Érase una vez un grupo de datos que solicitó alojamiento en HOSTING HOUSE, éste le indicó que su responsable debía suscribir un contrato en base al art.12 de la LOPD. HOSTING HOUSE y el Responsable hablaron de las condiciones de alojamiento y de cómo debían ser tratados los datos. Cuando llegaron al punto de las medidas de seguridad del alojamiento, HOSTING HOUSE le dijo al Responsable del fichero que si quería que su grupo de datos contase con una copia de seguridad debería contratarlo como un servicio adicional, de lo contrario debía eximir a HOSTING HOUSE de cualquier responsabilidad derivada de dicho incumplimiento. El Responsable optó por la exención.
Pero una mañana cualquiera un fallo de seguridad en HOSTING HOUSE afectó al grupo de datos, al no contar con la totalidad de las medidas implementadas, no pudo restituirse el grupo y desaparecieron para siempre.
Entonces… ¿Quién es responsable del fallo de seguridad? ¿Es lícito otorgar al Responsable la potestad de determinar el alcance de la seguridad requerida por el grupo de datos? ¿Puede el Encargado del tratamiento exigir el pago de una contraprestación por un servicio que supone una obligación legal para él?
Buscando respuestas en la LOPD vemos que el artículo 9, establece en su párrafo 1 que El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, (…).
Por otra parte el artículo 82 del RD 1720/2007 en su párrafo 2 indica que si el servicio fuera prestado por el encargado del tratamiento en sus propios locales, ajenos a los del responsable del fichero, deberá elaborar un documento de seguridad en los términos exigidos por el artículo 88 de este reglamento o completar el que ya hubiera elaborado, en su caso, identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.
Por tanto podemos afirmar que las medidas de seguridad a adoptar por quienes acceden a datos por cuenta de tercero, habrán de ser, en principio, las mismas que las impuestas al responsable del fichero.
Algunos han querido atribuir una potestad al Responsable del fichero de delimitar el alcance de las medidas a aplicar en base al artículo 12.2 de la LOPD que señala que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, si bien las instrucciones a las que se refiere el precepto parecen apuntar más a la finalidad y otros aspectos abiertos que a unas medidas de seguridad tasadas y establecidas por el legislador en base a un único criterio, la tipología de los datos, pero en ningún caso la voluntad de las partes.
Hemos de tener en cuenta que la seguridad es un aspecto esencial para la tutela del derecho fundamental a la protección de datos y el hecho de que tenga una incidencia directa en aspectos organizativos o de gestión como la delimitación de las figuras de Responsable o Encargado no implica que la seguridad pueda quedar al arbitrio de las voluntades de dichas figuras.
La Entidad no puede decidir, básicamente, porque no se persigue proteger los intereses de una persona jurídica sino los intereses de personas físicas en el ejercicio de un derecho cuyo carácter de fundamental le otorga unas determinadas características, como la de ser irrenunciable y el hecho de prevalecer sobre otros derechos no fundamentales.
En cualquier caso, volviendo al tema de la desaparición del grupo de datos, la responsabilidad sobre el fallo no es únicamente de HOSTING HOUSE ya que el art.20.2 del RD 1720/2007 exige al Responsable velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en el Reglamento, por lo que tendría que demostrar que actuó con la diligencia debida.
Recapitulando, la obligación de llevar a cabo las copias de seguridad corresponde al Encargado del tratamiento y el Responsable no dispone de capacidad eximente sobre dicha obligación.
Entonces, si las empresas de Hosting y Housing han prestar el servicio de backup de forma inherente al servicio de alojamiento, lo que sí que pueden es repercutir en el precio final del servicio el gasto adicional que suponen las copias de seguridad.
Pero, con la seguridad de los datos como eje argumental, la práctica llevada a cabo en la actualidad por las empresas de Hosting y Housing de otorgar un carácter de servicio opcional a una exigencia normativa, no sería legal de acuerdo con la normativa vigente, si bien el debate sería determinar la licitud, frente a la legalidad, de dichas prácticas cuando las medidas de seguridad forman parte del portfolio de la Compañía.