10 cosas que debe saber el abogado que usa Dropbox
El uso de servicios de almacenamiento en la nube por parte del abogado para guardar documentos relativos a sus clientes supone un riesgo para la confidencialidad de la información a consecuencia de los eventuales accesos no autorizados que puedan producirse por las vulnerabilidades detectadas en el sistema.
Recientemente conseguimos en la web, un articulo interesante publicado por Cristina Ribas Casademont quien es abogada especialista en informática jurídica, y que en razón de la magnitud e importancia del mismo hemos decidio publicarlo en nuestra web.
En marzo de este año la Autoridad Catalana de Protección de Datos (APDCAT) tuvo la ocasión de analizar, a propuesta de la consulta que le planteó un colegio de abogados, los riesgos que supone en las relaciones abogado y cliente el uso de servicios de almacenamiento en nube como Google Drive, Microsoft Skydrive (actualmente, Microsoft Onedrive) y Dropbox.
Dicha consulta dio lugar a un informe extenso y preciso pero que se puede desgranar en 10 puntos:
1. Los abogados que contratan servicios de cloud storage son, jurídicamente, los responsables del tratamiento porqué son los titulares de los ficheros de datos que luego transferirán.
2.Las empresas como Google, Microsoft y Dropbox ostentan la posición jurídica de encargado del tratamiento.
3.Cuando el abogado transfiere datos personales e información a dichas empresas, no se considerará una comunicación o cesión de datos siempre que se suscriba un contrato de encargado del tratamiento y, como mínimo, se establezca que: 1) el proveedor tratará los datos según las instrucciones del abogado; 2) que no aplicará ni los utilizará con una finalidad distinta a la prevista, ni los comunicará a terceros; 3) las medidas a las que está obligado a adoptar; y 4) la devolución o destrucción de los datos una vez finalizada la relación contractual.
4.El abogado está obligado a analizar previamente qué impacto tendrá para la privacidad de sus clientes la contratación de estos servicios (EIPD o PIA), ya que la suscripción de un contrato de acceso a datos por cuenta de terceros no presupone per se una garantía de que se esté cumpliendo con la normativa de protección de datos, y más, teniendo en cuenta la pérdida de control sobre los datos que supone para el abogado el uso del cloud computing. Es importante subrayar que la obligación de llevar a cabo un EIPD es una tarea difícil por el hecho de que estos proveedores advierten que pueden modificar sus condiciones unilateralmente y sin previa notificación al usuario.
5.Sobre los flujos de información y la adhesión de Google, Microsoft y Dropbox al acuerdo “U.S. – E.U. Safe Harbor”:
– Existe un riesgo en el uso de estos servicios que amenaza la seguridad de la información: la deslocalización de los datos. O lo que es lo mismo, la incertidumbre sobre la ubicación física y real de la información personal, y cuya consecuencia evidencia la pérdida de control del responsable del tratamiento respecto de los datos que almacena en nube.
– Es posible que al contratar estos servicios se produzca una Transferencia Internacional de Datos (TID), en la medida en que Google, Microsoft y Dropbox prevén tratar la información a cualquier lugar del mundo.
De hecho, se producirá una TID cuando la información se almacene en servidores de EEUU. En este caso, los proveedores deberán solicitar la autorización del Director de la Agencia Española de Protección de Datos (como lo hizo recientemente Microsoft para sus servicios Office 365, Microsoft Dynamics CRM Online y Windows Azure). Sin embargo, hay que tener en cuenta que dichas empresas forman parte del acuerdo “U.S –E.U. Safe Habor”, lo que significa que se les reconoce un adecuado nivel de protección y por tanto, si cumplen los demás requisitos, están exentos de solicitar la mencionada autorización.
Ahora bien, no obstante lo anterior, cabe recordar que la adhesión al acuerdo Safe Harbor únicamente se aplica a aquellas empresas establecidas en EEUU y que reciben datos personales procedentes de la UE. En este sentido, en la medida en que Microsoft, Google y Dropbox prevén en sus políticas la posibilidad de almacenar información de los usuarios en cualquier lugar del mundo, estaremos nuevamente antes una TID que sí requerirá de dicha autorización.
Además, en EEUU rige la “USA Patriot Act” en virtud de la cual la Agencia de Seguridad Nacional (NSA) tiene la facultad de exigir a estos proveedores que le suministren todo tipo de informació relativa a ciudadanos estadounidenses y extranjeros (es decir, de los abogados y sus clientes) sin necesidad de ningún requerimiento judicial previo. Inicialmente, estas prácticas se justificaban por razones de seguridad hasta que se ha demostrado que se han llevado a cabo recopilaciones masivas e indiscriminadas de datos. Por este motivo, los principios del acuerdo Safe Habor, así como las empresas adheridas, quedan en entredicho y ya no queda garantizado el nivel adecuado de protección que se les reconoció en su día.
