A tener en cuenta: Utilización educativa de servicios que almacenan datos personales en la nube
A tener en cuenta: Utilización educativa de servicios que almacenan datos personales en la nube
En la actualidad, muchas aplicaciones y servicios que utilizamos con nuestros alumnos almacenan datos de los mismos en servidores que están fuera del centro educativo. No solamente nos estamos refiriendo aquí a servicios como Dropbox, Google Apps for Education o similares, sino que podemos encontrar editoriales y/o empresas que ofrecen soluciones administrativas en las que se almacenan datos personales de alumnos y profesores. Ahora bien, cuando estamos utilizando esos servicios, en los que los datos están almacenados en servidores que con toda seguridad estarán fuera del centro educativo e incluso fuera de la Unión Europea, ¿estamos cumpliendo la legislación?
En el artículo Inspección sectorial de oficio sobre servicios de cloud computing en el sector educativo de la Agencia Española de Protección de Datos se ofrecen las siguientes recomendaciones, de ellas destacamos:
1. Legitimación
Los Centros educativos solo podrán permitir la utilización de herramientas de almacenamiento en nube independientes de las plataformas educativas si reúnen las garantías previstas en la normativa de protección de datos. En tal caso deberán establecer unas normas que garanticen el adecuado tratamiento de los datos personales. La utilización de aplicaciones por los profesores en dispositivos personales (tableta, móvil, etc.) deben garantizar la política de privacidad definida por el Centro escolar con las garantías establecidas en la normativa de protección de datos.
Respecto de los derechos ARCO, se debería establecer un procedimiento colaborativo entre el responsable y los encargados y subencargados del tratamiento que permita la atención diligente de los derechos de acceso, rectificación, cancelación y oposición.
2. Contrato de prestación de servicios
Las prestaciones de servicio de almacenamiento en la nube suponen el acceso a los datos por cuenta de terceros, por lo que debe estar regulado en un contrato que debe constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, en el que se especifique la finalidad de los tratamientos de datos y se haga referencia a lo estipulado en los artículos 9 y 12 de la LOPD.
Cuando no exista un contrato por escrito, como en los casos en los que los prestadores de servicios se acojan a las condiciones publicadas en la web del proveedor de servicios, la plataforma de almacenamiento de datos deberá poder acreditar su celebración y un contenido mínimo indicando expresamente que, como encargado del tratamiento, únicamente utilizará los datos conforme a las instrucciones del responsable del tratamiento, no los aplicará o utilizará con un fin distinto al definido en la contratación, no los comunicará a terceros, adoptará la medidas de seguridad exigibles y devolverá los datos a la finalización del contrato.
Para facilitar el cumplimiento de esta última recomendación, los prestadores de servicio deberán publicar las condiciones generales y las cláusulas de confidencialidad y protección de datos en la web, identificando en los contratos la versión a que se acogen y siendo conveniente mantener accesibles todas las versiones de los mismos. También se considera una buena práctica establecer un procedimiento que permita la notificación de las nuevas versiones a los clientes que mantienen un contrato en vigor.
El Centro educativo deberá recabar información sobre la ubicación de los datos. Si los datos se encuentran ubicados en Estados que forman parte del Espacio Económico Europeo (Estados miembros de la Unión Europea más Islandia, Liechtenstein y Noruega), no existirá una transferencia internacional de datos, siendo suficiente la aceptación del contrato con el encargado del tratamiento.
Si se ubican en Estados o territorios que la Comisión Europea ha declarado que ofrecen un nivel adecuado de protección o en empresas adheridas a los principios de Puerto Seguro en Estados Unidos deberá notificarse a la Agencia Española de Protección de Datos la transferencia internacional de datos que supone. En estos supuestos debe reiterarse que siempre será necesario suscribir un contrato de prestación de servicios conforme al artículo 12 de la LOPD, y si el proveedor de servicios radicado en Estados Unidos fuera a transferir los datos personales a un tercer país deberá aportar garantías por escrito para ofrecer, como mínimo, el mismo nivel de protección requerido.
Cuando los datos se ubiquen en otros estados, con carácter previo se deberá solicitar al Director de la Agencia Española de Protección de Datos autorización para su transferencia internacional, para lo que se habrán de presentar las garantías suficientes, que podrán derivarse, en particular, de cláusulas contractuales apropiadas.
3. Entonces, aunque los datos estén en un servidor en Estados Unidos ¿estoy cumpliendo la legislación?
En la web US-EU Safe Harbor List podemos consultar las empresas que firmaron el acuerdo Safe Harbor.
Sin embargo, en octubre de 2015 el Tribunal Europeo de Justicia ha declarado no válido el acuerdo Safe Harbor debido a una demanda de Maximilliam Schrems, un ciudadano austriaco que decidió denunciar a Facebook alegando que facilitaba a la NSA la vulneración de su privacidad al enviar sus datos a servidores en EEUU. Esta demanda tiene como origen unas filtraciones de Edward Snowden al diario The Guardian de unos documentos que probaban la vigilancia masiva por parte del Gobierno de los Estados Unidos a traves de la agencia de inteligencia NSA.
Habiéndose invalidado este acuerdo a nivel europeo, el intercambio de datos entre Estados Unidos y la Unión Europea tiene que ser regulados mediante acuerdos y contratos individuales entre las compañías y los estados que quieran operar. Mientras tanto la Comisión Europea lleva un tiempo elaborando un acuerdo Safe Harbor 2.0. en el que ahora se está trabajando con más urgencia. Por otro lado algunas de las compañías que estaban en el acuerdo invalidado se están planteando almacenar los datos en centros que se encuentren dentro de Europa. En todo caso, de cara a los usuarios, parece que por el momento nada ha cambiado. Aunque el acuerdo se haya invalidado todavía multitud de servicios tienen nuestros datos almacenados en los Estados Unidos.
Dada esta situación, cuando pretendamos utilizar un servicio de este tipo y sobretodo en el caso de que nuestro alumnado vaya a acceder y subir datos personales la mejor opción es realizar una consulta a la Agencia de Protección de Datos mediante el formulario web que ponen a nuestra disposición.
4. Enlaces de interés
Agencia Española de Protección de Datos - Acuerdo de Puerto Seguro con los Estados Unidos de América
Agencia Española de Protección de Datos - Transferencias internacionales de datos
Agencia Española de Protección de Datos - Solicitud de consulta
Agencia de Seguridad Nacional - Estados Unidos
Tribunal de Justicia de la Unión Europea. Nota de prensa. El acuerdo Safe Harbor es inválido.