Una vez expuestas las diferentes medidas relacionadas con el destino de los datos una vez finalizada la relación contractual entre el proveedor de servicios cloud y su cliente pequeño empresario, cabe plantearse si el borrado puede constituirse como una obligación esencial del proveedor de servicios cloud. Para responder a esta cuestión, debemos diferenciar entre las obligaciones del proveedor nacidas del contrato y aquellas obligaciones con otro origen, concretamente aquellas que emergen de la normativa en materia de protección de datos de carácter personal.
Respecto de las obligaciones que derivan de la naturaleza del contrato de computación en la nube, consideramos que debe entenderse incluido el derecho del cliente empresario, en la figura de suscriptor de un contrato de prestación de servicios (y no en su papel de responsable del tratamiento de datos de carácter personal), a conocer el destino de los datos remanentes en el sistema del proveedor una vez se ha extinguido el contrato. Ello es así porque la obligación de guarda y custodia ha expirado, con lo cual el proveedor debe procurar la máxima reversibilidad de los efectos del contrato sobre los datos titularidad del pequeño empresario, aunque sean datos de carácter no personal, sino fruto de la transmisión de información debido al uso ordinario del servicio cloud. Aplicando analógicamente la figura del depósito, por compartir con la computación en la nube la mencionada obligación de guarda y custodia, puesto que el depositario no puede servirse de lo depositado sin permiso expreso del depositante (art. 1767 del Código Civil167) y ese permiso ha expirado a la vez que se extingue la relación contractual, es de entender que el proveedor no puede utilizar los datos migrados por el cliente ni de sus copias (según el art. 1770 del Código Civil, la cosa depositada será devuelta con todos sus
167 Art. 1767 del Código Civil: "El depositario no puede servirse de la cosa depositada sin permiso expreso del depositante. En caso contrario, responderá de los daños y perjuicios".
184 productos y accesiones168).
Por ello el proveedor cloud debe proceder a aplicar a los datos remanentes en sus sistemas ciertas medidas que garanticen al cliente suscriptor su bloqueo para que no serán utilizados en un futuro, así como intentar restaurar la situación en la cual tales réplicas de datos del cliente lleguen a desaparecer de los sistemas del proveedor.
A nuestro parecer, es el proveedor quien, como profesional y de acuerdo con su deber de diligencia, debe instaurar, de acuerdo con las técnicas disponibles y con sus propias posibilidades, medidas técnicas que garanticen que los datos remanentes en sus sistemas que sean resultado de prestaciones ya extintas no puedan ser accedidos, utilizados o recuperados en un futuro.
Si el proveedor tiene datos procedentes de relaciones contractuales ya extintas almacenados en sus sistemas de manera segura, íntegra y confidencial, a la espera, por ejemplo, de que sean sobreescritos por otros datos para proceder a su borrado progresivo, en nuestra opinión el cliente no podrá a exigir responsabilidades por el único motivo de que los datos no se hubieran eliminado en el momento de extinguirse el nexo jurídico, siempre y cuando la custodia de los datos se lleva a cabo en las condiciones de seguridad adecuadas y por motivos legítimos (por ejemplo, para evitar los elevados costes que supone la eliminación definitiva de esos datos). Ello es así porque, a nuestro parecer, el borrado de los datos no forma parte de las obligaciones principales de la naturaleza jurídica del contrato de computación en nube pública, a diferencia de lo que ocurre con el deber de custodia de esos datos.
Recordemos que cuando los datos se someten varias veces a la sobreescritura, este borrado progresivo va dificultando su recuperación, pudiendo llegar a tener efectos sobre los datos asimilables al borrado definitivo, puesto que los datos se dejan igualmente de ser operativos y se imposibilita su reutilización o comprensión.
Dicho lo anterior, debemos enfatizar que, si se infringe la obligación de custodia de los datos que pudieron ser eliminados en el momento de extinguirse la relación jurídica y, por las razones que fueren, no se procedió a su borrado efectivo, el perjudicado podrá exigir una compensación por los daños causados (por ejemplo, si se vulnera su confidencialidad). En aquellos casos en los que el mismo contrato exonera al proveedor de cualquier responsabilidad por la infracción de este deber de
168 Art. 1770 del Código Civil: "La cosa depositada será devuelta con todos sus productos y accesiones.
(...)".
185
custodia post-contractual, deberá valorarse la validez de la cláusula que la contiene, es decir, si por su redacción es susceptible de calificarse como una cláusula abusiva o si puede contradecir a la propia naturaleza de la prestación y a la buena fe contractual169.
Para finalizar la fundamentación de la obligación del proveedor de abstenerse de utilizar la información migrada por el cliente o facilitada por este durante el transcurso de la prestación, y junto con la extensión de la obligación de custodiar esa información mientras pueda ser inteligible, consideramos apropiado traer a colación la Propuesta de Directiva de suministro de contenidos digitales. En sus artículos 13.2.b) y 16.4.a), la Propuesta de Directiva establece la obligación para el proveedor, una vez el consumidor ha resuelto el contrato de suministro de contenidos digitales, o de abstenerse de utilizarlos o de ponerlos a disposición de terceros170.