6.Sobre las medidas de seguridad de Google, Microsoft y Dropbox:
– Dichas empresas especifican que: 1) no son responsables de la pérdida de información; y, 2) no pueden garantizar al 100% la seguridad de la información que almacenan. Teniendo en cuenta que el abogado está obligado a elegir el proveedor más capaz de garantizarle estas condiciones adoptando, además, medidas para evitar toda pérdida, alternación y acceso no autorizado; éste es (o debería serlo), a mi juicio, un motivo cuanto menos disuasivo para contratar a este tipo de proveedores y más por el carácter confidencial y los datos especialmente protegidos que maneja todo abogado.
– Aunque Microsoft, Google y Dropbox dispusieran de la certificación ISO/IEC/27001:2013, ésta no sería suficiente –pese a que sí sería un buen punto de partida- ni supondría ningún tipo de garantía, entre otras, porqué es difícil determinar si realmente disponen de certificación alguna en materia de seguridad así como en qué condiciones se ha concedido. La única forma para que dicha certificación (o cualquier otra en este ámbito) se considerase garantía suficiente, debería ir acompañada de la autoría a la que se refiere el Reglamento de Protección de Datos (RLOPD) por cuanto su finalidad es establecer directamente si las medidas de seguridad adoptadas se han implementado de conformidad con la normativa de protección de datos o no.
7.Sobre la seguridad global que proporcionan los servicios de Google, Microsoft y Dropbox:
En cuanto a aspectos de seguridad global, aunque estas empresas afirman adoptar medidas para asegurar los datos de sus usuarios (no olvidemos, los abogados y sus clientes), se trata al fin y al cabo, de una mera declaración de intenciones puesto que a su vez afirman también que no se responsabilizan ni de su pérdida ni garantizan su seguridad. En este sentido, se recomienda que los abogados revisen la configuración de privacidad que viene por defecto y que realicen backups de la información que almacenan.
A su vez, la APDCAT realiza un minucioso estudio relativo a los riesgos relevantes que entraña el uso de estas aplicaciones según sea la forma en la que el usuario accede a las mismas, y que podemos sintetizar de la siguiente manera:
– Cuando se accede a través de navegador web: 1) peligra la protección de la confidencialidad en la medida que, para acceder al navegador, automáticamente se almacenan las credenciales de acceso así como de los archivos que se descargan. Ello implica que si un tercero accede al dispositivo u ordenador que se ha utilizado, tendría acceso total o parcial a dicha información; 2) aunque sí es cierto que el acceso se realiza mediante el protocolo de seguridad “https://” (es decir, que las credenciales que proporciona el usuario viajan cifradas), en Microsoft y Google el código de usuario es una simple dirección de email, lo cual supone un riesgo moderado (o incluso, muy alto) porqué basta que un tercero conozca esta dirección para hacer intentos de acceso y lograrlo; y, 3) mención aparte merece Dropbox, en el que la casilla de memorización automática de las credenciales aparece marcada por defecto, lo que supone asumir un riesgo alto –especialmente en ordenadores compartidos o de uso público- porqué si el usuario se limita a cerrar el programa pinchando la crucecita roja (o botón de función similar), el siguiente usuario podría acceder a la sesión del anterior.
– Cuando se accede mediante la aplicación de escritorio: Esta opción permite mantener una copia en el ordenador que se vincula y sincroniza con los ficheros almacenados en el servidor, y cabe destacar que: 1) una vez instalada y vinculada la aplicación, no se establece ningún mecanismo adicional de control de acceso, lo que significa que es suficiente iniciar sesión al ordenador para poder acceder también a la carpeta local que contiene la información; y, 2) en Dropbox, de nada sirve que los ficheros se almacenen cifrados cuando la propia compañía es la única que tiene la clave para descifrarlos.
– Cuando se accede mediante la aplicación móvil (apps): 1) si el usuario no implementa un sistema que bloquee el acceso al smartphone –p. ej.: en caso de robo o pérdida-, se genera un riesgo para la integridad de la información. De hecho, la descarga de este tipo de apps ya supone un riesgo en sí misma por la existencia de programas maliciosos que pululan en el mercado de las aplicaciones móviles; 2) Google solicita permiso para acceder al registro de llamadas del usuario, lo que es desproporcionado respecto de la finalidad última de su servicio; y, 3) mientras que Microsoft no incorpora ninguna opción para asegurar la información, en Dropbox se observan idénticos riesgos que los comentados.
