Empresa hosting: encargado tratamiento.


En el informe de la Agencia Española de Protección de Datos nº 574 del año 2009 se trató el tema de la consideración qué podía tener una empresa que presta servicios de alojamiento web, o hosting, al alojar una base de datos de un cliente.

¿Es un encargado de tratamiento? ¿Un responsable de fichero? ¿Un tercero sin acceso a datos?

Como norma general, la Agencia Española de Protección de Datos, sostiene que la empresa de hosting tiene carácter de encargado de tratamiento, ya que ha sido contratada por un responsable de fichero (empresa contratante) para que le preste el servicio de alojamiento y la primera no tiene capacidad de decisión sobre el uso que se van a dar a los datos a los que tiene acceso, ya que sólo los trata por cuenta de la empresa contratante.

La empresa de hosting no utiliza los datos que aloja en su provecho, y por tanto, no es responsable de fichero.

La figura del encargado de tratamiento se viene a describir en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Así se dice que:

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”.

Al tener la consideración de encargada de tratamiento la empresa de hosting y la contratante tendrán obligación de firmar el contrato previsto en el artículo 12 .2 LOPD, y dar cumplimiento al resto de obligaciones contenidas en dicho artículo.

Por otro lado, la empresa de hosting, como encargada de tratamiento tiene que aplicar las medidas de seguridad reguladas en el Reglamento de desarrollo de la LOPD, equivalentes al nivel de seguridad de los datos que se alojan. Es decir: que si se alojan datos de nivel alto, en principio, la empresa de hosting tiene que aplicar a sus ficheros, las medidas de seguridad correspondientes al nivel alto. Si bien hay algunas excepciones a este principio.

Deja una respuesta