Elección del hosting legal

Javier Hernández Martínez, abogado
E-mail : despacho@proteccionlegal.com
Web : www.proteccionlegal.com
Abogado especialista en Derecho de Internet y de las Nuevas Tecnologías

Mucha gente desconoce las enormes consecuencias que, de tipo legal, y en concreto en lo referente al campo de protección de datos, la contratación de un servicio de hosting puede suponer, no sólo para el cliente sino para el que presta el servicio, y esta afirmación se entenderá perfectamente si damos el dato de que no respetar la ley en estos ámbitos puede derivar en sanciones económicas que podrían ir de 300.000 a 600.000 euros, con lo cual es más que clara su importancia en estas lides del comercio electrónico. Por ello, analizaremos aquellos aspectos básicos, legales, y de obligada consideración a la hora de llevar a cabo tal tipo de contratación, refiriéndonos específicamente a la que ha lugar cuando contratamos su alquiler a una empresa de hospedaje, la cual es la encargada del mantenimiento del mismo y es la que dispone de él físicamente, siendo el cliente el que accede al mismo, pero a distancia.

Transferencias internacionales de datos

Más de uno ignora que si el servidor está ubicado físicamente fuera de la Unión Europea, la normativa española al efecto aplicable, la Ley Orgánica de Protección de Datos, Ley 15/99, considera técnicamente dicho tránsito de datos como una transferencia internacional. Pues bien, ante tal transferencia, la LOPD exige que el país en el que esté físicamente el host o servidor posea un nivel de protección, en lo referente a la protección de datos de carácter personal, que se considere equiparable al contemplado en dicha norma.

Por otro lado, el Estado español posee una relación de países considerados como poseedores de tal tipo de protección, con lo cual, si el país de destino está en ella no habría ningún problema, aunque éste sí se daría si dicho país no está en dicha lista, en cuyo caso habría que obtener autorización previa del Director de la Agencia de Protección de Datos.

Consecuencia obligada de lo anterior es, antes de contratar el hospedaje, informarnos bien acerca de en dónde están situados físicamente sus servidores, y acudir a dichas listas a ver si tienen el visto bueno del Estado. Dichas "listas", en la práctica, adoptan la forma legal de Órdenes.

Criterios de la Agencia de Protección de Datos

Es por lo anterior, que la Agencia de Protección de Datos tendrá que evaluar todas las circunstancias concurrentes en el caso de que se trate, analizando concretamente el tipo de datos, finalidad y duración de la transferencia, país de que se trate, informes existentes de la Comisión Europea, normas sectoriales y generales de dicho Estado de destino, y medidas de seguridad en vigor en dicha geografía.

Excepciones a la solicitud de autorización al Director de la APD

Sin entrar a exponer en detalle todas las excepciones a la solicitud de autorización que recoge la LOPD, hay una en concreto, que en relación a la pequeña y mediana empresa española del comercio electrónico es la más a usar, y es la recogida en el apartado e) de su artículo 34 : "Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista".

El apartado expresado se cumpliría perfectamente cuando la empresa propietaria del negocio web comunica, de forma previa, a sus clientes, que sus datos, a efectos meramente técnicos y operativos, o a otros, van a ser remitidos a un servidor alojado en el extranjero, solicitándoles de tal modo su consentimiento a tal fin.

Por otro lado, no sólo bastaría con solicitar dicho consentimiento, sino que habría que indicar también detalles de la empresa de destino poseedora de dichos servidores, y cómo ejercitar, en su caso, ante los mismos, los derechos que según la LOPD asisten al titular de los datos, como los de Acceso, Cancelación, Oposición y Rectificación..

Caso concreto de Estados Unidos

Aunque parezca una paradoja, los Estados Unidos no son un país incluido en las Órdenes citadas, por lo que en principio, si no se obtiene el consentimiento previo de los afectados - insistimos, previo, y no posterior a la transferencia - estaríamos realizando una transferencia ilegal, cuya sanción podría llegar en su tramo mínimo a los 300.000 euros, y en el máximo a los 600.000.

De cualquier forma, y como no podía ser menos, las autoridades norteamericanas han reaccionado ante ello, y por tal motivo llegaron a un acuerdo con la Unión Europea mediante el cual, el Departamento de Comercio de los EE. UU. se encargaría incorporar a una lista, llamada de Safe Harbor o de Puerto Seguro, a aquellas empresas que cumplan unos mínimos requisitos de protección de datos, con lo cual, dichas empresas, tendrían el visto bueno de las autoridades comunitarias.

Consecuencia obligada de lo anterior : Acceder a dicha relación de empresas USA en orden a tener la tranquilidad de que dicha transferencia goza de la "bendición" de las autoridades de protección de datos de la UE. Como anécdota comentar que aún, en proporción al inmenso numero de empresas norteamericanas metidas en Internet, son más que pocas las que están consideradas como que cumplen los criterio de Puerto Seguro.

