Los contratos informáticos de hosting y housing en relación con la normativa española de protección de datos de carácter personal

AutorIsidro Gómez-Juárez Sidera
CargoAbogado especializado en Derecho de las Tecnologías de la Información y las Comunicaciones
Páginas3-39

Page 4

I Definición y características de los contratos de hosting y housing

El avance imparable de la Informática y las Telecomunicaciones está originando la aparición de toda una serie de nuevos servicios hasta la fecha impensables. La regulación jurídica de estas novedosas prestaciones que tienen por objeto todo tipo de servicios informáticos ha dado lugar a lo que hoy en día se conoce como "contratación informática", si bien ésta no deja de tener su pilar fundamental en la contratación civil y mercantil que todos conocemos. Nosotros dedicaremos el presente artículo al estudio de dos tipos particulares de contratos informáticos: el contrato de hosting y el contrato de housing.

Tal y como señalan MARZO PORTERA, A., MARZO PORTERA, I. y MARTÍNEZ FLECHOSO, el contrato de hosting "regula el alojamiento de información y la conexión con redes de telecomunicaciones. Una de las partes demanda el espacio lógico para el almacenamiento de datos y software en equipos informáticos, y el acceso a esta información por medio de redes de telecomunicaciones abiertas o cerradas"1. A través de este contrato, "se pone a Page 5 disposición de la parte que no posee equipos informáticos para determinados servicios, la contratación de un espacio lógico en un disco duro de un equipo informático de la otra parte, que a su vez hace de servidor (dedicado o compartido), al tener acceso remoto a dicho espacio lógico, para alojar tanto datos como software"2.

Por otro lado, mediante un contrato de housing "se prestan servicios de alquiler de espacio físico para el alojamiento de equipos informáticos y servicios de telecomunicaciones. El cliente instala sus equipos informáticos en los locales del prestador de servicios para disponer de infraestructuras que no tiene en sus instalaciones"3. Por tanto, lo que contrata el cliente al prestador de servicios mediante un contrato de housing es "el espacio físico para dar una casa (house) a los equipos informáticos del cliente en unas condiciones determinadas, así como una infraestructura de telecomunicaciones para conectar éstos equipos"4.

Como podemos observar, la principal diferencia radica en la titularidad de los equipos informáticos propiamente dichos. En términos muy generales, podemos decir que en unos casos se contrata espacio lógico (hosting) y en otros un espacio físico (housing). Salvando las distancias, el caso de los prestadores de servicios de hosting y housing en el mundo digital es similar al de las empresas de almacenamiento, custodia y gestión de documentos para el soporte papel. En efecto, existe cada vez un mayor número de empresas que, ante la acumulación descontrolada en sus locales y oficinas de ingentes cantidades de documentación en soporte papel, deciden encargar su almacenamiento y gestión a terceras empresas especializadas que disponen de un mayor espacio e instalaciones que reúnen unas condiciones específicas para la correcta custodia de los documentos, tales como sistemas de vigilancia y control de accesos para garantizar la confidencialidad de los mismos, sistemas de protección contra incendios para asegurar la integridad de la información que Page 6 contienen, avanzados sistemas de gestión y archivo para disponer de la información de manera inmediata (disponibilidad), etc.

Para finalizar, en lo que se refiere a la naturaleza jurídica formal de ambos contratos (hosting y housing), podemos afirmar que se trata de un arrendamiento de servicios conforme a lo establecido en el art. 1.544 del Código Civil.

II Reflexiones acerca de la naturaleza de "encargado del tratamiento" de los prestadores de servicio de hosting y housing
1. Consideración del prestador de servicios de hosting como "encargado del tratamiento"

El art. 12.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) establece expresamente que "no se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento".

Este tercero prestador del servicio es lo que la LOPD denomina "encargado del tratamiento", esto es, "la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento" (art. 3.g) LOPD). Asimismo, la propia Ley Orgánica 15/1999 impone en su art. 12 una serie de obligaciones a este tercero con la finalidad de asegurar que el tratamiento de datos realizado para la prestación del servicio cumpla con los principios y garantías establecidos en la misma.

Page 7

Con respecto a la consideración o no del prestador de servicios de hosting como "encargado del tratamiento" en el sentido del art. 3.g) LOPD, cabe citar lo señalado en la Sentencia de la Audiencia Nacional de 21-09-2001, Sala de lo Contencioso-Administrativo, dictada a raíz de un recurso5 interpuesto por la Asociación Solidaridad para el Desarrollo y la Paz (en adelante, SODEPAZ) contra la resolución de la Agencia Española de Protección de Datos (en adelante, AEPD) de 28 de marzo de 2000 sobre adopción de medidas cautelares en el procedimiento sancionador PS/00054/2000.

El mencionado procedimiento sancionador tuvo su origen en una información facilitada por la Dirección General de la Policía según la cual en determinada dirección de Internet6 se facilitaba información de la Asociación contra la Tortura en la que se recogían los nombres de funcionarios del Cuerpo Nacional de Policía y Guardia Civil supuestamente procesados por tortura.

En las actuaciones de investigación realizadas por la AEPD se comprobó que la Asociación contra la Tortura difundía a través de Internet sus informes anuales correspondientes a 1994, 1995, 1996 y 1997 y allí se daban a conocer los nombres de funcionarios de prisiones y de las Fuerzas y Cuerpos de Seguridad, así como de responsables políticos que habían sido denunciados por la comisión de delitos de maltrato, vejaciones o tortura, especificando respecto de cada uno de aquellos si había sido absuelto, condenado o se estaba investigando, indicándose también una fecha, lugar o centro penitenciario y un código identificador.

Lo relevante de estos hechos para el objeto de nuestro estudio es que, para difundir tales informes, la Asociación contra la Tortura suscribió un acuerdo con SODEPAZ, que disponía del servidor NODO-50 en el que alojaban su información otras asociaciones, siendo éstas las responsables de la información que figuraba en dicho servidor.

De tal manera, acordada la incoación de procedimiento sancionador, la AEPD dictó resolución fechada a 28 de marzo de 2000 en la que acordó adoptar durante la tramitación del procedimiento la medida de carácter provisional consistente en que, por parte de la Asociación contra la Tortura como responsable Page 8 del tratamiento y de SODEPAZ como encargado del mismo, se cesara de manera inmediata en el tratamiento de datos de carácter personal relativos a funcionarios de prisiones y de las Fuerzas y Cuerpos de Seguridad así como de responsables políticos que habían sido denunciados por la comisión de delitos (...) y en la comunicación de los citados datos personales a través de Internet, debiendo adoptar las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, todo ello de conformidad con lo dispuesto en su artículo 37.f).

Ante lo anterior, SODEPAZ alegó no ser la encargada del tratamiento de datos de la Asociación contra la Tortura, argumento que fue desestimado por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, la cual consideró que "atendiendo a las definiciones de "responsable del fichero o tratamiento" y "encargado del tratamiento" contenidas en los apartados d) y g) del artículo 3 de la Ley Orgánica 15/1999, la relación contractual existente entre la "Asociación contra la Tortura" y SODEPAZ constituye indicio suficiente de que esta última entidad merece la consideración de encargado del tratamiento de datos del que es responsable aquélla" (Fundamento de Derecho Tercero).

En suma, la Audiencia Nacional vino a ratificar en esta Sentencia la interpretación de la Agencia Española de Protección de Datos en base a la cual el prestador de servicios de hosting o alojamiento de datos tiene, en todo caso, la consideración de "encargado del tratamiento" en el sentido del art. 3.g) LOPD y, por tanto, con estricta sujeción a lo establecido en el art. 12 LOPD, relativo al "Acceso a los datos por cuenta de terceros".

2. Consideración del prestador de servicios de housing como "encargado del tratamiento"

Mayores dudas puede plantear, por las...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR