¿Es ilegal tener el Hosting en EEUU?. ¿Es obligatorio q el DataCente esté en España?

Hola,

Un cliente me pregunta si es obligatorio que el Servidor donde está su Web esté situado en España, pues cree que la Ley Española prohíbe que esté fuera del País.
Yo le he dicho que no es obligatorio, pues en su caso, tanto nuestra Empresa como la suya están en España y por lo tanto, ambos obligados por la misma legislación de protección de datos y demás.

¿Que os parece?

Necesito "demostrar" que tengo razón y por eso agradezco me digáis que artículos y de que ley puedo decirle que se mire, para que vea que en este caso, el que nosotros tengamos los Servidores en EEUU no va contra la ley.


Gracias por vuestras rápidas respuestas y comentarios, que este tema me tiene muy preocupado porque es muy buen cliente.


Manel

POr extender un poco mas el tema y de paso, ayudar a quien pueda interesar el tema.

Yo creo que la protección de la Ley, es por si contratas a una empresa (por ejemplo) Americana de Hosting, que su legislación es inferior que la Española, y podría legalmente vender los datos sin el consentimiento de su cliente.

Si lo que contratas es a otra Empresa Española que tiene sus Dedicados en EEUU, pero que como Española que es, bajo la misma legislación y por lo tanto protección de Datos, en este caso, sería totalmente legal, independientemente de la situación física de Servidor (El proveedor Americano no tiene acceso a eso datos, pues no maneja el Servidor, solo lo tiene físicamente en sus instalaciones).


¿Es cierto lo que digo?.


Gracias

La ley española no prohibe nada de eso, por lo tanto no es ilegal.

La LOPD regula la protección de datos personales.

Se puede tener el hosting y la base de datos en otro país, pero eso supone transferencia internacional de datos por lo que tendrá tu cliente que adaptarse a la ley.

Recuerdale que es obligatorio que se adapte a la ley tenga los datos en España o en cualquier otro país.

LOPD.-

TÍTULO V MOVIMIENTO INTERNACIONAL DE DATOS

Artículo 33. Norma general
1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos de finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Artículo 34. Excepciones
Lo dispuesto en el artículo anterior no será de aplicación:
a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
20.
e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.
k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.

Entendido pero....

Los datos "viajan" a EEUU, pero el nivel de protección es el mismo que si "viajaran" a cualquier punto de España.
Los datos se albergan en un Servidor que es Propiedad de mi Empresa que es Española y aunque está físicamente en EEUU, solo nosotros tenemos acceso a el, pues la gestión y administración completa es nuestra. El DataCenter no tiene ni los datos de "root".
La seguridad es idéntica que si el Servidor estuviera en un DataCenter Español.
El problema creo que sería si la Empresa de Hosting no fuera Española y por lo tanto, no estuviera obligada por la misma legislación que la nuestra y que por lo tanto, pudiera no cometer delito si vendiera los datos.

¿Me equivoco?.



Saludos y muchas gracias por tu aclaración y por si puedes recontestarme.


Manel

Buenos días,

Decir que estoy de acuerdo con 333333 y, a cotinuación realizo una serie de apreciacines a lo comentdo.

El problema no radica en que el servidor esté en EE.UU. y solo tu empresa tenga acceso a él, ya que como bien dice 333333 es perfectamente legal. El problema que tienes es que hay una subcontratación en cascada: Cliente-Empresa-EE.UU., es decir, tú ofreces el servicio de hosting, pero el Servidor de lo ofrece una empresa de EE.UU. -físicamente-.

Tienes que conocer muy bien el contrato que hayas firmado con ellos, y asegurarte de las medidas de seguridad de que dispone la empresa americana, por que te lanzo la siguiente pregunta: ¿La empresa de EE.UU. tiene acceso físico a los servidores? ¿En caso de caída del servidor o cualesquiera incidencia, quién accede al servidor para recuperar datos, etc.?

Asegúrate de que el contrato es completamente legal y se adapta a la normativa española de protección de datos. Por lo demás no debes tener problemas, simplemtente a la hora de notificar ficheros y redactar el documento de seguridad.

Un saludo.

Gracias por la nueva aclaraciones.

Yo he contratado un Hardware y una ancho de banda, y todo lo que es acceso al servidor (configuración, mantenimiento, etc...) lo hacemos nosotros, por lo que el DataCenter SOLO puede reiniciar el equipo físicamente cuando lo solicitamos (y aún así se hace vía Web por medio de unos reles que actúan físicamente sobre la conexión de electricidad del Servidor).

Es decir: Incluso en caso de caida del Servidor y posterior recuperación de datos, solo la podríamos hacer nosotros pues el DataCenter no tiene acceso lógico (físico si, claro) al equipo.



Saludos

Si el servidor está en estados unidos, no importa si te ofrece hosting o housing. Tienes que ver si el proveedor de servicios está en la lista de Safe Harbor: web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list

añadid ht tp:// delante de la dirección, no me deja publicar enlaces por ser nuevo en el foro.

Si la compañia no está en el listado, tienes que informar a tus usuarios que sus datos personales serán guardados en un servidor ubicado en un pais que no tiene una legislación sobre la protección de datos.

Por lo que si añades el texto en los terminos y condiciones para los usuarios de tu web no tendrás problemas. El usuario debe aceptar de forma explicita esta situación, por lo que tienes que mostrarle el texto cuando se registran y tienen que pulsar un boton para aceptar dichas condiciones.

No hay más secreto.

Espero que os sirva.

Saludos.

Hola a todos. Veo que este tema trae bastante cola. Explico mi situación y a ver si me puede ayudar.

Soy diseñador web y estaba pensando ahora en contratar un alojamiento en E.E.U.U. (En florida mas concretamente) y antes de contratarlo quiero tener claro si tendré problemas. De este tema se ha hablado mucho y creo que al leerlo todo, estoy mas liado todavía. ¿Podría alguien poner exactamente los pasos para estar completamente legal alojado en una empresa USA?

Gracias a todos.