RGPD y sus efectos en los proveedores de alojamiento y en los clientes de hosting web

Tuvimos la suerte de hablar con Thomas Keser, apoderado de WebhostOne GmbH, sobre los efectos del RGPD (DSGVO), vigente desde mayo de este año. En particular, abordamos las consecuencias de la nueva normativa para los proveedores de hosting y los clientes de hosting y aventuramos una perspectiva sobre la prevista normativa de E-Privacy.

ht: Hola Sr. Keser, ¿sería tan amable de presentar brevemente su empresa a los visitantes de hosttest?

tk: La empresa WebhostOne GmbH está a su disposición desde 1998 como un proveedor competente y orientado a la calidad en los ámbitos de Hosting web, dominios, servidores Reseller y servidores gestionados. Además de ofrecer servicios y productos de alta calidad, damos especial importancia a la disponibilidad de un soporte competente y completo. Nuestra elevada orientación al servicio no solo se refleja en nuestros horarios de soporte, que superan los horarios comerciales habituales, sino también en la alta satisfacción de los clientes, por la que regularmente somos muy bien valorados por nuestros clientes en los principales portales de reseñas independientes, como por ejemplo Trustpilot o HostTest. Con nuestra interfaz de administración WHO-Adminpanel ofrecemos a nuestros clientes un sistema único para gestionar su cuenta de hosting web, que incluso en el ámbito del hosting compartido ofrece características de rendimiento que normalmente solo se encuentran en VPS o Servidores Dedicados. Una php.ini y httpd.conf editables libremente son tan evidentes como la disponibilidad de distintas versiones de Apache y PHP como módulo o CGI para cada cuenta de hosting web. Nuestros servidores están ubicados en un centro de datos moderno y muy bien conectado de TelemaxX GmbH en Karlsruhe. La energía para operar nuestra infraestructura TI la obtenemos exclusivamente de fuentes de energía renovables.

ht: El RGPD se aplicó el 25/05/18: ¿Cuántos recursos tuvieron que dedicar a este tema en esas semanas?

tk: La protección de datos y el tratamiento de datos ya eran temas prioritarios para nosotros antes, por lo que fuimos uno de los pocos proveedores que ya podían ofrecer un contrato ADV antes del RGPD, que con el RGPD prácticamente se convirtió en obligatorio. Nuestros procesos ya habían sido revisados respecto a su conformidad y la documentación necesaria estaba disponible, por lo que para nosotros fueron necesarias pocas adaptaciones en los procesos. Lo que nos dio más quebraderos de cabeza fueron la redacción de nuestras propias declaraciones en el contrato ADV y en el acuerdo de protección de datos. Debido a muchos términos jurídicos poco claros, como p. ej. “tratamiento de buena fe”, y a numerosas cláusulas de reserva para el legislador alemán, tampoco nos fue fácil encontrar la redacción exacta y plasmarla por escrito. Cuando la fecha se acercó, diversas instituciones públicas y los delegados de protección de datos de los Länder publicaron recomendaciones prácticas que ayudaron a comparar y asegurar legalmente nuestras formulaciones y contenidos. Además de la implementación jurídicamente segura de las normas, por supuesto nos ocupó también la conclusión conforme a derecho de los contratos de encargado de tratamiento. La opinión inicialmente extendida de que estos contratos no podían celebrarse electrónicamente fue más tarde rectificada por varios delegados de protección de datos de los Länder. Así pudimos crear un proceso electrónico adecuado, lo que de otro modo habría supuesto una carga administrativa enorme con más de 20.000 clientes. Por ello nos centramos en automatizar en la medida de lo posible el proceso de firma tanto para nuestros clientes como para nosotros. Además de este trabajo de desarrollo, principalmente nos ocupaban las consultas de soporte relacionadas con el RGPD y con las páginas web de nuestros clientes. Desgraciadamente es difícil dar una recomendación general, ya que en detalle hay que analizar los procesos del cliente, que van más allá del mero hosting. Con el contrato ADV, nuestros clientes, en lo relativo a la interfaz con WebhostOne, pueden en principio protegerse jurídicamente.

ht: ¿En qué medida afecta este tema a cada proveedor de hosting?

El tema es relevante para cualquier proveedor de hosting porque el propósito principal aquí es la generación y el tratamiento de datos. La intersección entre el proveedor y el cliente afecta, entre otras cosas, a la interfaz de administración utilizada, ya que normalmente la proporciona el proveedor y, por tanto, éste debe ocuparse del cumplimiento de los requisitos de protección de datos. Un tema para nosotros, por ejemplo, fue la anonimización de las direcciones IP registradas y su periodo de almacenamiento. La problemática del almacenamiento de IP no era nueva, pero con el RGPD los clientes lo tomaron más en serio. Como no podemos comprobar caso por caso si nuestros clientes disponen de un permiso para almacenar IPs, a partir de entonces enmascaramos obligatoriamente las direcciones IP, ya que se registran y almacenan a través de nuestro sistema. Los clientes pueden, no obstante, conservar las direcciones IP completas por su cuenta con software de tracking. Por supuesto, la recopilación y cesión de nombres y datos de dirección de los titulares de dominios (datos WHOIS), que son necesarios para el registro de dominios, también se discute de forma intensa y controvertida. Las autoridades de registro han dado un gran paso hacia la anonimización con la supresión de datos WHOIS, algo que no acogemos totalmente con agrado. Esto nos plantea como proveedor de hosting nuevos desafíos a la hora de asesorar y llevar a cabo transferencias de dominios o la solicitud de certificados SSL. Otros grandes temas en el sector del hosting, como Big Data y Cloud Computing, fueron sin embargo tratados sorprendentemente poco por el RGPD.

