El Hosting y la Protección de Datos

El “hosting” (“alojamiento” en la lengua de Cervantes) es un negocio muy lucrativo dado que hay millones de páginas Web en la red que necesitan alojarse en algún sitio. El negocio, por otro lado, no viene reconocido por la Ley como tal y, por ello, deberemos tener en cuenta una serie de circunstancias para poder cumplir con la normativa vigente (principalmente la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal -LOPD- y la Ley 34/2002 de Servicios de la Sociedad de la Información y del Comercio Electrónico -LSSI-).El lugar de establecimiento del prestador de los servicios determina la ley y las autoridades competentes para el control de su cumplimiento (LSSI, Exposición de Motivos II, párrafo 3). Por ello, si el vendedor de hosting se encuentra en el estado español, independientemente que los servidores se sitúen, por ejemplo, en las Islas Caimán, deberemos aplicar la legislación española. Aquí se apunta el principal problema del alojamiento: que el servidor donde se aloje la página no esté situado en territorio español. Tendremos que hablar, por tanto, de transferencias internacionales de datos. Cu
Para solucionar el problema, el primer paso es determinar en que país se encuentran los servidores. Del estudio del artículo 33 de la LOPD, en caso que el servidor se encuentre en un Estado de la UE o Estado con nivel equiparable a la LOPD (Suiza, Argentina, Guernsey, Isla de Man, las entidades estadounidenses adheridas a los principios de «Puerto Seguro», Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos de América) no necesitaremos autorización del Director de la Agencia Española de Protección de Datos (AEPD) para dicha transferencia. En caso que el país no ofrezca un nivel de protección legalmente exigido, necesitaremos la previa autorización para poder realizar los correspondientes movimientos de datos.

Aún con todo lo expresado anteriormente, será necesario comunicar la transferencia internacional de datos a la AEPD, sea o no sea necesaria la previa autorización.
Asimismo, el vendedor de hosting deberá a informar a sus clientes de todo aquello exigido en el artículo 5 de la LOPD (deber de informar a los afectados), incluyendo que sus datos serán transferidos a determinado país.

Con todo lo expresado anteriormente, podríamos pensar que ya hemos encontrado la solución a todos los problemas derivados del negocio del hosting. Pero ello no es así, dado que hay que tener en cuenta que el negocio en cuestión dispone de una enorme red de revendedores de servicios de hosting (resellers). Esto es, que multitud de agentes venden servicios de hosting sin disponer de infraestructura para prestar dichos servicios. Lo que hacen es realizar tareas comerciales a cuenta de terceros que si pueden alojar los datos. Esta actividad comporta un gran problema legal, dado que el cliente comunica sus datos a un vendedor de hosting que a la vez cederá estos datos a un tercero encargado de prestar efectivamente los servicios de hosting. Esta actividad del reseller es mucho más común de lo que podamos pensar ya que una rápida ojeada por Internet nos muestra un amplio abanico de páginas que ofrecen servicios de hosting que, en el fondo, están realizando tareas de reventa de alojamiento.

La actividad del reseller en el ámbito de la prestación de servicios de la sociedad de la información está sujeta al principio de libre prestación de servicios y la no sujeción a autorización previa (art. 6 y 7 de la LSSI). Por tanto, el reseller podrá realizar actividades económica dentro del ámbito de la LSSI, pero ajustándose a su normativa reguladora.

En el caso de los revendedores también deberemos tener en cuenta el lugar de prestación de los servicios para poder determinar la legislación aplicable (tal y como sucede con el hosting). Una vez aclarado que la actividad del reseller español se regirá por la LSSI en toda su extensión, haciendo hincapié en los artículos antes referenciados, debemos acotar nuestro estudio a la intervención de la LOPD en las actividades de un revendedor.

El Título II de la LOPD (art. 4 a 12) hace referencia a los principios de la protección de datos, significando, desde una perspectiva general, que los datos obtenidos por las personas físicas afectadas deberán ser recabadas con el consentimiento informado de éstas, utilizados exclusivamente para la finalidad para la que fueron recabados, conservados el periodo legal exigido y no cedidos a terceros sin el consentimiento de los afectados. Claro está que, para la recogida tratamiento de datos de carácter personal, previamente deberemos haber inscrito los Ficheros de datos de carácter personal en la Agencia Española de Protección de Datos.
Cuando el revendedor de hosting comunique a la empresa de hosting los datos de carácter personal responsabilidad del cliente, estaremos hablando de una cesión de datos, teniendo en cuenta el artículo 11 de la LOPD. Al cliente se le deberá informar de dicho extremo, indicándole que sus datos serán cedidos a una tercera empresa encargada de realizar el hosting de su página Web. Eso sí, no es necesario el consentimiento de los clientes ya que se presume el consentimiento del cliente dado que es necesaria la cesión de datos para la ejecución del contrato celebrado con el afectado y porque es de su interés.

Filtrando todo lo comentado en los párrafos anteriores, encontramos lo siguiente: un responsable de fichero que comunica los datos a un tercero para que le preste servicios de alojamiento Web, es decir, que el encargado de hosting sea un encargado de tratamiento. Pero como vemos, este encargado de tratamiento, a su vez, cede los datos a otro tercero para que preste de manera efectiva los servicios de hosting. Cuando sucede esto, nos encontraremos delante de los siguiente: el reseller pasará a ser responsable del fichero y el proveedor efectivo de hosting pasará a ser el encargado de tratamiento. Esto es así teniendo en cuenta lo establecido en el artículo 12 de la LOPD, concretamente en su apartado 4, en el que se establece que cuando el encargado de tratamiento comunique los datos, será considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

Finalmente, queremos apuntar el punto más conflictivo y controvertido del panorama actual del hosting y rehosting, ya que la empresa que ofrezca los servicios de hosting ha de ser destinatario final de los datos. Es decir, bajo ningún concepto la AEPD admite que el encargado del tratamiento a su vez subcontrate el servicio con otro. Sino que debería el responsable del fichero extinguir la relación contractual con el primero y establecer nueva relación con el segundo. De momento no podemos encontrar una solución clara al problema, dado que es evidentemente inviable en la mayoría de los casos que pueda producirse un contacto comercial entre el comprador de hosting y el proveedor de hosting dado que muchas veces la cadena de revendedores es tan larga que el comprador no sabe donde aloja realmente sus datos. Este aspecto es realmente complicado y pone de manifiesto, una vez más, las dificultades para cumplir con la legislación en materia de protección de datos de carácter personal.

1 Comentario »
1. Molt bé noi… en saps un ou
Records!
Comment by Jaume Catarineu — 01/19/07 @ 7:11 am |Edit This