas con determinadas garantías y condiciones de seguridad. Particularmente, este tratamiento quedará plenamente garantizado en el caso de la empresa Microsoft, vista la Resolución TI/00032/2014 de la Agencia Española de Protección de Datos. Ahora bien, habrá que tener presente que las actuaciones previstas en las respectivas condiciones de uso de estos servicios, especialmente de Google Apps for Business, pueden exceder la finalidad principal por la cual la entidad encargaría el tratamiento de los datos. Asimismo, con el fin de considerar adecuadas las medidas de seguridad global implementadas en estos servicios, será necesario llevar a término la auditoría prevista a la normativa de protección de datos. Por lo que hace, específicamente, al uso del servicio de correo electrónico, este no presenta riesgos adicionales para la seguridad de la información siempre que se adopten las recomendaciones hechas al respecto.

Los riesgos que supone el uso de los servicios "Google Drive", "Microsoft Onedrive" y "Dropbox" para el abogado que decide almacenar documentación relativa a sus clientes estarían relacionados, tanto con el funcionamiento propio de estos servicios, como con las diferentes aplicaciones y plataformas que permiten el acceso y la gestión de los archivos almacenados. La adhesión de las empresas proveedoras de estos servicios a los principios del acuerdo Safe Harbor presupone, a fecha de hoy, que los datos personales almacenados por el abogado serán tratados con determinadas garantías y condiciones de seguridad, aunque podría resultar insuficiente. Asimismo, disponer de la certificación ISO/IEC/27001, o de cualquier otra certificación o estándar internacional en materia de seguridad, no es garantía suficiente del cumplimiento de las medidas de seguridad del RLOPD. Habría que acompañarla de la auditoría prevista a la normativa de protección de datos.

La contratación de los servicios Google Apps for Business para un consejo comarcal requiere la realización d’una análisis previo de los riesgos que para la seguridad e integridad de la información personal puede comportar su tratamiento en entornos que operan en el “núvol”. En la medida que Google Ireland Limited efectúe un tratamiento de datos por cuenta del responsable, la contratación de sus servicios requiere, d’entrada, la firma d’un contrato d’encarregat del tratamiento. No obstante, vistas las condiciones en que se somete el servicio Google Apps for Business, l’existència d’aquest contrato d’encarregat por si suele no presupone que el tratamiento de los datos para Google Ireland Limited se lleve a término siempre con todas las garantías exigidas por la normativa española de protección de datos de carácter personal.