En el caso más sencillo, como puede ser aquella página web en la que no hay más que la imagen corporativa de una empresa y su actividad y que sólo dispone, por ejemplo, de un formulario de recogida de datos para aquellos visitantes que desean contactar o ampliar la información sobre un determinado producto o servicio, existe un tratamiento de datos.
La Ley Orgánica 15/1999, de Protección de Datos, define el «tratamiento de datos»: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Partiendo de esta definición, la jurisprudencia considera que no cabe excluir que haya existido un tratamiento por el hecho de que los datos no queden guardados ni registrados en archivo alguno, pues el tratamiento no exige la conservación de los datos, basta con su recogida o grabación, y, de otra parte, la recogida de esos datos a través de Internet conlleva su puesta a disposición de un destinatario, lo que supone la existencia de tratamiento de datos.
Por tanto, nos encontramos que en los sistemas de información (servidor) alojados en el centro de datos del proveedor de servicios de hosting, se encuentran datos de carácter personal y que el prestador de los servicios de hosting directa o indirectamente realiza un tratamiento de datos.
El cliente que contrata el servicio de hosting será el responsable del fichero o tratamiento, que es aquella «persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento», según la descripción que nos da el apartado d) del artículo 3 de la LOPD.
El prestador de servicios de hosting será considerado como el encargado del tratamiento, que es aquella «persona física o jurídica, autoridad pública, servicio o cualquier organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento», según la definición que nos da el apartado g) del artículo 3 de la LOPD.
Si tenemos un responsable del fichero o tratamiento que contrata con prestador de servicios de hosting al que consideraremos como encargado del tratamiento por cuenta del primero, nos encontramos con que hay un acceso de datos por cuenta de tercero –el encargado de tratamiento–. Como hemos comentado, no se considerará una comunicación de datos (cesión) cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento, de conformidad con lo dispuesto en el artículo 12 de la LOPD. Esta relación, no obstante, deberá estar regulada en un contrato por escrito donde el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
Por tanto, o disponemos del previo consentimiento del interesado para ceder sus datos al encargado del tratamiento o, en caso contrario, deberemos concertar un contrato de encargo de tratamiento con nuestro proveedor de servicios de hosting.
Es necesario que el cliente proporcione unas instrucciones precisas sobre el tratamiento y las medidas de seguridad que deberá adoptar el proveedor, tal y como se establece en el citado art. 12 de la LOPD y en el Reglamento de Medidas de Seguridad.
Aunque pueda sorprender, en muchas ocasiones nos encontramos que el responsable del fichero no tiene una idea muy clara de dónde se encuentra ubicado el servidor donde tiene alojados sus contenidos, bien porque haya contratado online el servicio, o bien porque la entidad con quien contrató actuaba como revendedora de los servicios de la compañía titular del centro de datos, que es quien presta finalmente el servicio.
A los efectos de la normativa sobre protección de datos, la ubicación «física» del servidor donde se alojan nuestros contenidos tiene una clara importancia. Si el centro de datos de la operadora que presta los servicios de hosting está radicado en España, a priori no tiene más trascendencia que la comentada relación entre el responsable del fichero y el encargado del tratamiento y las obligaciones contempladas en la normativa para cada uno.
Ahora bien, si el servidor está ubicado en otro país, deberemos considerar que existe un flujo o movimiento de información: transferencia. Que las partes involucradas en dicho flujo o movimiento de datos son de países distintos, por lo que será considerada internacional. Y, finalmente, que entre la información transmitida se encuentran datos de carácter personal para que esta transferencia de información tenga relevancia a los efectos de quedar sometida a la regulación sobre la protección de datos de carácter personal.
La definición que da la Instrucción de la Agencia de Proteccióin de Datos 1/2000, sobre Normas que rigen las Transferencias Internacionales de Datos, al concepto «transferencia internacional» es: «Toda transmisión de los mismos fuera del territorio español. En particular, se considerarán como tales las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero».
El régimen jurídico de las transmisiones internacionales de datos nos viene dado por la Directiva 95/46, la LOPD, la citada Instrucción 1/2000 de la AGPD y la Sentencia de la AN de 14 de marzo de 2002, que anula diversos preceptos de la instrucción.
Sin la pretensión de exhaustividad, que, por razones de espacio, dejaremos para un próximo artículo, sí que podemos enumerar, para el caso que nos ocupa de encargo de tratamiento, normas de aplicación general a las transferencias internacionales de datos:
La letra k) del artículo 34 de la LOPD, nos dice que «cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado», quedará excepcionado de precisar la autorización previa del Director de la AGPD, aunque persisten el resto de las obligaciones descritas más arriba, además de que la AGPD podrá reclamar información complementaria en determinados casos.
La Comisión Europea ha dictado diversas Decisiones en las que se pronuncia sobre el nivel de protección adecuado de los datos personales en países como Suiza, Hungría, Estados Unidos (Principios de Puerto Seguro), Argentina y Canadá.
En el caso de no encontrarse en ninguno de los supuestos del artículo 34 de la LOPD, la transferencia internacional de datos siempre requerirá la previa autorización del director de la AGPD.
(*) Autor. Jordi Verdaguer. Abogado y Socio fundador de Denver Abogados
Información de valor para la dirección y crecimiento de tu despacho profesional
© 2024 Amado Consultores. Todos los derechos reservados.
© 2024 Amado Consultores. Todos los derechos reservados.
