El Informe 0574/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) a la prestación de servicios de alojamiento (hosting) de bases de datos que contienen datos personales de clientes.
El informe establece que la empresa que presta el servicio de hosting se configura como «encargado del tratamiento» siempre que no pueda decidir sobre el contenido, finalidad y uso del tratamiento de los datos, y que su actividad se limite a albergar las bases de datos sin utilizarlas en su provecho. En este caso, no se considera una cesión de datos, sino un acceso necesario para la prestación del servicio, conforme al artículo 12 de la LOPD.
Para que esta relación entre responsable y encargado del tratamiento sea válida, es necesario que se cumplan ciertos requisitos legales. El acceso a los datos debe realizarse con la exclusiva finalidad de prestar el servicio y debe estar contractualmente establecido. El contrato debe especificar que el encargado del tratamiento solo tratará los datos conforme a las instrucciones del responsable y no los utilizará para otros fines. Además, al término de la relación contractual, los datos deben ser destruidos o devueltos al responsable del tratamiento.
El informe también destaca la importancia de las medidas de seguridad que deben adoptar quienes realicen trabajos de tratamiento de datos por cuenta de terceros. Estas medidas deben ser equivalentes a las impuestas al responsable del fichero y deben adaptarse al nivel de seguridad correspondiente según la naturaleza de los datos tratados. En el caso de datos de salud, que son considerados de nivel alto, se deben aplicar medidas de seguridad adicionales.
En cuanto a la cesión de datos a familiares de residentes en centros de tercera edad, el informe señala que se trata de una cesión de datos que requiere el consentimiento previo del interesado. Este consentimiento debe ser libre, inequívoco, específico e informado, y en el caso de datos de salud, debe ser expreso. Además, el responsable del tratamiento debe cumplir con el deber de información, notificando a los interesados sobre la existencia del fichero, la finalidad del tratamiento, los destinatarios de la información, y sus derechos de acceso, rectificación, cancelación y oposición.
El informe concluye subrayando la necesidad de que el consentimiento y el cumplimiento del deber de información se acrediten mediante medios que permitan su verificación, como documentos escritos o soportes informáticos. Esto es crucial para garantizar la protección de los datos personales y el cumplimiento de la normativa vigente.