Con todos los cambios que estamos viviendo en relación al nuevo Reglamento General de Protección de Datos (reglamento europeo también conocido por las siglas RGPD y GDPR) muchas empresas se preguntan si Dropbox se adecua al mismo o si, por el contrario, deben cambiar a otro proveedor de este tipo de servicios. En este artículo vamos a ver algunos puntos que nos pueden ayudar a saber si nuestra empresa cumple el RGPD al utilizar Dropbox.
Act. Septiembre de 2020: Dropbox y la invalidación del Privacy Shield
Con la invalidación del Escudo de Privacidad para la realización de transferencias internacionales de datos a EEUU muchos nos estáis preguntando si Dropbox sigue siendo un instrumento válido para nuestras empresas.
Lo cierto es que Dropbox ha desarrollado varias estrategias para sortear este varapalo. La sentencia establece que, a pesar de que el Privaci Shield deja de ser un instrumento de garantía suficiente, las cláusulas contractuales estándar adoptadas por la Comisión Europea para realizar transferencias internacionales de datos entre un responsable establecido en la Unión Europea y un encargado del tratamiento fuera de la UE siguen siendo válidas.
En base a lo anterior, a las cláusulas adoptadas por Dropbox en base a las aprobadas, y a la seguridad en el tratamiento de la información, esta opción sigue siendo válida para empresas situadas en la Unión Europea.
Actualizaciones constantes de Dropbox
Drobpox es consciente de la importancia que tiene para su empresa cumplir con el RGPD. Por esta razón está haciendo cambios que mejoran la compatibilidad de su servicio con el citado reglamento. Este artículo se irá actualizando constantemente con las novedades que surjan. Si ves que alguno de los puntos ya no se ajusta a la realidad te animamos a que te pongas en contacto con nosotros para que lo actualicemos.
Por otro lado en este artículo solo vamos a analizar la relación de Dropbox con el RGPD, y no la manera en la que hay que tratar la información guardada. Por tanto, aquí no entraremos a ver si tenemos el consentimiento o no para utilizar los datos guardados, algo que no tendría que ver directamente con Dropbox sino con el procedimiento general seguido por la empresa. Lo mismo sucede con la obligación por parte de la empresa de informar a los interesados, a que puedan acceder a sus datos, etc.
En pocas palabras: aquí tratamos la relación de Dropbox con el Reglamento General de Protección de Datos y si esta herramienta se puede utilizar sin infringir dicha norma. Por otro lado, y aunque el artículo está escrito indicando las fuentes más importantes relacionadas con las conclusiones a las que se llegan, no trata de suplir las consultas que cada empresa deba hacer en su ámbito particular. Es, en general, un punto de partida para identificar el funcionamiento de este servicio en relación con el GDPR.
¿Cuándo debo preocuparme por los datos de Dropbox en relación al RGPD?
Lo primero que debemos tener en cuenta es que, como empresa, y en relación al Reglamento General de Protección de Datos, solo deberemos preocuparnos si tenemos información sobre la que aplique dicha norma. Por tanto, lo primero que hay que analizar es si en nuestro Dropbox guardamos alguna de la información recogida en su artículo 1, 2 o 3.
En pocas palabras, deberemos analizar la adecuación de Dropbox al RGPD si:
- Se almacena información que tenga que ver con personas físicas, sobre todo en lo relacionado con datos personales. Abarca tanto aquellos que sean automatizados como los que no lo son.
- La información del punto anterior tiene que ver con personas residentes en la Unión Europea.
Una vez sepamos que, efectivamente, guardamos en nuestro Dropbox de empresa (o de nuestro Dropbox en relación a una actividad que no sea doméstica si somos, por ejemplo, autónomos) información de estas características, deberemos revisar si cumplimos con los requisitos reconocidos en el RGPD.
¿Dónde se guardan mis datos?
Dropbox guarda los datos almacenados en servidores de Estados Unidos. Por tanto, nos encontramos ante un caso claro de exportación/importación de datos desde la UE hacia Estados Unidos. Sí, es lo que ocurre con Dropbox aunque no nos demos cuenta.
