28 ene 2010

Día Europeo de la Protección de Datos Personales



Hoy 28 de enero de 2010, después de tres años desde que en el año 2007 se celebrará por primera vez el día Europeo de la protección de datos, se celebra hoy la cuarta edición del mismo, en general, podemos decir que existe mayor concienciación en la ciudadanía respecto al uso responsable de los datos personales, no obstante continúan utilizándose de forma poco recomendable algunas herramientas como son aquellas que ofrecen desde hace algún tiempo las redes sociales. En ellas las personas más vulnerables y las personas más desprotegidas, son los niñ@s y adolescentes, dado que muchos de ellos desconocen los riesgos que las mismas contienen.

Por todo ello es fundamental la educación en materia de protección de datos que se debe prestar a los menores y a los padres sobre el uso de Internet y en concreto sobre el uso de las redes sociales, redes P2P etc., estableciendo medidas de contención como son las que han desarrollado desde la Diputación de Gipuzkoa www.gipuzkoa.net "Internet Segura", con una herramienta que realiza una auditoría sobre el estado de la seguridad de nuestro PC y que además incorpora sub-herramientas como filtro de contenidos, para evitar el acceso a información no deseada en Internet. Asimismo existen otro tipo de manuales y de herramientas como son aquellos que se encuentran en la página Web de la Agencia Vasca de Protección de datos (AVPD). Entre ellas cabe destacar una serie de capítulos de dibujos animados, como son: las Aventuras de Reda y Neto: en los que se muestra a los más pequeños los riesgos de Internet y la precaución que se debe tener con los datos personales. Asimismo para niños y adolescentes de otras edades, existen también manuales o guías con diversos supuestos de la vida diaria en los que se cometen irresponsabilidades en la cesión de datos de carácter personal, como el Manual de uso de Tecnologías para jóvenes de entre 9 a 11, 12 a 14 y por último el de 15 a 17 años.

Desde la Agencia Española de Protección de Datos (AEPD) existen también diversas iniciativas como es la del manual "Recomendaciones menores 2008", todas estas herramientas y más están a disposición del ciudadano, de los padres, profesores, alumnos... por lo que por medio de este post he creído conveniente en un día como el de hoy darlos a conocer y difundirlos en la medida de lo posible.

Por último destacar la nueva aplicación de auto-evaluación que ha puesto a disposición de los ciudadanos la Agencia Española de Protección de Datos (AEPD). Después de probarla un poco ayer, he de decir que me pareció cuanto menos interesante, aunque hay que dedicarle entre 30 y 45 minutos, creo que sin duda esta nueva herramienta dará para al menos otro post.



27 ene 2010

"Datos Personales y Cloud Computing"


El presente “Post” surge entorno a la Política de Privacidad de los servicios ofrecidos por Google Apps en cuanto a su adecuación al Derecho Nacional y Europeo en materia de protección de datos y de telecomunicaciones. Hace más de un año, se publicó el informe realizado por la consultoría “Forrester”, “Should Your Email Live In The Cloud? A Comparative Cost Analysis” en el que se declaraban las virtudes y ahorros de los servicios de la compañía Google en el ámbito de las aplicaciones utilizadas por parte de las empresas, como son los sistemas de telecomunicaciones, mensajería etc. Este primer informe, fue objeto de análisis por parte del bufete de abogados “Almeida.com”, en concreto por parte de Javier Maestre, en el artículo “El cuento de la Lechera 2.0”, publicado por el mundo, en el se cual cuestionaba la legalidad en materia de telecomunicaciones, así como en materia de privacidad y de protección de datos sobre los servicios ofrecidos por Google Apps. Lo cual suscitó la inmediata respuesta por parte del director de Google Enterprise España y Portugal, Carlos Gracia Armendáriz con el artículo “Esto no es un cuento 2.0”, también publicado por el Mundo.

Por todo ello y por la ardua polémica que se generó entorno a la Política de Privacidad de los servicios de Google Apps, voy a proceder a analizar la situación actual entorno a la Política de Privacidad del servicio de mensajería de Google (Gmail), así como el planteamiento de posibles soluciones a las cuestiones o interrogantes que pudieran surgir.


