Hosting empresarial fuera del pais

Hola a todos... me presento en esta web que ya llevo leyendo hace tiempo, y os hago una pregunta...

Queremos migrar la página web de nuestra empresa a un servidor con más servicios que el que tenemos ahora (una simple página estática). Tengo decidido contratar con dreamhost, en el que ya tengo un dominio personal y estoy muy contento con ellos...

La cuestión es que no tenemos claro si habrá algún tipo de problema legal (LSSI u otros) al albergar la web de una empresa española en un servidor en USA.

La página no tiene venta por internet ni nada parecido, simplemente un catálogo de productos, noticias e información de contacto.

Un saludo

Saludos

No soy un conocedor de la ley Española pero no creo que tengas problemas al respecto muchas empresas españolas se alojan fuera de tu país. Quizas alguno de los colegas proveedores en España te pueda dar una mejor opinión que la mía.

Generalmente cuando se tiene una web en otro país debes cumplir ambas legislaciones para contenidos etc.

Espero que esto te ayude

Atentamente

Guillermo Calvo

Puedes tener problemas en temas de proteccion de datos.
Si almacenas en esos servidores datos personales, sensibles de verse afectados por la LOPD, casi ningun proveedor de hosting en USA cumple los requisitos (se llama Safeharbor) para poder evitar problemas, ya que en ese caso, estarias haciendo un trasvase de datos entre España y el extranjero sin el consentimiento de los afectados.

Deberias en cualquier caso, de avisarlo en la politica de privacidad del sitio y aun asi, tampoco soy un experto para saber si legalmente estas 100% cubierto.

Lo que esta claro es que para una pagina estatica, sin mas pretensiones, y que no recoje datos ni se hacen transacciones, da igual, mientras cumplas la LSSI.
Pero si entran temas de datos personales, te aconsejo que consultes con un abogado experto, porque por ahorrarte unos euros al mes, te puede caer una multa que es de 600€ minimo.

Buenas tardes,

Completamente de acuerdo con Mindango.

El problema de las empresas españolas que contratan hosting con empresas extranjeras radica en el tema de protección de datos, bajo los siguientes extremos:

1. Es posible que la empresa de hosting tenga acceso a la base de datos tuya.
2. Es posible que en caso de un problema ellos puedan acceder a tu panel de control o a la base de datos para recuperarla.

Exsiten otros motivos adicionales, pero el caso es que si ellos, en algún momento tienen acceso a tu base de datos, entra en juego el tema de transferencias internacionales en el tema de protección de datos. Si es así, se te exige una serie de medidas legales.

Entre esas medidas legales y, más concretamente para EE.UU., es que debes pedir permiso a la Agencia Española de Protección de Datos para esa migración, salvo que la empresa estadounidense esté suscrita al Protocolo de Puerto Seguro. Además tienes que informar a tus clientes, solicitarle consentimiento, elaborar un contrato de encargado de tratamiento, si fuere el caso en cuestión, etc.

Como muy bien dice Mindango, cuidate, muy mucho de los aspectos que te hemos comentado.

Un saludo.

Saludos

En sintesis si la empresa en USA cumple el Safe Harbor Agreement y esta registrada en departamente de comercio (USA) es esto Ok para la legislación europea?

Gracias

Si Datacenter, digamos que con el Safe Harbor, las empresas USA estan al mismo nivel que las europeas en cuanto a que no perjudican al cliente en materia de proteccion de datos, pero eso no quita para que aparte el cliente tenga que seguir el protocolo de seguridad.

Pues muchas gracias a todos...

En principio solo va a ser una página para mostrar información y productos de la empresa, sin participación dinámica de los clientes, con lo que no creo que haya problemas con la ley de protección de datos, según me habeis comentado. Si algún día esto cambia habrá que tenerlo en cuenta.

Ya como curiosidad, sobre la protección de datos, que datos se supone afectan a esta ley, es decir, por ejemplo, si creo un foro o similar que simplemente registre a un usuario con un nick y una contraseña, entra en la competencia de la ley o solo afecta a datos personales del tipo nombre real, teléfono, dirección, etc?

La ley de datos es especialmente sensible con los datos de caracter personal.
Y sobre todo si tocas datos relativos a la salud, credo religioso etc...si que tienes que tener mucho cuidado.
Si es solo un foro, con nick y contraseña, y no recojes mas datos, no debe de haber mayor problema.

Pues nada, lo dicho, muchas gracias...

Ya tengo las cosas bastante mas claras.

Tengo qu aclararos algún tema.

El nick de un usuario, la cuenta de correo y la IP, son considerados datoas de carácter personal.

El usar un hosting de otro país no exime del cumplimiento de la L.O. 15/1999

El uso de un servicio de hosting nacional o extranjero es definido por la ley como "el encargado del tratamiento". No se considera cesión de datos. La ley exige que exista un contrato de prestación de servicios firmado por las dos partes, y por supuesto que las dos partes cumplam la legistación de protección de datos personales.

Lo más importante es que cualquier persona puede poner una denuncia en la Agencia de protección de Datos, aunque se tengan sólo datos de carácter identificativo como son el nick, la IP o la dirección del correo electrónico.

En el caso que nos ha expuesto eloskir, él sería el responsable del fichero, no la empresa de hosting.

Otro tema diferente es la prestación de servicios, entonces estra la LSSI, que por supuesto eloskir tiene que cumplir, aunque no venda nada desde la web.

Si en la web se tiene algún enlace donde las personas se puedan poner en contacto, aunque sólo sea mediante el correo electrónico, se está recogiendo datos de carácter personal.

Tienes razon.

Es cierto que la IP es un dato de caracter personal.
Solucion : no almacenar la IP

El e-mail si no va asociado a datos personales tampoco esta claro.
Y te lo digo porque asi me ha respondido a una peticion al respecto la APD.

Tambien tengo una resolucion de la APD, en la que me confirman que si SOLO se almacena nick y contraseña, no hay porque comunicar y registrar el fichero.

En cualquier caso, creo que ni ellos se aclaran y es todo bastante relativo y susceptible a ser interpretado.

Yo me ratifico : Si solo almacenas nick y contraseña, y si me apuras hasta un email y ademas el usuario acepta las condiciones de uso, no tienes porque tener problemas.

En cualquier caso , siempre puedes registrar el fichero, que tampoco cuesta tanto o hacer una consulta en caso de duda.

Otra cosa es que almacenes IP´s tambien (muchos foros lo hacen por defecto) u otra informacion personal.

Lo que esta claro, es que actualmente, el 99,99% de los foros, que es el caso en el que estamos, no cumplen con la LOPD.
Tampoco se hasta que punto la APD va a meterse con ellos, porque no darian a basto.

En resumen, que hay muchas lagunas legales, pero es cierto que si no tienes mucho cuidado, puedes tener un problema si te denuncian.

Lo mejor, ante la duda consultar con un experto sobre nuestro caso concreto.

ummm... al final el tema es bastante más peliagudo de lo que pensaba...

Entonces, por ejemplo, si la página contiene un formulario para que un cliente solicite información, los datos se recogen en una base de datos, por lo que la LOPD tendría aplicación.

La cuestión es si, simplemente con una clausula de aceptación de los términos (es decir, explicar al cliente que sus datos se recogerán, etc) se exime la empresa de posibles denuncias. De todas formas supongo que este problema será igual si el servidor es español o extranjero.

Es cierto que es mas complicado.Yo traté de simplificarlo, pero al final mejor que no.

Una clausula de aceptacion y registrar los ficheros en la LOPD es imprescindible si tocas datos personales.
Si llevas una mala practica con los datos (te los roban , los pierdes, haces mal uso de ellos) igualmente te pueden denunciar, aunque hayas cumplido con todo.
Igual que si no incluyes clausulas ni registras nada, pero haces un buen uso, nadie te va a denunciar (al menos hasta que la APD empiece a denunciar de oficio)

Y repito, si el servidor es extranjero y no cumple con Safeharbor, las multas se multiplican por ser trasvase internacional de datos.

Muy bien alojaweb, haciendo SPAM y respondiendo a lo que se pregunta.
Que cara mas dura

Ahora solo te falta aprender diseño y me imagino que ha eso has venido a esta comunidad tu página se ve fatal en firefox y dudo que aqui alguien contrate una empresa que comete errores tan infantiles.

y la pregunta era acerca de la privacidad de los datos y sus implicaciones legales no acerca de como escoger empresas para eso aqui hay de sobra material

Lo siento por el off-topic chicos pero no me aguante las ganas

Ascomsa, estas totalmente equivocado al menos en lo que a España se refiere.

De hecho parece que no has leido el resto del post, por lo que se ha expuesto arriba.
Ni has contestado a lo que se pregunta.

Deberias de ir con cuidado con lo que dices, y ahorrarte semejantes burradas...
No se que alguien luego te denuncie a ti como responsable por semejante consejo falto de todo rigor.
No se pueden decir cosas tan a la ligera sin estar informado.

Aqui hay una legislacion reciente, la LSSI, y tambien una ley bastante restrictiva en materia de proteccion de datos, y por las obligaciones que esta impone no cualquier proveedor extranjero (especialmente en USA) cumple los requisitos.
Es mas, la mayoria de empresas de hosting USA no estan acojidas al programa Safeharbor, lo cual en caso de tener alojados datos personales en dichos servidores, de usuarios españoles se esta produciendo un trasvase internacional de datos, lo cual puede acarrearte muchos problemas en caso de alguna denuncia o alguna mala practica.

Si lo que quieres es conseguir clientes con tu sutil SPAM, no creo que esta forma de actuar te ayude mucho.

Una empresa lider en soluciones web, no revisa antes su pagina en Firefox, y necesita que le indiquen los detalles ???
Puff......si estos son los lideres, como sean los colistas.

Cierto, no habeis entrado con buen pie.

De momento, yo he visto poco tip, y mucho autopublicidad.
Para un consejo que das es totalmente erroneo y lo unico que hace es liar.

Si quieres empezar con buen pie, lo primero seria empezar por quitar esa firma que si no es SPAM puro, lo roza.Y dejar de autopromocionarte con cada mensaje.
Yo tambien tengo una empresa, y no entro aqui a venderla, si no a colaborar, bien o mal.
Nadie me puede sacar los colores en ese sentido.

Dpto de diseño? a quien crees que engañas?

Con un solo servidor alquilado en sagonet y usado esas practicas ademas de dando hosting ilimitado en espacio y transferencia por 6,95 no vas a durar en este negocio mucho tiempo.

Rectifica tu estrategia estás a tiempo que conste que se te está advirtiendo

Saludos

Maria Velez

Estoy contigo Mariavelez.
A ver si conseguimos erradicar a estos vendedores de humo de los foros, que solo hacen que intoxicar y tratar de promocionarse y por ende desprestigiar este negocio.

Muy bueno lo del ticket al departamento de diseño !!

Estas leyes desorbitadas han salido en muchos paises del mundo (no solo en europa) y en todos al final fueron modificadas por que se ve que los legisladores poco sabian de internet y mas obstaculizaban que otra cosa.

Suerte a los amigos de europa! Ojala pronto sus legisladores se conecten a internet y vean la barbaridad de leyes que pusieron!

La LOPD hoy por hoy es un utopia, está fuera completamente de la realidad, el 90% de las empresas españolas no la cumplen porque seguirla al pie de la letra es inoperativo, no existen medios suficientes para aplicarla por parte de la administración y por ultimo una ley tan restrictiva que aborda los derechos fundamentales y que puede acarrear multas millonarias para los infractores no ha sido suficientemente difundida. Y ojo que yo estoy de acuerdo en aplicar regulaciones severas en lo que a los datos de caracter personal se refiere, pero que se haga de forma realista y que sea de más facil cumplimiento.

En cuanto a lo de alojar en estados unidos, lo que ya han repetido con buen criterio, simplemente esas empresas deben cumplir con lo que establece la ley, asi de simple.

Mucha gente hace una mala lectura de la ley y creen que a partir de ahora solo se puede alojar en España y eso es completamente falso.
No se si me he desviado un poco del tema.

Un saludo.

Estoy contigo Oso_polar, que la LSSI y la LOPD son buenas en parte, pero poco realistas, motivo por el cual ese porcentaje, muy optimista, no las cumple.
No olvidemos que la LOPD tiene que ver con todo tipos de datos.
Si en tu empresa almacenas curriculums en papel, tambien estas expuesto si no cumples la ley a una multa, y no pequeña

En fin, que mientras esto no cambie , que no lo va a hacer, no hay mas remedio que cumplirla.
Seguramente si no la cumples, y haces las cosas bien, no pasara nada,y mas en casos de sitios web humildes y pequeños, pero eso no se puede decir como consejo publicamente.

Buenas tardes,

La verdad, si que ha dado de sí el tema. Voy a aportar, espero, mi última contribucción al tema.

Mindango ha hecho referencia en un post suyo a una duda que planteo a la AEPD, creo refernte a las direcciones de correo electrónico. Decir, que algunas veces las constestacines de la AEPD a consulta no son del todo ajustadas a la interpretación normativa. Lo que sí debe guiar son las Memorias anuales de la AEPD, os la recomiendo. Respecto a los correos electrónicos y, por ende, respecto a la aplicación de la LOPD, decir, bajo mi opinión que la aplicación, sea cual fuere el caso está en los siguientes extremos y diferneciación de conceptos:

1. No es los mismo dato que información.
2. No es los mismo dato personal que dato empresarial.
3. No es lo mismo personal que identifique a una persona.

Por tanto, bajo estos extremos, la LOPD se aplica exclusivamente a datos que nos proporcionen una determinada información sobre una persona, la cual debe ser identificable a través de aquellos -es decir,a través de los datos que disponemos-. Por ejemplo, podemos tener los siguientes datos por separado: 1960, 45, Juan. Estos datos no nos dicen nada separados o conjuntamente, pero si a esos datos les unimos los siguientes: Vicente Hernández, Nº DNI, TLF., direccion de correo electrónico, sí que disponemos de información y sí que identificamos a una persona.

Por tanto el quid radica en que, indifernetemente de la cantidad de datos que tengamos, si los mismos, separados o conjuntamente, nos muestran una información de una persona a la cual podamos identificar.

Espero no haber sido un poco lioso. Y respecto al hosting en ele extranjero decir que siempre, o casi siempre, es considerado encargado de tratamiento, pero siempre que la empresa de hosting pueda tratar esos datos -incluyendo la visualización-.

Respecto a una Página Web, a nivel profesional, todas deben cumplir con la LSSI y con la LOPD.

Como en todas las respuestas ofrecidas, intentamos, al menos los que entendemos del tema dar una solución general, pero tenéis que contar que en estas normativas cada caso es único, puesto que cada empresa tienen una forma de organización informática diferente, tanto en recursos como a la hora de tratar datos personales.

Un saludo.

Excelente explicacion ICEF.

Vienes a explicar muy bien algo que yo he intentado con peor fortuna y ayudar en parte al usuario que hizo la pregunta.

Que si solo recojes un nick, y una contraseña como pregunto el usuario, datos que no identifican a una persona (no hay direccion, nombre, apellidos etc...) como ocurre en la mayoria de los foros, no tienes porque registrar ese fichero en la APD, aunque se trate de datos personales.Incluso recojiendo el mail.

Pero bueno, como bien dices, hay muchos condicionantes y variables, y a veces el generalizar es complicado.

Mindago, siento tener que discrepar te explico porqué:

Informe jurídico de la Agencia Española de Protección de Datos sobre:
Dirección de correo electrónico - Año 1999 https://www.agpd.es/index.php?idSeccion=234

Se planteó si la venta o cesión de un fichero que contenga direcciones de correo electrónico ha de ser considerada como cesión de datos a los efectos de la LOPD, lo que exigía analizar si dichas direcciones tenían la consideración de dato de carácter personal, partiendo del concepto establecido en el artículo 3.a) de la LOPD.

En este sentido, debe indicarse que la dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular. Por ello podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo:

a) El primero de ellos se refiere a aquellos supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal. Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo electrónico el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del país en que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso así delimitarse el centro de trabajo en que se realiza la prestación).

b) Un segundo supuesto sería aquel en que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacer concluir que no nos encontramos ante un dato de carácter personal. Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación. Por todo ello se considera que también en este caso, y en aras a asegurar, en los términos establecidos por la Jurisprudencia de nuestro Tribunal Constitucional, la máxima garantía de los Derechos Fundamentales de las personas, entre los que se encuentra el derecho a la "privacidad", consagrado por el artículo 18.4 de la Constitución, será necesario que la dirección de correo electrónico, en las circunstancias expuestas, se encuentre amparada por el régimen establecido en la LOPD.

Tomando esta circunstancia en consideración se concluye que la cesión de un listado de direcciones de correo electrónico se encuentra sujeta al artículo 11 de la LOPD, sin que la mera publicación en Internet de un directorio de direcciones de correo electrónico puede ser considerada como circunstancia que convierte los datos en accesibles al público, toda vez que dicha inclusión supone un tratamiento que, debe haber sido efectuado recabando el consentimiento informado de los afectados, al que se refieren los artículo 5 y 6 de la LOPD.

Creo que queda claro que una dirección de correo electrónico, sean cuales sean los signos, números o letras que la componen se considera dato de carácter personal.

Pero hay otro tema mucho más importante que es conveniente aclarar a los que recopilan datos personales. Es el de informar a los interesados que según la LO 15/1999 ya que es obligatorio por parte del responsable del fichero además de ser un derecho de las personas.

Artículo 5 . Derecho de información en la recogida de datos. LO 15/1999
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

También queda claro que ningún foro cumple con este requisito cuando alguna persona se registra. El que un foro tenga unas normas particulares no es suficiente para cumplir con la ley.

Por lo que cualquiera puede poner una denuncia ante la Agencia Españols de Protección de Datos. En cuanto pueda te pongo una sancion, publicada en el Boletín oficial del Estado, a una empresa por incumplir este requisito, ahora no lo tengo en casa, lo tengo en mi despacho.

