Consideraciones legales relativas a la privacidad del Cloud Computing

¿Cómo es la legislación en materia de protección de datos en la nube? Antes de avanzar, es importante comprender de qué estamos hablando: la privacidad es un derecho humano fundamental que se aplica a todas las condiciones del ser humano, y el modelo cloud computing goza también de ese beneficio, ya que se trata del derecho que protege la libertad individual, la libertad de expresión, la intimidad y la dignidad personal e incluye además el derecho a la protección de datos personales.

El modelo cloud computing o computación en la nube es una solución tecnológica permite ofrecer servicios a través de internet tales como:

  • La utilización de software.
  • Almacenamiento y sincronización de archivos, bases de datos, correo electrónico.
  • Gestión remota de información,

Los servicios se brindan de forma tal que estén accesibles a los usuarios de manera virtual, en cualquier momento, en cualquier lugar y desde cualquier dispositivo.

El modelo Cloud goza también de la privacidad, ya que se trata del derecho que protege la libertad individual, la libertad de expresión, la intimidad y la dignidad personal e incluye además el derecho a la protección de datos personales.

La nube y la Ley


El uso de servicios de computación en la nube ofrece, como es sabido, un gran número de ventajas. Desde la reducción de costos hasta la flexibilidad y escalabilidad de los recursos informáticos. Pero a su vez presenta, por sus características específicas, una serie de riesgos que deben afrontarse con una adecuada gestión. En este aspecto las organizaciones deben estar atentas para revisar las obligaciones de cumplimiento regulatorio propias de la organización (como normas y procedimientos de seguridad corporativos), y a su vez la regulación tanto local como de los países donde se procesarán los datos.

¿Cuál es la relación que existe entre privacidad, protección de datos y Habeas Data?

De manera general, se puede decir que la protección a la privacidad es el género, y la protección de datos, la especie. Y todavía en un sentido más estricto queda la figura de habeas data, la cual se opera como un derecho de acceso a la información personal dentro del régimen de datos personales.

La protección de datos es un derecho a la intimidad personal que tienen las personas contra un tratamiento incorrecto, no autorizado o contrario a las normativas vigentes de sus datos personales por tratadores de datos. Al proteger los datos personales frente al riesgo de la recopilación y el mal uso de sus datos personales, se ampara por ende, la privacidad de las personas.

Dentro del derecho de protección de datos personales se encuentra la figura de Habeas Data. Se trata de una acción legal mediante la cual las personas agraviadas pueden informarse sobre datos referidos a ellos y el propósito de su recolección. A su vez permite exigir, dependiendo el caso, su rectificación, actualización o supresión de información personal alojada en bancos o registros de datos, públicos o privados.

Ley 25.326

En Argentina, la Ley de Protección de Datos Personales es una norma de orden público fundamental para regular el orden social del país y por lo tanto no puede ser dejada de lado por un acuerdo entre particulares.

Regula la actividad de las bases de datos que registran información de carácter personal y garantiza al titular de los datos la posibilidad de controlar el uso de sus datos personales.

Seguridad y confidencialidad

El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales.

El deber de secreto respecto de los datos personales tratados, es una obligación que corresponde al responsable de la base de datos y a toda persona que efectúe tratamiento de datos personales, obligación que se mantiene aún finalizada la relación que permitió el acceso al banco de datos.

A la hora de garantizar el cumplimiento de la norma, la legislación argentina establece sanciones efectivas y disuasorias, tanto de naturaleza administrativa como penal. Asimismo, en caso de que el tratamiento ilícito haya causado perjuicios, se aplicarán las normas de la legislación relativas a la responsabilidad civil (tanto contractual como extracontractual).

Por lo tanto, el no cumplimiento de las exigencias establecidas en la ley, trae como consecuencia la imposición de las sanciones, las que pueden ser de dos tipos: de carácter administrativo o penal Sanciones Administrativas

Riesgos en la protección de los datos personales

Las implicaciones de la localización de los datos, los elementos de protección de la privacidad de los datos de clientes, proveedores y empleados de la empresa, los usos secundarios de la información almacenada en la infraestructura del proveedor, el manejo de las amenazas de seguridad que se presenten, el aseguramiento de los planes de continuidad de negocio, la respuesta a los posibles litigios donde se solicite información corporativa disponible en la nube, los elementos del monitoreo de los servicios contratados en la nube y los elementos concretos de terminación del contrato con el proveedor son algunos de los temas que tanto en el ámbito académico como en el privado se están analizando.

Para la doctrina actual en materia de protección de datos personales, existen dos grandes riesgos a gestionar por las organizaciones a la hora de embarcarse en un proyecto de cómputo en la nube:

  1. La falta de información sobre las condiciones en la que se presta el servicio.
  2. La falta de control del responsable sobre el uso y gestión de los datos personales por parte de los agentes implicados en el servicio.

Falta de Información

En cuanto a la falta de información, por un lado el proveedor es quien conoce de forma integral los detalles del servicio que ofrece. En virtud de ello existe la necesidad de conocer cabalmente el funcionamiento específico del servicio.

Por ejemplo el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. “Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de suben cargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados”.

Falta de control

La falta de control del responsable sobre la información alojada en estos servicios se evidencia a partir de las dificultades para conocer fehacientemente la ubicación de los datos, las problemas a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos principales del tratamiento en lo refiere a las garantías técnicas y organizativas.

La situación a nivel mundial

En el mismo sentido, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) realizó un estudio técnico donde se analizan los riesgos y ventajas para la seguridad que presenta el uso de la computación en nube, y ofrece orientaciones sobre protección para sus usuarios.

En dicho estudio se evaluó el nivel de riesgo de la protección de los datos donde destaca que “en algunos casos, puede ser difícil para el cliente en nube (en su función de controlador de datos) comprobar de manera eficaz el procesamiento de datos que lleva a cabo el proveedor en nube, y en consecuencia, tener la certeza de que los datos se gestionan de conformidad con la ley. Tiene que quedar claro que el cliente en la nube será el principal responsable del procesamiento de los datos personales, incluso cuando dicho proceso lo realice el proveedor en nube en su papel de procesador externo”.

Conclusión

Si bien están claros los beneficios que obtenemos de la utilización de la nube es importante que antes de hacer uso de estos servicios se examine si la organización que los vaya a hospedar cumple con todos los requisitos legales y de seguridad necesarios para garantizar su total protección, pues se trata nada más y nada menos que de nuestra información personal.

La tecnología crece a pasos agigantados, y para las empresas es difícil a veces seguir ese ritmo en paralelo al cumplimiento de la Ley. Por eso, recomendamos ser cuidadosos y prestar mucha atención.

Autores: Lic. Darío Piccirilli y Dr. Juan Cruz González Allonca
Adaptado por división consultoría de E1valuandoSoftware.com

 

¿qué software es apto para su empresa?

Acceda a nuestros evaluadores

Deja un comentario