En este caso, si atendemos a las obligaciones que establece la LGT, deberemos tener en cuenta que en el presente supuesto si una empresa decide instalar y utilizar Gmail como servicio de correo electrónico interno o para sus colaboradores y/o personas o terceros vinculados con la comercialización o desarrollo de los servicios de la empresa lo utilicen, no se considerará a Gmail ni a la empresa contratante del servicio como un operador de telecomunicaciones, ya que el servicio no se difunde con el fin de prestar servicios de telecomunicaciones sino que se utiliza como una herramienta tecnológica más de la empresa. No obstante, en caso de una interpretación más estricta y sí que resultase de aplicación el Artículo 6.2 de la LGT (“Requisitos exigibles para la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas. 2. Los interesados en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, notificarlo fehacientemente a la Comisión del Mercado de las Telecomunicaciones (CMT) en los términos que se determinen mediante real decreto, sometiéndose a las condiciones previstas para el ejercicio de la actividad que pretendan realizar. Quedan exentos de esta obligación quienes exploten redes y se presten servicios de comunicaciones electrónicas en régimen de autoprestación”.

Asimismo la LGT recoge entre sus preceptos los siguientes obligaciones:
“deben inscribirse en el Registro de Operadores de Redes y Servicios de Comunicaciones Electrónicas, gestionado por la CMT, las empresas que presten alguno de los siguientes servicios”:
• Servicio de acceso a la red de Internet.
• Servicio de correo electrónico (actual supuesto).
• Servicio de acceso a bases de datos.
• Servicio de noticias.
En ese caso, tanto Google como la empresa contratante del servicio, deberían registrarse en el “Registro de operadores de redes y servicios de comunicaciones electrónicas” para servicios de correo electrónico de la CMT. En caso de no cumplir los preceptos descritos anteriormente y si aplicásemos de forma estricta los preceptos legales establecidos en el Artículo 6.2 de la LGT, tanto Google como la empresa contratante del servicio de correo electrónico (Gmail) podrían ser sancionadas por “conductas que están tipificadas como infracciones muy graves”, dichas infracciones se recogen en el Artículo 53 a) y t), el importe por este tipo de infracción se recoge a su vez en el Artículo 56.1 (Sanciones) en su apartado1 b). El importe de la sanción se determinará en cada caso concreto, y estará ligada al beneficio bruto obtenido, siendo el importe no inferior a esta cifra, ni superior al quíntuplo de ella. Según la ley, el máximo aplicable es de dos millones de euros al ser una infracción considerada como muy grave por la LGT. Contra esta resolución cabe la apelación y justificación de la documentación remitida para la revisión del caso por parte de la CMT. Y si no hubiera acuerdo, los denunciados podrían acudir a la Audiencia Provincial. No obstante este sería el peor de los casos y hay que tener en cuenta que sólo se puede interpretar de esta manera si la empresa contratante diese una dirección de correo electrónico a terceros no pertenecientes a la misma, por lo que bastaría con no dar este tipo de correo a terceros para evitar la sanción. Además de todo expuesto anteriormente, la CMT diferencia entre la figura de Revendedor y distribuidor del servicio de mensajería electrónica, la diferencia radica en que el primero obtiene beneficio directo (lucro directo) por la prestación del servicio y el segundo en principio no.

No obstante, lo más adecuado sería que Google en su política de privacidad o en los contratos a suscribir con nuevos clientes para la contratación de sus servicios de Google Apps o en concreto en este caso el de mensajería electrónica (Gmail), la inclusión de una cláusula en la que se prohíba expresamente a la empresa contratante la posibilidad de otorgar cuentas de correo electrónico (de “Gmail”) a terceros no integrantes de la misma, o en su caso si así lo hiciese estableciendo expresamente que ello se hace bajo su responsabilidad. Asimismo resultaría altamente recomendable que Google controlase en la medida de los posible el cumplimiento de la citada cláusula. En definitiva, habrá que evitar generar cuentas de correo a clientes, colaboradores así como otro tipo de terceros ajenos al personal estrictamente integrante de la plantilla de la empresa contratante del servicio, ya que de no optar por esta vía, se deberán cumplir los requisitos previstos en la LGT en su Artículo 6, dado que estaremos actuando como prestadores de servicios de telecomunicaciones y al no encontrarnos registrados en el “Registro de operadores de redes y servicios de comunicaciones electrónicas” para servicios de correo electrónico, podremos ser objeto de la citada sanción por parte de la CMT. Si bien cabe aclarar que la CMT no actúa de oficio, no obstante existen resoluciones de la CMT en las que se han impuesto sanciones por infracciones similares a las descritas anteriormente, por lo que resultan recomendables las medidas a tomar anteriormente establecidas. Un ejemplo de sanción establecida por el incumplimiento del Artículo

