Riesgos legales de contratar un servidor de correo fuera de tu país

Los grandes servidores de correo electrónico, son empresas a nivel mundial que sugieren ser completas y seguras pero que pueden ofrecer grandes riesgos legales, a los usuarios locales. Multinacionales así, deben mostrar las desventajas que presentan para evitar fallos y protección de seguridad de sus usuarios.

1. Sanciones
Al usar estas herramientas se encuentra en la posibilidad de sanciones y multas que se basan en el tipo de información que las empresas manejan, contra más alto sea nivel de seguridad de las compañías, mayor las exigencias de seguridad:

– Alto (Administraciones Públicas, Sector de la Salud, Farmacéutico, Notarías,  bufetes …)
Informes médicos, datos de salud, información de accidentes, infracciones, afiliaciones sindicales dentro de clínicas, hospitales, laboratorios, sindicatos, partidos políticos, abogados, procuradores, prisiones y comisarias.

– Medio (Empresas aseguradoras, departamentos de RRHH, Financiero …)
Datos económicos y financieros, solvencia patrimonial, crédito, cobro de deudas, procesos de selección de personal en administraciones tributarias, entidades financieras, gestoras, aseguradoras, empresas de cobro y de selección.

– Bajo (todas las empresas)
Todos los datos personales usados en cualquier empresa u organismo público que trabaje con datos personales.

2. Obligaciones contractuales
Al usar un servidor de correo alojado fuera de tu país, deberías formalizar un contracto, como mínimo, entre la empresa cliente y tu proveedor para constatar que éste último tratará tus datos conforme a las instrucciones que le indiques, y que sus medidas de seguridad cumplirán e implementarán lo establecido con la LOPD.

Además que al finalizar las prestaciones se destruyan o devuelvan los datos personales de la empresa y sobre todo la formalización y cumplimiento del contrato.

De empezar a utilizar el servicio de correo electrónico sin haber formalizado el contrato se multará en base a la LOPD desde 900 hasta 40,000 euros.

3. Localización del proveedor
Es necesario conocer la localización física de la sede de estos proveedores y de cada uno de los recursos físicos donde realmente se almacenarán los datos del servicio para la generación de la transferencia internacional de datos de la LOPD:

• Para proveedores dentro del Espacio Económico Europeo no se considera transferencia internacional de datos, por lo que no requiere de trámites adicionales al respecto.
• Para proveedores de Hungría, Suiza, Israel, Nueva Zelanda, Argentina y Uruguay se considera transferencia internacional por lo que se requiere notificar a la Agencia Española de Protección de Datos.
• Mientras que los proveedores localizados en EEUU no están reconocidos como un nivel adecuado de protección de datos si no están adheridos al Safe Harbor, por lo que también se considera transferencias internacionales y necesita el trámite requerido.
• Para otros países no podrá considerarse un nivel adecuado de protección de datos, por lo que será necesario que la Agencia Española de Protección de Datos autorice la transferencia de datos con solicitudes y cláusulas firmadas para que así pueda autorizarse sin problemas.

Cabe destacar que si una empresa empieza a utilizar el servicio de correo electrónico sin recibir la autorización del Director de la Agencia Española de Protección de Datos para la transferencias internacional se sancionará con una multa de 300,0001 hasta 600,000 euros, por lo que es conveniente cumplirlo en tiempo y forma.

¿Qué hacer para evitar los riesgos?
– Usa servidores que cumplan con la transmisión internacional de datos, confidencialidad y competitividad.
– Verifica que tu organización o empresa no se encuentre bajo la Patriot Act a través de tus servicios contratados.
– En caso de ser cliente de empresas globales, como Gmail u Office 365, asegúrate que se cumplan las obligaciones contractuales con la firma de contratos y que se localice cada recurso físico del proveedor.

Definitivamente cumplir con las normativas es una tarea ardua y compleja, pero contratar servicios de servidores de correo electrónico de fuera de tu país, puede traer riesgos legales y privados que las empresas no deben porque tener. Obtener este tipo de documentación requerida para cumplir con la LOPD a través de estas herramientas es realmente difícil y complicado.

Los proveedores no autorizarán dar acceso a su información para el cumplimiento de las normativas legales requeridas, por lo que la manera ideal de cumplir y protegerse es usar clientes y servidores de correo electrónico especializados y que cumplan con todas las normativas y especificaciones de la LOPD y medidas para la protección de datos, y así vivir seguros y confiados se cumplen con las normas jurídicas en cada paso de la empresa.