LOPD y HOSTING

Hola

he leído un artículo sobre estas las leyes LSSI y LOPD:

Respecto a la LOPD dice así:

A este respecto, 2 preguntas: ¿El responsable del fichero, es el Webmaster? ¿Qué quiere decir "Carácter obligatorio o facultativo de consignar determinados datos"?

También tengo algunas preguntas respecto a otro artículo en el que se indica que el Estado español tiene una relación de países considerados como cumplidores del nivel de protección de los datos adecuado, y que el Departamento de Comercio de los EEUU se encargará de incorporar a un directorio, llamado Safe Harbor o Puerto Seguro, a aquellas empresas que cumplan unos requisitos mínimos de protección de datos, de modo que éstas tengan el visto bueno de las autoridades comunitarias.:



¿Qué tiene que hacer el Webmaster de una web que recoja datos de personas, para no infringir la LOPD (además de lo explicado en el artículo anterior)? ¿Basta con contratar el hosting con una empresa que cumpla con el nivel de protección exigido?



OK, ¿cuál es esa relación de países cumplidores de dicho nivel? ¿Todas las empresas radicadas en España, y con servidores en España, cumplen con dicho nivel?

Gracias y Saludos.

Buenas, veo que nadie se anima asi que ahi voy yo. No soy especialista en LOPD pero si he dirigido adaptaciones a ISO 27001 donde una parte importante es LOPD.

"¿El responsable del fichero, es el Webmaster?"

NO. El responsable del fichero es la empresa que lo solicita, lo crea y lo procesa. El webmaster es un mero depositario de datos pero no recibe ninguna cesión de datos para su proceso. Si, por ejemplo, son datos que deban ir cifrados porque asi lo diga la LOPED, será el cedente el que se encargue y se asegure que el webmaster lo hace. Para ello firmara los correspondientes acuerdos de servicio.

¿Qué quiere decir "Carácter obligatorio o facultativo de consignar determinados datos"

Pues eso, que si hay datos obligatorios se debe indicar cuales son, y sobre todo, se debe decir por escrito las consecuencias de no ponerlos. Por ejemplo yo hace tiempo en un banco me dieron un papel para que firmara mi autorizacion a la cesion de mis datos a empresas del grupo. Me negue y me dijeron que no podia abrir la cuenta. Les exigí que me dieran por escrito esto y se negaron. Avise que pondría la correspondiente denuncia en al APD. A los dos dias me llamaron para pasar por alli para abrir la cuenta sin necesidad de ceder mis datos.

¿Qué tiene que hacer el Webmaster de una web que recoja datos de personas, para no infringir la LOPD?

¿Que sabe el webmaster la naturaleza de los datos que se guardan? ... nada. Por lo tanto el que tiene que decir cómo deben tratarse es el dueño. Otra cosa es que el webmaster tenga unas buenas practicas en materia de seguridad para captar la atención de los clientes. Si sin datos que requeiren un determinado tratamiento, será el dueño el que exija al webmaster que se adecue a lo que marque la LOPD. Evidentemente sin o lo hace no creo yo que el cedente firme el contrato o siga con el proyecto.

OK, ¿cuál es esa relación de países cumplidores de dicho nivel?

Ni idea, pero son muy pocos. La LOPD en España es bastante avanzada con respecto a otros sitios.

¿Todas las empresas radicadas en España, y con servidores en España, cumplen con dicho nivel?

Los incumplimientos de LOPD son generalizados en todo tipo de empresas. De todas formas la preocupación principal no deben ser las empresas de hosting sino en generel "las empresas". El dueño de los datos y por tanto el que los manipula es quien más papeletas tiene de no cumplir LOPD. El webmaster no tiene ni porque saber la naturaleza de los datos que contiene.

Hablo de datos normales, no de pornografia o de temas ilegales. Las empresas de hosting más de una vez han expresado ante las autoridades su queja de que ellos no pueden ser policias del universo.

Insisto que yo no soy especialista en esto y todo es discutible. No obstante espero haber aportado algo util.

Un saludo
Hooker

Solo apuntar que la información de HookerSP es referida cuando el webmaster se encarga del desarrollo o gestión de un sito web del que no es dueño.

