Blog ECIJA 2.0

16

de

Mayo

Paula Hernández

abogada de Governance, Risk & Compliance de ECIJA

El cuento de los Datos: el Hosting y el Backup


Érase una vez un grupo de datos que solicitó alojamiento en HOSTING HOUSE, éste le indicó que su responsable debía suscribir un contrato en base al art.12 de la LOPD. HOSTING HOUSE y el Responsable hablaron de las condiciones de alojamiento y de cómo debían ser tratados los datos. Cuando llegaron al punto de las medidas de seguridad del alojamiento, HOSTING HOUSE le dijo al Responsable del fichero que si quería que su grupo de datos contase con una copia de seguridad debería contratarlo como un servicio adicional, de lo contrario debía eximir a HOSTING HOUSE de cualquier responsabilidad derivada de dicho incumplimiento. El Responsable optó por la exención.

Pero una mañana cualquiera un fallo de seguridad en HOSTING HOUSE afectó al grupo de datos, al no contar con la totalidad de las medidas implementadas, no pudo restituirse el grupo y desaparecieron para siempre.

Entonces... ¿Quién es responsable del fallo de seguridad? ¿Es lícito otorgar al Responsable la potestad de determinar el alcance de la seguridad requerida por el grupo de datos? ¿Puede el Encargado del tratamiento exigir el pago de una contraprestación por un servicio que supone una obligación legal para él?

Buscando respuestas en la LOPD vemos que el artículo 9, establece en su párrafo 1 que El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, (...).

Por otra parte el artículo 82 del RD 1720/2007 en su párrafo 2 indica que si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

Por tanto podemos afirmar que las medidas de seguridad a adoptar por quienes acceden a datos por cuenta de tercero, habrán de ser, en principio, las mismas que las impuestas al responsable del fichero.

Algunos han querido atribuir una potestad al Responsable del fichero de delimitar el alcance de las medidas a aplicar en base al artículo 12.2 de la LOPD que señala que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, si bien las instrucciones a las que se refiere el precepto parecen apuntar más a la finalidad y otros aspectos abiertos que a unas medidas de seguridad tasadas y establecidas por el legislador en base a un único criterio, la tipología de los datos, pero en ningún caso la voluntad de las partes.

Hemos de tener en cuenta que la seguridad es un aspecto esencial para la tutela del derecho fundamental a la protección de datos y el hecho de que tenga una incidencia directa en aspectos organizativos o de gestión como la delimitación de las figuras de Responsable o Encargado no implica que la seguridad pueda quedar al arbitrio de las voluntades de dichas figuras.

La Entidad no puede decidir, básicamente, porque no se persigue proteger los intereses de una persona jurídica sino los intereses de personas físicas en el ejercicio de un derecho cuyo carácter de fundamental le otorga unas determinadas características, como la de ser irrenunciable y el hecho de prevalecer sobre otros derechos no fundamentales.

En cualquier caso, volviendo al tema de la desaparición del grupo de datos, la responsabilidad sobre el fallo no es únicamente de HOSTING HOUSE ya que el art.20.2 del RD 1720/2007 exige al Responsable velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en el Reglamento, por lo que tendría que demostrar que actuó con la diligencia debida.

Recapitulando, la obligación de llevar a cabo las copias de seguridad corresponde al Encargado del tratamiento y el Responsable no dispone de capacidad eximente sobre dicha obligación.

Entonces, si las empresas de Hosting y Housing han prestar el servicio de backup de forma inherente al servicio de alojamiento, lo que sí que pueden es repercutir en el precio final del servicio el gasto adicional que suponen las copias de seguridad.

Pero, con la seguridad de los datos como eje argumental, la práctica llevada a cabo en la actualidad por las empresas de Hosting y Housing de otorgar un carácter de servicio opcional a una exigencia normativa, no sería legal de acuerdo con la normativa vigente, si bien el debate sería determinar la licitud, frente a la legalidad, de dichas prácticas cuando las medidas de seguridad forman parte del portfolio de la Compañía.


