Empresas de Hosting - LOPD: encargados del tratamiento (España) buscando por internet sobre lopd y hostings me encuentro con lo siguiente, y creo que es muy importante porque poca gente lo hace y los hostings no sé si están por la labor, excepto de algunos claro.
Cita:
http://felixharo.es/?p=159Los servidores donde tengamos alojada una tienda on-line, por poner un ejemplo, se convierten en un alojamiento de un fichero que contiene datos de carácter personal. El proveedor de servicios ha de ser considerado como encargado de ese tratamiento en el sentido del artículo 12 LOPD, puesto que realiza diversos tratamientos (alojamiento, copias de seguridad, etc.) sobre los datos que se recogen a través de esa web. El ejemplo puesto es extensivo a otro tipo de páginas web, como blogs, foros, wikis, etc., siempre que traten de algún modo datos de carácter personal.
Pasar de largo sobre este pequeño detalle coloca a nuestra empresa en un riesgo bastante alto e innecesario. Antes que nada, si no tenemos firmado el contrato del art. 12, la AEPD considerará ese alojamiento como una cesión no consentida. Ahora pensemos en que el proveedor no implante las medidas de seguridad necesarias, y que nuestra base de datos SQL que contiene los datos de los pedidos de la última semana se hace accesible en Internet.
Pasar de largo sobre este pequeño detalle coloca a nuestra empresa en un riesgo bastante alto e innecesario. Antes que nada, si no tenemos firmado el contrato del art. 12, la AEPD considerará ese alojamiento como una cesión no consentida. Ahora pensemos en que el proveedor no implante las medidas de seguridad necesarias, y que nuestra base de datos SQL que contiene los datos de los pedidos de la última semana se hace accesible en Internet.
Por consiguiente lo correcto sería lo que hace Acens. http://www.acens.com/corporativo/inf...e-la-lopd.html
Todas las empresas, autónomos, particulares, etc. que tienen webs (foros, blogs, tiendas online, ...lo que sea) y guardan datos personales deben poner como "encargado de tratamiento" a la Empresa de Hosting. Hasta aquí, OK.
Pero ¿Las empresas de hosting deben estar obligadas a facilitar el contrato y firmarlo? ¿o bien ya es válido el contrato online dónde se hace referencia a esto? Presupongo que si. (algunas ni tienen eso).
y si uno va a contratar varios Hosting entonces son muchos más encargados, y que yo sepa sólo te deja poner 1 en el apartado 4.
EDITO:
he visto esto en la página de la AEPD:
Cita:
Las frases con el verbo "se podrán" y "si se desea" ¿es de obligación o de voluntad? ¿Cómo cumplimentar el apartado 4. Encargado del Tratamiento?
Cuando la prestación de servicio implique que el fichero se encuentre ubicado en los locales del encargado del tratamiento, se podrá indicar este extremo cumplimentando el apartado de Encargado del tratamiento.
Si existen varios encargados en estas condiciones, únicamente se consignarán en dicho apartado los datos de uno de los encargados del tratamiento. Se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgos mayores según el tipo y la cantidad de datos tratados. El resto de los encargados del tratamiento, se podrán comunicar, mediante un escrito adjunto a la notificación para que el RGPD tome nota a los efectos informativos.
No obstante, si se desea que figuren inscritos más de un encargado en el apartado 4. Encargado del tratamiento se podrán notificar tantas inscripciones como encargados diferentes existan. Estas notificaciones se diferenciarían en los datos consignados en el apartado 4 y en su caso, en los apartados 5. Identificación y finalidad del fichero, 7. Tipos de datos, estructura y organización del fichero.
Cuando la prestación de servicio implique que el fichero se encuentre ubicado en los locales del encargado del tratamiento, se podrá indicar este extremo cumplimentando el apartado de Encargado del tratamiento.
Si existen varios encargados en estas condiciones, únicamente se consignarán en dicho apartado los datos de uno de los encargados del tratamiento. Se recomienda que se haga constar la denominación del encargado que realice el tratamiento de datos que pueda implicar una mayor duración en el tiempo, o riesgos mayores según el tipo y la cantidad de datos tratados. El resto de los encargados del tratamiento, se podrán comunicar, mediante un escrito adjunto a la notificación para que el RGPD tome nota a los efectos informativos.
No obstante, si se desea que figuren inscritos más de un encargado en el apartado 4. Encargado del tratamiento se podrán notificar tantas inscripciones como encargados diferentes existan. Estas notificaciones se diferenciarían en los datos consignados en el apartado 4 y en su caso, en los apartados 5. Identificación y finalidad del fichero, 7. Tipos de datos, estructura y organización del fichero.
Porque yo entiendo que es una opción, y no una obligación. DAdo el caso, uno tampoco se muere en inscribir + 1 fichero o en enviar un escrito...pero bueno, si no es obligatorio.Uno si lee eso, ve que la info. del encargado de tratamiento es más de pura información que otra cosa, y lo que cuenta son los contratos entre partes que el fichero en sí.
A ver si aparece algún experto en la materia y saca de dudas.
Otra cuestión:
ejemplo, hay 3 empresas:
Hosting Manolo SA (ofrece alojamiento web)
Juegos Pepe SA (tienen una web alojada en Hosting Manolo. Esta web ofrece servicios online de juegos y recoge datos personales: mail, nombre...)
Joselito SA (empresa que revende la servicios de Juegos Pepe SA y puede entrar en el panel de administración de la web de juegos para gestionar usuarios.)
como se como el anterior ejemplo en temas de LOPD? El encargado es Hosting Manolo. ¿Pero quién es el responsable del fichero Joselito o Juegos Pepe?
