En el informe de la Agencia
Española de Protección de Datos nº 574 del año 2009 se trató el tema de la
consideración qué podía tener una empresa que presta servicios de alojamiento
web, o hosting, al alojar una base de datos de un cliente.
¿Es un encargado de tratamiento?
¿Un responsable de fichero? ¿Un tercero sin acceso a datos?
Como norma general, la Agencia
Española de Protección de Datos, sostiene que la empresa de hosting tiene
carácter de encargado de tratamiento, ya que ha sido contratada por un
responsable de fichero (empresa contratante) para que le preste el servicio de
alojamiento y la primera no tiene capacidad de decisión sobre el uso que se van
a dar a los datos a los que tiene acceso, ya que sólo los trata por cuenta de
la empresa contratante.
La empresa de hosting no utiliza
los datos que aloja en su provecho, y por tanto, no es responsable de fichero.
La figura del encargado de
tratamiento se viene a describir en el artículo 12 de la Ley Orgánica 15/1999,
de 13 de diciembre, de Protección de Datos de Carácter Personal. Así se dice
que:
“No se considerará
comunicación de datos el acceso de un tercero
a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”.
Al tener la consideración de
encargada de tratamiento la empresa de hosting y la contratante tendrán
obligación de firmar el contrato previsto en el artículo 12 .2 LOPD, y dar
cumplimiento al resto de obligaciones contenidas en dicho artículo.
Por otro lado, la empresa de
hosting, como encargada de tratamiento tiene que aplicar las medidas de
seguridad reguladas en el Reglamento de desarrollo de la LOPD, equivalentes al
nivel de seguridad de los datos que se alojan. Es decir: que si se alojan datos
de nivel alto, en principio, la empresa de hosting tiene que aplicar a sus
ficheros, las medidas de seguridad correspondientes al nivel alto. Si bien hay
algunas excepciones a este principio.
No hay comentarios:
Publicar un comentario