A vueltas con la LOPD

Hola:

A ver si esto que propongo es cierto.

Premisas:

1.- La LOPD exige a TODAS (por pequeñas que sean) las empresas que tengan un fichero informatizado con datos de clientes que lo den de alta (la existencia del mismo, no el contenido claro) en la propia APD. Esto es independiente de si tienen Web o no. Creo que el 90% de empresas no lo cumplen (y soy generoso).

2.- La LOPD dice que si el servidor no está en la UE o pais con acuerdos o acogido a Safe Harbor se debe indicar previamente al visitante a la web que sus datos van a sufrir una transferencia internacional y lo debe aceptar.

Resultado:

En la mayoría de las webs que hacemos lo que incluimos es un formulario de consulta que el llega via mail al cliente, lo que haga el con los datos es cosa suya (otra cosa es que le informemos previamente que si lo almacena debe inscribir el fichero en la APD).

La "responsabilidad" de la empresa que le diseña y aloja la Web para este tipo de webs (sin base de datos), se limita a que los datos no sufran transferencia internacional, así pues caben varias alternativas:

1.- Que el servidor esté en la UE o pais autorizado.

2.- Que el servidor esté donde esté pero poner en el formulario una casilla de verificación que autorice la transferencia (esto se puede poner tal cual o metido entre la politica de privacidad la cual ha de aceptar tambien).

3.- Hacer que el formulario cargue en una ventana aparte (o en un frame) pero que esa url esté en un server de la UE. Por ejemplo el dominio es www.loquesea.com y el formulario está en http://www.servidorenlaUE.com/pagina...ioClienteA.htm

Cuando manda el mail lo hace desde la UE y luego el redirect se manda otra vez al dominio. Es un poco rollo pero para una Web sencilla.

Bueno, esas son las alternativas que creo que existen, no sé si hay algo erróneo.

Está claro que es complicarse las cosas para unas Webs que no visitarán miles de personas, pero las cosas se hacen bien porque más vale curarse en salud, ¿no?.

Un saludo.

Lo que tiene que estar en un server de dentro de la UE o un safe-harbor es la base de datos no el formulario.

La opcion es contratar un servidor de bases de datos en la UE y dar este servicio desde ahi. Pero me temo que eso significa $$

Gracias por contestar apastor:

Parece que no me he explicado bien, a ver si lo consigo ahora:

1.- Supongamos que tengo una web que envía un formulario a través de e-mail.
2.- Los datos de ese formulario (es cgi de formulario mondo y lirondo) datos personales: telefono nombre direccion mail, etc. NO van a ninguna base de datos, le llegan a mi cliente por mail y el hace con ellos lo que quiera: se lo imprime, le contesta y lo elimina, etc.
3.- Tecnicamente por decirlo así, ese "formulario" debe cumplir las normas de la LOPD, ¿o no?.
4.- Y el unico punto conflictivo sería el proceso entre que el visitante rellena los datos y pulsa a enviar que debería realizarse en la UE.

No sé si esto es correcto o la LOPD sólo se aplica si almacenas los datos en BD y no si sólamente los solicitas.

Un saludo.

No creo que mi mensaje se vaya a tomar en cuenta, mas creo que estaría bien abrir un subforo de Derecho dentro de E-business. Y eso que yo aborrezco el Derecho, pero reconozco que es muy importante.

Buenos días,

Por lo que he podido leer y entender la cosa es un poco complicada. La verdad es que para que la Página Web cumpla con todos los requisitos legales debes hacer muchas cosas, ya no sólo en la Página Web sino desde el punto de vista de la empresa.

Primero, tú empresa envía un formulario de datos al cliente vía mail. Dicho formulario puede rellenarlo y enviarlo. Dicho envío va a algún punto o empresa diferente a la tuya, la cual va a almacenar esos datos. La empresa que va a tratar esos datos tiene la obligación de incorporar al formulario la cláusula de información LOPD. Si tú empresa no va a tener acceso a esos datos no tiene obligación de adecuarse a la LOPD en este punto.

Segundo, mi consejo es que informes en algún contenido de la página web en la remisión del formulario que tú no vas a tener acceso esos datos y que los remites en nombre de la empresa y que el envío se realiza a través de una dirección diferente a la que se encuentra tu Página Web.

Tercero, en teoría las empresas de hospedaje no tienen que firma contrato de encargado de tratamiento de datos, pero sin embargo, las empresas que prestan servicio de hosting sí (casi todas).

Cuarto, la remisión de formularios han de ser enviados una vez que el cliente de su consentimiento o haya contratado con tú empresa algún producto. No se puede envviar nada (a no ser mails que entre dentro de la gestión de un servicio) sin consentimiento del afectado y, además dando la posibilidad de desisitir de más envío en todos los comunicados que remitas.

Mi consejo en este tema es que si pudieres te explicares mejor sobre el asunto, puesto que te he contestado en base a lo que he entendido.

P.D. Si realizas transferencia internacionales debes comunicarlo a la AEPD, pedir consentimiento informado a los clientes y, la AEPD puede pedirte información sobre dicha transferencia. Además la transferencia solo se consiente si está basada en una relación negocial entre el cesionario y el cedente o si hay por medio un contrato de encargado de tratamiento necesario para la prestación de un servicio entre el transmisor y el transmitente de datos.

Un saludo cordial

ICEF Consultores
www.icefconsultores.com

Yo en el caso que explicas no creo que tengas que pedir autorización de transmisión de datos ya que los datos solo van a "viajar" por el pais "sin protección". Eso si, si los datos del formulario que llegan al email se van a guardar han de registrarse en la agpd pero no es problema tuyo sino de tu cliente y no hay transmisión internacional de datos.

Creo que al no almacenarse la informacion en el servidor de USA no es necesario. Es cierto que la información pasa por USA pero, por ejemplo, tambien pasa por USA cuando va a Canada que, como sabeis, es un pais con suficiente proteccion.

¿Crees que sería posible conseguir autorización para prestar hosting desde USA si uno hace colocation y no hosting "clásico"? Quiero decir autorización para que no se considere transferencia internacional o sea una transferencia internacional aprobada.