Otra cosa es para el webmaster que tiene su propia web. En tal caso, el responsable es el mismo webmaster.

Aqui te dejo una dirección de la Agencia de Protección de Datos:
Preguntas frecuentes:
https://www.agpd.es/index.php?idSeccion=120
Web oficial: https://www.agpd.es/

El "Responsable" es el dueño del sitio, si el webmaster coincide con el dueño pues es el responsable, el "Encargado" normalmente será la empresa de hosting y aquellos que tengan acceso a los datos por cuenta del responsable serán "Usuarios".

Todos aquellos que tengan acceso a los datos tendrán que firmar un contrato de confidencialidad al responsable.

Si alojas lo datos fuera de España, se considerará una cesión y allá donde esté alojado deberá cumplir las medidas de seguridad necesarias según la clase de datos.

Espero te aclare algo la cosa.

Hola gente.

Antes de nada: Gracias por vuestras respuestas

Pero sigo en las mismas.

Supongamos que he de implementar un portal, en el que se registren los interesados en recibir periódicamente un boletín. Supongamos que para mejorar las acciones de marketing, además del correo, el formulario de registro solicita nombre, apellidos, País, profesión, etc. Y supongamos finalmente que el dueño de la Web no tiene ni idea sobre la LOPD y delega en mí, el cumplir con todas las de la ley.

Mis preguntas siguen siendo las mismas: ¿Qué hago?

Entonces, para que una web, como la descrita, cumpla con la LOPD, tiene que estar alojada en una empresa de hosting que cumpla con los criterios de seguridad exigidos, ¿no es así? Ahora solo resta saber una última cosa: ¿Cómo sabemos si una empresa de hosting cumple con estos requisitos? ¿Les preguntamos a ellos?

Pues puede que tengas razón, pero juraría que en esa frase no pone eso.

Gracias de nuevo.

Saludos.

jouse, no le des tantas vueltas a lo mismo, el responsable es el dueño del fichero, si tu te vas a encargar de los datos serias encargado y el alojamiento también, en el caso de varios encargados sólo hay que declarar uno, el que mayor tratamiento de datos tenga.

Cualquier alojamiento que se precie en España debe cumplir con la LOPD, muchas lo anuncian, sino pregunta, además deben firmarte un contrato como encargados.

Los datos que se soliciten no deben ser excesivos, no se puede pedir hasta la talla de calzoncillos para un simple boletín, sobre todo si el que va a enviar el boletín sois vosotros mismos, si pensais ceder los datos para el envio de publicidad por terceras empresas debeis indicar dicha cesión en el contrato y el usuario aceptarlo, mañana un usuario recibe publicidad por una cesión vuestra sin consentimiento y os podéis meter en un lio.

En cuanto a la obligatoriedad de los datos es lo que te han comentado, muchos formularios tienen campos obligatorios y otros no, únicamente indicar cuales son obligatorios y si no los incluyen que pasa, por ejemplo no poder acceder a determinados servicios, no poder finalizar el registro, si el usuario no acepta cookies que no se ofrecerá el servicio al 100%...

Espero te haya aclarado más las cosas.

Los datos estarán tranquilitos en una base de datos, y un programa los utilizará para enviar un boletín que empezará “Hola Manolo”. De acuerdo que el responsable es el dueño, pero el dueño puedo ser yo cualquier día, y quiero saber cómo cumplir con la LODP. ¿Qué es eso de declarar encargados?

Entonces, ¿me confirmas que con contratar un hosting que cumpla, es suficiente? ¿No he de tener en cuenta nada más? ¿Firma digital, o cómo lo hacen? ¿Y si se trata de una empresa de hosting extranjera? ¿Quizá sería lo mejor contratar hosting en España para estos casos?

Saludos

¿Cual es la diferencia entre un hosting que cumple con la LOPD, y otro que no cumple? ¿Cuestión de tecnología?

Saludos

Buenos días,

Espero que mi aportación pueda resultar un poco clarificadora. El responsable de cumplir con toda la normativa de protección de datos, al igual, que la normativa de servicios de la sociedad de la información -LSSI-, es el dueño de la Página Web -sea persona física o persona jurídica-. Por lo tanto, es él quien ha de establecer las medidas legales acordes a la normativa.

Respecto al tema del hosting. Es indiferente que la otra empresa cumpla o no con la normativa, siempre que el Responsable, es decir, el dueño de la Web se cubra las espaldas suscribiendo con la empresa de hosting un contrato de encargado de tratamiento, porque si no lo hace, la responsabilidad por un mal tratamiento de datos recae sobre el dueño de la Web, aunque la empresa de hosting cumpla con todas las exigencias de la normativa. Además, el dueño de la Web debe disponer del obligado Documento de Seguridad donde especifique todas las medidas organizativas, legales y técnicas que ha implantado para cumplir con la normativa de protección de datos.

Por otro lado, si en el trabajo que le prestas al dueño de la Web, vas a acceder, visualizar, tratar, etc. datos personales, estás obligado igualmente a cumplir con la normativa de protección de datos, de momento, como encargado de tratamiento.

Si el servidor de hosting o a la empresa se encuentra sita en un país que no ofrece medidas legales acordes a la española, debes comunicar a la Agencia Española de Protección de datos, dicha transferencia internacional, indicando o aportando prueba de cumplir con las execpciones que permite la transferencia sin necesidad de dar el consentimiento el Director de la AEPD, sino deberás notificar a este para que de su visto bueno.

Por último, creo que le estás dando mucha importancia al tema del hosting, cuando creo que, particularmente, no tiene "dificultades", debiendo considerar primero cumplir con el tema de comunicaciones promocionales y protección de datos.

Un saludo.

¿Cómo se suscriben estos contratos? ¿Cuentan las empresas de hosting con modelos de estos contratos? ¿He de acudir a las oficinas de la empresa a firmarlos? ¿Y si está en otro País? ¿Se utiliza la firma digital?

Para lo cual, es necesario tomar medidas organizativas, legales y técnicas que desconozco. Por eso abrí este hilo.

Comprendo. ¿Cómo se cumple con la normativa de protección de datos, de momento, como encargado de tratamiento?

¿Cuáles son las excepciones que permiten la transferencia? ¿Cuál es la prueba de cumplir con dichas excepciones?

Si estoy dando tanta importancia al tema del hosting, incluso antes de cumplir con el tema de protección de datos, es porque los datos los aloja el hosting, y no yo en mi casa. ¿Quién dispone de las medidas técnicas que se han de implantar para cumplir con la normativa de protección de datos, y que han de recogerse en el obligado documento de seguridad, si no es la empresa de hosting?

Bastante. Cada vez me va quedando más claro, que para cumplir con la LOPD, necesitaré contratar los servicios de una consultora de abogados, ¿me equivoco?

Gracias de nuevo a todos.

Sin embargo, hay quien te dice que es mucho más sencillo. Así me dicen en otro foro:

Tras leer el post de ICEF, daría un testículo, porque fuera tan sencillo, como alojar la Web en uno de esos paises, y dar de alta el fichero en la AEPD.

Ayer escribí a cropcreativos, empresa de hosting con sus servidores alojados en EE.UU, preguntando por este respecto. Esta es su respuesta:

Buenos días,

Intentaré responder por partes en lo que pueda o me de tiempo. El post o tema da para mucho juego.

Respecto al último post de servidores en Alemania, Reino Unido, Italia, España, etc. Primero, ningún estado puede restringir la libre prestación de servicios y, por lo tanto, obligar a un ciudadano a escojer un país determinado. El escojer un país de los mencionados, no indica que estés cumpliendo con la normativa de protección de datos, simplemente que a la hora de notificar el fichero no tienes que aportar documentación adicional, pero te adelanto que la notificación es un mero trámite formal, puesto que si no tienes Documento de Seguridad, no incluyes leyendas de información, no estableces procedimentos de seguridad, no acatas la normtatva de servicios de la sociedad de la información -especialmente en comunicaciones promocionales-, etc., la sanción es muy fuerte. Los estados que la AEPD ha determinado que son correlativos en materia de protección de datos para el tema de transferncia internacional son: estados de la UE, Suiza, Hungría, Argentina, Brasil, EE.UU. con Safe Harbor y pocos más (se van actualizando con convenios internacionales).

Como webmaster que vas a tener acceso desde tu casa al servidor de EE.UU. para gestionar los datos almacenados allá, he de comentarte que estarías en lo que se conoce como subcontratación en cascada, es decir, tú prestas un servicio al dueño de la Web y además tú para ello precisas de un servicio exterior para poder prestar aquel. Los encargados de tratamiento son, por una parte responsable de los ficheros que contienes datos personales de su empresa, y encargados de tratamiento de los datos que te proprocionan terceros para la prestación de un servicio (p.e. eres responsable por tratar los datos de tú cliente y encargado de tratamiento por tratar los datos de los clientes de tú cliente).

Obligaciones del encagado de tratamiento. Tratar los datos conforme a la normativa de protección de datos aplicando medidas de seguridad acordes a la finalidad de aquellos -básico y/o medio y/o alto.- Por otra parte, la firma de ese contrato es responsabilidad del responsable del fichero, si él no lo firma la responsabilidad recaé sobre este y no sobre el encargado de tratamiento, pero mi recomendación es siempre suscribir el mismo.

Son muchas cosas, me es impopsible acercarlas todas, e intento poco a poco aclarar algunas. El tema de protección de datos y servicios de la sociedad de la información es obligatorio para cualqiuer empresa y las saciones puedes superar los 600.000 €. Así mismo, no sólamente hay que adaptar los ficheros automatizados sino que desde este año las empresas tienen que adaptar sus ficheros en soporte papel.

Un saludo.

Un millón de gracias.

¿Qué datos has de registrar en tu base de datos, para preocuparte por todo este berenjenal?

Me explico:

Si yo solicito en mi web, una dirección de correo, y un nombre, para poder enviar a dichas direcciones un boletín, ¿estoy en posesión de datos cuya seguridad he de garantizar de la forma que comentas?

Por ejemplo forosdelweb el registrarme me pide un nombre "Jouse" y un correo. Imagino que al ser datos que no comprometen mi anonimato, no han de preocuparse por todo este chochazo.

Imagino que todo esto será aplicable cuando recoges datos personales (nombre, apellido, dirección...)

En cuanto a las comunicacines promocionales, ¿qué hay que tener en cuenta para resptetar la LSSI? Por lo que sé, por los boletines que recibo, han de incluir la posibilidad de borrarte de la lista. ¿Algo más?

Gracias de nuevo.

Saludos.

Hola,

Normalmente, las consultoras suelen cobrar carísimo por hacer la gestión de creación y registro de ficheros, de ahí es posible que se digan tantas cosas inexactas.

Se puede perfectamente tener la web en cualquier lugar del mundo. EEUU, Japón, India... Sólo hay que dejarlo claro en el sitio "Recordamos a nuestros usuarios que sus datos serán guardados en X (país)".

Sobre el tema de "subcontratar en cascada", el hosting no tiene nunca jamás acceso a tratamiento de los datos "oficialmente". Es decir, nosotros no le autorizamos a verlos, si lo hacen, ellos están cometiendo un delito. Así que sería responsabilidad suya el cometer tal acto.

Existe un apartado en la documentación a entregar en la AGPD. En ella has de indicar donde se guarda fisicamente el fichero. Es ese punto donde se debe poner tu empresa de hosting. Y con ello, ya has cumplido.

El nivel de seguridad. El medio/alto es cuando se recogen datos muy muy comprometidos. Como afiliaciones politicas, sexuales etc etc, por lo que estoy casi segura que nadie tenemos esa clase de ficheros.

No sé de donde se saca la cifra de los 600.000 euros de multa. Y ni mucho menos se de donde se ha sacado el detalle de que este año hay que hacerlo en "soporte papel". Consultada la AGPD 901 100 099 han comentado que es falso.

Nosotros dimos de alta muchos ficheros (tenemos varias webs), y no es nada complicado, y menos aún porque la AGDP nos ayudó paso a paso cuando teníamos dudas. Su teléfono es 901 100 099.

Sobre las últimas dudas: sí, debes citar que guardas emails, ya que un email es un dato personal. Es decir, no es compartido, e "identifica a la persona".

Sobre el tema de los boletines: puedes incluir esa línea en los boletines para que se puedan borrar, y tener un panel en tu web para el mismo efecto.

Sin embargo, según la AGPD y su normativa (LSSI siento decirte que es otra cosa), se debe hacer así:

- OBLIGATORIO tener una dirección fisica, y publicada en tu web, para que quien quiera darse de baja, o acceder a sus datos en el fichero, pueda hacerlo.
- Oficialmente, deben de identificarse mediante el DNI (fotocopia) y enviarlo a dicha dirección fisica. Entonces debes darle de baja.

Sin embargo, por educación y respeto, te recomiendo pongas esa línea en el email y un panel para darse de baja.

Y popr último, por favor, no hacer mucho caso de consultoras que quieren conseguir clientes: llamar a la Agencia 901 100 099, que no solo no se comen a nadie, sino que encima ayudan en todo lo que pueden como hicieron con nosotros.

Un saludo,
María Rosa
WebMaster de WebTaller.com

Buenos días,

Lamentando mucho, he de utilizar este canal para puntualizar a la forera ZUZI, al considerar que el post indirectamente me alude.

Primeramente, en referencia a tú mensaje, veo que de conocimientos sobre la aplicación de la normativa de protección de datos, no conoces "ni de la misa la mitad", al tener graves errores en los comentarios que efectúas, sin entrar a valorar lo de las consultoras que te lo contestaré al final, aunque hubiere preferido haberlo hecho por mensaje privado, pero creo que la primera que los has hecho público has sido tú.

En relación a las incongruencias efectuadas:

Primero. De forma general, la AEPD está para resolver dudas, aunque si te lees su Aviso Legal la AEPD se exime de toda responsabilidad por sus respuestas y, por la experiencia ya me he encontrado varias incongruencias en sus contestaciones.

Segundo. Respecto a los servidores en países o estados. Comenté que hay libre prestación de servicios y cualquiera podía contratar el servidor en cualquier estado del mundo. Sólamente hay que notificar dicho servicio, pero si el estado no se encuentra amparado por el principio de reciprocidad, a la AEPD has de facilitarle documentación o prueba al efecto para poder notificar el fichero que se encuentra almacenado en ese estado, sino no te lo registran.

Tercero. Comentas que a la hora de registrar el fichero sólo debes indicar que el mismo se encuentra en el servidor "X". Pues entonces, lamentando mucho la empresa que da el servicio de servidor ha de incorporar en su Documento de Seguridad las medidas que aplica para ese cliente, porque si yo lo fuera obligaría a ello, ya que si soy cliente sería el responsable del fichero y, por tanto, el que impalnta las medidas de seguridad en función del nivel.

Cuarto. Creo que equivocas el mero trámite formal de notificación de ficheros con el completo cumplimiento de la normativa. Respecto a las sanciones, otra muestra más del escaso conocimiento. Las sanciones por infracciones en protección de datos son cumulativas, con lo que te pueden imponer sanciones por varias infracciones sumándose las cantidades de todas ellas, por lo que de pura lógica si sumas las sanciones supera lso 600.000 €.

Quinto. En cuanto a lo que llamas "soporte papel". Otro error "infantil". Cuando me refiero a ese concepto, me refería a que los datos en soporte papel su límite para notificarlo a la AEPD y, por ende, cumplir con todos los extremos y obligaciones de la normativa de protección de datos, culminaba el plazo de adaptación de aquellos, en el año 2007. Por lo tanto, toda empresa que disponga de datos de carácter personal en soporte papel o su tratamiento sea conjunto con soporte automatizado, ha de adaptarse en base a la regulación actual a las medidas que aquella exige: Documento de Seguridad, leyendas informativas, implantación de las medidas de seguridad acorde al nivel, suscripción de contratos, etc. Para que adquieras conocimiento, en virtud de la Disposición Adicional Primera de la LOPD.

Sexto. En cuanto a los boletines. Empieza a decir que para enviarlos precisas el consentimiento del destinatario o, bien que éste sea cliente y le remitas información comercial de productos y/o servicios similares a los contratados o adquiridos. Lo que tú comentas es una obligación posterior. Vuelves a equivocarte.

Séptimo. Ya que te las das de autosuficiente, como experta en estos temas, que ya has demostrado que no, empieza a comentar que el registro de fichero es una obligación formal, que como no dispongas del Documento de Seguridad y de los contratos necesarios, así como del resto de obligaciones, el registro no vale para nada. Así mismo, comenta que tú experiencia es para el registro de tús ficheros, no para el de tús clientes, cuyas obligaciones son distintas, como por ejemplo el caso del iniciador del post.

Octavo. Para teminar, sobre el tema de consultoras. Decirte que hay te doy la razón. Pero cometiste otro error, si es que dicho comentario se dirigía hacia mi, ya que deberías informarte antes sobre formación, experiencia y titulación además de múlltiples publicaciones. Por cierto, fácil de encontrar.

Un saludo, y espero que sigas aportando tús opiniones, porque para eso el presente medio es libre para vertir comentarios, pero por favor, hazlos desde el conocimiento no desde lo que crees que podría ser.

Hola,

No voy a entrar a discutir contigo por tu opinión de mi "baja" experiencia en ficheros. Hemos dado de alta, hasta la fecha, más de 60 ficheros de nuestras propias páginas web, y más de 100 de clientes, así que no voy a entrar al trapo.

Las opiniones están sobre la mesa, la tuya y la mía. Por lo tanto, si alguien tiene alguna duda, dejemos que llamen a la propia Agencia y consulten las dos opiniones antes de contratar cualquier consultoría, las cuales viven de conseguir clientes para dar de alta ficheros, diciéndoles auténticas burradas y haciéndoles creer que van a ser incapaces. Yo, en cambio, no vivo de eso. Así que creo que mi opinión es más imparcial.

El teléfono de la Agencia es:901 100 099

Es así de sencillo.

María Rosa
WebMaster de WebTaller.com

Buenas de nuevas,

Para zanajar el tema. Tampoco me dedico a registrar fichero, así que mi postura es igualmente imparcial. En consecuencia, por mi que lo registren las empresas y cualquier persona que se vea capaz. Lo mismo digo para el resto de adaptación que conlleva lo de protección de datos. Me imagino que eso también les informas a tús clientes. No sé que te diga si la consultora eres tú o el resto de empresas que se dedican a ello, porque creo que te ofende que haya empresas que se dediquen a ello. Espero que en tus ideales de empresa se encuentre la libertad de competencia.

Respecto a los ficheros que registrías, vosotros sabréis, la responsabilidad es vuestra, no mía. Así que espero que lo que haya registrado conincida con lo que cada cliente vuestro tenga dispuesto en su Documento de Seguridad.

P.D. Los foreros son más inteligentes de lo que tu te piensas.

La página de tu empresa dice justo lo contrario


Y que lo digas

Mi empresa, efectivamente, lo realiza pero como bien te has informado di que también informo que es un mero trámite formal y que ello no implica la adaptación total, por lo que lo que sí efectivamente efectúo es la adpatación total, incluiodo el registro de ficheros.

Un saludo.

Ahora sí, ahora no.

Como bien dijiste, los foreros no somos tontos

Repito: quien quiera información fidedigna (sin cambios de versión según lo que convenga) que llame a la Agencia de Protección de Datos.

Señor Consultor.

Comenzaré diciendo que no tienes ninguna obligación de ayudarme a cumplir la LOPD por mis medios, y menos cuando te dedicas a ello.

Y dicho esto, y aun a riesgo de no ser considerado un forero inteligente, diré que no ha habido en tu intervención en este hilo, la más mínima intención de ayudar a quien pretenda hacer el trabajo por sus medios.

Dinos consultor, ¿cómo haces para implantar medidas técnicas sin dar importancia al hosting? ¿Y las organizativas? Esas sí que tienen que ser la polla.

¿Y bien? ¿No debería darle tanta importancia al tema del hosting, o debería dársela, hasta el punto de que tienen que incorporar en su Documento de Seguridad las medidas que aplica para ese cliente?

¿Qué os parece si abrimos en el subforo sobre hosting, un hilo donde listar empresas de hosting que incorporen en su Documento de Seguridad las medidas que aplica para el cliente que lo requiera? ¿O lo hacen todas?


Como puede comprobar cualquiera que se lea el hilo, te has cuidado mucho de no clarificar nada.

Saludos.

Buenas. Mira, te voy a contestar y aclarar determinadas cosas, aunque seguro que hay personas con opiniones diferentes. Pero, ya es cosa tuya investigar y quedarte con lo que sea para ti lo mejor.

