Artículo redactado por François Charlet, abogado especializado en protección de datos. El objetivo es que los lectores comprendan algunos aspectos legales a tener en cuenta a la hora de plantearse tener datos personales o empresariales alojados por un proveedor informático externo.

Cuando se trata de elegir un proveedor para un servicio en concreto, queremos los mejores servicios al mejor precio. Esto se aplica a innumerables campos, desde telefonía móvil hasta artesanía, pasando por formación o deporte. Los servicios informáticos están en auge y este mercado es altamente competitivo. No es ningún secreto: actualmente el mercado está dominado por gigantes estadounidenses como Microsoft y Amazon, pero los actores locales consiguen salir airosos. Hay muy buenas razones para elegir los servicios de las grandes empresas con sede en el extranjero, pero también hay excelentes motivos por los que optar por una empresa suiza.

¿Por qué es importante el lugar del alojamiento?

Más allá de los aspectos comerciales o de servicio al cliente (un proveedor que está geográficamente cerca, es probable que esté más atento y pueda ofrecer un servicio adaptado o incluso personalizado), la cuestión de la ubicación física del almacenamiento de datos es tremendamente importante. La ubicación real de los datos puede tener consecuencias jurídicas concretas, como que estén expuestos a que los bloqueen las autoridades extranjeras. Evidentemente, este riesgo no se excluye si los datos se almacenan en Suiza, pero las autoridades extranjeras tendrán que pasar por los mecanismos internacionales de ayuda mutua y serán las autoridades suizas las que lleven a cabo cualquier posible medida. Además, al usuario le resulta más fácil defenderse legalmente en su propio país, como veremos a continuación.

Suiza goza de una excelente reputación internacional, y también entre sus ciudadanos ¿por qué no aprovecharla? Cuando se ofrecen servicios en Suiza a los suizos, estos a menudo se quedarán perplejos al saber que sus datos (personales o no) no se almacenan en su país. En cuanto a los extranjeros, no es sólo por la estabilidad legal y política de Suiza, sino que como, por lo general, tiene una buena reputación, acogerán con beneplácito el hecho de que el lugar de almacenamiento de la información sea Suiza. No obstante, atención: que los servidores se encuentren en antiguos búnkeres del ejército suizo le sonará bien a algunas empresas, pero parecerá un poco folclórico hoy en día y rara vez será un verdadero argumento de compra para la abrumadora mayoría de los clientes. Además, este tipo de servicios son especialmente útiles cuando se trata de archivar datos, pero no tanto para las operaciones de procesamiento diarias.

Un proveedor local para la legislación local

La ubicación de los datos es importante, pero también lo es la legislación a la que está sujeto el proveedor de servicios. De hecho, en caso de litigio, particularmente civil, en el que existan diferencias en la interpretación de un contrato, siempre y cuando el contrato de prestación de servicios no especifique la jurisdicción y la legislación de un país extranjero, será más agradable emprender acciones legales ante los tribunales cuyo proceso no nos resulta del todo ajeno y que aplican la ley a la que estamos sujetos a diario. Además, un seguro de protección jurídica será probablemente menos proclive a financiar juicios en el extranjero, si no están excluidos de sus condiciones generales.

En materia penal, cabe decir lo mismo. Algunos habrán oído hablar de la conocida CLOUD Act y todas las tonterías que se han dicho al respecto. Muchos huyen de los proveedores estadounidenses por esta ley, sin saber que hay una similar que se aplica en Europa y Suiza en particular: el Convenio de Budapest sobre la Ciberdelincuencia (CCC). Por ejemplo, si las autoridades francesas, alemanas o estadounidenses sospechan que la información relativa a un delito se encuentra en un servidor ubicado en territorio suizo, las autoridades suizas podrán ordenar al proveedor informático que comparta con las autoridades extranjeras la información que tenga en su poder o control. Del mismo modo, con arreglo a la legislación suiza, si un proveedor con sede en Suiza almacena datos en el extranjero, las autoridades suizas podrán ordenarle que facilite dicha información.

¿Alojamiento en Suiza pero transferencia al extranjero?

A menudo hay una cláusula en los contratos relativa a las «transferencias temporales» de datos (personales o no). Aunque los datos se almacenen en Suiza, es habitual que tengan que pasar a través de servidores en el extranjero para diferentes procesos antes de volver a los servidores suizos para almacenarse de nuevo. Esto ocurre a menudo con los proveedores informáticos mundiales, pero raramente con los actores locales.

