CUMPLIR CON LA LOPD USANDO GOOGLE APPS

Desde hace varios años Google se ha posicionado como la empresa más puntera de internet. A parte de ofrecer un excelente servicio con su motor de búsquedas, pone a disposición del usuario otros servicios interesantes como el paquete de herramientas corporativas denominado “Google Apps for Work” (anteriormente denominado “Google Apps for Business”) que comprende herramientas de comunicación y colaboración en línea: Gmail, Google Calendar, Google Drive, etc.

Al contratar dicho servicio, el usuario concede a Google el tratamiento de determinados datos personales y por tanto la relación entre ambas partes se encuentra sujeta a la normativa de protección de datos. De hecho, tal como se describe en los propios términos y condiciones, Google reconoce ser el encargado del tratamiento durante la prestación del servicio “Google Apps for Work”:

“(…) For the purposes of this Agreement and in respect of Customer Personal Data, the parties agree that Customer shall be the controller and Google shall be a processor. Within the scope of this Agreement, Customer shall comply with its obligations as a controller and Google shall comply with its obligations as a processor under the Data Protection Legislation”.

Lamentablemente, en dichos términos y condiciones, a los que se adhiere el usuario de facto al contratar el servicio “Google Apps for Work”, no se contemplan las obligaciones exigidas por la normativa de protección de datos (art. 12 LOPD). En este caso pues, de acuerdo con la normativa, si el usuario contrata este servicio sin haber firmado un contrato de encargado del tratamiento puede incurrir en una infracción leve (art. 44.2.d) LOPD) y ser sancionado con una multa de hasta 40.000 euros. Por otro lado, considerando que servicio realiza además transferencias internacionales a empresas ubicadas a países con un nivel no adecuado de protección, el usuario puede incurrir también en otra infracción tipificada como muy grave (art.44.4.d) LOPD) y la sanción podría llegar a ascender hasta 600.000 euros.

En este sentido, tal como han alertado algunas Autoridades de Protección de Datos, el usuario que contrata el servicio “Google Apps for Work” asume algunos riesgos y por tanto es necesario realizar los trámites oportunos para cumplir con la normativa.

A raíz de ello, con el fin de que usuarios de “Google Apps for Work” pudieran cumplir con la normativa de protección de datos, Google ha establecido un mecanismo (opt-in) mediante el cual éstos pueden adherirse voluntariamente al Adenda de Tratamiento de Datos, que se trata de un documento que cumple con los requisitos esenciales de la normativa de protección de datos en lo que respecta al contrato de encargado del tratamiento. Asimismo, ofrece unas Clausulas Contractuales Tipo, a los efectos de regular las transferencias internacionales de datos efectuadas a países con un nivel no adecuado de protección en cumplimiento de lo establecido por la Comisión Europea (Decisión 2001/497/CE).

Así pues, atendido el marco legal al que se encuentra sujeto el servicio “Google Apps for Work”, es importante que sus usuarios se adhieran a los citados documentos para cumplir con la normativa de protección de datos y de esa forma evitar cualquier irregularidad en materia de protección de datos. Los citados acuerdos pueden aceptarse a través de un proceso de línea que se describe aquí.