Ley Orgánica de Proteccion de Datos y los servicios en Internet
LOPD
Son muy pocos los conocedores de las graves consecuencias tipo legal que puede suponer la contratación de un servicio de Backup Online, hosting o alojamiento web, no sólo para el cliente sino también para el prestador del servicio.
La violación de la ley puede derivar en elevadas sanciones económicas que pueden oscilar de 300.000 hasta 600.000 euros. Por ello, se deben tener en cuenta aspectos legales a la hora de llevar a cabo este tipo de contratación cuando se contratan los servicios a una empresa de servicios en la Nube, empresa que es la encargada del mantenimiento del servicio y la que dispondrá físicamente de los servidores.
Las Transferencias internacionales
Si el servidor está ubicado físicamente fuera de la Unión Europea, la normativa española aplicable a tal efecto (Ley Orgánica de Protección de Datos, Ley 15/99) técnicamente considera el tránsito de datos como una transferencia internacional, y exige que el país en el que esté físicamente el host o servidor posea un nivel de protección de datos de carácter personal equiparable al contemplado en dicha norma, SEYCOB posee la Certificacion ISO 27001 en materia de Seguridad. Por otro lado, el Estado español tiene una relación de países considerados como cumplidores de dicho nivel, con lo cual, si el lugar de destino (servidor) está en ella, no habrá ningún problema si usted es conocedor de las prácticas a este respecto de su proveedor, pero si no es así, podríamos estar infringiendo la ley. Por ello, es obligado informarnos bien acerca de dónde están situados físicamente los servidores de cualquier empresa antes de contratar los Servicios de Backup Online o alojamiento Web.
Excepciones
Existen una serie de excepciones como la que se recoge en el apartado e) del Art. 34 de la LOPD, en el que se expone que: «Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista». Es decir, no se estaría incumpliendo la ley si la empresa propietaria del sitio web a través del que se ofrecen los servicios (imaginemos un sitio web que vende Servicios de Backup a través de la red), comunica a sus clientes previamente que sus datos van a ser remitidos a un servidor alojado en el extranjero y solicita su consentimiento para este fin y además, indica también los detalles de la empresa de destino que posee de dichos servidores y cómo ejercer ante la misma los derechos que, según la LOPD, asisten al titular de los datos, como son los de acceso, cancelación, oposición y rectificación, tenga en cuenta que esta advertencia suele estar incluida o escondida, entre las aceptaciones por defecto de licencias, SLA’s, etc … que son aceptadas por defecto y sin ser leídas, es práctica común en las contrataciones a través de la web.
Algunos ejemplos
Pongámonos en el lugar una empresa X, española, que desea Respaldar sus Datos o vender sus artículos en España. Contrata un Servicio de Backup Online, hosting o alojamiento web junto con el servicio de pasarela de pagos para realizar el cobro o pago on-line mediante tarjeta de crédito. Si dicha compañía no investiga lo suficiente, o su proveedor no le ha advertido ni documentado debidamente, es posible que dicho servicio se ofrezca a través de una tercera empresa (revendedora), que, a su vez, tenga un servidor alojado, por ejemplo, en Australia, país que no tiene el visto bueno de la APD hoy por hoy. Esto es práctica común y en este caso se estaría infringiendo la LOPD.
Otro ejemplo frecuente puede ser el de una empresa española X, que contrata su servicio de Backup Online o de hospedaje con otra de la misma nacionalidad. Esta última (la empresa proveedora del servicio) no es realmente la dueña de los servidores, sino que los subcontrata con una tercera (práctica muy habitual), que además, le ha permitido usar su propio logotipo de cara a sus clientes, quedando oculto el de de la empresa que realmente cede el uso de sus servidores o el que realmente provee el servicio (El que realmente almacena sus datos), así como que dichas máquinas están, por ejemplo, en USA, y que no se encuentran en la relación de empresas de Puerto Seguro. En este caso se volvería a estar infringiendo la ley.
El caso de Estados Unidos
Aunque parezca una paradoja, EEUU no es un país incluido en las órdenes citadas en la LOPD, por lo que, en principio, si no se obtiene el consentimiento previo de los afectados (insistimos, previo, y no posterior), estaríamos realizando una transferencia ilegal de datos privados, que estaría sancionada económicamente entre cifras que pueden variar de 300.000 a 600.000 euros.
Las autoridades norteamericanas han reaccionado y han llegado a un acuerdo con la Unión Europea, mediante el cual, el Departamento de Comercio de los EEUU se encargará de incorporar a un directorio, llamado Safe Harbor o Puerto Seguro, a aquellas empresas que cumplan unos requisitos mínimos de protección de datos, de modo que éstas tengan el visto bueno de las autoridades comunitarias. Por lo tanto, en el caso de decidir contratar los servicios de una compañía de USA, tendremos que acceder a dicha relación para comprobar de que la transferencia está dentro de la legalidad y es aprobada por las autoridades de protección de datos de la UE. Cabe destacar que a pesar de la inmensa cantidad de empresas norteamericanas proveedoras de servicios web, son muy pocas las incluidas en dicha relación y su nivel de sometimiento a las autoridades USA no judiciales es total.
Sea consciente de las prácticas habituales de espionaje de datos de terceros practicadas por las autoridades USA y UK que controla la inmensa mayoria de redes de Fibra Optica internacionales.
Vaciado de inmuebles
Gracias por informarnos sobre la aplicación del nuevo Reglamento. Todos nos estamos poniendo al día en el uso de este nuevo Reglamento y nos damos cuenta de que somos muchas las personas y empresas que no estamos debidamente informados. Muchas gracias!!