Economía Digital | Digital Business Marketing School
|
Recordar contraseña Introduce tu E-Mail y te enviaremos a tu dirección de correo electrónico tu contraseña de acceso.
El contrato con la empresa de hosting : Los datos personales en el Marketing Digital

Blog: Los datos personales en el Marketing Digital

Hola de nuevo.

En el post anterior os indicamos que utilizárais una empresa de hosting española, para evitar la transferencia internacional de datos. Dejamos la puerta abierta a que utilizárais otra empresa que estuviera en uno de los países que se consideran que aplican medidas legales similares a nuestra LOPD, aunque no fue nuestra recomendación.

¿Por qué? Muy sencillo, pero os lo explicaremos más adelante.

Como vamos a ver, las medidas de seguridad que establece el Reglamento de la LOPD no las va a poder implementar todas nuestro amigo Jorge, dado que la web se encuentra en una empresa de hosting.

Será responsabilidad de la empresa de hosting, por lo tanto, aplicar ciertas medidas de seguridad, como es la protección física de acceso al servidor donde se encuentra nuestra web, según el artículo 91 del RLOPD:

“1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

(…)

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.”

Por lo tanto, la empresa de hosting ejerce en relación con los datos personales de los clientes de Jorge la función de “encargado de tratamiento“, que según el artículo 3 de la LOPD es:

“g) Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.”

La pregunta lógica ahora sería ¿y quién es el responsable del tratamiento? Pues nuestro amigo Jorge. Nuevamente nos vamos a la definición que aparece en el artículo 3 de la LOPD:

“d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.”

¿Y dónde tenemos que indicar que la empresa de hosting es un encargado de tratamiento nuestro? Pues como siempre se resuelven estas cosas, en un contrato de encargado de tratamiento de datos personales (aunque más adelante veremos que tendremos que indicarlo en otro lugar también), tal y como indica el artículo 12 de la LOPD:

“2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.”

Más de uno se preguntará “¿Y no basta con el contrato que firmo al contratar el hosting?”. La respuesta es “No”. ¿Por qué? Pues porque en ese contrato seguro que no le has especificado a la empresa de hosting que vas a guardar datos de carácter personal en tu espacio web ¿verdad? Podrías estar usando tu web para mostrar simplemente fotos de paisajes, y no estarías albergando datos personales.

Además, tienes que especificarle a la empresa de hosting qué medidas de seguridad debe aplicar. Esto en concreto lo veremos en el siguiente post.

Por lo tanto, deberéis contactar nuevamente con la empresa de hosting y solicitarle un contrato tipo que ellos ya tengan para que os lo firmen en el que les comuniquéis que son encargados de tratamiento y las medidas de seguridad que deberán aplicar.

Os vamos a dejar un ejemplo de contrato que proporciona Acens:

Contrato de tratamiento de datos personales por cuenta de un tercero

Fijaros en un detalle de ese contrato:

“3.4 En caso de que los datos personales tratados requieran de alguna medida adicional a las que figuran en la relación adjunta, el Cliente podrá poner en conocimiento de acens tal circunstancia. acens con el objeto de facilitar la adopción de la referida medida de seguridad, puede ofrecer la posibilidad de contratación adicional de las tecnologías y servicios necesarios para la implementación de ésta, mediante su acuerdo y firma de un documento distinto del presente que igualmente se anexe al contrato principal, o podrá, a su sola discreción, y por causas motivadas, indicar al Cliente que no puede proporcionar dicha medida de seguridad.”

Básicamente viene a decir que si tratáramos datos que requieren medidas más allá de las básicas, deberemos especificárselo. En nuestro caso particular, tal y como veremos en el siguiente post, no será necesario.

Y ahora llegamos a responder por qué recomendábamos que la empresa de hosting fuera española… ¿queréis traducir dicho contrato al idioma de otro país donde albergárais vuestra web? Sospecho que no… ;-)

¡Bueno, pues eeeeso es todo amigos!

¡Nos vemos en el próximo post!



Comentarios

  • Jose - 2 febrero, 2015 a las 8:46 am

    ¡¡Genial!! muchas dudas aclaradas! buscaba esta información desesperadamente.
    Por ciaerto, podría utilizar el modelo de contrato de acens? cambiandole los datos por mi nombre y los del hosting?.
    Gracias!

  • Andrés Méndez - 3 febrero, 2015 a las 7:48 am

    Hola José.