Esto es importante porque si el cliente tiene datos personales procesados por el proveedor informático y los datos se transfieren al extranjero, incluso sin ser almacenados allí, el cliente tendrá que asegurarse de la legalidad de esta transferencia bajo la (nueva) Ley Federal Suiza de Protección de Datos (LPD) o incluso el RGPD, e informar a las personas implicadas en la transferencia. La nueva LPD exigirá que esta información contenga el nombre del estado o los estados a los que se transfieren los datos personales.

Nueva LPD

A menudo hemos visto personas en la web y en los medios promocionando la LPD y el marco legal suizo porque son muy seguros para los datos personales, e invitando a sujetos y empresas a alojar sus datos en Suiza. Pero estas voces han guardado silencio desde la entrada en vigor del RGPD en la Unión Europea y han aumentado drásticamente las exigencias de las empresas de todo el mundo que vendrían a ofrecer sus servicios a los europeos o que serían subcontratistas de empresas europeas.

Estas voces podrán ser escuchadas de nuevo, pero sin fanfarronadas. La nueva LPD, adoptada en otoño de 2020 y cuya fecha de entrada en vigor se desconoce, aportará su parte de novedades e impondrá más responsabilidades a las empresas suizas, en particular en términos de transparencia y gobernanza. De este modo, el argumento de que los datos personales estaban mejor protegidos en Europa que en Suiza perderá su fundamento, porque todos los proveedores informáticos suizos que no estuvieran sujetos (legal o contractualmente) al RGPD hasta hoy estarán sujetos al régimen más estricto de la nueva LPD.

En particular, refuerza la obligación de transparencia de los responsables de tratamiento, impone la aplicación del principio «privacy by design & by default» (privacidad por diseño y por defecto) y la implementación de evaluaciones de impacto, e incluye la notificación al Comisionado Federal de las violaciones de (seguridad de los) datos.

Proveedor que desarrolla sus propias soluciones

A menudo, el proveedor informático que ofrece un servicio de alojamiento acompañará a sus clientes con asistencia técnica para instalar un CMS o con ciertas funciones para hacerlo de una manera guiada y automatizada, por ejemplo. Por lo general, las soluciones informáticas ofrecidas provendrán de proveedores terceros, que se encargan del mantenimiento, las actualizaciones y la seguridad de sus soluciones. El proveedor de alojamiento no participa. Esto significa que no puede ayudar a sus clientes a corregir bugs, errores o fallos de seguridad en estas soluciones.

Por el contrario, cuando el proveedor de alojamiento también es desarrollador de las soluciones informáticas que ofrece a sus clientes, estos se benefician de un servicio que va más allá del «simple» alojamiento. Si bien el proveedor informático asume mayores responsabilidades hacia sus clientes, será capaz de responder a sus solicitudes de desarrollo de los servicios ofrecidos. El proveedor no necesariamente desarrollará sus propias herramientas «desde cero», sino que a menudo utilizará soluciones de código abierto que adaptará a sus sistemas informáticos, las necesidades de sus clientes y la oferta de servicios que pretende ofrecer. Así, se beneficia de los desarrollos del código abierto realizados por la comunidad (y también puede contribuir) mientras sigue teniendo el control de la solución que ofrece. Otro elemento que argumenta a favor del uso de un proveedor local que desarrolla sus propias herramientas proviene de la ley de espionaje a la que está sujeto. Al usar soluciones patentadas desarrolladas en el extranjero, podemos estar expuestos a posibles backdoors (puertas traseras) instaladas a petición de una autoridad extranjera (ver este informe de la RTS). Dado que el proveedor local generalmente no tendrá más remedio que utilizar tecnologías e infraestructuras informáticas desarrolladas y fabricadas en el extranjero (servidores, sistemas operativos, etc.), el elemento antes mencionado pierde fuerza, pero sigue siendo interesante. Evidentemente, hay excepciones.

Conclusión

Todo lo anterior proporciona al proveedor informático local mayor independencia y, por lo general, también le exige un mayor control de los datos que los clientes le confían. Podría estar protegido frente a ciertos ataques informáticos dirigidos a infraestructuras y soluciones de uso masivo. En función de los subcontratistas empleados, a menudo le permitirá asegurarse de que los datos de sus clientes no se transfieren al extranjero ni están accesibles a personas en el extranjero. En caso de litigio, el cliente se beneficiará en principio de un contrato sujeto a la jurisdicción suiza y la legislación aplicable será la suiza, lo que conlleva de facto garantías de un juicio justo y de justicia de proximidad.

El autor de este artículo se ha mantenido independiente y no ha sido sometido a ninguna solicitud o presión por parte de Infomaniak network SA, de la que es cliente. Infomaniak network SA ha ofrecido amablemente al autor de este artículo dos años de suscripción a su suite kDrive.