10 cosas que debe saber el abogado que usa Dropbox

En marzo de este año la Autoridad Catalana de Protección de Datos (APDCAT) tuvo la ocasión de analizar, a propuesta de la consulta que le planteó un colegio de abogados, los riesgos que supone en las relaciones abogado y cliente el uso de servicios de almacenamiento en nube como Google Drive, Microsoft Skydrive (actualmente, Microsoft Onedrive) y Dropbox.

Dicha consulta dio lugar a un informe extenso y preciso pero que se puede desgranar en 10 puntos:

1. Los abogados que contratan servicios de cloud storage son, jurídicamente, los responsables del tratamiento porqué son los titulares de los ficheros de datos que luego transferirán.

2. Las empresas como Google, Microsoft y Dropbox ostentan la posición jurídica de encargado del tratamiento.

3. Cuando el abogado transfiere datos personales e información a dichas empresas, no se considerará una comunicación o cesión de datos siempre que se suscriba un contrato de encargado del tratamiento y, como mínimo, se establezca que: 1) el proveedor tratará los datos según las instrucciones del abogado; 2) que no aplicará ni los utilizará con una finalidad distinta a la prevista, ni los comunicará a terceros; 3) las medidas a las que está obligado a adoptar; y 4) la devolución o destrucción de los datos una vez finalizada la relación contractual.

4. El abogado está obligado a analizar previamente qué impacto tendrá para la privacidad de sus clientes la contratación de estos servicios (EIPD o PIA), ya que la suscripción de un contrato de acceso a datos por cuenta de terceros no presupone per se una garantía de que se esté cumpliendo con la normativa de protección de datos, y más, teniendo en cuenta la pérdida de control sobre los datos que supone para el abogado el uso del cloud computing. Es importante subrayar que la obligación de llevar a cabo un EIPD es una tarea difícil por el hecho de que estos proveedores advierten que pueden modificar sus condiciones unilateralmente y sin previa notificación al usuario.

5. Sobre los flujos de información y la adhesión de Google, Microsoft y Dropbox al acuerdo “U.S. – E.U. Safe Harbor”:

–       Existe un riesgo en el uso de estos servicios que amenaza la seguridad de la información: la deslocalización de los datos. O lo que es lo mismo, la incertidumbre sobre la ubicación física y real de la información personal, y cuya consecuencia evidencia la pérdida de control del responsable del tratamiento respecto de los datos que almacena en nube.

–       Es posible que al contratar estos servicios se produzca una Transferencia Internacional de Datos (TID), en la medida en que Google, Microsoft y Dropbox prevén tratar la información a cualquier lugar del mundo.

De hecho, se producirá una TID cuando la información se almacene en servidores de EEUU. En este caso, los proveedores deberán solicitar la autorización del Director de la Agencia Española de Protección de Datos (como lo hizo recientemente Microsoft para sus servicios Office 365, Microsoft Dynamics CRM Online y Windows Azure). Sin embargo, hay que tener en cuenta que dichas empresas forman parte del acuerdo “U.S –E.U. Safe Habor”, lo que significa que se les reconoce un adecuado nivel de protección y por tanto, si cumplen los demás requisitos, están exentos de solicitar la mencionada autorización.

Ahora bien, no obstante lo anterior, cabe recordar que la adhesión al acuerdo Safe Harbor únicamente se aplica a aquellas empresas establecidas en EEUU y que reciben datos personales procedentes de la UE. En este sentido, en la medida en que Microsoft, Google y Dropbox prevén en sus políticas la posibilidad de almacenar información de los usuarios en cualquier lugar del mundo, estaremos nuevamente antes una TID que sí requerirá de dicha autorización.

Además, en EEUU rige la “USA Patriot Act” en virtud de la cual la Agencia de Seguridad Nacional (NSA) tiene la facultad de exigir a estos proveedores que le suministren todo tipo de informació relativa a ciudadanos estadounidenses y extranjeros (es decir, de los abogados y sus clientes) sin necesidad de ningún requerimiento judicial previo. Inicialmente, estas prácticas se justificaban por razones de seguridad hasta que se ha demostrado que se han llevado a cabo recopilaciones masivas e indiscriminadas de datos. Por este motivo, los principios del acuerdo Safe Habor, así como las empresas adheridas, quedan en entredicho y ya no queda garantizado el nivel adecuado de protección que se les reconoció en su día.

