La primera preocupación que advierto en los clientes cuando se habla de Cloud sigue siendo la seguridad de los datos. Ésta preocupación parte del desconocimiento, la indefinición, la confusión y la incertidumbre que ofrece tanto la legislación en materia de protección de datos como la propia percepción de lo que es Cloud y así en el argumentario se mezclan cuestiones relativas a privacidad personal, confidencialidad corporativa, riesgos legislativos, procedimientos legales y secretos industriales.
En las siguientes entradas vamos a intentar aclarar todas estas cuestiones, desde el tipo de protección correspondiente al dato para luego abordar el riesgo existente de mantener datos en el Cloud. Comenzamos explorando que datos están sometidos a protección legislativa.
Datos sometidos a protección: Los datos personales
El primer planteamiento que debemos hacernos es qué datos están y cuales no bajo el paraguas legislativo de protección pues ésta primera distinción ya nos ofrece una primera capacidad de decisión respecto a las ventajas que el almacenamiento o tratamiento en Cloud puede suponer.
La legislación de protección de datos es clara en este aspecto y señala que sólo es aplicable a los datos personales. Por tanto, y salvo legislación específica del sector, cualquier dato que no se corresponda con una persona física es perfectamente almacenable en el Cloud sin necesidad de adoptar ninguna medida fuera de las exigencias corporativas.
En consecuencia, un fichero con un mero listado de mis clientes mercantiles, mi contabilidad y cualquier otro que no identifique o no pueda identificar a una persona física -“toda información sobre una persona física identificada o identificable” señalaba ya el Tribunal de Justicia de la UE en el Caso Lindqvist C-101/01 y reproduce el Reglamento UE 2016/679 en su artículo 4.1- no requiere ni su comunicación a la AGPD ni el establecimiento de medidas especiales de protección ni la petición de autorización de transferencia internacional de datos si su almacenamiento se realiza fuera de la UE.
A nivel legislativo el Reglamento UE 2016/679 establece en su artículo 1.1 que “El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos” y la Ley Orgánica 15/1999 en su artículo 2.1 que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.”
¿Qué datos son personales?
Teniendo claro que sólo los datos personales son los que requieren protección legislativa ahondemos en su concepto y así el Reglamento los define en su artículo 4.1 como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;” y el artículo 3.a de la L.O. 15/1999 como “cualquier información concerniente a personas físicas identificadas o identificables.”
De lo anterior se deduce que para que un dato pueda ser considerado personal tiene que permitir identificar a una persona física directa o indirectamente lo que nos indica que incluso los datos disociados (v.g. personas rubias que vivan en España) merecerán también de protección salvo cuando la disociación sea tal que no permita que su tratamiento, incluso con datos externos al fichero, lleve a la identificación de una persona física individualizada (v.g. un listado de perfiles completos de ADN sería entonces un dato personal aun cuando no lo identifique con una persona física concreta mientras que un perfil parcial de ADN no lo sería siempre y cuando no estuviera relacionado con otros datos que me permitieran la identificación unívoca de la persona a la que corresponden).
Algunos datos personales típicos
La AGPD a través del formulario NOTA en la tipificación de datos que realiza nos ofrece un listado bastante amplio, pero no exclusivo, de los tipos de datos personales más frecuentemente tratados:
- Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual.
- Datos de carácter identificativo: NIF/DNI, Otros números o códigos de identificación como la Seguridad Social, Dirección, Imagen, voz, teléfono, marcas físicas, nombre y apellidos, firma/huella, firma electrónica, incluso la IP según el Informe 327/2003 de la AGPD ratificado por la Sección 6 de la Sala Tercera del Tribunal Supremo en el Recurso 6153/2011. Igualmente hay una Sentencia pendiente ante el TJUE sobre este tema en el que el Abogado General ha concluido de idéntica manera (C-582/14 Caso Breyer). Si finalmente la postura jurisprudencial se mantiene tendremos que considerar como dato personal todo aquél que en un momento dado se pueda vincular a una persona aun con fuentes externas. Esto es importante para IoT. Por ejemplo, la lectura de un contador podrá considerarse un dato personal si en cualquier momento dicha lectura puede vincularse a una persona en concreto a través de cualquier campo de identificación y aun cuando no tenga acceso a la información que vincula el campo identificativo con los datos de la persona.
- Datos relativos a las características personales: datos de estado civil, de familia, fecha y lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
- Datos relativos a las circunstancias sociales: Características de alojamiento, vivienda, situación familiar, propiedades y posesiones, aficiones y estilos de vida, pertenencia a asociaciones de cualquier naturaleza, licencias, permisos y autorizaciones.
- Datos académicos y profesionales: Formación, titulaciones, historial académico, experiencia profesional, pertenencia a colegios o asociaciones profesionales.
- Detalles de empleo: Profesión, puesto de trabajo, datos no económicos de nómina, historial del trabajador
- Información comercial: Actividades y negocios, licencias comerciales, suscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
- Datos económicos, financieros y de seguros: Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones o jubilación, datos económicos de nómina, datos deducciones impositivas, impuestos, seguros, hipotecas, subsidios, beneficios, historial de riesgo, tarjetas de crédito.
- Datos relativos a transacciones de bienes y servicios: Bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones, indemnizaciones.
Excepciones a la protección
Definido el dato merecedor de protección debemos tener en cuenta que la protección legislativa no alcanza todos los casos y así la Ley Orgánica excluye a determinadas actividades de su aplicación interesándonos en este aspecto lo señalado en el artículo 2.2.a “A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.” o exime del derecho de información del afectado en determinados casos – Artículo 5.5 “No será de aplicación lo dispuesto en el apartado anterior, cuando expresamente una ley lo prevea, cuando el tratamiento tenga fines históricos, estadísticos o científicos, o cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados, a criterio de la Agencia de Protección de Datos o del organismo autonómico equivalente, en consideración al número de interesados, a la antigüedad de los datos y a las posibles medidas compensatorias. Asimismo, tampoco regirá lo dispuesto en el apartado anterior cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten.”- o no es requerido el consentimiento del afectado en otros – Art. 6.2 “No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”- aunque, primero, tenemos que tener claro que las fuentes accesibles al público están tasadas por la misma norma y sólo son las señaladas en el artículo 3.j segundo párrafo, esto es, “el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.” Además, debemos tener en cuenta que el eximir del deber de información o del consentimiento del afectado no exime de otras obligaciones indicadas por la Ley como la inscripción del fichero o la autorización para su transferencia internacional.
Por otro lado el Reglamento que desarrolla la Ley Orgánica – R.D. 1720/2007, de 21 de diciembre con últimas modificaciones vigentes desde el 30 de enero de 2010- excluye en su artículo 2.2 “…a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.” de lo que se deduce que cualquier base de datos de información corporativa que contenga únicamente los datos reflejados tampoco es objeto de protección, y en su artículo 2.3 “…los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.” equiparando los datos del empresario individual con la persona jurídica a efectos de protección. En este último aspecto distingamos no obstante empresario individual de autónomo y tanto la Agencia de Protección de Datos –Informe 451/2009– como la Audiencia Nacional -en Sentencia de 21 de noviembre de 2002– consideran al profesional autónomo aplicable la normativa de protección siempre que no ejerzan su actividad bajo forma de empresa.
Conclusiones
En este primer capítulo nos hemos detenido en comprender que tipo de datos están protegidos legislativamente se encuentren dónde se encuentren. En los siguientes capítulos veremos cómo las medidas de protección exigidas legislativa o corporativamente pueden afectar mi toma de decisión de adopción del Cloud.
Si queréis comentarnos cualquier duda podéis hacerlo en info@kabel.es.
