Saltar al contenido principal

Consultas Online

avatar

Consulta formulada por:

ALicia Lopez-Tejero

Zoho, CiviCRM entre otras, ¿tienen servidores en Europa? ¿Cumplen con la normativa de protección de datos?

23.03.16

Hola,

¿Se pueden utilizar un CRM como DonorPerfect con soluciones en la nube y servidores fuera de Europa? Zoho, CiviCRM y otras que recomiendan en otras consultas, ¿tienen servidores en Europa? ¿Cumplen con la normativa de protección de datos?

Gracias

Compárte en las redes sociales

Respuestas

avatar
#1

Opinión anónima

29.03.16

Buenos días, Alicia.

Lo cierto es que la pregunta que plantea ha ocasionado numerosos problemas. Le explico de forma breve lo que sucede al respecto.

Primero, Zoho es una entidad que tiene sede en Canadá; Por su parte, CiviCRM es norteamericana. En cuestiones de protección de datos, trabajar con ellos implica una TRANSFERENCIA INTERNACIONAL DE DATOS.

Segundo, hace unos meses el TJUE declaro inválida la Decisión de la Comisión que declara el nivel adecuado de protección del Puerto Seguro. Esto significa que muchas de las entidades adheridas a Puerto Seguro no necesariamente cumplen las garantías exigidas por la normativa europea respecto a protección de datos. Puede encontrar información adicional en la web de la AEPD:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2015/notas_prensa/news/2015_10_06-ides-idphp.php

Ahora bien, ¿qué hacer ante esta situación? Por el momento, tres opciones:

(1) Firmar un contrato de importador y exportador con la empresa de extranjera, para poder remitirlo a la Agencia y solicitar la autorización del Director de la Agencia. Lógicamente, la autoridad podría denegar la transferencia.

(2) Cambiar de prestador de servicios, contratar el servicio de referencia con una empresa española o incluso europea, que se considera que cumple con los principios y medidas en materia de protección de datos, eliminando en este sentido, la transferencia internacional de datos.

  • Acogerse a una de las excepciones del artículo 34 de la LOPD.*

_a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.
c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.
k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado._

Puede consultar directamente la normativa en este enlace:

http://noticias.juridicas.com/base_datos/Admin/lo15-1999.t5.html#a34

Como ve, la cuestión es compleja, y se actualmente la Comisión Europea y EEUU (no se comenta nada de otros países) se encuentran trabajando en un acuerdo para la realización de transferencias internacionales de datos. De nuevo, es una de las publicaciones de la AEPD:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_02_03-ides-idphp.php

Espero haberle sido de ayuda.

Saludos cordiales.

avatar
#2

Respuesta del participante:

ALicia Lopez-Tejero

29.03.16

Muchísimas gracias por su respuesta tan completa y precisa.

avatar
#3

Aportada por:

Jaume Albaigès

Director de SinergiaTIC, antiguo autor de TecnolONGia.org y siempre tratando de ayudar a reducir la distancia entre las TIC y las ONG

Trabaja en:

Asesor particular

29.03.16

Hola Alicia,

Como complemento a la respuesta anterior, déjame comentarte un detalle adicional que es bastante relevante. Un CRM, o cualquier otra aplicación web, puede estar alojado en los servidores del proveedor que ofrece dicho producto, o puede estar alojado en los servidores propios (sean locales o en internet) que tenga la entidad que lo va a usar. Algunas aplicaciones permiten ambos funcionamientos, mientras que otras solamente pueden funcionar en una de las dos modalidades.

Por ejemplo, en el caso de Zoho, el funcionamiento solamente es SaaS (Software as a Service), lo que popularmente se suele traducir como “funcionamiento en la nube”. Sería el caso en el que el proveedor del servicio se encarga de todo y te da acceso a sus servidores (como lo hacen Google o Facebook, por citar otros dos casos conocidos). En estos casos, el usuario no tiene que hacer nada a nivel técnico para mantener la aplicación en funcionamiento, el proveedor se encarga de todo. En esta modalidad, el tema LOPD en cuanto a la ubicación de los servidores es relevante.

Vamos al otro caso. CiviCRM es una aplicación de código abierto que se puede descargar libremente e instalar en un servidor local o en un alojamiento online como el que usáis para vuestro sitio web corporativo. En estos casos, y asumiendo que uséis un proveedor de alojamiento cuyos servidores estén en España, el tema de la LOPD deja de ser relevante (o lo es en la misma medida que lo pueda ser para vuestro sitio web). En síntesis, cuando se usa software libre instalado en la casa de uno, la ubicación geográfica del desarrollador de la aplicación es irrelevante a efectos de LOPD.

Finalmente, dado que en otra pregunta parecida citabas también a SinergiaCRM, déjame decirte que en este caso estaríamos en una situación intermedia. El funcionamiento estándar de las entidades que trabajan con esta aplicación es que delegan el alojamiento en SinergiaCRM, pero como SinergiaCRM utiliza alojamiento web radicado en España tampoco está afectado a nivel LOPD en cuanto a la ubicación física de los servidores.

Espero que esta información te sea de utilidad.

Jaume Albaigès
TecnolONGia.org | Blog sobre TIC y ONG
Impulsando SinergiaCRM

avatar
#4

Aportada por:

Francesc Bassas i Bullich

www.babu.cat

Trabaja en:

Asesor particular

29.03.16

100% de acuerdo con la respuesta que os da Jaume. No es lo mismo utilizar una herramienta “en la nube” como Zoho que otra de código abierto bajo vuestro control.

En el primer caso los efectos de la LOPD estan a expensas de la empresa que ofrece el servicio y a menudo son aspectos que quedan descuidados ya que la mayoría de estos servicios estan alojados fuera de nuestro país y de sus normativas.

En el segundo caso los efectos de la LOPD recaen más en el servidor que decidáis utilizar para alojar la herramienta que por lo general es menos restrictivo que el primer caso cuando se trata de cumplir con LOPD. Hay muchos proveedores de servidores con sede en España que estan acostumbrados a lidiar día a día con la LOPD.

En cualquier caso: (1) si apostáis por una herramienta en la nube tenéis que aseguraros que la empresa que os da el servicio os garantiza el cumplimiento de la LOPD; (2) si apostáis por una herramienta de código libre como CiviCRM y la alojáis por vuestra cuenta, vosotros y/o el proveedor del servidor soys los responsables finales de dicho cumplimiento; (3) en el caso de SinergiaCRM ellos mismos ya se han preocupado de garantizar que el proveedor de los servidores cumpla con la LOPD y ellos también habrán establecido sus mecanismos para garantizarla.

Un saludo

solucionesong.org
Un proyecto de