Por último destacar que el registro como operador de telecomunicaciones es un procedimiento gratuito. Sin embargo, si se realiza una explotación económica del servicio estas empresas estarán obligadas a pagar unas tasas anuales que suponen el 1,25 por 1.000 de los ingresos brutos de explotación. Es decir, si la facturación no es elevada, la tasa aplicable resultará mínima.

Protección de Datos/ Política de Privacidad:

En cuanto a la protección de datos se refiere, deberemos tener en cuenta los preceptos legales establecidos por la LOPD, el RDLOPD que la desarrolla así como la Decisión de la Comisión 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU., 2000/540/CE.
En el caso de Google al tratarse de una empresa que dispone de servidores en diferentes Estados por todo el mundo, habrá que tener en cuenta donde se encuentran ubicados dichos servidores, es decir si hablamos de estados miembros, será de aplicación la Directiva 95/46/CE, pero en el caso de que los servidores se encuentren ubicados en Estados que no pertenezcan al espacio de la Comunidad Europea, se deberá observar si disponen de algún tipo de acuerdo o convenio en el que se establezcan las medidas de seguridad oportunas y en caso de no ser así se deberá solicitar autorización expresa para la cesión internacional de los datos personales al Director de la Agencia Española de Protección de Datos.
En el caso que nos ocupa se plantean como ejemplo para la recepción de los datos cedidos por la empresa contratante Española a dos países, Irlanda el cual es miembro de la Unión Europea, por lo que será de aplicación la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Y EE.UU., en este caso es diferente ya que al tratarse de un Estado no miembro, le será de aplicación la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU. Por lo que para garantizar la efectividad de la decisión, el Departamento de Comercio de Estados Unidos de América, o su representante, debe mantener a disposición del público una lista de entidades que auto certifiquen su adhesión a los principios y a su aplicación y quedar sujetas a la jurisdicción de la “Federal Trade Comission” (FTC Comisión Federal de Comercio), con arreglo a la competencia que le confiere el Artículo 5 de la Ley de la Comisión Federal de Comercio, o del Departamento de Transporte de Estados Unidos, con arreglo a la competencia que le confiere el Artículo 41.712 del Título 49 de la United States Code, los cuales estarán facultados para investigar las quejas que se presenten y solicitar medidas provisionales contra las prácticas desleales o fraudulentas, así como reparaciones para los particulares que estén sujetos a esta jurisdicción, independientemente de su país de residencia o de su nacionalidad.
Se considerará así, a tenor de los requisitos exigidos en la Directiva 95/46/CE, que los principios de puerto seguro garantizan un nivel adecuado de protección de los datos personales transferidos desde la Comunidad Europea a entidades establecidas en Estados Unidos, siempre que la entidad receptora de los datos (en este caso Google) haya manifestado al Departamento de Comercio de Estados Unidos o a su representante, de forma inequívoca y pública, su compromiso de cumplir estos principios de puerto seguro y se sujete a la jurisdicción a la que nos hemos referido.
Cabe destacar que la adhesión a los requisitos de puerto seguro, es voluntaria, actualmente tanto para registrarse como para acceder a la lista pública de las entidades suscritas a los requisitos de puerto seguro, se puede realizar accediendo a la Web del Departamento de Comercio de EE.UU.:
http://www.export.gov/safeharbor/Safe_Harbor_Instructions.asp (en esta Web podemos observar la legislación y jurisdicciones que son aplicables al Puerto Seguro así como el contenido del mismo). En la siguiente dirección podemos acceder al listado de entidades suscritas a los requisitos establecidos por el Departamento de Comercio de Estados Unidos en cuanto al Puerto Seguro se refiere:
http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list.
Actualmente Google se encuentra inscrita en el registro de la Página Web (http://www.export.gov/safeharbor) en concreto en la “Safe Harbour List” o Lista de Puerto Seguro, en la siguiente dirección que se detalla a continuación:

http://bit.ly/JT4XkL (El cual da acceso a la siguiente información):