Su voto:
Resultado:
544 votos
  • Comparte esta noticia en yahoo
  • Comparte esta noticia en technorati
  • Comparte esta noticia en digg
  • Comparte esta noticia en delicius
  • Comparte esta noticia en meneame
  • Comparte esta noticia en linkedin

Comente este contenido

Comenta el artículo

  • Legal Today le informa que los mensajes están sujetos a moderación
  • Legal Today no se responsabiliza ni comparte necesariamente las opiniones expresadas por sus lectores
  • Legal Today excluirá los comentarios contrarios a las leyes españolas, injuriantes y los de índole publicitaria.

[ 8 Comentarios ] Pagina 1 de 2

  • 8 Pedro Gila 2011-06-10 14:40:55
    Estoy totalmente de acuerdo y voy más alla: ¿Hasta qué punto se pude exigir a un encargado de tratamiento llegar a todos estos razonamientos?. Hay que pensar que en muchas empresas existirán verdaderos departamentos de Cumplimiento pero en la mayoría de las empresas españolas, que son PYMES, esto no es posible, y el encargado es un empleado con pocos o ningún conocimiento más allá de la formación que le haya dado la empresa con la que ha contratado el servicio de implantación de LOPD. Creo que se debería empezar a exigir a las empresas especializadas que presten estas medidas de seguridad como parte del servicio de forma obligatoria y exigir a los responsables del tratamiento hasta donde de verdad puedan cumplir. No se puede sobrecargar más a las empresas con obligaciones de difícil o imposible cumplimiento. Quiero decir, si yo tengo una empresa de transporte, yo respondo de la seguridad de mis viajeros, pero compro los camiones al fabricante o al concesionario y no tengo que comprobar que los camiones tienen frenos. ¿Verdad? Pues entonces, por qué exigimos responsabilidades a quien no corresponde? Aplicado al caso, lo que digo es que toda empresa de hosting debería contar con una autorización para prestar sus servicios y dicha autorización debería implicar el cumplimiento de la normativa de seguridad de los datos. Las autoridades que cumplan su deber de vigilancia y limiten la operativa de quien carezca de autorización. Lo contrario está conduciendo a que existan muchos responsables, pero ¿de verdad garantiza la adopción de medidas de seguridad en la práctica? Es decir, ¿buscamos proteger o que parezca que protegemos?¿ Buscamos evitar el daño o nos conformamos con indemnizarlo? Últimamente a mi me parece que lo segundo en ambos casos.
  • 7 Raquel Tahoces 2011-06-10 11:30:53
    Juan, tal vez se trate de otra laguna legal, pues el art.12LOPD no exige la determinación del nivel en el contrato de encargo, sin embargo sí que han de incluirse las medidas a que se refiere el art.9, pero con uncriterio delimitador en base a la tipología de datos, no escogiendo medidas a discreción del Responsable.
  • 6 Virgilija 2011-06-06 16:12:53
    MUY SABIO ARGUMENTO DE LA LETRADA HERNANDEZ COBO!!!!!enhorabuena,animo!!!!!
  • 5 Juan 2011-05-20 18:25:13
    Qué sucede en el caso que la empresa no diga el nivel de seguridad de los datos a HOSTING HOUSE. Cómo sabe HOSTING HOUSE las medidas concretas a implantar? especialmente si la empresa no le indica expresamente que va a realizar un hosting de datos de nivel alto.
  • 4 Antonio 2011-05-17 12:00:00
    Interesante, Entonces se trata de un error legal? o un error de negocio?
  • 3 c_cobo@ hotmail.com 2011-05-16 21:31:55
    muy clarificador

Blog


Datos personales

ECIJA  es la primera firma legal del mercado español en los sectores de TMT (tecnología, medios y telecomunicaciones) y Propiedad Intelectual, de ......[ver perfil]

Archivo del blog

Accesos adicionales:

© Editorial Aranzadi

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y poder ofrecerle las mejores opciones mediante el análisis de la navegación. Si continúa navegando, consideramos que acepta su uso. Para más información pulse aquí.   Aceptar

.