Duda conceptual sobre LOPD y SAFE HARBOR

Buenos días!

Tengo una duda conceptual, recientemente he migrado mi hosting a www.vps.net y aunque tienen datacenters tanto en USA como en UK las facturas vienen de USA, por lo que si yo tengo mi hosting en el datacenter de UK entonces, pensáis que se puede considerar que hay una transferencia de datos internacional? El caso es que no se si se considera el territorio físico o bien el propietario. Yo entiendo que es el propietario pero no estoy seguro. Consultare a la AEPD pero quería preguntar aquí si alguien conocía un caso similar.

En el caso de que sea el titular es un problema ya que vps.net no esta adherida de momento al Safe Harbor por lo que me tocará mover algunas webs a otro hosting.

Dada la tecnología que usa VPS.NET en la cual ellos lo que proporcionan son recursos, procesador, memoria, disco y transferencia, siendo que no tienen acceso a las instalaciones a no ser que les proporciones el password, entonces se puede considerar que al alojar allí estás haciendo una cesión??? Si ellos no pueden acceder a los datos.

Bueno ahí queda la chapa, en cualquier caso lo voy consultar con la AEPD

Saludos!

[QUOTE=davidlluna;3513902]Buenos días!

Tengo una duda conceptual, recientemente he migrado mi hosting a www.vps.net y aunque tienen datacenters tanto en USA como en UK las facturas vienen de USA, por lo que si yo tengo mi hosting en el datacenter de UK entonces, pensáis que se puede considerar que hay una transferencia de datos internacional? El caso es que no se si se considera el territorio físico o bien el propietario. Yo entiendo que es el propietario pero no estoy seguro. Consultare a la AEPD pero quería preguntar aquí si alguien conocía un caso similar.

En el caso de que sea el titular es un problema ya que vps.net no esta adherida de momento al Safe Harbor por lo que me tocará mover algunas webs a otro hosting.

Dada la tecnología que usa VPS.NET en la cual ellos lo que proporcionan son recursos, procesador, memoria, disco y transferencia, siendo que no tienen acceso a las instalaciones a no ser que les proporciones el password, entonces se puede considerar que al alojar allí estás haciendo una cesión??? Si ellos no pueden acceder a los datos.

Bueno ahí queda la chapa, en cualquier caso lo voy consultar con la AEPD

Saludos![/QUOTE
¿has pensado en pedir consentimiento (inequívoco) a los titulares de datos?. No se si te será posible.

En mi opinión, importa tanto quién es el responsable del fichero como dónde se almacenan los datos. (Ambas cosas deberías tenerlas reflejadas en un contrato)
Saludos

Si, la verdad es que si lo he pensado, sabiendo que nadie lee los términos y condiciones puede ser una buena opción, la verdad es que estoy muy contento con el hosting vsp.net y no me gustaría tener que cambiar. Desde el propio hosting me han comentado que van a plantear lo de certificarse para Safe Harbor... quien sabe

Si, pienso lo mismo, ya lo he consultado a la agencia de protección de datos a ver que me dicen, por otro lado desde el hosting me comentaron que aunque vendan solo recursos ellos tienen total acceso al sistema de ficheros cuando las maquinas virtuales están apagadas.

Saludos!

Hola:

La empresa que te da alojamiento web (o cualquier otro servicio en la nube con tus datos) es lo que la LOPD denomina un encargado de tratamiento. Es necesario tener firmado un contrato con ellos (primera obligación que muchas veces no se cumple).

Si no está en alguno de los países que la Agencia de Protección de Datos admite como equiparables a España en cuanto a nivel de seguridad, tiene que estar, como se ha comentado, adherida al Acuerdo de Puerto Seguro. Si no, hay que pedir autorización a la Agencia para una transferencia internacional de datos a países sin el adecuado nivel de seguridad. No lo he hecho nunca, pero me temo que tiene que ser un proceso de lo más
entretenido, conociendo la forma de trabajar de la Agencia.

Son muchas las empresas que tienen datos en servidores de terceras empresas y desconocen totalmente dónde se hayan. E inlcuso se han adaptado a la LOPD y nadie ha tenido en cuenta estos factores. Sin ir más lejos: quienes utilizan el correo de Google, Yahoo o similares, tienen a estas empresas como encargados de tratamiento y, dado que la mayoría de las veces estos servicios son gratuitos, no hay ningún contrato firmado con ellos.

Hola

Gracias por la aclaración, he dado por hecho que eso lo sabía David por el tono de su pregunta, aunque no está de más recalcarlo. Como bien dice sva03066:
1) hay que cumplir las obligaciones que te marca la ley, entre otras tener un contrato firmado con los encargados del tratamiento
2) se necesita autorización de AEPD en esos casos

Añadir, como he comentado anteriormente sin citar artículos, cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista, no es necesaria esa autorización
La referencia legal:
Artículo 34 de la LOPD y 66.2 del RLOPD
en concreto Art. 34. e

Cuando te conteste la Agencia, por favor David comenta que te dicen
saludos