El tratamiento de datos personales bajo el denominado cómputo en la nube, requiere que los responsables del tratamiento consideren medidas para la protección de la información personal bajo este modelo de servicio y para el cumplimiento con las obligaciones que establece el marco legal en materia de protección de datos personales que resulte aplicable.
Lo que debe considerar el responsable previo a la contratación de un servicio de cómputo en la nube
Cuando un responsable decida realizar un tratamiento de datos personales en la nube es recomendable considerar previamente:
a) Identificar los datos personales, procesos o funciones que se pretenden integrar al servicio de cómputo en la nube.
b) Definir el modelo de aprovisionamiento.
c) Determinar las políticas y medidas de seguridad que la organización deberá cumplir para el uso del servicio de cómputo en la nube.
d) En el caso de datos personales sensibles realizar una evaluación de impacto en la protección de datos personales, para identificar los riesgos derivados del tratamiento en la nube y establecer medidas de seguridad adecuadas.
e) Preguntar al proveedor sobre las medidas de seguridad que ofrece y las necesarias por la organización.
f) Evaluar todos los aspectos del servicio, así como los términos y condiciones.
Proveedor de cómputo en la nube ¿aliado o enemigo?
Es importante recordar que el proveedor de un servicio de cómputo en la nube tiene la figura de un encargado, por ello los responsables deben contar con un instrumento jurídico (contrato de prestación de servicios) que establezca al encargado los términos concretos en los que deberá realizarse la prestación del servicio. Este contrato o instrumento deberá considerar por lo menos el objeto, el alcance, el contenido, la duración, la naturaleza, la finalidad del tratamiento, tipo de datos personales, las categorías, así como las obligaciones y responsabilidades del responsable y el encargado.
El documento Recomendaciones para el tratamiento de datos personales
mediante servicios de computación en la nube” publicado por la Red Iberoamericana de Protección de Datos establece algunas recomendaciones para el tratamiento de datos personales mediante servicios de computo en la nube:
- Realizar el tratamiento de datos personales conforme las instrucciones del responsable.
- Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable.
- Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables.
- Informar al responsable cuando ocurra una vulneración de los datos personales que trata por instrucciones.
- Guardar confidencialidad respecto de los datos personales tratados.
- Suprimir, devolver o comunicar a un nuevo encargado asignado por el responsable los datos personales objeto del tratamiento una vez cumplida la relación jurídica.
- Abstenerse de transferir datos personales salvo en el caso que el responsable así lo autorice.
- Permitir al responsable o autoridad de control inspecciones o verificaciones en sitio.
- Generar, actuar y conservar la documentación necesaria y que le permita acreditar sus obligaciones.
- Colaborar con el responsable para el cumplimiento de las obligaciones establecidas en su marco legal.
Los que nunca fallan, estándares y mejores prácticas
Adicionalmente al instrumento jurídico el responsable puede consultar y adoptar estándares y/o mejores prácticas, que le permitirá contar con mayor información para realizar el análisis técnico y regulatorio detallado de las diferentes opciones de servicios en la nube disponibles.
A continuación, te comparto una infografía con algunos estándares sobre cómputo en la nube que consideran elementos sobre su arquitectura, funcionamiento, seguridad, privacidad y disponibilidad.
- ISO/IEC 17788:2014 Information technology — Cloud computing — Overview and vocabulary
- ISO/IEC 17789:2014 Information technology — Cloud computing — Reference architecture
- ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
- ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
- ISO/IEC 19086-1:2016 Information technology — Cloud computing — Service level agreement (SLA) framework — Part 1: Overview and concepts
- ISO/IEC 19086-2:2018 Cloud computing — Service level agreement (SLA) framework — Part 2: Metric model
- ISO/IEC 19086-3:2017 Information technology — Cloud computing — Service level agreement (SLA) framework — Part 3: Core conformance requirements
- ISO/IEC 19086-4:2019 Cloud computing — Service level agreement (SLA) framework — Part 4: Components of security and of protection of PII
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.