GDPR y tu hosting: lo que debes saber
Seguridad
21

¿Qué es el GDPR y por qué te afecta?

El GDPR (Reglamento General de Protección de Datos) es la norma europea que regula cómo se recolectan, almacenan y usan los datos personales. Aunque se aprobó en Europa, su alcance es global: aplica a cualquier sitio o servicio que procese datos de personas que están en la Unión Europea, sin importar dónde esté la empresa. Si un solo visitante europeo llena un formulario en el sitio de tu cliente, el GDPR entra en juego.

¿A quién aplica exactamente?

Aplica a cualquier organización (empresa, freelancer, asociación) que trate datos personales de residentes en la UE. No importa si tú estás en Lima, Bogotá o Buenos Aires. Lo que importa es de dónde vienen las personas cuyos datos gestionas. Por eso, en la práctica, cualquier sitio con audiencia internacional debería alinearse con estas reglas.

¿Qué cuenta como dato personal?

Mucho más de lo que piensas. Un nombre completo, un correo electrónico, una dirección IP, un identificador de cookie, datos de ubicación, historial de compras, incluso un comentario que permita reconocer a una persona. Todo eso es dato personal bajo el reglamento.

Tu rol como host: procesador vs controlador

En el vocabulario del GDPR hay dos figuras clave. El controlador decide qué se hace con los datos: es tu cliente, el dueño del sitio web. El procesador trata los datos por encargo del controlador: ese eres tú, el proveedor de hosting. Cada rol tiene obligaciones distintas, pero ambos son responsables ante la ley.

El Acuerdo de Procesamiento de Datos (DPA)

Entre controlador y procesador debe existir un contrato formal conocido como DPA (Data Processing Agreement). Este documento describe qué datos se tratan, para qué, durante cuánto tiempo, bajo qué medidas de seguridad y qué pasa al terminar la relación. Como host, ofrecer un DPA firmable facilita enormemente la vida de tus clientes.

Registro de actividades de tratamiento

Llevar un registro interno de cómo procesas los datos es una obligación práctica. No tiene que ser complejo: basta con documentar qué tipos de datos manejas, con qué propósito, qué medidas de seguridad aplicas y con quién los compartes (subprocesadores como CDN, servicios de correo, etc.).

Derechos del usuario

Las personas tienen derechos que debes poder atender cuando un cliente te los traslada:

  • Acceso: saber qué datos se guardan sobre ellos.
  • Rectificación: corregir datos inexactos.
  • Borrado: el famoso derecho al olvido.
  • Portabilidad: recibir sus datos en un formato estructurado.
  • Oposición: negarse a ciertos tratamientos, como marketing directo.

Notificación de brechas

Si ocurre un incidente que exponga datos personales, debes notificarlo a la autoridad competente dentro de un plazo corto (normalmente 72 horas) y, si el riesgo es alto, también a las personas afectadas. Contar con un plan de respuesta listo antes de que pase algo te ahorra caos después.

Buenas prácticas concretas

Cifra los backups, limita quién accede a qué, mantén el software actualizado, documenta tus subprocesadores y elige centros de datos con buenas certificaciones. No es solo cumplimiento legal: es la base de un servicio serio.

Este artículo es informativo y no constituye asesoría legal. Consulta con un abogado para tu caso específico.