LegalToday

Por y para profesionales del Derecho

Portal jurídico de Thomson Reuters, por y para abogados

09/08/2022. 06:58:37

LegalToday

Por y para profesionales del Derecho

Servicio de Hosting ubicado en los Estados Unidos de América y protección de datos de carácter personal

Actualmente Socio Responsable del Departamento de Nuevas Tecnologías y Propiedad Intelectual de LeQuid

Se analizan los requisitos que establece la legislación española y comunitaria de protección de datos cuando el hosting se lleva a cabo desde los Estados Unidos de América.

Un candado dentro de un archivador.

Multitud de webmasters que ofrecen productos o servicios en España desde sus sitios web, contratan a empresas de hosting ubicadas en los Estados Unidos de América. Los empresarios titulares de estos sitios web tienen dudas acerca de cómo cumplir con la legislación española  y comunitaria de protección de datos personales. Este artículo expone brevemente las principales cuestiones a tener en cuenta.

  • Necesidad de autorización del Director de la Agencia Española de Protección de Datos (AEPD)
    Con carácter general, si los servicios de hosting de ficheros que contengan datos personales de usuarios españoles se prestan desde los Estados Unidos de América, estaríamos ante una transferencia internacional de datos.
    El artículo 33 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), prohíbe las transferencias internacionales de datos con destino a países que no proporcionen un nivel de protección equiparable al que presta la LOPD (y por ende, al que presta la normativa europea de protección de datos), salvo que, además de haberse observado lo dispuesto en la legislación, se obtenga autorización previa del Director de la Agencia Española de Protección de Datos.
    Por tanto, y puesto que los Estados Unidos de América no está considerado como un país que preste un nivel adecuado de protección, para la realización de transferencias internacionales de datos personales realizadas con motivo de la prestación de servicios de hosting cuyos servidores están ubicados en los Estados Unidos de América, será necesario solicitar la oportuna autorización del Director de la AEPD.
  • Acuerdos de Puerto Seguro
    Sin embargo, no se requerirá la autorización del Director de la AEPD en el caso de que la entidad estadounidense que preste los servicios de hosting esté adherida a los Acuerdos de Puerto Seguro, puesto que en este caso la Unión Europea (mediante la Decisión de la Comisión de 26 de julio de 2000) presume (admitiéndose la prueba en contrario) que las empresas de los EEUU que se adhieran a éstos acuerdos cuentan con un nivel adecuado de protección.
    Ahora bien, esta decisión de adherirse se realiza mediante una mera declaración al Departamento de Comercio de los EE UU, por lo que es muy recomendable verificar que estás empresas cumplen efectivamente con la legislación de protección de datos española y comunitaria.
  • Consentimiento inequívoco del usuario
    Por otro lado, y conforme al artículo 34 LOPD, tampoco será necesario obtener la autorización del Director de la AEPD, y con independencia de que la empresa de hosting estadounidense se haya adherido o no a los Acuerdos de Puerto Seguro, cuando los usuarios del Sitio Web hayan dado su consentimiento inequívoco al titular del sitio web a la transferencia internacional de sus datos personales a Estados Unidos para la prestación de servicios de hosting.
    Sin perjuicio de lo anterior, en todo caso, las transferencias internacionales de datos deberán ser notificadas a la AEPD para su inscripción en el Registro General de Protección de Datos. En el caso de que la trasferencia internacional se refiera a un fichero ya inscrito, se deberá solicitar la modificación de la inscripción, notificando la transferencia internacional. 
    Asimismo, en estos casos será necesario regular la relación contractual entre el titular del sitio web y la empresa de hosting mediante un contrato en los términos del art. 12 LOPD y al que también se deberán incorporar las garantías establecidas en la Decisión 2002/16/CE.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.