Primero. No tengo necesidad de entrar en el foro y responder a consultas que se plantean, lo hago con mucho gusto desde hace ya bastante tiempo y, nunca he tenido este "problema".

Segundo. ¿Quieres hacer el trabajo por tús medios? Lo más fácil hubiera sido decirte, te lees la Ley Orgánica de Protección de Datos, el Reglamento de Medidas de Seguridad, las Instrucciones de la Agencia Española de Protección de Datos, la Ley de Servicios de la Sociedad de la Información y, por supuesto, dependiendo del sector al que te dediques el resto de normativa que te sea de aplicación. Si lo entiendes y crees que lo puedes elaborar: Lo tienes fácil, sólamente haz lo que consideres en función de tú interpretación.

Tercero. ¿Te cuento las medidas técnicas? Léete el Reglamento de Medidas de Seguridad, o empieza a comentar, espero que no te ocupe menos de 5 o 6 páginas lo que realizas con los datos, pero todo, todo. Desde que firmas un contrato con tú cliente, hasta como le das servicio técnico, cómo recabas esos datos, si tienes acceso a datos de menores de la Página Web de tú clientes, si tienes consentimiento, exenciones de responsabilidad, etc, etc, etc. Ah! y que no se te olvide contarme, íntegramente, todo tú sistema de información, incluido el de la empresa de hosting. Otra cosa, ¿tienes facturas en soporte papel, tarjetas de contacto, currículos, haces copia temporales de archivos? ¿Te lleva alguna gestoría las obligaciones fiscales, las nóminas, las comunicaciones a Hacienda y a Seguridad Social? Y con los bancos, ¿qué tal te llevas? ¿Y, los seguros? Cuando me cuentes un poco de todo esto te puedo comentar en qué nivel de datos estás y qué medidas aplicar.

Cuarto. ¿Tema de hosting? Te vuelvo a repetir que eres encargado de tratamiento de tú cliente y responsable de los datos tuyos. El Hosting es una subcontratación en cascada. Es responsabilidad de tú cliente el extrapolar las medidas de seguridad aplicadas al hosting. Tú las tendrás que implantar en el tratamiento de tús datos. Haces una cosa, llamas a tú servidor y que te digan cómo almacena los datos, que seguro sobre Servidores Espejo y tú acceso para la gestión de los mismos será a través de conexión a distancia a través de Panel de Control. Ah, por cierto, ¿haces tú las copias de seguridad a la vez que la hacen ellos? ¿Solamente tienes tú acceso y/o tú cliente?

Quinto. ¿Cómo hago para no dar tanta importancia al tema del Hosting? Primero, abstente de esos comentarios. Segundo, sólamente tengo que meterme en la Página Web de la empresa de hosting o tener acceso a su contrato -condiciones de almacenamiento- para saber qué medidas aplican. Pero, tú aplicas sólo esas o aplicas otras, porque tendrás más datos que tratas. Me imagino que antes de contratar te lees los contratos. Eso espero y las condiciones particulares, especialmente las técnicas. Ah, por cierto, para el resto, yo solamente espero que el nuevo reglamento de protección de datos no salga a la luz, porque para todos los que prestan servicios y son considerados encargados de tratamiento, a rellenar en el Documento de Seguridad las medidas aplicadas para cada cliente. Ah, otra cosa, es que son muchas, ¿la empresa de hosting se queda con las IP´s de entrada? ¿Existe clásula de confidencialidad y deber de secreto? Para termiar, la empresa de hosting es donde se produce el almacenamiento y, ¿el resto de operaciones? recogida de datos, grabación, conservación, modificación, bloqueo, etc., ¿Lo hace también la empresa de hosting o la haces tú a través de su servicio? Son dos cosas diferentes que hay que diferenciar.

Sexto. ¿Empresa de hosting que dispongan de Documento de Seguridad? A tí que más te da. Estás obligado a suscribir un contrato o a que en el contrato se disponga lo que van a efectuar con los datos personales. Aclaración o anecdota: Más de una vez he tenido que obligar a realizar ese contrato a las empreas de hosting. Recomendación, si tienes oportunidad, métete en alguna empresa de hosting y, a ver si ves una buena cláusula de encargado de tratamiento.