6. Sobre las medidas de seguridad de Google, Microsoft y Dropbox:

–       Dichas empresas especifican que: 1) no son responsables de la pérdida de información; y, 2) no pueden garantizar al 100% la seguridad de la información que almacenan. Teniendo en cuenta que el abogado está obligado a elegir el proveedor más capaz de garantizarle estas condiciones adoptando, además, medidas para evitar toda pérdida, alternación y acceso no autorizado; éste es (o debería serlo), a mi juicio, un motivo cuanto menos disuasivo para contratar a este tipo de proveedores y más por el carácter confidencial y los datos especialmente protegidos que maneja todo abogado.

–       Aunque Microsoft, Google y Dropbox dispusieran de la certificación ISO/IEC/27001:2013, ésta no sería suficiente –pese a que sí sería un buen punto de partida- ni supondría ningún tipo de garantía, entre otras, porqué es difícil determinar si realmente disponen de certificación alguna en materia de seguridad así como en qué condiciones se ha concedido. La única forma para que dicha certificación (o cualquier otra en este ámbito) se considerase garantía suficiente, debería ir acompañada de la autoría a la que se refiere el Reglamento de Protección de Datos (RLOPD) por cuanto su finalidad es establecer directamente si las medidas de seguridad adoptadas se han implementado de conformidad con la normativa de protección de datos o no.

7. Sobre la seguridad global que proporcionan los servicios de Google, Microsoft y Dropbox:

En cuanto a aspectos de seguridad global, aunque estas empresas afirman adoptar medidas para asegurar los datos de sus usuarios (no olvidemos, los abogados y sus clientes), se trata al fin y al cabo, de una mera declaración de intenciones puesto que a su vez afirman también que no se responsabilizan ni de su pérdida ni garantizan su seguridad. En este sentido, se recomienda que los abogados revisen la configuración de privacidad que viene por defecto y que realicen backups de la información que almacenan.

A su vez, la APDCAT realiza un minucioso estudio relativo a los riesgos relevantes que entraña el uso de estas aplicaciones según sea la forma en la que el usuario accede a las mismas, y que podemos sintetizar de la siguiente manera:

–       Cuando se accede a través de navegador web: 1) peligra la protección de la confidencialidad en la medida que, para acceder al navegador, automáticamente se almacenan las credenciales de acceso así como de los archivos que se descargan. Ello implica que si un tercero accede al dispositivo u ordenador que se ha utilizado, tendría acceso total o parcial a dicha información; 2) aunque sí es cierto que el acceso se realiza mediante el protocolo de seguridad “https://” (es decir, que las credenciales que proporciona el usuario viajan cifradas), en Microsoft y Google el código de usuario es una simple dirección de email, lo cual supone un riesgo moderado (o incluso, muy alto) porqué basta que un tercero conozca esta dirección para hacer intentos de acceso y lograrlo; y, 3) mención aparte merece Dropbox, en el que la casilla de memorización automática de las credenciales aparece marcada por defecto, lo que supone asumir un riesgo alto –especialmente en ordenadores compartidos o de uso público- porqué si el usuario se limita a cerrar el programa pinchando la crucecita roja (o botón de función similar), el siguiente usuario podría acceder a la sesión del anterior.

–       Cuando se accede mediante la aplicación de escritorio: Esta opción permite mantener una copia en el ordenador que se vincula y sincroniza con los ficheros almacenados en el servidor, y cabe destacar que: 1) una vez instalada y vinculada la aplicación, no se establece ningún mecanismo adicional de control de acceso, lo que significa que es suficiente iniciar sesión al ordenador para poder acceder también a la carpeta local que contiene la información; y, 2) en Dropbox, de nada sirve que los ficheros se almacenen cifrados cuando la propia compañía es la única que tiene la clave para descifrarlos.