La APDCAT considera que los servicios que ofrecen los tres proveedores presentan vulnerabilidades que podrían afectar a la información almacenada y, en concreto, a la confidencialidad de los datos ante un acceso no autorizado. Por este motivo, aconseja lo siguiente:
1) Decidir prudentemente qué información se comparte, utilizar contraseñas fuertes y un sistema de verificación en dos pasos;
2) Desmarcar toda opción que permita guardar credenciales;
3) Proteger mediante contraseña el acceso al ordenador en el que está instalada la aplicación y utilizar aplicaciones que protejan y/o bloqueen el acceso al smartphone; y,
4) Controlar qué y cuántos dispositivos están vinculados a estos servicios, y evitar acceder a ellos a través de redes wifi públicas y/o de confianza no verificada.
8.En las condiciones que presentan los servicios de Microsoft, Google y Dropbox no queda suficientemente claro qué harán con los datos que el abogado proporcione ni qué tratamiento les dispensarán, lo cual es realmente preocupante para los archivos confidenciales y privados. Esto significa que el abogado que decide contratar dichos servicios acepta estas condiciones (y recordemos que pueden ser modificadas unilateralmente y sin previo aviso) y asume, por tanto, una evidente incertidumbre sobre cómo el encargado del tratamiento tratará los datos que haya almacenado.
Tampoco queda claro qué ocurre con la información suministrada una vez el usuario da por finalizada la relación contractual. Es importante este aspecto porqué la normativa establece la obligación del encargado del tratamiento de devolver o destruir los datos al responsable del fichero o tratamiento al concluir la prestación contractual. Pues, de nada sirve la previsión general de conservar la información durante un período indeterminado “por razones legales” porqué se vulnera el principio de calidad de los datos en cuanto a su exactitud.
9.Microsoft, Google y Dropbox sólo se comprometen a cumplir las cláusulas que han pactado con el usuario (y que, como hemos podido comprobar, son insuficientes). Así, resulta especialmente interesante saber qué ocurriría en caso de conflicto sobre estas previsiones. Pues bien, en virtud de las cláusulas de sumisión que se habrán suscrito, en Google y en Dropbox no sería aplicable la ley española (a excepción del servicio de Microsoft, y sólo en caso de conflicto en la interpretación de las condiciones), hecho que resulta inadecuado desde el punto de vista de las garantías de los españoles dado que tienen el derecho a que los datos que trata su abogado, así como aquellos terceros que actúan por su cuenta, lo hagan de conformidad con la normativa española de protección de datos.
10.Y como conclusiones, las siguientes:
1) La adhesión de Microsoft, Google y Dropbox a Safe Habor podría resultar insuficiente.
2) Disponer de una certificación en materia de seguridad no garantiza el cumplimiento del RLOPD, ni existe ninguna para un proveedor de servicios cloud que verifique el cumplimiento estricto de estas medidas.
3) El uso de servicios de cloud storage por parte del abogado para almacenar documentos relativos a sus clientes, supone un riesgo para la confidencialidad de la información a consecuencia de los eventuales accesos no autorizados que puedan producirse por las vulnerabilidades que se han detectado.
Aunque es cierto que la APDCAT no declara explícitamente que no recomienda utilizar estos servicios, a la vista de lo expuesto y más si eres abogado, juzga tú mismo.
LECCIONES DE INTRODUCCIÓN AL RÉGIMEN DEL EMPRESARIO E INVERSIÓN EN LA REPÚBLICA DE COLOMBIA
Luego de haber estado conversando por motivos profesionales y durante varios años con el Dr. JESÚS ARMANDO COLMENARES y el equipo de trabajo que lidera en su oficina de servicios jurídicos de la ciudad de San Cristóbal, Venezuela, he aceptado en una serie de entregas periódicas que facilito para el uso de su página web, realizar un panorama general más o menos sistémico del RÉGIMEN DEL EMPRESARIO E INVERSIÓN EN LA REPÚBLICA DE COLOMBIA.
No me ocuparé en extenso de justificar la importancia de conocer las formas, principios, tratamiento, características y condiciones para la inserción de una persona o asociación[i] que pretenda realizar negocios en Colombia, por considerarla una labor en extremo redundante, sin perjuicio de resaltar que el desconocimiento o el conocimiento escaso o erróneo sobre la forma de establecerse legalmente como empresario, de realizar las operaciones comerciales, maniobrar en diversas maneras su ejecución e incluso terminarlas, conlleva para diversos actores involucrados en dicha inversión, tales como los clientes, asociados, propietarios, administradores y empleados del empresario, la generación de una variedad de responsabilidades que sobrepasan la meramente contractual y alcanzan la responsabilidad administrativa y tributaria e incluso la responsabilidad penal de los actores.
