|
Noviembre
2003
|
Por
Francisco Javier Hernández Martínez
Mucha gente desconoce las enormes consecuencias que, de tipo
legal, y en concreto en lo referente al campo de protección de datos, la
contratación de un servicio de hosting puede suponer, no sólo para el
cliente sino para el que presta el servicio, y esta afirmación se entenderá
perfectamente si damos el dato de que no respetar la ley en estos ámbitos
puede derivar en sanciones económicas que podrían ir de 300.000 a 600.000
euros, con lo cual es más que clara su importancia en estas lides del
comercio electrónico. Por ello, analizaremos aquellos aspectos básicos,
legales, y de obligada consideración a la hora de llevar a cabo tal tipo de
contratación, refiriéndonos específicamente a la que ha lugar cuando
contratamos su alquiler a una empresa de hospedaje, la cual es la encargada
del mantenimiento del mismo y es la que dispone de él físicamente, siendo
el cliente el que accede al mismo, pero a distancia.
Transferencias internacionales de datos
Más de uno ignora que si el servidor está ubicado físicamente fuera
de la Unión Europea, la normativa española al efecto aplicable, la Ley Orgánica
de Protección de Datos, Ley 15/99, considera técnicamente dicho tránsito
de datos como una transferencia internacional. Pues bien, ante tal
transferencia, la LOPD exige que el país en el que esté físicamente el
host o servidor posea un nivel de protección, en lo referente a la protección
de datos de carácter personal, que se considere equiparable al contemplado
en dicha norma.
Por otro lado, el Estado español posee una relación de países
considerados como poseedores de tal tipo de protección, con lo cual, si el
país de destino está en ella no habría ningún problema, aunque éste sí
se daría si dicho país no está en dicha lista, en cuyo caso habría que
obtener autorización previa del Director de la Agencia de Protección de
Datos.
Consecuencia obligada de lo anterior es, antes de contratar el hospedaje,
informarnos bien acerca de en dónde están situados físicamente sus
servidores, y acudir a dichas listas a ver si tienen el visto bueno del
Estado. Dichas “listas”, en la práctica, adoptan la forma legal de Órdenes.
Criterios de la Agencia de Protección de Datos
Es por lo anterior, que la Agencia de Protección de Datos tendrá que
evaluar todas las circunstancias concurrentes en el caso de que se trate,
analizando concretamente el tipo de datos, finalidad y duración de la
transferencia, país de que se trate, informes existentes de la Comisión
Europea, normas sectoriales y generales de dicho Estado de destino, y
medidas de seguridad en vigor en dicha geografía.
Excepciones a la solicitud de autorización al Director de la APD
Sin entrar a exponer en detalle todas las excepciones a la solicitud de
autorización que recoge la LOPD, hay una en concreto, que en relación a la
pequeña y mediana empresa española del comercio electrónico es la más a
usar, y es la recogida en el apartado e) de su artículo 34 : “Cuando el
afectado haya dado su consentimiento inequívoco a la transferencia
prevista”.
El apartado expresado se cumpliría perfectamente cuando la empresa
propietaria del negocio web comunica, de forma previa, a sus clientes, que
sus datos, a efectos meramente técnicos y operativos, o a otros, van a ser
remitidos a un servidor alojado en el extranjero, solicitándoles de tal
modo su consentimiento a tal fin.
Por otro lado, no sólo bastaría con solicitar dicho consentimiento, sino
que habría que indicar también detalles de la empresa de destino poseedora
de dichos servidores, y cómo ejercitar, en su caso, ante los mismos, los
derechos que según la LOPD asisten al titular de los datos, como los de
Acceso, Cancelación, Oposición y Rectificación.
Caso concreto de Estados Unidos
Aunque parezca una paradoja, los Estados Unidos no son un país incluido
en las Órdenes citadas, por lo que en principio, si no se obtiene el
consentimiento previo de los afectados – insistimos, previo, y no
posterior a la transferencia – estaríamos realizando una transferencia
ilegal, cuya sanción podría llegar en su tramo mínimo a los 300.000
euros, y en el máximo a los 600.000.
De cualquier forma, y como no podía ser menos, las autoridades
norteamericanas han reaccionado ante ello, y por tal motivo llegaron a un
acuerdo con la Unión Europea mediante el cual, el Departamento de Comercio
de los EE. UU. se encargaría incorporar a una lista, llamada de Safe Harbor
o de Puerto Seguro, a aquellas empresas que cumplan unos mínimos requisitos
de protección de datos, con lo cual, dichas empresas, tendrían el visto
bueno de las autoridades comunitarias.
Consecuencia obligada de lo anterior : Acceder a dicha relación de empresas
USA en orden a tener la tranquilidad de que dicha transferencia goza de la
“bendición” de las autoridades de protección de datos de la UE. Como
anécdota comentar que aún, en proporción al inmenso numero de empresas
norteamericanas metidas en Internet, son más que pocas las que están
consideradas como que cumplen los criterio de Puerto Seguro.
