OVH y la protección de datos personales

Nuestro experto responde a sus dudas

El Reglamento general de protección de datos (RGPD, o GDPR en inglés), que comenzará a aplicarse el 25 de mayo de 2018, tendrá grandes implicaciones en los sistemas de información de todas las empresas. Dicho Reglamento impone una delicada tarea a múltiples empresas, que deben ajustarse a las exigencias de la Unión Europea en materia de protección de datos.

Florent Gastaud, delegado de protección de datos de OVH, responde a las preguntas más frecuentes sobre cómo este nuevo reglamento afecta a las empresas y qué deben hacer estas para cumplirlo.

¿Qué es el RGPD?
El Reglamento general de protección de datos (RGPD) es un reglamento europeo adoptado el 27 de abril de 2016 por el Parlamento y el Consejo de la Unión Europea. Sus disposiciones son directamente aplicables en todos los Estados miembros de la Unión Europea. Aunque entró en vigor en 2016, no se aplicará hasta el 25 de mayo de 2018. Este intervalo de dos años ha permitido a las entidades públicas y privadas tomar las medidas necesarias para ajustarse a las disposiciones del texto. El RGPD pretende proteger a las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal, e incluye derechos y obligaciones aplicables a todos los agentes que manipulan este tipo de datos. El RGPD concierne a todas las entidades públicas y empresas de todos los tamaños que traten datos personales.
¿Qué significa RGPD?
RGPD son las siglas de «Reglamento general de protección de datos», que es la forma abreviada del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
¿Qué situaciones constituyen una violación de la seguridad de los datos personales?
El concepto de violación de la seguridad de los datos personales invita a pensar en una fuga de datos personales en beneficio de un tercero no autorizado (como el pirateo de datos por una persona malintencionada). Y así es, pero, en realidad, la definición de este concepto es más amplia. El GT 29 (órgano europeo que reúne a las distintas autoridades europeas de protección de datos de carácter personal) define la violación de datos personales como: la pérdida de la disponibilidad de los datos de carácter personal, la pérdida de la integridad de los datos personales, la pérdida de la confidencialidad de los datos personales. Por consiguiente, la violación de la seguridad de los datos puede consistir no solo en una fuga de datos, sino también en la pérdida definitiva de los mismos. El RGPD impone a los responsables y a los encargados del tratamiento nuevas obligaciones en materia de notificación de las violaciones de la seguridad de los datos.
¿Qué leyes regulan la protección de datos personales?
La protección de datos personales se rige por varios textos, unos de alcance general y otros más precisos: A nivel internacional, el Convenio 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal es un tratado vinculante abierto a todos los países. A nivel europeo, existe el Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), así como la Directiva 2016/680 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales. A nivel nacional, un gran número de países han adoptado reglamentaciones nacionales relativas a la protección de datos personales. Es el caso, por ejemplo, de todos los países miembros de la Unión Europea.
¿Cómo se definen los datos personales en el RGPD?
El concepto de datos personales se define en el artículo 4 del RGPD como «toda información sobre una persona física identificada o identificable (…) directa o indirectamente (…)». Dicho de otra forma, un dato personal es un dato o conjunto de datos que permiten identificar a un individuo por cualquier medio. La identificación indirecta de una persona mediante un dato se produce cuando su simple lectura no permite identificar a un individuo a priori, pero sí podrían permitirlo averiguaciones complementarias. Ese es el caso, por ejemplo, de las direcciones de correo electrónico.
¿Qué son los datos personales sensibles?
La noción de «datos sensibles» aparece en el Reglamento general de protección de datos como «categorías especiales de datos personales». Estos datos se rigen por reglas particulares, ya que su tratamiento está prohibido por principio. En particular, estos datos son relativos a: la salud o la vida sexual de un individuo, el origen racial o étnico de un individuo, las opiniones políticas, afiliación sindical y convicciones religiosas o filosóficas de un individuo. Hay excepciones en las que se permite el tratamiento de estos datos.
¿Contratar los servicios de OVH me permite cumplir con las obligaciones del RGPD?
Sí, hasta cierto punto. Una de las obligaciones del responsable del tratamiento es la elección de encargados que ofrezcan todas las garantías suficientes para que el tratamiento de los datos personales se ajuste al reglamento. Esto significa que las garantías que OVH ofrece como encargado le permiten a usted cumplir una parte de sus propias obligaciones. Entre estas garantías destacan las medidas de seguridad adoptadas por OVH o los compromisos adquiridos en materia de localización del tratamiento de los datos. No obstante, las obligaciones de un responsable del tratamiento no se limitan a elegir un encargado que cumpla el reglamento, sino que van más allá del perímetro de intervención de OVH como proveedor de servicios IT. Para lograr el pleno cumplimiento del RGPD no basta con elegir un encargado, sino que usted, como responsable del tratamiento, debe cumplir también con sus propias obligaciones, tales como el respeto del derecho de las personas o la realización de evaluaciones de impacto relativas a la vida privada.
¿Cuáles son los compromisos de OVH como proveedor de servicios cloud?
OVH, como proveedor de servicios cloud, actúa en calidad de encargado del tratamiento. A tal efecto, OVH asume los siguientes compromisos: No reutilizar los datos alojados en nuestros servicios: OVH se compromete a tratar los datos personales del cliente con el único fin de la correcta ejecución de sus servicios y únicamente siguiendo sus instrucciones. Permitir la reversibilidad de sus datos: Para permitir la reversibilidad y la interoperabilidad, todas las soluciones cloud de OVH se basan en estándares tecnológicos, entre los que se encuentran diversas tecnologías open source. Así nuestros clientes pueden recuperar sus datos fácilmente. Informar de la ubicación exacta en la que se almacenan y se tratan los datos de nuestros clientes. Garantizar total transparencia en caso de recurrir a encargados. Informar al cliente en caso de violación de la seguridad de los datos. Proporcionar documentación completa sobre nuestros servicios: OVH se compromete a proporcionarle toda la información necesaria, como la descripción de las medidas de seguridad adoptadas en sus servicios, una certificación de la localización del almacenamiento de sus datos, etc. Garantizar contractualmente el cumplimiento de nuestros compromisos: Los compromisos de OVH no son solo bonitas promesas, sino que están incluidos contractualmente en nuestro Contrato de Encargo de Tratamiento (DPA). Este documento es un anexo a nuestros contratos y está disponible bajo petición para todos nuestros clientes.
¿Cuáles son los compromisos de OVH en materia de localización de los datos?
Al seleccionar un servicio que permita almacenar contenido y, en concreto, datos personales, el sitio web de OVH muestra la localización o la zona geográfica en la que se encuentran los datacenters disponibles. Si existen diversas localizaciones o zonas geográficas, usted puede elegir la que desee al contratar el servicio. Sin embargo, «almacenamiento de datos» no es sinónimo de «tratamiento de datos». El RGPD establece las normas aplicables en materia de «tratamiento» y no de simple «almacenamiento». Por lo tanto, conviene prestar especial atención al uso de estos dos términos. Cuando usted elige una zona de almacenamiento situada dentro de la Unión Europea, OVH le garantiza que no trata sus datos fuera de la Unión Europea ni en países que la Comisión Europea considere que no garantizan un nivel de protección suficiente de los datos personales con respecto a la protección de la vida privada y los derechos y libertades fundamentales de las personas, o con respecto al ejercicio de los derechos correspondientes (decisión de adecuación). Por otro lado, nos comprometemos a no tratar nunca sus datos en Estados Unidos.
¿Puede OVH reutilizar mis datos?
OVH se compromete a tratar los datos personales del cliente con el único fin de la correcta ejecución de los servicios y únicamente siguiendo sus instrucciones. Los datos alojados por el cliente en el marco de nuestros servicios son propiedad del cliente. OVH no revende dichos datos ni los utiliza con fines comerciales (como la elaboración de perfiles o el marketing directo).
¿Cómo garantiza OVH el cumplimiento de sus compromisos?
Para que los compromisos de OVH le permitan a usted cumplir con una parte de sus obligaciones, dichos compromisos deben reflejarse en un contrato u otro documento jurídico vinculante. OVH permite dicha oponibilidad doblemente: Las Condiciones Generales del Servicio que regulan el uso de los servicios de OVH incluyen cláusulas relativas a la protección de los datos personales. OVH propone, previa petición, la firma de una adenda al contrato titulada «Contrato de Encargo de Tratamiento (DPA)», que describe todas las garantías que ofrece OVH en materia de tratamiento de datos personales.