A primera vista, puede resultar sorprendente que estos mismos artículos no establezcan ninguna obligación para el proveedor de suministro de contenidos de custodiar esos datos remanentes o de transformarlos en ininteligibles para garantizar al consumidor que no se usan y que se mantienen confidenciales más allá de la extinción del contrato. Más aun cuando sí se le exigen estos extremos al consumidor respecto de los contenidos suministrados por el proveedor (arts. 13.2.d) y e) y 16.4.b) y c).
Esta falta de previsión se debe, en nuestra opinión, a la heterogeneidad de los contratos objeto de la norma. Estos diferentes contratos se integran bajo la denominación de "suministro de contenidos digitales", y, si bien la regulación incluye, como hemos mencionado, los servicios de computación en la nube suscritos por consumidores, no aborda de manera específica muchas de sus particularidades,
169 Ver capítulo "Obligaciones y responsabilidades de las partes del contrato de computación en la nube".
170 Propuesta de Directiva de suministro de contenidos digitales. Art. 13.2.b): "Cuando el consumidor resuelva el contrato: (...); b) el proveedor adoptará todas las medidas que podrían esperarse para abstenerse de utilizar las contraprestaciones no dinerarias que el consumidor haya facilitado a cambio de los contenidos digitales, así como cualesquiera otros datos recogidos por el proveedor en relación con el suministro de los contenidos digitales, incluido cualquier contenido facilitado por el consumidor a excepción del contenido que haya sido generado conjuntamente por el consumidor y otras personas que continúen haciendo uso del contenido". Art. 16.4.a): "Cuando el consumidor resuelva el contrato de conformidad con este artículo: a) el proveedor adoptará todas las medidas que podrían esperarse para abstenerse de utilizar contraprestaciones no dinerarias que el consumidor haya facilitado a cambio de los contenidos digitales, así como cualesquiera otros datos recogidos por el proveedor en relación con el suministro de los contenidos digitales, incluido cualquier contenido facilitado por el consumidor".
186
siendo una de las más significativas la posibilidad de que, tras extinguirse el contrato, exista una cantidad ingente de datos (de carácter personal u otro tipo de datos) que, de quedar remanentes en los sistemas del proveedor, se ven abocados a una laguna sobre su destino y sobre las responsabilidades que puedan derivarse de su uso indebido o falta de confidencialidad. 171
Estos artículos también refuerzan la idea de que el consumidor no puede exigir el borrado de los datos migrados al proveedor, sino que queda a discreción del proveedor su destino, siempre y cuando se abstenga de utilizarlos para sus propios fines. Como hemos mencionado en apartados anteriores, el hecho de que el borrado de los datos no sea exigible como una obligación principal del proveedor no obsta para que siga existiendo un deber de custodia de esos contenidos por parte del proveedor, aunque el contrato no esté vigente, debido a las propias particularidades de la prestación de servicios de computación en la nube.
En cuanto a las obligaciones derivadas de la normativa sobre privacidad y respecto de los datos que contengan información de carácter personal, cabe destacar que, en su papel de encargado del tratamiento, el proveedor de servicios de computación en la nube está obligado cumplir con lo exigido en el acuerdo con el cliente pequeño empresario (responsable del tratamiento) en cuanto al destino de esos datos, una vez su tratamiento deje de ser necesario, y en todo aquello que al respecto le exija la normativa sobre privacidad. En caso contrario, el proveedor deberá someterse al régimen sancionador establecido por la normativa aplicable, y puede ser considerado responsable del tratamiento a tales efectos, en cuanto infrinja
171 Propuesta de Directiva de suministro de contenidos digitales. Art. 13.2. d) y e) : "Cuando el consumidor resuelva el contrato: (...): d) si los datos digitales no se hubieran suministrado en un soporte duradero, el consumidor se abstendrá de utilizar los contenidos digitales o de ponerlos a disposición de terceros, en particular eliminando los contenidos digitales o transformándolos en ininteligibles, e) si los contenidos digitales se hubieran suministrado en un soporte duradero, el consumidor: i) a solicitud del proveedor devolverá, a expensas del proveedor, el soporte duradero a este último sin demora injustificada, y en cualquier caso no más tarde de 14 días desde la recepción de la solicitud del proveedor, y ii) eliminará cualquier copia utilizable de los contenidos digitales, los transformará en ininteligibles o se abstendrá de otra forma de utilizarlos o de ponerlos a disposición de terceros". Art. 16.4. b) y c) "Cuando el consumidor resuelva el contrato de conformidad con este artículo: (...) el proveedor facilitará al consumidor los medios técnicos para recuperar todos los contenidos facilitados por el consumidor, así como cualquier otro dato producido o generado mediante el uso por el consumidor de los contenidos digitales, en la medida en que estos haya sido retenidos por el proveedor. El consumidor tendrá derecho a recuperar los contenidos sin cargo alguno, sin mayores inconvenientes, en un plazo de tiempo razonable y con un formato de datos utilizado habitualmente, y c) cuando proceda, el consumidor eliminará cualquier copia utilizable de los contenidos digitales, los transformará en ininteligibles o se abstendrá de utilizarlos de otra forma, incluida la puesta a disposición de terceros".