Una gran ventaja de estar incorporadas
en dicha relación es que podrían actuar sin ninguna traba en todo el
territorio de la Unión Europea, pues observemos que ya no estamos hablando
sólo de España. ¿ Cuántos casos no conocemos de empresas con servidores
radicados en dicho país y que no se ha informado de dicha transferencia a
los titulares de los datos alojados en dichos servidores ?. Para ser
sinceros, hay muchísimas.
Otro aspecto : Encargo del tratamiento
Al margen de las transferencias internacionales, de las cuales sólo
hemos hecho un ligero y superficial esbozo, hay otra cuestión también
grandemente desconocida, y es la que se da cuando la empresa X, española,
contrata los servicios de un servidor, también español y alojado en España,
pero con una particularidad o peculiaridad : al usarse – por ejemplo –
bases de datos que están alojadas en el propio servidor, los datos de los
clientes, usuarios o visitantes del portal, quedarán también alojados en
él. Consecuencia legal ineludible de todo ello es que, según la LOPD,
estaríamos ante un tratamiento de datos por cuenta de terceros, o sea, la
empresa X recibe el servicio de tratamiento de sus datos por parte de la
empresa de hosting. Ante tal supuesto crea la LOPD la expresión de la
figura del Encargado del Tratamiento, que sería en este caso la empresa de
hospedaje, siendo considerado Responsable del Tratamiento la que contrata
con la misma dicho tratamiento.
Pues bien, la LOPD nos dice dos cosas bien claras en relación a ello : 1)
Tal encargo ha de tener su reflejo en un contrato por escrito, o algún otro
medio equivalente. En la práctica, cuando uno observa los contratos de
hosting que tanto se ven por la Red, de empresas españolas, llega a la
conclusión de que dicho contrato de Encargo de Tratamiento no aparece por
ningún lado. En dicho contrato ha de hacerse constar expresamente qué tipo
de medidas de seguridad se aplicarán por ambas partes, quedando también
muy claro que el Encargado no podrá, entre otras cosas, destinar dichos
datos a otros fines que los que el Responsable le exprese en dicho
documento, ni ceder los mismo a terceras partes o personas, ni siquiera para
su mera conservación. 2) En el supuesto de que el Encargado destine los
datos objeto de Encargo a otros fines, o los ceda o utilice incumpliendo el
clausulado del contrato, responderá legalmente igual que el Responsable en
relación a aquellas infracciones que haya cometido y ahora mencionadas.
Algunos casos típicos
La empresa X, española, quiere
vender zapatos en España. Contrata un hosting, y éste le ofrece, en un “pack”,
el servicio de pasarela de pagos, que como es sabido es el que se encargará
de llevar a cabo todo el aspecto operacional relacionado con el pago online
usando tarjeta de crédito. Pues bien, dicha empresa no ha indagado ni
investigado lo suficiente, ni la de hosting se lo ha dicho ni se lo ha
documentado debidamente, que dicho servicio es a través de otra empresa,
pero con la mala suerte de que esta última, a pesar de que técnicamente
funciona muy bien, tiene un servidor alojado, por ejemplo, en Australia –
caso real -, país que no tiene el visto bueno de la APD hoy por hoy.
Otro : La empresa Y, española, contrata su servicio de hospedaje con otra,
igualmente española. Esta última, no es la dueña realmente de los
servidores, sino otra con la que subcontrata, que posee más medios económicos
y técnicos que la anterior, pero que le ha permitido usar su propio nombre,
ocultando el de la empresa que realmente va a ceder el uso de sus
servidores. Lo que se le ha ocultado al cliente es que dichos servidores están,
por ejemplo, en USA, y que además, para mala suerte, no están en la relación
de empresas llamadas de Puerto Seguro.
Para terminar, otro más : Una gran multinacional – fue el caso de
Microsoft, y terminó sancionada por la APD – recaba datos de sus clientes
en España. Hasta aquí todo va bien, pidiendo su consentimiento previo
claro. Pues bien, como esta empresa en España es realmente filial de la
empresa madre, residente en otro país, cede los datos a la misma.
Aparentemente se trataría de remitir los datos a la misma empresa, pero
legalmente hablando se trata de dos empresas distintas, al poseer distinta
personalidad jurídica, con lo cual estaríamos hablando no sólo de una
cesión de datos inconsentida sino de una transferencia internacional
ilegal.
Conclusión
No
apresurarse a contratar servicios de hosting, ni incluso de pasarelas de
pagos, ni de ningún otro servicio que pueda entrañar el desvío o remisión
de datos hacia otro servidor, si no estamos completamente seguros de la
legalidad de todo el operativo. También, como ya hemos expuesto, plasmar
debidamente en el contrato correspondiente, del cual sólo hemos navegado
por su superficie, el contenido mínimo imprescindible de la figura del
Encargo de Tratamiento.
|