Es preciso en esta breve nota de inicio, delimitar de alguna forma el universo de este cometido, dirigido a los empresarios, abogados, autoridades y otros sectores interesados en realizar este abordaje por distintos intereses académicos, negociales o institucionales. De tal manera, se realizará en un primer acercamiento una ubicación del tema en el contexto del derecho contemporáneo en general y en el derecho colombiano en especial, abordando a continuación los conceptos de persona y su clasificación bajo las formas del empresario, para realizar luego una aproximación al Código de Comercio a su Título Preliminar que contempla reglas generales sobre el sistema de fuentes formales del derecho comercial en Colombia, al Libro Primero que regula entre otros, asuntos propios “De los comerciantes y de los asuntos de comercio” en general, para luego tratar el Libro Segundo “De las sociedades comerciales” que incluirá ciertos tópicos de las reformas introducidas a su parte sustancial por reformas como la Ley 222 de 1995 y 1258 de 2008 “Por medio de la cual se crea la sociedad por acciones simplificada”, y finalmente tratar aspectos de los libros Tercero “De los bienes mercantiles” y Cuarto “De los contratos y obligaciones mercantiles”.
La plurilateralidad en la forma, origen y creación de normas en materia de transporte acuático y aéreo, objeto del Libro Quinto del Código de Comercio, conducen a excluirlo del ámbito de los comentarios que constituyen el contenido de la labor propuesta, por lo menos en lo que corresponde a esta primera etapa, pues resulta posible su inserción en algunas otras lecciones sobre Derecho Internacional Privado y Derecho Mercantil Internacional en Colombia, materias éstas sobre los cuales se realizarán inevitables comentarios puntuales en el decurso de esta primera fase.
Así mismo entiendo como de vital importancia práctica, tratar otros elementos que forman parte de mi experiencia y formación académica, entre los cuales se encuentran el derecho del consumidor, la sanción o ineficacia en amplio sentido del negocio jurídico (actos jurídicos y contratos), así como algunos temas de responsabilidad del empresario, los administradores, contadores y revisores fiscales, de otra parte, es mi compromiso suscitar la participación de algunos de mis pares con la mejor reputación profesional y varias veces asociados en proyectos jurídicos, con el fin de comentar temas como régimen de cambios, registro de inversión extranjera, tributos al comercio exterior y propiedad intelectual, entre otros de gran importancia estratégica en Colombia para el empresario inversionista extranjero o local.
Basado en mi experiencia profesional e institucional y en las estadísticas de fracaso de miles de empresarios tan sólo en Bogotá, que se ven obligados a liquidar sus negocios en el mismo año de su apertura, cifra que permite mejor y mayor cuidado en la elección de cualquiera de las posibilidades existentes para aprovechar el gran clima de inversión y rentabilidad en Colombia, considero imprescindible recomendar que los inversionistas extranjeros e incluso nacionales de Colombia no se conformen con una visión intuitiva, rápida y repetitiva que puedan tomar como información de las cámaras de comercio, fundaciones de emprendimiento privado o público, abogados no experimentados, oficinas de servicios de asesoría legal o empresarial que delegan sus trabajos en dichos abogados e incluso profesionales de otras disciplinas, todos ellos seguramente con la mejor dedicación.
Para generar el mejor criterio en la toma de decisiones empresariales, de incursión o inversión inicial o cualquier otra operación comercial posterior, resulta aconsejable que el empresario se asegure de obtener la mejor asesoría experta en materia legal y tributaria, la cual trascenderá directamente no sólo en la ampliación de su horizonte empresarial, sino en la seguridad jurídica de sus transacciones mercantiles, la prevención de conflictos contractuales entre socios, con autoridades u otros terceros, y en los cimientos serios de una gestión del conocimiento legal y de negocios, alcanzando el objetivo de brindar solidez al empresario, la empresa, el capital y sus rendimientos, utilidades o beneficios.
Agradezco nuevamente a la importante oficina que lidera el Dr. COLMENARES, la deferencia inmerecida al sugerirme mi participación dentro de su página web, con los apuntes iniciados con esta breve introducción.
Colaboración de nuestro asociado y amigo Dr. Luis Eduardo Meza Jurado.