jueves, 15 de enero de 2009

La LOPD y la Nube: verdades y mentiras

Leo en Error 500 (ver links al final) y en Barrapunto, que a su vez creo que se basan en un artículo de El Mundo sobre los problemas de usar los servicios de la nube y la protección de datos.

Mi experiencia es que -aunque por supuesto hay que solicitar tanto a la AGPD el registro del fichero de datos como a la CMT darse de alta como proveedor- no hay grandes problemas para trabajar con servidores en la situación en la que se expone. Ambos trámites son gratuitos (hay costes de correo y demás, pero nada caro). Todo esto ya que -y luego hablo más de ello- tanto Google como Amazon están adscritas al Safe Harbor lo que evita problemas con la LOPD y la AGPD.

Es cierto que luego la CMT cobra el 0'1% de los ingresos anuales, sin embargo sólo hay que inscribirse en la CMT si vamos a prestar servicios de correo electrónico a terceras personas y/o empresas.

Así que, en general, y por lo que yo sé (consultad siempre con los organos competentes: la AGPD y la CMT) NO hay problemas de la LOPD y CMT y la Nube, siempre que se cumplan una de dos condiciones:
  1. Que el proveedor del servidor (dueño del disco duro) sea Europeo, de la C.E.E. vamos, en cuyo caso el nivel de seguridad es apto y se solicita y se concede.
  2. Que si el proveedor es de EE.UU. esté adherido al programa Safe Harbor. Este programa se creo de hecho para simplificar estos problemas: Y COMO YA HE DICHO TANTO "GOOGLE INC." (ver links al final) COMO "AMAZON INC." ESTÁN EN LA LISTA por lo que tampoco debería haber problema.
Por supuesto todo es más sencillo cuando el disco está en España y es nuestro... pero tampoco hay mucho problema en lo otro y no es nada nuevo: la nube no deja de ser equivalente a alquilar un hosting a un proveedor... "la nube" es tan sólo un término de marketing para definir algo muy antiguo (algo que tiene tantos años como la WWW). Trabajando con una empresa a esta le surgió el famoso problema puesto que para ahorrar costes en el hosting se contrató en EE.UU. y luego, un día, antes de inscribir el registro y para meter miedo -como siempre- te cruzas con el típico "aguililla" que te dice que en EE.UU. no se pueden almacenar datos privados.

Mi solución fue dejarme de tonterías y CONTACTAR DIRECTAMENTE CON LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS y por ellos me enteré de lo de Safe Harbor y en concordancia asesoré a la empresa en cuestión y -hasta donde sé- no ha habido problema alguno.

En otras palabras, y no hablo de experiencias de otros... y si aún tenéis dudas os animo a consultarlo con ellos y dejar de rajar tanto.

Fuentes:

No hay comentarios: