Por Nadia Pérez
Con el aumento de los servicios de computación en la nube, se está eliminando paulatinamente la necesidad de las empresas de administrar, configurar y/o gestionar recursos por su cuenta y en cambio se opta por la prestación de servicios alojados a través de internet bajo demanda de un tercero, conocido como computación en la nube. Si bien, esto ha permitido un avance exponencial en muchas áreas de tecnología y de negocio por la facilidad que conlleva, muy a menudo, a la hora de seleccionar la tecnología, no se consideran aspectos hacia la protección de datos personales, si es que éstos serán objeto de tratamiento en el servicio de computación en la nube.
Es por ello, que en éste blog te compartimos los principales puntos a considerar en materia de protección de datos personales, al seleccionar un proveedor de cómputo en la nube.
Comúnmente para contratar servicios en la nube, se toman en cuenta aspectos como la necesidad del negocio, la reducción de costos, reducción de tiempos, la integración de diferentes servicios en un solo sistema, el acceso remoto, la facilidad de uso, la optimización de procesos, etc. Sin embargo, recomendamos que éstos no sean los únicos aspectos por considerar en la toma de decisión de contratación. La decisión debe involucrar también la evaluación de los mecanismos que garanticen la seguridad de la información e identificar el tipo de datos que se transaccionará, y, si son datos personales, se recomienda pedir garantía en cuanto al cumplimiento de los principios de disponibilidad, confidencialidad e integridad de la información, así como estrategias de continuidad del negocio y recuperación de desastres.
Es también muy importante tener en cuenta las normas, regulaciones y leyes vigentes en cada país o región, sobre protección de datos personales, para garantizar su cumplimiento, ya que, el cliente que contrata el servicio, para efecto de las normas, es el responsable del tratamiento de datos personales, es decir, la persona natural o jurídica, pública o privada, que decide sobre la base datos y/o el tratamiento de datos.
En cuanto al proveedor que presta los servicios en la nube fungirá como el Encargado del Tratamiento, es decir, la persona natural o jurídica, pública o privada, que realiza el tratamiento de datos personales por cuenta del responsable.
Es por ello de suma importancia elegir al proveedor que mejores garantías ofrezca sobre el tratamiento de datos personales. Para ello se recomienda:
- Identificar el tipo de datos que serán objeto del tratamiento en la “nube” (empresariales, personales (generales, patrimoniales o sensibles)).
- Establecer las medidas de seguridad de la información, técnicas y administrativas aceptadas por la organización para garantizar la confidencialidad, disponibilidad e integridad de los datos objeto de tratamiento.
- Investigar sobre el proveedor de servicios que se desea contratar acerca de los incidentes de seguridad que se pudieran tener documentados.
- Establecer y/o los términos y condiciones del contrato de servicios de computación en la nube, que estipule la garantía del proveedor respecto al cumplimiento de las leyes y/o reglamentos sobre protección de datos personales. Se recomienda que el contrato incluya los siguientes aspectos:
- Especificar el objetivo del tratamiento y el alcance del proveedor con respecto al uso de los datos objeto del tratamiento que realizará el proveedor.
- Establecer los procedimientos y mecanismos necesarios para que el proveedor ejerza los derechos ARCO de los titulares que se le soliciten a través del responsable del tratamiento.
- Establecer las reglas aplicables en el caso de que el proveedor subcontrate servicios.
- Estipular las medidas de seguridad de los datos en tránsito y en reposo en bases de datos.
- Generar los mecanismos para que el proveedor informe al cliente y a los titulares los incidentes de seguridad, dependiendo del tipo de tratamiento que realice el Encargado.
- Firmar los documentos que garanticen el principio de confidencialidad de empleados y subcontratados del proveedor.
- Convenir cómo se llevará a cabo, una vez finalizada la relación comercial, cómo se realizará la devolución y/o destrucción de la información y el procedimiento que se llevará a cabo con los subcontratistas.
- Especificar los acuerdos de nivel de servicio.
- Definir las sanciones por su incumplimiento.
- Si el proveedor que se desea contratar se encuentra fuera del territorio nacional, se recomienda investigar las regulaciones respecto a la transferencia de datos personales fuera del territorio nacional y su implicación en el consentimiento del titular de los datos personales.
- Considerar un análisis de riesgos sobre el tratamiento de datos personales a través del servicio de computación en la nube que se está contratando para implementar los controles necesarios.
- Identificar si el proveedor cuenta con una figura dentro de su organización encargada del cumplimiento en materia de protección de datos personales.
Estas son algunas de las consideraciones que recomendamos a la hora de decidir sobre la contratación de un proveedor de computación en la nube, si deseas saber más al respecto, ¡Contáctanos!