¿Quién no ha recurrido en alguna ocasión a un servicio de almacenamiento y para compartir archivos en la nube como Google Drive? Entre otras funciones, Drive permite compartir y editar archivos pesados entre varias personas, sin necesidad de enviarlas por correo, por lo que también es una herramienta empleada en muchas empresas para el intercambio de archivos y el trabajo colaborativo. Pero ¿qué ocurre cuando subimos a Google Drive archivos con datos personales? ¿Cumplimos la normativa de protección de datos? ¿Cómo afecta al uso de Google Drive la LOPD y el RGPD? ¿Qué debemos tener en cuenta?
En las siguientes líneas responderemos a estas preguntas y veremos cómo aplica y afecta a Google Drive el RGPD y la LOPD.
En este artículo hablamos de:
¿Cómo afecta a Google Drive el RGPD y la LOPD?
Como ya sabréis, Google Drive es una solución en la nube que permite la subida de archivos, compartirlos y editarlos o modificarlos (cuando se cuenta con los permisos para ello), por ello no es raro que sea una herramienta a la que recurran las empresas para agilizar el trabajo y, sobre todo, el compartir determinados archivos que, por su peso, no pueden enviarse a través de correo electrónico. Además, Google Drive se ha convertido en una solución de cloud computing para poder llevar a cabo el trabajo entre quienes trabajan en la oficina y quienes trabajan de forma remota en una misma empresa.
Pero lo que cualquier empresa debe tener en cuenta al usar Google Drive, es que en el momento en que sube archivos que contienen datos personales, es de aplicación el RGPD y la LOPD, aunque estos no mencionen directamente las plataformas de almacenamiento y trabajo en la nube, porque es obligación del responsable del tratamiento garantizar la seguridad, confidencialidad, integridad y disponibilidad de los datos personales que trata y eso implica asegurarse de que los servicios que usa para ello, también cumplen con los requisitos y obligaciones de la normativa.
Además, debemos tener en cuenta que sus servidores no están alojados en países de la UE (a diferencia de lo que ocurre, por ejemplo, con el servicio cloud de Amazon), sino en EE. UU., lo que supone una transferencia internacional de datos personales, sujetas a una serie de obligaciones y garantías que deben cumplir los responsables del tratamiento.
En ese sentido, desde la caída del Privacy Shield con la publicación de la sentencia Schrems II, EE. UU. se considera un tercer país que no cuenta con el mismo nivel de protección de datos que la UE y, por lo tanto, las transferencias de datos personales allí quedan limitadas por el RGPD.
Y, si bien, en las condiciones sobre privacidad en Google Drive (y otros servicios cloud de Google) se menciona que Google respeta y cumple con las obligaciones del RGPD, lo cierto es que, como veremos más adelante, por el momento (y hasta que la UE y EE. UU. firmen un nuevo acuerdo para la transferencia de datos personales que respete y garantice los mismos derechos y libertades y el respeto por la privacidad para los ciudadanos europeos en suelo estadounidense) esas garantías no son suficientes a ojos de las autoridades de control europeas.
*Te puede interesar también nuestro artículo sobre privacidad en Google fotos.
¿Qué rol tiene Google Drive respecto al tratamiento de datos?
Antes de seguir y ver cómo podemos usar Google Drive y cumplir con el RGPD y la LOPD, debemos determinar qué rol desempeña Google Drive respecto al tratamiento de datos.
En este caso, Google Drive es el encargado del tratamiento, siendo necesario cumplir con lo establecido en el artículo 28 del RGPD. Esto implica que nuestra empresa, como responsable del tratamiento, debe elaborar y firmar un contrato de encargo del tratamiento con Google, previa comprobación de que esta cumple con la normativa de protección de datos en los términos establecidos tanto en el RGPD como la LOPD.
El problema surge aquí en que realmente no podemos firmar un contrato de encargado de tratamiento con Google sobre el uso de Google Drive tal y como establece la normativa, porque no vamos a ser nosotros quiénes elaboremos dicho contrato y especifiquemos los términos y condiciones que debe cumplir el encargado del tratamiento, sino que Google ya nos propone un contrato o, mejor dicho, unas condiciones de privacidad y tratamiento de datos específicas, recogidas en su Adenda sobre Tratamiento de Datos, que son las mismas para todos sus usuarios.
¿Cómo usar Google Drive cumpliendo con el RGPD y la LOPD?
Pese a lo visto en puntos anteriores, si una empresa necesita usar Google Drive, aun implicando el tratamiento de datos personales y la transferencia internacional de estos a un tercer país (así como cualquier otro servicio en la nube de Google), podrá hacerlo siempre que cumpla con los siguientes requisitos:
- Consentimiento expreso e informado del usuario:
Que los interesados hayan dado su consentimiento expreso para la transferencia de datos a EE. UU., para lo cual deben haber sido informados adecuadamente de los posibles riesgos que supone la transferencia y la ausencia de ningún tipo de garantía contemplada en el RGPD (es decir, decisión de adecuación, garantías adecuadas o normas corporativas vinculantes).
Aun con el consentimiento expreso de los interesados, la normativa dice que estas transferencias no podrán ser repetitivas, solo deberán afectar a un número limitado de interesados y resultar necesarias para los fines e intereses legítimos imperiosos del responsable del tratamiento y solo cuando estos no prevalezcan sobre los derechos y libertades de los interesados.
- Comprobar las medidas de seguridad adoptadas por Google:
Así mismo, el responsable debe comprobar las medidas de seguridad adoptadas por Google Drive y asegurarse de que estas son suficientes para garantizar la confidencialidad, integridad y disponibilidad de los datos, así como que los datos personales transferidos no serán utilizados con fines distintos a los acordados ni cedidos o comunicados a terceros.
- Anonimizar los datos:
Otra opción, si realmente necesitamos subir documentos a Google Drive que contengan datos personales, es anonimizar estos, es decir, emplear códigos que sustituyan los datos personales y que no permitan identificar a los interesados ni al responsable del tratamiento ni al encargado del tratamiento, puesto que los datos anonimizados ya no tienen consideración de datos personales y, por tanto, no es de aplicación el RGPD ni la LOPD.
¿Qué ocurre con las Cláusulas Contractuales Tipo de Google?
Aunque el RGPD contempla el uso de las Cláusulas Contractuales Tipo (SCC) para poder realizar transferencias internacionales de datos personales entre responsables y encargados del tratamiento, la ya citada sentencia Schrems II recogía que estas cláusulas no son suficientes, por no ser vinculantes para un tercer país, como es EE. UU., que, amparado en la USA Patriot Act, permite que sus autoridades puedan requerir los datos personales de cualquier empresa estadounidense, sean estos datos personales de ciudadanos estadounidenses o no.
Aunque Google Drive cuenta con Cláusulas Contractuales Tipo, la sentencia del Tribunal de Justicia de la UE, así como el CEPD (Comité Europeo de Protección de Datos) consideran que no hay garantías suficientes equivalentes al nivel de protección de datos de la UE, de manera que el responsable del tratamiento no podría garantizar el cumplimiento del RGPD en esas transferencias de datos personales.
En definitiva, actualmente, si se van a subir archivos que contengan datos personales a Google Drive, será necesario contar con el consentimiento expreso e informado de los interesados. Además de estar pendientes de los posibles acuerdos que la UE y EE. UU. pueden firmar en un futuro en materia de protección de datos. También es recomendable, antes de usar esta plataforma, asesorarnos a través de nuestro Delegado de Protección de Datos (si lo tenemos), o bien a través de una consultora especializada en protección de datos.