Con todos los cambios vividos en relación al nuevo Reglamento General de Protección de Datos (reglamento europeo también conocido por las siglas RGPD y GDPR) muchas empresas se preguntan si Dropbox se adecua al mismo o si, por el contrario, deben cambiar a otro proveedor de este tipo de servicios. En este artículo vamos a ver algunos puntos que nos pueden ayudar a saber si nuestra empresa cumple el RGPD al utilizar Dropbox.
¿Cuándo debo preocuparme por los datos de Dropbox en relación al RGPD?
Lo primero que debemos tener en cuenta es que, como empresa, y en relación al Reglamento General de Protección de Datos, solo deberemos preocuparnos si tenemos información sobre la que aplique dicha norma.
En pocas palabras, deberemos analizar la adecuación de Dropbox al RGPD si:
- Se almacena información que tenga que ver con personas físicas, sobre todo en lo relacionado con datos personales. Abarca tanto aquellos que sean automatizados como los que no lo son.
- La información del punto anterior tiene que ver con personas residentes en la Unión Europea.
Una vez sepamos que, efectivamente, guardamos en nuestro Dropbox de empresa (o de nuestro Dropbox en relación a una actividad que no sea doméstica si somos, por ejemplo, autónomos) información de estas características, deberemos revisar si cumplimos con los requisitos reconocidos en el RGPD.
¿Dónde se guardan mis datos?
Dropbox guarda los datos almacenados en servidores de Estados Unidos. Por tanto, nos encontramos ante un caso claro de exportación/importación de datos desde la UE hacia Estados Unidos.
La norma requiere que los datos que se exporten cuenten con ciertas garantías de seguridad. La pregunta que siempre nos hacemos es si Dropbox cumple con las mismas y, por tanto, si podemos utilizarlo conforme al GDPR.
En primer lugar, y tal y como nos recuerdan desde el propio Dropbox en su Centro de Orientación para cumplir con el RGPD, la norma no obliga a que los datos estén dentro de la Unión Europea. Pero como no tenemos por qué fiarnos de ellos, podemos consultar el reglamento para corroborar este punto (en concreto en su artículo 28, entre otros). De todas formas, el reglamento no prohíbe la exportación de datos si obtienen una autorización expresa de la Agencia de Protección de Datos (la autoridad de control en este ámbito en España).
Como se encarga de confirmar esta misma institución, esta autorización no es necesaria en algunos supuestos. En concreto, y el que nos interesa para analizar si el uso de Dropbox es correcto conforme el RGPD, es en aquellos casos en los que la entidad está certificada por el Escudo de Privacidad EEUU-EU.
¿Está Dropbox certificada según el escudo de privacidad EEUU-UE?
La respuesta la encontramos en la página oficial de esta certificación. En ella podemos encontrar la ficha concreta de la empresa Drobpox, donde confirmamos que sí está certificada y que, por tanto, cumple los requisitos para recibir información de la UE sin necesidad de autorización expresa de la Agencia de Protección de Datos.
Por tanto, el uso de Dropbox desde el punto de vista de exportación de la información SÍ que es conforme al RGPD.
Otras consideraciones en relación a Dropbox y el RGPD
Dropbox ha emitido, además, una ampliación de las condiciones generales de su contrato con las empresas. En el mismo recupera cláusulas que son necesarias para el cumplimiento del RGPD haciendo referencia expresa a las mismas y facilitando un poco la labor de encontrar puntos y reconocimientos que, de otra manera, estarían más escondidos (o, directamente, no existían).
¿Cumplo entonces con el RGPD si utilizo Dropbox?
La respuesta es que, como herramienta para almacenar los datos, sí que es compatible con el mismo. Aun así, este reglamento (y las normas que lo desarrollan en cada estado miembro) tienen muchísimos más requerimientos que deberemos cumplir y de los que debemos ser conscientes.