187
las obligaciones que le corresponden como encargado e incumpla las instrucciones del responsable, y ello afecte a la seguridad de los datos personales migrados por el cliente pequeño empresario que queden remanentes en sus sistemas.
En caso de vulnerarse la confidencialidad de esos datos custodiados, el titular de tales datos que se haya podido ver afectado tiene derecho a obtener una compensación por tal vulneración. Esta facultad aparece mucho más detallada y completa en la redacción del Reglamento General de Protección de Datos que en la Directiva 95/46/CE o en nuestra Ley Orgánica de Protección de Datos de Carácter Personal172. A efectos de conocer contra quién deberá interponerse la reclamación en cada caso, recordemos que la figura del responsable corresponderá generalmente al pequeño empresario que contrató servicios en la nube para tratar esos datos, aunque si el contrato lo suscribió el particular titular de los datos, directamente con el proveedor en la nube, el proveedor cloud será quien juegue el papel de responsable.
En resumen, la obligación de eliminar de manera definitiva los datos del cliente de los sistemas del proveedor, si bien puede suponer una obligación como cumplimiento de la normativa legal en materia de privacidad, no es exigible al proveedor como obligación principal derivada de la naturaleza del contrato de computación en la nube, ya que este puede conservarlos por diferentes motivos,
172 El derecho de indemnización de los interesados perjudicados aparece recogido en el artículo 19 de la Ley Orgánica en materia de Protección de Datos("Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daño o lesión en sus bienes o derechos tendrán derecho a ser indemnizados. (...) 3. En el caso de los ficheros de titularidad privada, la acción se ejercitará ante los órganos de la jurisdicción ordinaria"), que transpone el artículo 23 de la Directiva 95/46/CE ("1. Los Estados miembros dispondrán que toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con las disposiciones nacionales adoptadas en aplicación de la presente Directiva, tenga derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido. 2. El responsable del tratamiento podrá ser eximido parcial o totalmente de dicha responsabilidad si demuestra que no se le puede imputar el hecho que ha provocado el daño"); y en el artículo 82 del Reglamento 2016/679 General de Protección de Datos: ("Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable. 3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios. (...)"). Ver apartado "Los efectos de finalización del contrato de computación en la nube sobre los datos personales", en el capítulo "Privacidad en la nube: principales cuestiones sobre protección de datos de carácter personal".
188
siendo uno de ellos la espera hasta que sean sobreescritos sucesivamente hasta que resulten prácticamente irrecuperables. Sin embargo, ello no impedirá que, ante problemas relacionados con la confidencialidad de estos datos, el proveedor de servicios deba responder incluso tras darse por extinguida la relación contractual entre las partes, como una extensión temporal del deber de custodia, el cual sí forma parte del contenido esencial del contrato de computación en la nube; ni tampoco impedirá que, en caso de vulnerarse la normativa de privacidad, el proveedor cloud deba indemnizar a los titulares de datos de carácter personal.
Por último, es conveniente recordar que la supresión de los datos personales de los sistemas del proveedor una vez finalizado el tratamiento es exigible por el titular de los datos, al ser uno de los derechos del interesado que le reconoce la normativa sobre privacidad respecto del control de su información personal. La Directiva 95/46/CE, nuestra Ley Orgánica de Protección de Datos y el recientemente aprobado Reglamento 2016/679 General de Protección de Datos reconocen al titular esta posibilidad, a través del ejercicio del derecho de cancelación (recogido en las dos primeras normas) o supresión (respecto de la regulación del Reglamento 2016/679).
El nuevo Reglamento, además, regula como novedad el llamado "derecho al olvido"173, respecto a la supresión de publicaciones en metabuscadores y en enlaces de datos relacionados con la intimidad de los particulares. En cuanto a las cuestiones relacionadas con el borrado de datos en la normativa de privacidad, y más concretamente con el derecho de cancelación, el derecho de supresión y el derecho al olvido, nos remitimos al capítulo sobre privacidad de este mismo trabajo.
173 Este derecho tiene origen en un caso judicial presentado ante tribunales españoles, en el marco del llamado "Caso Costeja", y que llegó hasta el Tribunal de Justicia de la Unión Europea. El Tribunal de Justicia de la Unión Europea sentenció, en 13 de mayo de 2014 (C-131/12), que el tratamiento que realizan los motores de búsqueda se somete a la normativa de privacidad europea y que los particulares tienen derecho a solicitar que sus datos personales, en ciertos casos, no figuren en los resultados de una búsqueda en Internet.
189
Capítulo Octavo