La norma requiere que los datos que se exporten cuenten con ciertas garantías de seguridad. La pregunta que siempre nos hacemos es si Drobpox cumple con las mismas y, por tanto, si podemos utilizarlo conforme al GDPR.
En primer lugar, y tal y como nos recuerdan desde el propio Drobox en su Centro de Orientación para cumplir con el RGPD, la norma no obliga a que los datos estén dentro de la Unión Europea. Pero como no tenemos por qué fiarnos de ellos, podemos consultar el reglamento para corroborar este punto (en concreto en su artículo 28, entre otros). De todas formas, el reglamento no prohíbe la exportación de datos si obtienen una autorización expresa de la Agencia de Protección de Datos (la autoridad de control en este ámbito en España).
Como se encarga de confirmar esta misma institución, esta autorización no es necesaria en algunos supuestos. En concreto, y el que nos interesa para analizar si el uso de Dropbox es correcto conforme el RGPD, es en aquellos casos en los que la entidad está certificada por el Escudo de Privacidad EEUU-EU.
¿Está Dropbox certificada según el escudo de privacidad EEUU-UE?
La respuesta la encontramos en la página oficial de esta certificación. En ella podemos encontrar la ficha concreta de la empresa Drobpox, donde confirmamos que sí está certificada y que, por tanto, cumple los requisitos para recibir información de la UE sin necesidad de autorización expresa de la Agencia de Protección de Datos.
Por tanto, el uso de Dropbox desde el punto de vista de exportación de la información SÍ que es conforme al RGPD.
Otras consideraciones en relación a Dropbox y el RGPD
Dropbox ha emitido, además, una ampliación de las condiciones generales de su contrato con las empresas. En el mismo recupera cláusulas que son necesarias para el cumplimiento del RGPD haciendo referencia expresa a las mismas y facilitando un poco la labor de encontrar puntos y reconocimientos que, de otra manera, estarían más escondidos (o, directamente, no existían).
¿Cumplo entonces con el RGPD si utilizo Dropbox?
La respuesta es que, como herramienta para almacenar los datos, sí que es compatible con el mismo. Aun así, este reglamento (y las normas que lo desarrollan en cada estado miembro) tienen muchísimos más requerimientos que deberemos cumplir y de los que debemos ser conscientes.
Si tienes cualquier duda o consulta en relación a este tema en Ley Actual te ayudamos sin compromiso.
Artículo escrito por Rodrigo Tovar Monge.
Ayuda gratis por Whatsapp
Dropbox no firma ningún contrato de RGPD. Que es condición indispensable para cumplir con la ley. Además, como bien dices, almacena en estados unidos, donde es legal traficar con los datos. La misma ley especifica que Estados Unidos no cumple.
Hola Pepe, gracias por contestar.
Como puedes ver, la Agencia Española de Protección de Datos recoge aquellos estados seguros en función de una decisión de adecuación (de acuerdo al artículo 45 RGPD). Puedes verlo en el siguiente link: https://www.aepd.es/reglamento/cumplimiento/transferencias-internacionales.html
Estados Unidos se encuentra dentro de dicho supuesto siempre y cuando la empresa se encuentre en el llamado Privacy Shield, lo cual cumple Dropbox.
Por otro lado, sí que se firma un contrato con Dropbox, aunque en términos digitales. No todos los contratos deben firmarse en papel, siendo suficiente si existen garantías mínimas hacerse por otras vías. Lo importante es que el contrato recoja todo lo que indica el RGPD (en este caso, además de otras cláusulas que sean necesarias), lo cual cumple también Dropbox. No es por defender la plataforma, sencillamente en este caso se está hablando de este servicio en concreto.
Tienes más imformación que resulta de gran interés tanto para Dropbox como para otras plataformas cloud en la guía de cloud computing de la AEPD:
https://www.aepd.es/media/guias/guia-cloud-clientes.pdf
Un saludo,