ht: ¿Podría explicar brevemente los pilares del RGPD o las áreas importantes para cualquier proveedor de hosting?

tk: En términos generales se establecen, entre otras cosas, las reglas para la recopilación, el tratamiento, la seguridad y el almacenamiento de datos. Siempre debe plantearse la cuestión de qué permiso se tiene para la recopilación y qué consecuencias acarrea el tratamiento de datos. Un permiso puede ser, por ejemplo, un consentimiento legítimo, una obligación legal o simplemente el cumplimiento del contrato. Para retomar el tema de las direcciones IP: el proveedor de hosting suele tener más motivos o autorización para almacenar direcciones IP (al menos temporalmente) que sus clientes. Existe una norma de autorización, por ejemplo, para responder a y esclarecer ciberataques. Los procesos de tratamiento deben ser seguros y estar bien documentados para garantizar la integridad y la confidencialidad de los datos. Dado que los interesados tienen derecho de acceso con el RGPD y la obligación de rendir cuentas/la carga de la prueba recae en el responsable, cada paso en el tratamiento de los datos debe planificarse cuidadosamente. No solo es importante el propio tratamiento, sino que se extiende a todos los proveedores y socios que entran en contacto con datos personales. En este sentido nos beneficia trabajar únicamente con socios seleccionados del territorio alemán, por ejemplo nuestro centro de datos certificado ISO, que siempre ha mantenido estándares de seguridad muy elevados.

ht: Ante los distintos requisitos, ¿puede darnos un extracto de lo que un proveedor de hosting debería implementar?

tk: Básicamente, un proveedor de hosting debería operar y entregar de forma segura la software proporcionada por defecto y también concienciar a sus clientes en el uso de su propio software (palabra clave: “privacy by default”). Para nosotros esto también significa ofrecer certificados SSL gratuitos de Let’s Encrypt con un clic, deshabilitar protocolos antiguos, pero también desactivar versiones antiguas de PHP. En particular, el tema de las versiones de PHP plantea retos a muchos clientes, pero también es un incentivo para mantener el software propio actualizado y así cumplir con las exigencias del RGPD.

ht: Está usted en constante contacto con sus clientes; ¿qué ha pasado con el tema seis meses después de la entrada en vigor?

tk: Sinceramente, el tema se ha ido relajando en gran medida. Muchos clientes se vieron sorprendidos por la magnitud de las medidas y les produjo alguna que otra noche sin dormir. Aun cuando por el gran revuelo en los medios sigue presente en un segundo plano, ha perdido parte de su efecto intimidatorio. Las temidas advertencias y reclamaciones no se han materializado en su mayoría y la omnipresente multa de 20 Mio. € todavía no se ha impuesto. Más bien ahora aparecen en los titulares historias que perjudican y ridiculizan la reputación del RGPD. Por ejemplo, la supuesta infracción de placas de timbres de las casas respecto al RGPD.

ht: Para terminar, me interesa saber qué ve usted en el futuro respecto a la protección de datos y la E-Privacy. ¿Es el RGPD todo o, en su opinión, aumentará la presión de las autoridades con la prevista normativa E-Privacy?

Creo que el RGPD en general ofrece demasiado margen de interpretación y, por tanto, existe una incertidumbre constante que no es buena para el clima de protección de datos. Por otro lado, tiene el potencial de mover incluso a los grandes actores de la industria de Internet. Que Facebook reaccionara tan rápido a la problemática de las páginas de empresas y ofreciera ahora una solución aceptable con el “Page Controller Addendum” no lo hubiera dado por posible. Cómo continuará esto es difícil de decir. En comparación con el RGPD, la normativa E-Privacy prevé intervenciones mucho más profundas en el tráfico de Internet y se discute con controversia. Para nosotros como proveedor de hosting cambiarían, por supuesto, las bases legales, lo que implicaría una reestructuración de los contratos ADV, la documentación y el acuerdo de protección de datos, aunque en un marco manejable. La normativa E-Privacy, como parte del paquete de medidas de la UE, cambiaría sin embargo de forma radical Internet y el modelo de negocio de muchos otros sectores que viven del tracking de los visitantes de las páginas web. El punto más importante aquí sería el tratamiento de las cookies de terceros o de seguimiento, que son fundamentales para la industria de la publicidad online. Al usuario no solo se le informaría sobre el tracking, sino que también se le permitiría rechazarlo. La normativa E-Privacy cambiará fuertemente Internet tal y como lo conocemos.

ht: Le agradezco mucho por la estupenda entrevista y las múltiples facetas sobre el tema del RGPD.

La entrevista fue realizada por Marco Keul

Ficha

Nombre: Thomas Keser
Cargo: Apoderado
Empleados: > 10
Empresa fundada en: 1998
Base de clientes: > 20.000
Al perfil de WebhostOne