OVH y la protección de datos personales

Introducción

El Reglamento general de protección de datos (RGPD) es el marco jurídico que regula el tratamiento de datos personales en Europa a partir del 25 de mayo de 2018. Al contrario que la directiva 95/46/CE que deroga, el RGPD es directamente aplicable en la Unión y no necesita ser transpuesto a la legislación nacional. Por esa razón, va a favorecer la armonización de los regímenes jurídicos en materia de protección de datos personales en Europa y, lo que es aún mejor, goza de un principio de extraterritorialidad que, en determinadas circunstancias, le permite extender su ámbito de aplicación más allá de las fronteras europeas.

Si su organización trata datos personales, es altamente probable que las disposiciones del RGPD le sean aplicables y que, por consiguiente, esté sujeto a obligaciones que deba cumplir. Lo mismo sucede para OVH, que, en función de su situación, tendrá distintas obligaciones: como encargado o como responsable del tratamiento.

Definiciones

Entender las implicaciones reales y concretas de un reglamento europeo no siempre es fácil, especialmente cuando este consta de 99 artículos, 173 considerandos y numerosas líneas directivas destinadas a aclarar su interpretación. Y, sin embargo, es fundamental para evitar las consecuencias que podrían derivarse de una interpretación demasiado genérica o imprecisa de las obligaciones reglamentarias que incumban a su organización. Así pues, es importante entender correctamente los términos que se definen a continuación:

  • datos personales: Toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente.
  • tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no (recogida, registro, transmisión, almacenamiento, conservación, extracción, consulta, utilización, interconexión...).
  • responsable del tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y los medios del tratamiento.
  • encargado del tratamiento: Persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

OVH como encargado del tratamiento

Sin duda, es su condición de encargado del tratamiento lo que hace que las expectativas de los usuarios hacia OVH sean mayores. Se considera que OVH es el «encargado» cuando trata datos personales por cuenta del responsable del tratamiento. Este suele ser el caso cuando usted utiliza los servicios de OVH y almacena datos personales en una infraestructura de OVH. Dentro de sus limitaciones técnicas, OVH solo podrá tratar los datos almacenados siguiendo sus instrucciones, y por cuenta de usted.

Compromisos de OVH como encargado

Como encargado del tratamiento, OVH se compromete a llevar a cabo las siguientes acciones:

  • Tratar los datos personales con el único fin de la correcta ejecución de los servicios. OVH nunca tratará su información con otros fines (marketing, etc.).
  • No transmitir sus datos fuera la Unión Europea o a un país que la Comisión Europea considere que no garantiza un nivel de protección suficiente, siempre y cuando no seleccione un datacenter situado en un país fuera de la Unión Europea.
  • Informarle en caso de recurrir a encargados que pudieran tratar sus datos personales. Actualmente OVH no recurre a encargados externos al grupo OVH para ningún servicio que conlleve un acceso al contenido almacenado por sus clientes.
  • Implementar altos estándares de seguridad con el fin de ofrecer un elevado nivel de protección a nuestros servicios.
  • Notificar sin dilación indebida cualquier violación de la seguridad de los datos.
  • Ayudarle a cumplir sus obligaciones reglamentarias ofreciéndole una documentación adecuada sobre nuestros servicios.

Estos compromisos se plasman en las Condiciones Generales del Servicio (CGS) de OVH. En este sentido, y salvo que existan condiciones particulares, cualquier cliente podrá exigir a OVH su cumplimiento en su calidad de encargado del tratamiento.

Iniciativas de OVH en Europa

Para reafirmar su compromiso en materia de protección de datos, OVH fue una de las empresas impulsoras de la creación de la asociación CISPE (Cloud Infrastructure Services Providers in Europe). Esta coalición de proveedores de infraestructuras ha redactado una propuesta de código de conducta cuyo objetivo es favorecer la correcta aplicación del RGPD por parte de los proveedores de IaaS (infraestructuras como servicio). Con su participación activa en esta iniciativa, OVH demuestra su voluntad de armonizar, con un alto nivel de exigencia, las normas de protección de datos personales en Europa.

La solución Private Cloud (IaaS) de OVH es el primer servicio de OVH declarado conforme al código de conducta CISPE.

FAQ: OVH como encargado del tratamiento

¿Quién es el propietario de los datos personales utilizados y almacenados por el cliente en el marco de los servicios?
Los datos alojados por el cliente en el marco de los servicios de OVH son propiedad del cliente. OVH no accede a esos datos ni los utiliza, salvo que sea necesario en el marco de la ejecución de los servicios y dentro de las limitaciones técnicas de estos últimos. OVH no revende estos datos ni los utiliza con fines personales (como minería de datos, elaboración de perfiles o marketing directo).
¿En qué casos puede OVH verse obligada a acceder a los datos almacenados y utilizados por el cliente en el marco de los servicios?
OVH solo accede a estos datos bajo dos circunstancias: Para garantizar la correcta ejecución de los servicios y mejorar la atención al cliente cuando este último contacta con el soporte de OVH. En este caso, el acceso a los datos del cliente está regulado mediante permisos específicos y medidas concretas de control y de seguridad. Para cumplir con las obligaciones legales en el marco de requerimientos judiciales y/o administrativos. Estos requerimientos están estrictamente regulados. Acceso en el marco del soporte de OVH: Cuando el cliente contacta con el soporte de OVH, en función del motivo de la consulta, OVH puede acceder a dos categorías de datos. Por un lado, con el objetivo de atender mejor la solicitud del cliente, el soporte de OVH accede a la información proporcionada por el cliente al crear su cuenta de OVH (nombre, apellidos, teléfono, correo electrónico...). Por otro lado, exclusivamente a petición expresa del cliente y con sujeción a las limitaciones técnicas propias de cada servicio, el soporte de OVH puede acceder a los datos almacenados por el cliente en los servicios de OVH con el objetivo de identificar el origen de un problema y, en su caso, resolverlo. Acceso en el marco de la solicitud de una autoridad judicial o administrativa: Para cumplir con la reglamentación en vigor, OVH está obligada a responder a las solicitudes provenientes de las autoridades judiciales o administrativas. Estas solicitudes de acceso a los datos se rigen por un estricto marco legal, por lo que OVH solo las autoriza una vez que ha comprobado su validez y fundamento. Además, siempre que la solicitud o la ley no lo impidan, OVH se compromete a informar al cliente de dicha petición a la mayor brevedad posible. Las solicitudes provenientes de un país tercero solo se tramitarán cuando se basen en un acuerdo internacional, como un tratado de cooperación judicial vigente entre el país solicitante y la Unión o un Estado miembro.
¿Se pueden transferir los datos de los clientes europeos de OVH fuera de la Unión Europea?
Aquí conviene distinguir dos posibles situaciones, que dependerán, entre otros factores, de la localización del datacenter seleccionado por el cliente para alojar sus datos: Cuando el cliente contrata un servicio cuyos datos se almacenan en datacenters de la Unión Europea: En este caso, los datos del cliente nunca se transferirán fuera de: países miembros de la Unión Europea, ni países que la Comisión Europea considere que garantizan un nivel de protección suficiente de los datos personales con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las personas. Puede consultar la lista de estos países en el sitio web de la Comisión Europea. Tras la invalidación del acuerdo de Puerto Seguro (Safe Harbor), y aunque la Comisión Europea considera que los organismos estadounidenses adheridos al Escudo de Privacidad (Privacy Shield) garantizan un nivel suficiente de protección, OVH nunca transfiere a Estados Unidos los datos de los clientes que han seleccionado un datacenter en la Unión Europea. En el marco de una intervención por parte del soporte, OVH puede realizar transferencias de datos hacia países que la Comisión Europea considere que garantizan un nivel suficiente de protección de los datos. Cuando los datacenters de OVH estén situados en países de la Unión Europea, los equipos de soporte de OVH que intervengan estarán localizados, o bien en la Unión Europea, o bien en Canadá (dado que la Comisión Europea lo reconoce como un país con un nivel adecuado de protección de datos personales). OVH también se reserva el derecho a transferir prestaciones de soporte que puedan conllevar un acceso remoto a los datos almacenados por el cliente, en el marco de los servicios, a otras entidades del grupo OVH situadas en países que la Comisión Europea considere que garantizan un nivel suficiente de protección (a excepción de Estados Unidos). Gracias a las garantías que ofrece OVH en materia de transferencia de datos, el cliente puede cumplir sus obligaciones reglamentarias. El artículo 45 del RGPD, en el que se especifican los casos de «transferencias basadas en una decisión de adecuación», establece que podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica. Cuando el cliente contrata un servicio cuyos datos se almacenan en datacenters fuera de la Unión Europea: En este caso, es evidente que los datos se transferirán fuera de la Unión Europea. La localización o la zona geográfica del datacenter o datacenters utilizados en el marco del servicio se indica en el sitio web de OVH. Si existen diversas localizaciones disponibles, el cliente podrá elegir la opción que desee al contratar el servicio. OVH no modificará sin el consentimiento del cliente la localización o la zona geográfica seleccionada al contratar el servicio. Para ayudar a las empresas que deseen tratar datos personales en datacenters situados fuera de la Unión Europea en países que no garantizan un nivel adecuado de protección de datos personales, OVH puede, a petición expresa del cliente, estudiar la posibilidad de aportar garantías que permitan dicha transferencia de conformidad con el artículo 46 del RGPD sobre transferencias mediante garantías adecuadas.

OVH como responsable del tratamiento

Se considera que OVH es el «responsable del tratamiento» cuando él mismo determina los fines y los medios de sus tratamientos de datos personales.

Esto sucede normalmente cuando OVH recoge datos con fines de facturación, gestión de cobros, mejora de la calidad de los servicios y del rendimiento, operaciones de venta, gestión comercial..., pero también cuando OVH trata los datos personales de sus propios empleados.

Por lo tanto, esto excluye a sus datos (es decir, los datos que nuestros clientes almacenan en los servicios de OVH). En cambio, sí puede incumbir a determinados datos sobre usted o sus empleados (identidad e información de contacto del interlocutor en el marco de una solicitud de asistencia técnica, por ejemplo). Por ese motivo, le ofrecemos a continuación toda la información relativa a las garantías aplicadas para asegurar la protección de dichos datos personales:

  • Limitar la recogida de datos a los estrictamente necesarios. Al contratar un servicio, solo se pide a los usuarios que introduzcan los datos necesarios para que OVH pueda prestar servicios de facturación, de soporte o cumplir con sus propias obligaciones legales en materia de conservación de datos.
  • No utilizar los datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente.
  • Conservar los datos personales durante un período limitado y proporcional. Así pues, por ejemplo, los datos tratados con fines de gestión de la relación entre el cliente y OVH (nombre, apellido, dirección postal, correo electrónico, etc.) serán conservados por OVH durante toda la vigencia del contrato y los 36 meses siguientes. Una vez finalizado el plazo de conservación, los datos y copias de seguridad serán eliminados de todos los soportes.
  • No transferir esos datos a terceros distintos de las empresas asociadas a OVH que intervengan en el ámbito de ejecución del contrato. En el marco de estas transferencias dentro del propio grupo, algunos datos podrían transferirse fuera de la Unión Europea sobre la base de las normas corporativas vinculantes establecidas por el grupo OVH.
  • Aplicar medidas técnicas y organizativas adecuadas para garantizar un alto nivel del seguridad.