    Yo entiendo que no hay problema en que adaptes el modelo de contrato de Acens a tu caso particular (como bien dices, cambiando tus datos y los de la empresa de hosting). A fin de cuentas, no es más que un contrato privado a celebrar entre dos partes (no es una poesía que vayas a publicar en un libro, omitiendo el autor, plagiándole y cobrando por ello).

    Eso sí ¡muchas gracias Acens por hacerlo bien y ayudar a los demás!

    ¡Saludos!

  • Iván - 19 febrero, 2015 a las 12:27 pm

    ¿Formalización de un Contrato de “Encargado de Tratamiento” con las empresas de servicios de e-mail markeking? como con las empresas de hosting.

    Entiendo que sería necesario formalizar un Contrato de “Encargado de Tratamiento” con las empresas tipo Mailchimp (EEUU puerto seguro) o Mailrelay (empresa española) para cumplir con la LOPD, por poner dos ejemplos.

    Respecto a Mailchimp (EEUU Puerto Seguro) ya se discutió en el artículo de este blog: Transferencia internacional de datos: Safe Harbor, por su particularidad.

    Pero me he ido a buscar otras alternativas, como por ejemplo: Mailrelay (empresa española) y me han contestado que no firman acuerdos de ese tipo particularizados para cada cliente, que ya se incluye en sus condiciones de uso.

    No obstante, si lees detenidamente estas condiciones: http://mailrelay.com/es/condiciones-de-uso no se hacen responsables en última instancia en cuanto a medidas de seguridad ni en cuanto a reclamaciones posibles por parte de terceros.

    Siendo el cliente quien se compromete a adoptar todas las medidas. ¿Cómo podemos adoptar las medidas si no controlamos su empresa? Acceso autorizados, seguridad perimetral, …

    Entiendo que si importamos los datos personales de nuestra base de datos a sus servidores, estamos asumiendo toda la responsabilidad en aspectos que se escapan a nuestros control y que realizan terceros.

    ¿No es excesivo el riesgo que estamos asumiendo?

    Existen otras opciones?

  • Andrés Méndez - 20 febrero, 2015 a las 9:57 am

    Hola Iván.
    Habitualmente las empresas en sus contratos procuran hacerse responsables de lo mínimo imprescindible.
    Ahora bien, de aplicar los requisitos de seguridad de datos de nivel básico (como son los correos de tus clientes) sí deberían hacerse responsables.
    Según leo en sus condiciones “CPC tampoco se hace responsable del acceso no autorizado por terceros a información de Clientes almacenada en sistema, pérdida o corrupción de la misma.”
    Al final no se hacen responsables de nada, ni de la disponibilidad…
    Si las condiciones no te convencen, busca otro proveedor que te de más garantías ;-)
    Saludos!

  • Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

    Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    Aceptar la política de privacidad



    “Los comentarios y opiniones que exprese en este Blog serán de su exclusiva responsabilidad, no representando en ningún caso a El Instituto de Marketing Relacional, Directo & Interactivo (en adelante ICEMD). Antes de ser publicados, los comentarios deberán ser validados por el Titular del Blog, por lo que puede suceder que éste decida no publicarlos. En ningún caso serán publicados comentarios sexistas, racistas, que inciten a la violencia o que en general resulten ofensivos o intimidatorios. Sus comentarios deberán respetar las normas de propiedad intelectual e industrial de terceros, así como los derechos de imagen, honor e intimidad de acuerdo a la ley vigente. No está permitido que utilice este espacio para hacer publicidad a favor de terceros. ICEMD queda eximida de cualquier responsabilidad derivada de los perjuicios que pueda causar al contravenir estas normas”.

    Los datos registrados pasarán a un fichero propiedad de ICEMD, adecuándose a la Ley Orgánica 15/99 de 13 de diciembre de Protección de Datos Personales.

    ICEMD se compromete a tratar de forma confidencial los datos de carácter personal facilitados y a no comunicar o ceder dicha información a terceros.

    Para ejercer sus derechos de acceso, rectificación, oposición o cancelación de sus datos se deberá enviar una carta a junto con copia del DNI a Avda. Valdenigrales s/n Edificio Esic, Pozuelo de Alarcón 28223 Madrid, por las dos caras, o pasaporte, con la referencia "PROTECCIÓN DE DATOS"”. CERRAR