De la información que muestra este registro se desprende que Google voluntariamente se ha suscrito al documento de Puerto Seguro en el que se detallan los principios y obligaciones generales adoptados por la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE (en particular el Artículo 25 apartados 2 y 6 así como el artículo 26 apartado 3) del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU. Tal y como se plasma en el apartado dieciséis del registro del Departamento de Comercio sobre Puerto Seguro:

“Do you agree to cooperate and comply with the European Data Protection Authorities? Yes”

Puerto Seguro es una Decisión de adecuación de carácter sectorial a la que pueden acogerse, exclusivamente, compañías establecidas en los EE.UU., por lo que no se puede extender su aplicación, como en algún momento se ha pretendido (e incluso se sigue pretendiendo) a compañías filiales de empresas americanas establecidas fuera de este país.

No obstante, es importante recalcar que además de los requisitos, deberes y obligaciones establecidos en la documentación de puerto seguro que ha suscrito Google, por el cual se adquiere también el compromiso de cumplir las obligaciones y deberes recogidos en la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio. También habrá que tener en cuenta que la Comisión ha establecido que todas las decisiones (incluida la Decisión 2000/540/CE sobre la cesión de estados miembros a EE.UU.) de adecuación respecto de terceros países aprobadas hasta la fecha por la Comisión tienen un serie de elementos comunes. En primer lugar, las decisiones establecen, taxativamente, que la aplicación de las mismas sólo afecta a las transferencias de datos personales al tercer país desde la UE y, en ningún caso, al resto de condiciones y obligaciones establecidas en el Derecho nacional de cada Estado miembro. En el supuesto que nos ocupa, esto quiere decir que además de las obligaciones recogidas en los requisitos de Puerto Seguro a los que se ha suscrito Google, también deberá cumplir con la normativa Española en materia de protección de datos.

Además, sin perjuicio de las competencias que les asignen las Leyes nacionales, se otorga a las Autoridades de Control de los Estados miembros la posibilidad de bloquear una transferencia determinada cuando la autoridad de supervisión del país tercero ha resuelto que la entidad ha vulnerado las condiciones de la Decisión o si existen grandes probabilidades de que se estén vulnerando las normas de protección de datos y la autoridad de supervisión del país tercero no ha tomado ni tomará las medidas necesarias para resolver el caso, la continuación de la transferencia podría crear riesgo inminente de grave perjuicio a los afectados y, además, la autoridad de control del Estados miembro ha hecho esfuerzos razonables para notificárselo a la entidad y proporcionarle la oportunidad de alegar.

Una vez analizado el marco general de las transferencias internacionales de datos personales en la Directiva, pasaremos a ocuparnos del caso concreto de EE.UU. Para comenzar, debemos preguntarnos porqué existe un problema entre EE.UU. y la UE. El problema se deriva de la existencia de dos entendimientos distintos de lo que la privacidad es y significa y de los mecanismos que deben utilizarse para su salvaguardia.

Para la UE, la protección de datos personales es un derecho fundamental de los ciudadanos. Así lo reconocen explícitamente algunas constituciones de los Estados miembros (la española, entre ellas). Además, tanto la UE mediante diversas directivas como sus Estados miembros al transponer las mismas, han aprobado normas jurídicas de obligado cumplimiento y de carácter general en las que se establecen los principios y los derechos que los ciudadanos tienen respecto al tratamiento de sus datos personales. Finalmente, en todos los Estados miembros existen autoridades de control independientes encargadas de la supervisión del cumplimiento de la legislación en esta materia.