Hay que tener en cuenta que presentar una denuncia ante la agencia es muy sencillo, sólo hay que bajarse el pdf del modelo de denuncia que la agencia tiene en su web.

Este es el link del modelo de denuncia: https://www.agpd.es/index.php?idSeccion=289

De todas formas si necesitas o alguien necesita que se informe sobre este tema, me encuentro a vuestra disposición para resolver las consultas.

Un saludo

333333, es evidente que eres un experto en estos temas, y tu aportacion es muy bienvenida.
Tambien es evidente que en algunos supuestos, ni la misma Agencia se aclara.

Aqui la duda que se nos planteo, y que me gustaria que resolvieses, es si mediante un foro, solo recojes nick y contraseña, sin ningun dato mas, si esos se consideran datos personales sujetos al cumplimiento de la ley.

Y como dije anteriormente, en cualquier caso, recomiendo ante la duda, cumplir la ley que tampoco cuesta tanto.Es mas el ruido , que las nueces.

Estaria bien que pusieses la sancion, a ver en que consistia, porque yo aun no he visto ninguna, aunque es cierto que tampoco estoy todo el dia pendiente de estos temas.

Y como ultima reflexion, igual que es cierto que casi el 100% de los foros incumplen la ley, tambien es cierto que casi un 100% de esos foros no tendran problemas por denuncias a poco que no hagan ninguna barbaridad con los datos.
Todos somos mas o menos conscientes cuando nos damos de alta en un foro que informacion debemos dar y cual no, y lo hacemos de forma voluntaria.
Esta claro, que si incumples la ley,no informas de nada, y encima luego "traficas" con esos datos o haces mal uso de ellos, lo normal es que te denuncien, pero si por el contrario, esos datos unicamente los haces servir para lo que fueron recojidos, y no hay mayor problema, nadie tiene porque denunciarte (lo cual no quiere decir que si algun "amigo" te denuncia, no recibas una sancion).

Este foro, sin ir mas lejos ,aunque no sea español, es un ejemplo.

Bueno, sólo es mi trabajo desde la publicación de la ley.

La agencia como cualquiera se equivoca, pero la solución siempre la pide al Tribunal Constitucional.

El nick o nombre de usuario si es un dato de carácter personal ya que con el se puede identificar a una persona, además que en los foros no puede haber dos nicks iguales. La contraseña es lo mismo ya que es la persona la que introduce una clave personal. Pero además en los foros se pide introducir el correo electrónico para enviarle un mensaje de confirmación.

Estos datos corresponden al nivel básico de protección.

Yo recomiendo lo mismo, por puro interés comercial. En cuanto al ruido y las nueces te puedo comentar que la Inspección de la agencia actúa en función a las denuncias que recibe, esto es, si reciben una denuncia se ponen en contacto con el responsable para pedirle el Informe de la Auditoría, el Documento de Seguridad y el Registro de los ficheros. A partir de aquí actuan en función a lo que el responsable les suministre.

Como dato te puedo comentar que la agencia se autofinancia por las cuantías de las sanciones que impone, no pide ni un euro a los presupuestos generales del estado.

El lunes te pondré varias sanciones publicadas en el Boletín Oficial del Estado. Esto es lo que les enseño a mis posibles clientes para que se decidan a contratar mis servicios.

Te pongo un ejemplo, que pasaría si:

Un usuario de un foro es borrado-logeado por los administradores y este usuario envía la denuncia a la agencia por incumplimiento del artículo 5 de la LO 15/1999.(No informar de los derechos de las personas a la hora de introducir datos personales en un formulario)

El no informar de sus de rechos a las personas está sancionado por el artículo 44 de la LO 15/1999, en principio como infracción leve.
"Recoger datos personales sin proporcionarles la información que señala el artículo 5 de la L.O. 15/1999."

Artículo 45. LO 15/1999.-
Las infracciones leves serán sancionadas con multa de 100.000 a 10.000.000 de pesetas. ( 601,01 € a 60.101,21 € )

El "traficar" con los datos personales está sancionado por el artículo 44 de la LO 15/1999, en principio como infracción muy grave
"La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas."

Artículo 45. LO 15/1999.-
Las infracciones muy graves serán sancionadas con multa de 50.000.000 a 100.000.000 de pesetas. ( 300.506,05 € a 601.012,10 € )

Lo que si tengo muy claro es que el cumplir esta legislación no es tan dificil ni tan complicado. Sólo hay que seguir una normas y poner una medidas de seguridad en los sistemas informáticos.

Gracias por clarificarnos estos detalles.