Alojamiento web y LOPD

1269

En el Informe 0574/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) se responden a varias cuestiones respecto a la aplicación de la Ley Orgánica de Protección de Datos de  (LOPD), a la prestación de un servicio de alojamiento, en un servidor de la empresa consultante, de bases de datos de empresas clientes que contienen datos de carácter personal.

Estas conclusiones se pueden aplicar a servicios como backup remoto, alojamiento de páginas web, servicios de correo electrónico, envío de comunicaciones, etc.

Con carácter general, cabe señalar que la empresa prestadora del servicio de hosting se configura como encargado de tratamiento, en el sentido del apartado 3.g) de la LOPD, que lo define como “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.

Ello sucederá siempre que la empresa que presta el servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar las bases de datos, sin utilizarlas en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la LOPD, requerirá el consentimiento de los afectados.

Para que la relación entre responsable y encargado del tratamiento pueda darse y se ajuste a la Ley, es preciso que se cumplan los requisitos expresados en el artículo 12 de la LOPD.

  • En primer lugar, es preciso que el acceso a los datos por el tercero se efectúe con la exclusiva finalidad de prestar un servicio al responsable del fichero, y que dicha relación de servicios se encuentre contractualmente establecida. En lo que atañe a los requisitos formales de este tipo de contratos, el artículo 12.2 de la LOPD impone que “la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.
  • El hecho de que la relación derivada del contrato sea la existente entre un responsable y un encargado del tratamiento implicará que al término de la relación sea aplicable lo establecido en el artículo 12.3 de la LOPD, de forma que “una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”. El incumplimiento de esta previsión llevará aparejada la consecuencia, prevista en el artículo 12.4 de la LOPD, de que “En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente”. La AEPD ha venido indicando que el deber de devolución al que se refiere el artículo 12.3 de la LOPD podrá verificarse mediante la entrega directa de los datos al propio responsable del tratamiento o mediante la realización de dicha entrega al encargado del tratamiento que este designase.
  • En cuanto a las medidas de seguridad que hayan de ser adoptadas por quienes realicen trabajos de tratamiento de datos por cuenta de tercero, habrán de ser, en principio, las mismas que las impuestas al responsable del fichero, tal y como se desprende de lo previsto en los artículo 9 y 12.2 de la LOPD.
Alojamiento web y LOPD
Vota este artículo

Dejar respuesta