En la actualidad es cada vez más frecuente utilizar servicios, aplicaciones o infraestructura en la nube que permitan realizar el tratamiento de la información optimizando los procesos y procedimiento de las organizaciones, tanto públicas como privadas sin embargo, es fundamental considerar los riesgos que puede implicar este tratamiento para la confidencialidad, integridad y disponibilidad de la información.
Todo responsable que realice un tratamiento de datos personales en la nube a través de un encargado debe considerar medidas que permitan hacer un uso seguro de estos servicios, aplicaciones o infraestructura.
En el marco legal mexicano el artículo 52 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares para el sector privado y los artículos 63 y 64 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados establecen las consideraciones que el responsable debe observar cuando realice la contratación de un proveedor de servicios de nube.
Las cuales consisten en:
- Tener y aplicar políticas de protección de datos personales
afines a los principios y deberes aplicables que establece la
Ley y el presente Reglamento. - Transparentar las subcontrataciones que involucren la información
sobre la que se presta el servicio. - Abstenerse de incluir condiciones en la prestación del servicio
que le autoricen o permitan asumir la titularidad o propiedad
de la información sobre la que presta el servicio, y - Guardar confidencialidad respecto de los datos personales sobre
los que se preste el servicio.
Adicionalmente, que cuente con mecanismos, al menos para:
- Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta.
- Permitir al responsable limitar el tipo de tratamiento de los
datos personales sobre los que se presta el servicio. - Establecer y mantener medidas de seguridad adecuadas para
la protección de los datos personales sobre los que se preste
el servicio. - Garantizar la supresión de los datos personales una vez que haya
concluido el servicio prestado al responsable, y que este último
haya podido recuperarlos. - Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho
al responsable.
El Instituto Nacional de Transparencia y Protección de Datos Personales (INAI) publicó el documento Criterios mínimos sugeridos para la contratación de servicios de cómputo en la nube que impliquen el tratamiento de datos personales, con el objetivo de orientar a los responsables del tratamiento de datos personales en la selección y contratación de proveedores, para los servicios de infraestructura, plataforma y software de cómputo en la nube, a fin de cumplir con las obligaciones establecidos en la normatividad en la materia y evitar cualquier vulneración a la seguridad de los datos personales.
El documento presenta criterios mínimos previos a la contratación o adhesión, así como los elementos que se sugiere al cliente considerar para controlar la prestación del servicio, aspectos relacionados con la medidas de seguridad necesarias, la descripción de los principios y deberes de protección de datos personales en los servicios de cómputo en la nube y un checklist de gran utilidad para la revisión del cumplimiento sobre temas generales y específicos sobre cómputo en la nube.
Te comparto algunos documentos y una infografía que puedes tomar como referencia, previo a la contratación de servicios de cómputo en la nube y que te permitirán definir medidas adecuadas para la protección de los datos personales:
Lineamientos de Protección de Datos en el Cómputo en la Nube: Parámetros para su elaboración
Cloud Computing Benefits, risks and recommendations for information security
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.