Diría que no estoy solo en esa opinión, pero usar términos legales para describir «problemas» técnicos y al revés, normalmente provoca que no nos entendamos al no comprender el lenguaje.
- En UE tenemos una serie de normativas (Directiva 95/46, LOPD y RLOPD, etc…) que protegen los datos personales de las personas físicas, dónde describimos una serie de protecciones que deben tener los datos conforme a qué cosas guardamos, y para salir de la jurisdicción debemos tener en cuenta otros procedimientos
- En USA decidieron que si para sacar datos tenían que tener la aprobación del director de la agencia de protección de datos pertinente (al menos en España el RLOPD dice esto), mejor «negociar» con la EU algo, y salió el acuerdo de Safe Harbor, donde las empresas americanas se pueden dar de alta y así evitamos necesitar la aprobación del director para mover datos personales
Personal Information Received from the EU: Rackspace collects personal information from prospective customers, prospective employees, prospective vendors and other persons located in the European Union who may be interested in a business relationship with Rackspace via website visits, telephone calls, chat, web forms, email and other means; Rackspace uses this information to contact those persons about Rackspace services, employment opportunities, and potential business transactions, and to generally improve the way Rackspace markets its services. Rackspace collects personal information from its customers, vendors and employees located in the European Union; Rackspace uses that information to provide services to those customers, manage relations with vendors, for related financial and other operational purposes and to perform its own human resources functions. Rackspace affiliates located in the European Union provide Rackspace with personal information about their customers, vendors and employees; Rackspace uses this information to assist its affiliates in providing services to those customers, and to assist its affiliates with vendor relations and contract management, human resources management, and their internal financial and other operations. When providing information technology hosting services, Rackspace may process personal data controlled by its customers; Rackspace does not apply Safe Harbor Principles to that data, but processes that data at the direction of its customers and in accordance with the terms of its agreements with its customers.
En resumen, que los datos que entras en su CRM, los tienen protegidos (lógico), pero lo que metas en los servidores es tu problema
Do you agree to cooperate and comply with the European Data Protection Authorities? No
Así que además de no hablar de lo de AWS (el Cloud de Amazon), te dejarán solo ante el peligro
Con esto no quiero decir que nada hacía USA (o resto del mundo), sino que evalúes los riesgos, donde guardas datos personales y sobretodo cómo lo haces. Las agencias de protección de datos no actúan de oficio (al menos hasta donde yo sé), así que si estableces todos los procedimientos adecuados para proteger esos datos no habría motivo para que alguien presente denuncia en tu contra.
Mi recomendación sería, y ten en cuenta que yo soy ingeniero informático, sé de poco a nada de derecho:
– Si alguien te dice «Safe Harbor», averigua hasta qué extremo
– Los datos personales, la mayoría de veces serán pocos o ninguno (sólo son personales si puedes llegar al individuo, y además cuando hablan como persona física)
– Cuidado con los campos libres de los formularios
– TU sigues siendo el responsable, así que no confíes en que porque le hayas dicho a tu comercial que tu web es Nivel Alto, se establecerá más celo en el control, asegúrate
– Involucra a legal en la decisiones a tomar, no en como crujir al proveedor en caso de problemas, sino en qué situaciones permitirán mejor defensa (si guardo los datos cifrados, ¿en qué mejoro?), y te ayudarán a preparar el Business Case de las políticas de seguridad (sino se cifra, tenemos un riesgo estimado de X€)
– Es muy difícil pasar el marrón a otros, así que te toca controlar
– La obligación de cumplir la ley no tiene nada que ven en donde están los servidores, sino donde tienes tu presencia, sea matriz o sucursal y sea esa la que recoja los datos
Espero que sea de ayuda para los que os estéis peleando con todo esto
Saludos
PS: Como veis no tiene nada que ver en si Cloud, Housing, Hosting o en tu propio datacenter, es sobre el control del acceso a los datos, sean personales o no