Hoy Javier Maestre nos cuenta en El Mundo el cuento de la lechera 2.0. Básicamente viene a decir que no usemos Google Apps porque vendrán la APD y la CMT a ponernos multas millonarias.

En mi opinión, se equivoca.

Primero, porque ni la CMT ni la APD van a ir a por una PYME por tener cuentas de correo electrónico en Google. Decenas de miles de empresas ignoran absolutamente la LOPD en España, así que como para ponerse pejigueros por si el correo está en un servidor de Cuenca o de Ohio.

Pero también se equivoca en la aplicación de las leyes. Yo no soy abogado, así que perfectamente puedo ser yo el equivocado, pero el desconocimiento de una materia nunca ha impedido a un blogger (o a un periodista) opinar sobre ella.

Con respecto a la LOPD, dice Maestre:

Esta última le imputa la comisión de dos infracciones muy graves tipificadas en los artículos 44.b y e de la LOPD y una grave tipificada en el art. 44.3.h), por las que se les podría imponer una sanción, más o menos, de hasta un millón ochocientos mil Euros.

Copio los artículos citados:

44.4.b: La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

¿Si alojamos nuestro correo electrónico en Arsys o Acens incumplimos el mismo artículo? ¿Si Telefónica mantiene nuestro correo electrónico, como hace con miles de empresas, se trata de una cesión de datos? ¿Todas las empresas que tengan el correo con Telefónica y que no comuniquen a la APD esta “cesión de datos”, están incumpliendo de manera “muy grave” la LOPD?

Dudo mucho que ningún inspector de la APD considerase poner una multa a una pyme que se ha acogido a una oferta del tipo “5 cuentas de correo con tu ADSL”. Y si no lo hace con telefónica, no veo por qué no lo va a hacer con Google.

44.4.e: La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos.

¿EEUU no proporciona el nivel de protección equiparable? ¿No lo hace Irlanda? No creo yo que el señor inspector de la APD se atreva a decir tanto.

44.3.h:Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Intentar aplicar este artículo, en este caso, me parece absolutamente aventurado. Estoy casi totalmente seguro de que Google tiene mejores condiciones de seguridad que el 99,9% de las PYMEs españolas. Y lo que pide el reglamento, por cierto, para datos de nivel básico como los que se tratan en cualquier pyme, Google lo cumple.

Por otro lado, hay otra cuestión más interesante, que sí me gustaría que me aclarara un abogado. Según el artículo 2.2.a la LOPD será de aplicación

a. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c. Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Según esto, si llevamos el correo electrónico a Gooble y el tratamiento se realiza en Wisconsin, o en Singapur, la LOPD no sería de aplicación. Esto tiene su aquél, porque si es así querría decir que la pyme en cuestión estaría más protegida de multas llevando sus datos a Google que dejándolos en Acens o Telefónica.

En cuanto a la CMT, el artículo 53.t dice:

La explotación de redes o la prestación de servicios de comunicaciones electrónicas sin cumplir los requisitos exigibles para realizar tales actividades establecidos en esta Ley y su normativa de desarrollo.

Para multarle por incumplir esto, el inspector de la CMT debe interpretar, como Javier Maestre, que la pyme, al proporcionar cuentas de correo electrónico a colaboradores o clientes está “prestando servicios de comunicaciones electrónicas”. Yo no creo que proporcionar una cuenta de correo electrónico a un colaborador o a un cliente te convierta en operador de telecomunicaciones, pero supongamos que sea así ¿qué diferencia habría entre hacerlo con Google Apps o con tu servidor Exchange de toda la vida? Si todas las empresas que dan correos electrónicos a colaboradores, proveedores o clientes son operadores de telecomunicaciones que “explotan los servicios sin cumplir los requisitos exigibles” lo serán independientemente del medio que usen para proporcionar estas cuentas.

El artículo de Javier Maestre llega a amenazar con que el incauto empresario que contrate Google Apps puede llegar a verse encerrado en Guantánamo, lo cual entra en el terreno del disparate. E insinúa que de tener problemas con Google las consecuencias serán terribles:

Y el caso es que si tienes algún problema con Google –continúa el abogado-, resulta que has contratado con una empresa de Irlanda, pero que el contrato se “regirá e interpretará de acuerdo con la legislación de Inglaterra y Gales” y que si hay algún pleito con Google, habría que contratar unos abogados ingleses puesto que se dice que cualquier controversia se decidirá “por la jurisdicción exclusiva de los tribunales ingleses”.

Pues qué quieren que les diga. Viendo como está la justicia en España, casi preferiría arriesgarme a tener que contratar abogados ingleses para enfrentarme a la jurisdicción exclusiva de los tribunales ingleses. Y al fin y al cabo si, según las cuentas “de la lechera” del principio del artículo, el empresario se ha ahorrado más de 8.000 euros al año, así que bien puede asumir ese riesgo más que dudoso a cambio de un beneficio cierto. Y más en los tiempos que corren.