Séptimo. La mayor tristeza que me produce es que consideréis que esto es tan sencillo. Pues ala, a realizarlo solos y, si tenéis alguna duda un poco compleja a la AEPD. Espero que con esas dos cositas, seguro que lo tenéis chupado.

Octavo. Para los incrédulos que opinan que no hay sanciones fuertes en el tema de hosting y demás operaciones. Nada os pongo un link sobre procedimiento sancionador por el que se sanciona a una empresa a pagar más de 600.000 €. https://www.agpd.es/upload%2FCanal_D...%20LOPD%29.pdf

Nada y ahora a ver si seguís pensando igual.

Saludos y gracias por quitarme las ganas de seguir colaborando dando mi humilde aportación desde hace tiempo. Pero, visto lo visto, no volveré a efectuar opinión alguna.

A ver campeón. No te pongas tan dramático, y sobre todo no castigues al foro privándole de tu sapiencia y bonhomía, sólo porque un par de desaprensivos hayan osado cuestionar tu buena voluntad.

Si pregunto al respecto en varios foros, es principalmente para evitar tener que hacer la carrera de derecho, ni tener que leerme semejantes tostones. La cuestión es bien sencilla: Si puedo hacerlo por mí mismo, quienes sepan qué hay que hacer, me lo explican, y lo hago. Y si es tan complejo como tú cuentas, lo acepto y contrato a quien se dedique a tales asuntos.

Voy a implementar una web en la que los visitantes interesados se van a poder registrar mediante un nombre y una dirección de correo, para poder participar en un foro, o recibir un boletín con recetas de cocina. PUNTO.

HOSTING

Comienzas diciéndome que le doy mucha importancia al tema, cuando no tiene dificultades:

Te pregunto cómo haces para implantar medidas técnicas sin dar importancia al hosting, ya que dichas medidas técnicas se encuentran en el hosting, y no en un baúl de mi casa.

Te pregunto si no debería darle tanta importancia al tema del hosting, o debería dársela, hasta el punto de que tienen que incorporar en su Documento de Seguridad las medidas que aplica para ese cliente.

Y tienes las pelotas de instarme a abstenerme de hacer semejantes comentarios, y acto seguido, rematar la faena soltando una parrafada, plagada de complejidades, en sentido opuesto a tu comentario inicial, sobre el tema:

Respuesta que me das en privado respecto a lo mismo:

Excelente razón para darle importancia, ¿no crees?

También me dices en privado:

Claro que no, sólo te pido que seas honesto, que no te aproveches de la ignorancia de la gente, y que me permitas opinar libremente también a mí, opinión la cual no se basa únicamente en lo dicho por María Rosa, sino también en lo dicho y lo no dicho por ti.

Saludos.

Gracasi por la info....Saludos

ICEF lo tienes complicado.

Me he leido todo el post y me parece muy ilustrativo del nivel profesional que se puede encontrar por aquí.

ICEF ha expuesto con una claridad meridiana que es lo que hay que hacer. La alternativa a hacerse el guiso uno mismo, es ir al restaurante. Las indicaciones de ZuZi sobre la receta si bien son válidas, no indica ni cantidades, ni tiempos de cocinado.

Si es para un tema sin mucha relevancia puedes intentar tus pucheros. Si lo que pretendes es dar un hosting a terceros, te recomendaría que buscases un buen asesoramiento.

Hace años teníamos nuestros servidores en USA y tuvimos que trasladarlos a España, porque si bien puedes quitarte responsabilidades de encima, con las cláusulas adecuadas en los contratos, la estás trasladando a tus clientes y revendedores.

Después de meses de investigación, reclamar a EV1 que se dieran de alta en el Safe Harbor, llamar a la APD, que reconocieron que había temas que no estaban claros, y de consultar con abogados varios, llegamos a la conclusión que la única forma de evitarnos problemas, nosotros y nuestros clientes, era trasladando el hosting a Europa.

En Internet cualquiera puede decir que tiene 200 amigos, un yate de 50 metros, 7 amantes y decir que es igualito que Brad Pitt, con foto incluida y todo. La mejor receta es que utilices el sentido común, busques asesoramiento y contrastes la información.

Mucha suerte