« ¿Buscas los 25 pasos? | Inicio | Nuevo CNAF, llegó la hora del refarming »
Hosting y LOPD
Escrito por Enrique en Internet ( Martes marzo 9, 2010 )
El pasado 19 de Febrero usé el fomulario de contacto de la Agencia de Protección de Datos para que me aclararan las condiciones que debe cumplir un hosting para cumplir la Ley Orgánica de Protección de Datos de Carácter Personal.
En concreto, esta fue mi consulta:
| nombre | Enrique |
| apellidos | Brito Álvaro |
| eeeeeeee@eeeeeee.eeeeeee.eeeeee | |
| texto | Quisiera saber cómo averiguar si un hosting cumple LOPD. ¿Es suficiente con que digan que tiene regisrados sus ficheros de clientes con ustedes? ¿Tienen que cumplir algún requisito para poder ser considerados Safe Harbour? ¿Cuáles? En todo caso, me imagino que hay que firmar con ellos un contrato de cumplimiento de LOPD. Gracias |
Hoy he recibido la siguiente respuesta:
Las empresas terceras a que se refiere en su escrito (asesorias, empresa de mantenimiento, hostings, auditores o gestorias) son encargadas del tratamiento si existe un contrato de prestación de servicios del articulo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, según el cual
Artículo 12. Acceso a los datos por cuenta de terceros
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.
3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento o al encargado que este hubiese designado, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. El encargado del tratamiento no incurrirá en responsabilidad cuando, previa indicación expresa del responsable, comunique los datos a un tercero designado por aquel, al que hubiera encomendado la prestación de un servicio.
4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.
A la vista de lo anterior, deben los clientes (responsables del fichero, que son quienes deben inscribirlo) firmar ese contrato con el encargado del tratamiento, si quieren que la comunicación de los datos personales y su posterior tratamiento sean legales.
En este caso, corresponde al encargado del tratamiento (la asesoría, empresa de mantenimiento, hostings, auditoria o gestoría) implementar las medidas de seguridad, entre ellas, el documento de seguridad.
En consecuencia, el depositario de los ficheros será un encargado del tratamiento (quien debe implantar las medidas de seguridad, entre ellas el documento de seguridad) en cuya oficina se encontrarán ubicados los ficheros del responsable, no siendo necesario el consentimiento de los titulares de los datos para que la tercera empresa trate sus datos al no tener la consideración de comunicación de datos (por existir una prestación de servicios del artículo 12 LOPD).
Atentamente
Madrid, 09 de marzo de 2010. EL JEFE DE AREA DE ATENCION AL CIUDADANO.
LO QUE YO ENTIENDO:
- Cuando das un servicio que hace tratamiento de datos lo que se debe hacer es dar de alta los ficheros correspondientes en la Agencia.
- Se debe tener un documento de auditoría de cumplimiento de la LOPD y un documento de seguridad.
- Sobre el hosting:
- Si está en España o en una zona de Europa reconocida por la Agencia no hay problema de transferencia internacional.
- Si está en Estados Unidos, debe cumplir el protocolo “Safe Harbor” que en realidad no es más que ellos se hayan dado de alta en esta web.
- Si está en cualquier otro sitio, es una transferencia internacional de datos y hay que pedir permiso por escrito al director de la Agencia de Protección de Datos.
- Hosting y LOPD: El hosting meramente aloja los datos de los que tu eres responsable y que has dado de alta en los ficheros correspondientes. Pero como es un contrato de prestación de servicios, hay que firmar un contrato con ellos y que ellos hagan el correspondiente documento de seguridad.
Por tanto, tal y como lo veo yo en España, la Agencia de Protección de Datos puede meter el cuerno a quien quiera porque me parece que ninguna empresa de hosting va a firmar ese contrato ni mucho menos a redactar el documento de seguridad corespondiente.
¿Me equivoco?
Categorías: Internet | 9 comentarios »
9 comentarios para “Hosting y LOPD”
Comentarios
AVISO: Debido al abuso por parte de algunos usuarios, he eliminado el plugin DoFollow. Por tanto, los comentarios siguen la política estándar de Wordpress y llevan el atributo "nofollow". Esto quiere decir que no te van a redirigir tráfico a tu sitio a través de los buscadores.
Si a pesar de este aviso, dejas un comentario sin sentido para capturar tráfico hacia tu sitio -especial aviso a los de soluciones financieras, finanzas forex, multiniveles y similares- lo eliminaré inmediatamente.
REPITO: No insistas en dejar un comentario pensando que no lo voy a ver y que vas a conseguir tráfico. Que no se actualicen contenidos no significa que no se vigilen los comentarios. Lo borraré en cuanto me llegue el aviso a mi correo.
NOTICE TO SPAMMERS: Any spam comment will be immediately removed. Comments are under strict control.
Martes marzo 9, 2010
No creo yo tampoco.
Nadie va a firmar ese contrato ni va a hablar de él. Y cuando se acaba el servicio ni te dan la opción de interrogar sobre el destino de tus datos.