–       Cuando se accede mediante la aplicación móvil (apps): 1) si el usuario no implementa un sistema que bloquee el acceso al smartphone –p. ej.: en caso de robo o pérdida-, se genera un riesgo para la integridad de la información. De hecho, la descarga de este tipo de apps ya supone un riesgo en sí misma por la existencia de programas maliciosos que pululan en el mercado de las aplicaciones móviles; 2) Google solicita permiso para acceder al registro de llamadas del usuario, lo que es desproporcionado respecto de la finalidad última de su servicio; y, 3) mientras que Microsoft no incorpora ninguna opción para asegurar la información, en Dropbox se observan idénticos riesgos que los comentados.

La APDCAT considera que los servicios que ofrecen los tres proveedores presentan vulnerabilidades que podrían afectar a la información almacenada y, en concreto, a la confidencialidad de los datos ante un acceso no autorizado. Por este motivo, aconseja lo siguiente:

1)    Decidir prudentemente qué información se comparte, utilizar contraseñas fuertes y un sistema de verificación en dos pasos;

2)    Desmarcar toda opción que permita guardar credenciales;

3)    Proteger mediante contraseña el acceso al ordenador en el que está instalada la aplicación y utilizar aplicaciones que protejan y/o bloqueen el acceso al smartphone; y,

4)    Controlar qué y cuántos dispositivos están vinculados a estos servicios, y evitar acceder a ellos a través de redes wifi públicas y/o de confianza no verificada.

8. En las condiciones que presentan los servicios de Microsoft, Google y Dropbox no queda suficientemente claro qué harán con los datos que el abogado proporcione ni qué tratamiento les dispensarán, lo cual es realmente preocupante para los archivos confidenciales y privados. Esto significa que el abogado que decide contratar dichos servicios acepta estas condiciones (y recordemos que pueden ser modificadas unilateralmente y sin previo aviso) y asume, por tanto, una evidente incertidumbre sobre cómo el encargado del tratamiento tratará los datos que haya almacenado.

Tampoco queda claro qué ocurre con la información suministrada una vez el usuario da por finalizada la relación contractual. Es importante este aspecto porqué la normativa establece la obligación del encargado del tratamiento de devolver o destruir los datos al responsable del fichero o tratamiento al concluir la prestación contractual. Pues, de nada sirve la previsión general de conservar la información durante un período indeterminado “por razones legales” porqué se vulnera el principio de calidad de los datos en cuanto a su exactitud.

9. Microsoft, Google y Dropbox sólo se comprometen a cumplir las cláusulas que han pactado con el usuario (y que, como hemos podido comprobar, son insuficientes). Así, resulta especialmente interesante saber qué ocurriría en caso de conflicto sobre estas previsiones. Pues bien, en virtud de las cláusulas de sumisión que se habrán suscrito, en Google y en Dropbox no sería aplicable la ley española (a excepción del servicio de Microsoft, y sólo en caso de conflicto en la interpretación de las condiciones), hecho que resulta inadecuado desde el punto de vista de las garantías de los españoles dado que tienen el derecho a que los datos que trata su abogado, así como aquellos terceros que actúan por su cuenta, lo hagan de conformidad con la normativa española de protección de datos.
10. Y como conclusiones, las siguientes:

1)    La adhesión de Microsoft, Google y Dropbox a Safe Habor podría resultar insuficiente.

2)    Disponer de una certificación en materia de seguridad no garantiza el cumplimiento del RLOPD, ni existe ninguna para un proveedor de servicios cloud que verifique el cumplimiento estricto de estas medidas.

3)    El uso de servicios de cloud storage por parte del abogado para almacenar documentos relativos a sus clientes, supone un riesgo para la confidencialidad de la información a consecuencia de los eventuales accesos no autorizados que puedan producirse por las vulnerabilidades que se han detectado.

Aunque es cierto que la APDCAT no declara explícitamente que no recomienda utilizar estos servicios, a la vista de lo expuesto y más si eres abogado, juzga tú mismo.

–

Cristina Ribas Casademont es abogada especialista en informática jurídica