Hosting en España o en el extranjero

feb 16

HostingA la hora de contratar el hosting de nuestra web, tenemos que tener en cuenta dónde están físicamente los servidores donde vamos a alojarla.

Si el servidor está ubicado físicamente fuera de la Unión Europea, la normativa española aplicable a tal efecto (Ley Orgánica de Protección de Datos, Ley 15/99) técnicamente considera el tránsito de datos como una transferencia internacional, y exige que el país en el que esté físicamente el host o servidor posea un nivel de protección de datos de carácter personal equiparable al contemplado en dicha norma. Por otro lado, el Estado español tiene una relación de países considerados como cumplidores de dicho nivel (UE, Suiza, Hungría, Argentina y Brasil), con lo cual, si el lugar de destino (servidor) está en ella, no habrá ningún problema, pero si no es así, podríamos estar infringiendo la ley. Por ello, es obligado informarnos bien acerca de dónde están situados físicamente los servidores de cualquier empresa antes de contratar el servicio de alojamiento web.

Hay que tener en cuenta que si el servidor está fuera se debe pedir el consentimiento de la transferencia de dichos datos.

Es decir si tenemos una web que ofrece unos determinados servicios o vende algún artículo debemos comunicar a los clientes que sus datos van a ser remitidos a un servidor alojado en el extranjero y obligatoriamente tenemos que solicitar su consentimiento incluyendo los detalles de la empresa de destino propietaria del servidor. Art. 34 LOPD y como puede ejercer su derecho a rectificar, cancelar, … sus datos.

Un ejemplo claro, supongamos que tengo una empresa española, que va a vender online sus productos en España. Logicamente debo contratar un hosting o alojamiento web junto con el servicio de pasarela de pagos para realizar el cobro on-line mediante tarjeta de crédito. Si la empresa que contrato no me informa debo preguntarlo yo, ya que puede ser que la empresa que ofrece este servicio lo tenga a su vez contratado a un tercero que tenga un servidor alojado, por ejemplo en Australia, país que no tiene el visto bueno de la APD (Agencia de Protección de datos).  En cuyo caso si no estoy informado estoy infringiendo la Ley Orgánica de Protección de Datos (LOPD)

Otro ejemplo frecuente puede ser que contrate un servicio de hospedaje en una empresa española proveedora del alojamiento web. Puede ocurrir que esta no sea realmente la dueña de los servidores, sino que los subcontrata con una tercera (práctica muy habitual), que además, le ha permitido usar su propio logotipo de cara a sus clientes, quedando oculto el de de la empresa que realmente cede el uso de sus servidores, así como que los servidores están, por ejemplo, en EEUU, y que no se encuentran en la relación de empresas de Puerto Seguro (Safe Harbor). En este caso se estaría también infringiendo la ley.

 

EEUU no es un país incluido en las órdenes citadas en la LOPD, por lo que, en principio, si no se obtiene nuestro consentimiento previo, estaríamos realizando una transferencia ilegal, que estaría sancionada económicamente.

Ante esto las autoridades norteamericanas han llegado a un acuerdo con la Unión Europea, mediante el cual, el Departamento de Comercio de los EEUU se encargará de incorporar a un directorio, llamado Safe Harbor o Puerto Seguro, a aquellas empresas que cumplan unos requisitos mínimos de protección de datos, de modo que éstas tengan el visto bueno de las autoridades comunitarias. Por lo tanto, en el caso de decidir contratar los servicios de una compañía de EEUU, debemos acceder a este directorio para asegurarnos que la transferencia es legal y está aprobada por las autoridades de protección de datos de la UE.

Información extraida de PC Actual – Nº 160
Articulo original Javier Hernández Martínez
Especialista en Derecho de Internet y Protección de Datos

Página web de la Agencia Española de Protección de Datos: www.agpd.es
Todo sobre la legistlación estatal relativa a la protección de datos.