A saber con el tiempo qué pueda pasar con nuestros datos. De momento deben estar engrosando y engordando enormes archivos a la espera.
1 saludo
Miércoles marzo 10, 2010
Si esta en el extranjero no es necesaria la autorizacion del director de la APD, en realidad hay 2 opciones.
O tienes la autorizacion de los usuarios (poniendo un aviso a la vista junto al formulario, en plan “acepto las condiciones del contrato y que mis datos sean alojados en los estados juntitos de america”)
O bien que el director de la APD lo autorice.
Son 2 opciones a elegir
La LOPD no prohibe alojar datos en el extranjero, solo indica de que manera debe hacerse.
Miércoles marzo 10, 2010
Hola Enrique: hay un pequeño error en el punto 4 cuando dices: “Pero como es un contrato de prestación de servicios, hay que firmar un contrato con ellos y que ellos hagan el correspondiente documento de seguridad.”
Ellos tienen la obligación de redactar su documento de seguridad (en el que indicarán, entre otras cosas, que son encargados de tratamiento de datos ajenos y cómo los salvaguaradan) y tu el tuyo (en el que indicarás, entre otras cosas, que tus datos son tratados por un tercero como encargado).
Sobre este tema del poco conocimiento LOPD de las empresas de hosting ya hizo Felix Haro un experimento que puedes leer aquí:
http://www.felixharo.es/?p=159
y continúa aquí:
http://www.felixharo.es/?s=host
Más tarde yo le imité haciendo un experimento similar con empresas de “cloud computing”, que al fin y al cabo ocupan una posición similar. Este es el tercer post de la serie con el enlace al principio a los dos anteriores:
http://marketingpositivo.blogspot.com/2008/11/tus-datos-estn-por-las-nubes-3-y-cmo.html
Miércoles marzo 10, 2010
Gracias por comentar.
Gracias por la aclaración, Paco.
Jesús: tal y como lo veo yo, ambas partes deben tener su documento de seguridad. Y además debe haber ese contrato entre las partes en la que la empresa de hosting diga que no va a hacer nada con los datos, salvo alojarlos. Lo veo más como un formalismo para evitar que venga la Agencia a hacer caja que como algo realmente necesario. Es como pedirle al operador que firme que se va a limitar a transmitir los datos. en ambos casos es firmar lo obvio: hacen lo que les contratas, pero creo que hay que hacerlo.
Martes marzo 16, 2010
[...] Hosting y LOPD, por Enrique Brito [...]
Lunes marzo 22, 2010
Buenas a todos. Me incorporo tarde a estos comentarios con los que me topé por casualidad. Este es un asunto muy complejo, dado que la propia dinámica en la que se llevan a cabo las contrataciones y se prestan los servicios en la web dificultan el cumplimiento de una Ley que tiene como uno de sus fines, ser vírica. Es decir, la Ley intenta ir más allá del cumplimiento por parte del responsable, creando mecanismos como el contrato de acceso a datos de obligado cumplimiento, con el que el responsable del tratamiento vincula a toda empresa que le preste un servicio a asumir sus responsabilidades en materia de protección de datos. El problema que encontramos en la actualidad es que la firma de contratos ya de por si es una práctica extraña en nuestra realidad mercantil, como para además incluirle una especialidad de este tipo. No obstante, y teniendo en cuenta que los proveedores de hosting realizan contratos en masa, deben ser ellos quienes incluyan entre sus cláusulas estos aspectos. En este sentido podemos encontrar dos ejemplos. Uno Arsys que asume su condición de encargado del tratamiento en su clausulado:
http://www.arsys.es/avisos-legales/contrato-alojamiento.htm
y otro el de Acens, mucho mejor, que da más información al respecto y pone a disposición de los responsables su modelo de contrato de acceso a datos para su descarga, firma y envío:
http://www.acens.com/corporativo/informacion-sobre-la-lopd.html
Saludos,
Juan Carlos Álvarez
Viernes abril 9, 2010
[...] tanto puede ser lioso, pero lo cierto es que cualquier aplicación de la ley sobre los hosting y ASP es perfectamente valida para el cloud computing y por tanto no debe preocuparnos ni más ni menos [...]
Sábado mayo 22, 2010
Muy buen artículo y comentarios
¿Entonces entiendo que debemos poner como encargado de tratamiento a la Empresa de hosting? Pero debemos pedir autorización previa? o así sin más ponemos sus datos en el fichero de la aepd?
Y cuando una empresa tiene varios Hosting. Entonces se encuenta con + 1 encargado. Pero el fichero NOTA sólo te deja poner 1 encargado. ¿debemos dar de alta tantos ficheros como Hosting contratados se tengan?
que complicado es estar en la legalidad. Pero me juego lo que sea que ni un 10% está cumpliendo con esto….Si algunos aún confunden la lssi con la lopd.
un saludo
Sábado mayo 22, 2010
Tendrás que consultarlo con la compañía de hosting y que ellos te expliquen su procedimiento.