Una gran ventaja de estar incorporadas en dicha relación es que podrían actuar sin ninguna traba en todo el territorio de la Unión Europea, pues observemos que ya no estamos hablando sólo de España. ¿ Cuántos casos no conocemos de empresas con servidores radicados en dicho país y que no se ha informado de dicha transferencia a los titulares de los datos alojados en dichos servidores ?. Para ser sinceros, hay muchísimas.

Otro aspecto : Encargo del tratamiento

Al margen de las transferencias internacionales, de las cuales sólo hemos hecho un ligero y superficial esbozo, hay otra cuestión también grandemente desconocida, y es la que se da cuando la empresa X, española, contrata los servicios de un servidor, también español y alojado en España, pero con una particularidad o peculiaridad : al usarse - por ejemplo - bases de datos que están alojadas en el propio servidor, los datos de los clientes, usuarios o visitantes del portal, quedarán también alojados en él. Consecuencia legal ineludible de todo ello es que, según la LOPD, estaríamos ante un tratamiento de datos por cuenta de terceros, o sea, la empresa X recibe el servicio de tratamiento de sus datos por parte de la empresa de hosting. Ante tal supuesto crea la LOPD la expresión de la figura del Encargado del Tratamiento, que sería en este caso la empresa de hospedaje, siendo considerado Responsable del Tratamiento la que contrata con la misma dicho tratamiento.

Pues bien, la LOPD nos dice dos cosas bien claras en relación a ello : 1) Tal encargo ha de tener su reflejo en un contrato por escrito, o algún otro medio equivalente. En la práctica, cuando uno observa los contratos de hosting que tanto se ven por la Red, de empresas españolas, llega a la conclusión de que dicho contrato de Encargo de Tratamiento no aparece por ningún lado. En dicho contrato ha de hacerse constar expresamente qué tipo de medidas de seguridad se aplicarán por ambas partes, quedando también muy claro que el Encargado no podrá, entre otras cosas, destinar dichos datos a otros fines que los que el Responsable le exprese en dicho documento, ni ceder los mismo a terceras partes o personas, ni siquiera para su mera conservación. 2) En el supuesto de que el Encargado destine los datos objeto de Encargo a otros fines, o los ceda o utilice incumpliendo el clausulado del contrato, responderá legalmente igual que el Responsable en relación a aquellas infracciones que haya cometido y ahora mencionadas.

Algunos casos típicos

La empresa X, española, quiere vender zapatos en España. Contrata un hosting, y éste le ofrece, en un "pack", el servicio de pasarela de pagos, que como es sabido es el que se encargará de llevar a cabo todo el aspecto operacional relacionado con el pago online usando tarjeta de crédito. Pues bien, dicha empresa no ha indagado ni investigado lo suficiente, ni la de hosting se lo ha dicho ni se lo ha documentado debidamente, que dicho servicio es a través de otra empresa, pero con la mala suerte de que esta última, a pesar de que técnicamente funciona muy bien, tiene un servidor alojado, por ejemplo, en Australia - caso real -, país que no tiene el visto bueno de la APD hoy por hoy.

Otro : La empresa Y, española, contrata su servicio de hospedaje con otra, igualmente española. Esta última, no es la dueña realmente de los servidores, sino otra con la que subcontrata, que posee más medios económicos y técnicos que la anterior, pero que le ha permitido usar su propio nombre, ocultando el de la empresa que realmente va a ceder el uso de sus servidores. Lo que se le ha ocultado al cliente es que dichos servidores están, por ejemplo, en USA, y que además, para mala suerte, no están en la relación de empresas llamadas de Puerto Seguro.

Para terminar, otro más : Una gran multinacional - fue el caso de Microsoft, y terminó sancionada por la APD - recaba datos de sus clientes en España. Hasta aquí todo va bien, pidiendo su consentimiento previo claro. Pues bien, como esta empresa en España es realmente filial de la empresa madre, residente en otro país, cede los datos a la misma. Aparentemente se trataría de remitir los datos a la misma empresa, pero legalmente hablando se trata de dos empresas distintas, al poseer distinta personalidad jurídica, con lo cual estaríamos hablando no sólo de una cesión de datos inconsentida sino de una transferencia internacional ilegal.

Conclusión

No apresurarse a contratar servicios de hosting, ni incluso de pasarelas de pagos, ni de ningún otro servicio que pueda entrañar el desvío o remisión de datos hacia otro servidor, si no estamos completamente seguros de la legalidad de todo el operativo. También, como ya hemos expuesto, plasmar debidamente en el contrato correspondiente, del cual sólo hemos navegado por su superficie, el contenido mínimo imprescindible de la figura del Encargo de Tratamiento.