Por su parte, en EE.UU. la protección de datos se considera un elemento disponible por parte de los ciudadanos, regulado parcialmente en una multitud de normas específicas y sectoriales8 sin conexión entre ellas, poniéndose casi todo el énfasis en la autorregulación y sin que exista una autoridad o autoridades de control encargadas de garantizar eficazmente el cumplimiento de las reglas y la aplicación de unos estándares universalmente aceptados. Por ello, esta situación hacía inviable la posibilidad de una declaración de adecuación de los EE.UU. por parte de la Comisión Europea.

El sistema de adhesión por parte de las empresas de manera voluntaria a los requisitos de Puerto Seguro, se fundamenta, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, es un esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro.

Al resultar de aplicación la normativa española además del Puerto seguro, habrá que tener en cuenta el ámbito de aplicación en cuanto a la legislación Española en materia de protección de datos queda clarificado por el Artículo 2 de la LOPD Ámbito de aplicación.
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

En relación a este último documento legal , ciñéndonos al caso español, si se desea transferir datos a un país tercero con la finalidad de que en el mismo se produzca un tratamiento por encargo del responsable establecido en España, con independencia de los mecanismos que se utilicen para la legitimación de la transferencia (país de destino adecuado, garantías contractuales, etc.) deberán cumplirse las obligaciones que establece el Artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), respecto de la obligatoriedad de regular dicho tratamiento mediante un contrato que incluya una serie de requisitos imprescindibles.

De la misma manera, si la transferencia constituye una cesión o comunicación de datos, para poder realizarla deberá de estarse en presencia de alguno de los supuestos legitimadores presentes en el Artículo 11 de la LOPD.
Asimismo, además de los dos artículos citados, también se deberán tener en cuenta de cara a cumplir con las obligaciones previstas en la normativa española sobre protección de datos de carácter personal el Artículo 10 del RDLOPD, en el que se establecen los supuestos en los que se legitima el tratamiento o cesión de datos. También se deberá cumplir con los preceptos legales recogidos en el Artículo 21 RDLOPD en el caso de que Google subcontrate parte de su servicio a terceras empresas, como podría suceder si mantuviera la información en Irlanda y en EE.UU. ya que se produciría una subcontratación del servicio, por lo que se debería cumplir con lo establecido en el citado artículo. También será de aplicación el Artículo 22 para la conservación de los datos por parte del encargado del tratamiento (en este caso Google).
El Artículo 12 del RDLOPD (Principios generales), también resultará de aplicación indirectamente:
1. El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.
La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.
2. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.
3. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.
Por último cabe destacar que al igual que el Artículo 12 LOPD en cuanto a las obligaciones del encargado de tratamiento se refiere, también el responsable del fichero (empresa contratante) deberá velar y ser diligente a la hora de elegir al encargado de tratamiento, por ello deberá verificar que el encargado de tratamiento (en este caso Google), cumple con las medidas establecidas por el RDLOPD 1720/2007, en concreto en lo que a las medidas de seguridad establecidas en el Artículo 88 del RDLOPD se refiere. Este último artículo establece las siguientes medidas de las que la empresa contratante debería solicitar a Google por medio de verificaciones periódicas oportunas, para ello Google debería procedimentar los procesos de seguridad actuales en los que se cumplan con las medidas de seguridad técnicas establecidas en el Artículo 88 del RDLOPD (Documento de Seguridad), como son:
1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
2. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización.

3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados.
En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.
7. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
8. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Todas estas obligaciones, se podrán concretar de varias formas, como por ejemplo por medio de Códigos Tipos como los recogidos en la Página Web de la AEPD, en los que se establece de manera privada las obligaciones de las partes respecto a las obligaciones legales en materia de protección de datos de carácter personal sería lo más recomendable para subsanar todos los defectos que pudieran derivarse de una no adecuada adaptación de los preceptos legales de la normativa Española a las medidas que adopta Google actualmente, otra opción es la inclusión de las mismas en los contratos a suscribir por Google y sus clientes o la inclusión de las citadas medidas legales en la Política de Privacidad de Google.


Para que la empresa Google se adecue a la normativa Española y Europea por completo en materia de protección de datos de carácter personal, debería suscribir con sus clientes un contrato de Encargado de Tratamiento, en el que se establezcan sus obligaciones y responsabilidades.