Muchos anfitriones de la web y personas que utilizan servicios de hospedaje todavía no han tratado en detalle la normativa legal. Tan pronto como se utilicen los servicios de un anfitrión de la web, puede ser necesario hacer un acuerdo por escrito. Esto es especialmente cierto si se cumplen los requisitos del § 11 BDSG. La normativa legal establece que al subcontratar el tratamiento de datos personales, ciertos contenidos deben ser acordados y registrados por escrito. Le informaremos sobre el contenido del acuerdo y las posibles consecuencias de su incumplimiento.
§ 11 BDSG - El alojamiento web en parte sólo es posible con un acuerdo escrito
El alojamiento web es ofrecido ahora por numerosos proveedores de servicios. A menudo, unos pocos clics son suficientes para subir un blog, un sitio web o una tienda online de WordPress. La mayoría de los alojamientos web no saben que el alojamiento web requiere un acuerdo por escrito con el usuario si se procesan datos personales durante el pedido. Esto está prescrito por el § 11 BDSG (Ley Federal de Protección de Datos). Con el alojamiento web, un proveedor proporciona al usuario espacio de almacenamiento en un servidor web. El alcance de los servicios va desde el simple suministro de recursos hasta servicios versátiles como el respaldo de datos, la vigilancia y las evaluaciones estadísticas. Si los servicios prestados están relacionados con el almacenamiento y el tratamiento de datos personales, se deben concertar acuerdos por escrito. Esto se aplica en particular si se trata de un procesamiento de datos por encargo. Se entiende por ello la subcontratación del procesamiento de datos. El anfitrión de la web siempre está obligado a seguir las instrucciones del cliente, es decir, no tiene margen de decisión ni de evaluación en relación con los datos transmitidos.
El contenido del § 11 BDSG (Ley Federal de Protección de Datos)
§ El artículo 11 I de la BDSG establece que el cliente es responsable del cumplimiento de las disposiciones de la BDSG. Entre otras cosas, el cliente debe asegurarse de que el anfitrión de la web cumple con la BDSG al tratar los datos personales. Si se producen daños, éstos correrán a cargo del cliente. Los costes pueden ser recuperados por el proveedor de alojamiento web a modo de compensación. § La sección 11 II de la BDSG establece que el contratista (el proveedor de alojamiento web) debe seleccionar cuidadosamente todas las medidas a nivel técnico y organizativo. Posteriormente, se indica que es obligatorio por ley que la orden se haga exclusivamente por escrito. En el Contrato cabe señalar los siguientes puntos:
- Objeto y duración del contrato
- Alcance, finalidad y naturaleza de la reunión, el procesamiento y la utilización de datos personales
- Naturaleza de los datos y círculo de los sujetos de los datos
- Las medidas organizativas y técnicas que deben adoptarse de conformidad con el artículo 9 de la BDSG
- Medidas de bloqueo, supresión y rectificación de datos
- Las obligaciones del contratista, por ejemplo, las inspecciones (definidas en el § 11 IV BDSG)
- Toda autorización para emplear subcontratistas
- Detención de los derechos de control del cliente
- Obligaciones del contratista de tolerar y cooperar
- Obligaciones de notificación del contratista y sus subcontratistas en caso de incumplimiento de los reglamentos de protección con respecto a
datos relacionados con la persona
- Alcance de la autoridad del cliente para dar instrucciones al contratista (web host)
- La eliminación de datos después de la finalización del pedido y la devolución de los soportes de datos proporcionados
En el caso de los organismos públicos, se puede llegar a un acuerdo con la autoridad de supervisión técnica. Antes de subcontratar el procesamiento de datos, esta autoridad debe informarse sobre las normas técnicas y organizativas y comprobarlas regularmente. Los resultados deben ser registrados. § El artículo 11 de la Ley Federal de Protección de Datos estipula que el contratista, es decir, el servidor web, debe informar al cliente inmediatamente en cuanto las instrucciones del cliente violen las leyes de protección de datos en su opinión. La cuestión de la culpabilidad se plantea en el caso de las personas que utilizan los servicios de los alojamientos web. Después de todo, es característico del procesamiento de datos por encargo que la obligación de cumplir las disposiciones legales siga recayendo en el usuario y no en el anfitrión de la web, aunque éste lleve a cabo el procesamiento de los datos personales. El deber de cuidado ya se produce antes de que se haga el pedido: Los usuarios están obligados a convencerse de las cualidades técnicas de su futuro hospedaje en la web. Este deber de cuidado también se aplica durante la relación contractual. El requisito más importante sigue siendo que el pedido de procesamiento de datos debe hacerse por escrito. Un acuerdo escrito presupone que el hospedador y el usuario de la web firmen el contrato. No basta con presentar un formulario en línea o un pedido por correo electrónico. Además, el acuerdo debe contener los puntos mencionados anteriormente (diez requisitos) para que el acuerdo cumpla los requisitos del artículo 11 de la Ley Federal de Protección de Datos.
El BDSG en relación con el alojamiento web
Se juzga de otra manera si el alojamiento web implica un procesamiento de datos por encargo de acuerdo con el § 11 de la BDSG y si realmente se requiere un acuerdo por escrito. Algunos juristas opinan que el procesamiento de datos por encargo siempre está presente si un tercero reclama el espacio de memoria y la potencia de la computadora. Por consiguiente, el alojamiento de la web siempre implica el procesamiento de datos por encargo. El razonamiento detrás de esto es que el control físico de los datos crea considerables posibilidades de influir en el procesamiento de los datos. Según este punto de vista, el procesamiento de datos por encargo siempre se da cuando se puede influir en los sistemas de procesamiento de datos. Esto es aún más cierto si el anfitrión de la web asume las tareas en el área de la vigilancia y el mantenimiento. Otros estudiosos del derecho suponen que en estos casos no existe todavía un procesamiento de datos por encargo. Si los clientes requieren espacio de almacenamiento en un servidor web, simplemente alquilan sistemas externos de procesamiento de datos. El usuario decide qué programas se instalan y qué datos personales se almacenan. La segunda vista acepta el procesamiento de los datos de un pedido sólo si el anfitrión de la web hace copias de seguridad y las guarda. Las autoridades de supervisión de la protección de datos en Alemania aceptan el procesamiento de datos por encargo cuando se aloja una tienda en línea. Después de todo, los datos personales se almacenan en cada tienda online.
Reglamentos europeos sobre el procesamiento de datos por encargo
Como ya se ha explicado, siempre es necesario un acuerdo por escrito para el alojamiento web si se encarga el tratamiento de datos por parte del alojamiento web. La Directiva de Protección de Datos (Directiva 95/46/CE) abarca un grupo denominado "procesadores". El órgano consultivo independiente de la Unión Europea, el "Grupo de Trabajo del Artículo 29", comentó el papel de los alojamientos web: "Los alojamientos web son procesadores de datos personales publicados en Internet por sus clientes". Para los anfitriones web, es de enorme importancia que sus servicios se consideren como tratamiento de datos por encargo. Las consecuencias de largo alcance de una infracción podrían incluir sanciones penales y civiles. Los proveedores de alojamiento web tendrían que conceder a sus clientes el acceso a sus centros de datos en caso de que se encargue el tratamiento de los datos para que puedan formarse una idea de las medidas organizativas y técnicas. Por lo tanto, no es de extrañar que la mayoría de los proveedores de alojamiento web no se consideren encargados del tratamiento de datos en el sentido del artículo 11 de la BDSG. Las infracciones de la BDSG pueden ser sancionadas por la autoridad de control de la protección de datos según el artículo 43 I nº 2b i.V.m. § 43 III BDSG con una multa de hasta 50.000 euros. La cuestión de si el alojamiento web constituye un tratamiento de datos por encargo no puede aclararse actualmente al cien por cien. Dado que existen diversas opiniones en la literatura, pero la jurisprudencia aún no se ha pronunciado al respecto, la conclusión de los servicios de alojamiento web en el ámbito potencial del tratamiento de datos por encargo es actualmente una zona gris jurídica. Dado que los operadores de tiendas que tienen su tienda online alojada en los proveedores de alojamiento web anfitrión Si los interesados que probablemente se vean afectados por el tratamiento de datos personales por contrato no están en condiciones de estar al corriente de la evolución jurídica, deberán vigilarlos de manera permanente. Los anfitriones de la web que quieran estar seguros deben obtener contratos modelo para el procesamiento de datos por encargo, de modo que puedan mostrar algo en caso de duda. Los clientes deben ponerse en contacto con su anfitrión de la web en caso de incertidumbre y buscar asesoramiento en casos individuales.