“Safe Harbor”, 3 consejos legales antes de elegir tu proveedor de hosting.

Como más de uno habrá escuchado o leído en las últimas semanas, el Tribunal de Justicia de la Unión Europea, después de 15 años de vigencia, ha invalidado la Decisión de la Comisión que declaró que Estados Unidos garantizaba un nivel de protección adecuado de los datos personales transferidos a dicho Estado, es decir, lo que conocemos como acuerdos de “Safe Harbor”.

Este hecho, está generando una gran inseguridad jurídica puesto que muchos proveedores de hosting son de nacionalidad estadounidense, sus servidores están sitos en dicho territorio o bien realizan transferencias de datos personales desde Europa a EE.UU.

Hosting

Por este motivo, en el contexto actual y en aras de reducir el riesgo legal a ser sancionados, recomendamos que si hay que decidir entre un proveedor de hosting que realice transferencias de datos personales a Estados Unidos y otro que no lo haga, se escoja este último. La causa es que EE.UU hoy no se considera un país con un nivel de protección adecuado que garantice la aplicación de los principios y medidas de seguridad que las directivas comunitarias establecen:

  • Adaptado a la normativa europea en el tratamiento de los datos personales

 Salid huyendo cuando un proveedor de hosting, que tiene como principal misión conservar vuestra información y la de vuestros clientes, no es capaz de cumplir con las obligaciones que impone la normativa de protección de datos personales europea y/o asegurar la confidencialidad de información sensible para vuestro negocio.

Toda entidad está obligada a implementar una serie de medidas de seguridad tanto técnicas, jurídicas como organizativas y, no basta con informar que cumplen con dichas medidas con un simple aviso en el website, hay que llevarlas a la práctica.

Pero, ¿cómo podemos saber si es un proveedor de hosting que cumple o no?; Deberemos analizar en profundidad todos los textos legales que ofrece su website y además nosotros estamos obligados a remitirles un acuerdo de protección de datos para su firma mediante el cual se compromete principalmente, y entre otras cosas a: cumplir con la normativa de privacidad; a seguir nuestras instrucciones en el tratamiento de datos personales; y, por último, a que en caso de incumplimiento por su parte, nosotros quedaremos exentos de responsabilidad.

Forma de comprobar que cumple: analizar todos los textos legales que se incorporan en el website: Aviso legal, Política de privacidad, Política de cookies y Condiciones Generales de Contratación. Además de remitirle para su firma el acuerdo de protección de datos comentado y que estamos obligados a enviarle al proveedor de hosting. Como lo estamos ante cualquier proveedor de nuestra entidad que acceda a datos personales para prestarnos un servicio.

Es de vital importancia en el contexto actual tener en cuenta este primer consejo legal, pero no es el único. A parte de conocer nuestras necesidades de hosting (hospedaje web) y de tener en cuenta aspectos técnicos (espacio en disco, transferencia, lenguajes de scripts soportados, bases de datos, cuentas de correo, soporte multidominio, etc.); además de analizar aspectos el servicio de soporte o de ayuda; comprobar aspectos como el DNS del proveedor y efectuar un test para verificar su velocidad de respuesta, es necesario que antes de escoger un proveedor, tengamos presentes estos dos consejos legales:

  • Correcta Identificación legal del proveedor como propietario del website y del negocio de hosting

Desconfiad de los proveedores que no poseen o intentan esconder sus datos de contacto legal en su website. En caso de conflicto no sabremos a quién reclamar ni dónde. Y no basta que sus datos consten en el “Whois”, la ley obliga a que aparezcan en el website del proveedor.

Todo negocio online debe ofrecer, según establece la normativa comunitaria y española, una serie de información en aras de proteger a los terceros que contratan con dicho negocio. Al tratarse de una venta a distancia, el comprador (nosotros) adquiere una posición más débil al negociar que si de una venta “offline” se tratara. Por ello, uno de los requisitos que exige la ley es que todo empresario que desea vender en el mundo virtual que es Internet, debe facilitar sus datos de contacto (denominación social, NIF, domicilio, datos del registro mercantil, etc.). Debemos conocer esos datos por si en el futuro debemos reclamar un incumplimiento contractual o por si ese website está cometiendo alguna infracción, y de oficio, los juzgados o la administración pública les abre (incoa) un expediente sancionador.

Forma de comprobar que cumple: debe de disponer permanentemente de un aviso legal en su website que incluya toda la información que la Ley exige.

  • Condiciones Generales de Contratación disponibles en su website y con el contenido mínimo legal exigible

¿Cómo vais a contratar un hosting con una entidad que no os ofrece un contrato online debidamente formalizado?

Desafortunadamente esto ocurre de forma habitual y evidentemente cuando la velocidad de respuesta de los DNS del proveedor no es la contratada, no sabremos a que cláusula acogernos para poder reclamar…

Cuando os encontréis en el proceso de decisión al elegir un proveedor, es aconsejable detenerse durante el tiempo necesario para buscar las Condiciones Generales de Contratación y proceder a un análisis en profundidad sobre las mismas (objeto y duración del contrato, descripción del servicio contratado, obligaciones y derechos tanto del proveedor como nuestra, exenciones de responsabilidades del proveedor ante las interrupciones del servicio, jurisdicción competente en caso de conflicto, etc.).

Forma de comprobar que cumple: debe de disponer de unas completas Condiciones Generales de Contratación. Pero no basta solo con eso, la Ley exige que durante el procedimiento de contratación se cumplan una serie de protocolos legales antes de que un tercero contrate. El objetivo es que el potencial cliente que está a punto de aceptar un acuerdo a distancia/online, lo acepte con libertad y consciente de todos los compromisos que adquiere sin que exista publicidad engañosa o se omita información necesaria para contratar.

* * * * *

Como corolario, debo decir que antes de contratar con un proveedor de hosting o alojamiento web, debemos saber con quién contratamos, qué condiciones y obligaciones contractuales regirán la relación y cuál es el grado de cumplimiento de la normativa de protección de datos por parte del proveedor de hosting. Asímismo y, a la espera de acontecimientos en forma de un nuevo acuerdo internacional, a día de hoy debes asegurarte que los “datacenter” de tu proveedor no están ubicados en Estados Unidos y que no realiza transferencias o tratamientos de datos en dicho país puesto que tu entidad estaría infringiendo la normativa de protección de datos al ser la responsable del fichero ante la Agencia Española de Protección de Datos.

En caso que desees seguir recibiendo los servicios de tu proveedor habitual y que está ubicado en Estados Unidos, deberías remitirle un contrato de protección de datos para su firma mediante el cual se compromete principalmente, y entre otras cosas a: cumplir con la normativa de privacidad; a seguir nuestras instrucciones en el tratamiento de datos personales; y, por último, a que en caso de incumplimiento por su parte, nosotros quedaremos exentos de responsabilidad. Si se niegan a firmarlo, os recomendamos cambiar de proveedor para evitar posibles sanciones económicas.

Acerca de Alberto Cuesta

Abogado-Director en URECA-Legal (nº32.435) Vocal Sección TIC y Propiedad Intelectual del Ilustre Colegio de Abogados de Barcelona. Miembro Registro AULETEC – Abogados auditores de entornos tecnológicos (Lic.nº33). Miembro del Observatorio Iberoamericano de Protección de Datos.
Esta entrada fue publicada en Derecho Mercantil. Guarda el enlace permanente.

Una respuesta a “Safe Harbor”, 3 consejos legales antes de elegir tu proveedor de hosting.

  1. Pingback: ¿Entonces, ya puede mi empresa enviar datos a EE.UU? - FISCALBLOGFISCALBLOG

Deja un comentario