Sin garantía, protección de datos personales de la nube
febrero 23, 2022
Ciudad de México. La senadora Alejandra Lagunes presentó una propuesta para que el INAI certifique a proveedores de servicios de cómputo en la nube, con la finalidad de garantizar la protección de los datos personales de los usuarios, pues actualmente no están obligados
Explicó que la computación en la nube o “cloud computing” es una alternativa mediante la cual las organizaciones pueden obtener a través de Internet diversos recursos y servicios informáticos.
“El uso de dichos servicios implica que se realicen tratamientos de datos personales porque, según el caso, podría efectuarse, entre otras, almacenamiento, circulación (nacional o transfronteriza) o uso de esa información”, señaló.
Por ello, dijo, los servicios de cómputo en la nube revisten un particular interés cuando su prestación implica el tratamiento de datos personales, lo que hace necesario prestar especial atención en las condiciones ofrecidas por los distintos Proveedor Externo de Servicios en la Nube y las garantías que representen para la seguridad y la protección de los datos.
Sin embargo subrayó que actualmente la comunicación de datos personales realizada exclusivamente entre el responsable ( sujeto obligado) y el encargado ( proveedor externo de servicios en la nube), ya sea dentro o fuera del territorio nacional, es considerada una remisión y, como tal, no requiere ser informada al Titular de Datos, ni contar con su consentimiento, de conformidad con los artículos 3, fracción XXVII y 71 de la Ley General de Protección de Datos Personales en Posesión De Sujetos Obligados.
Aunque el Proveedor Externo de Servicios en la Nube tiene ciertos deberes y obligaciones), el Sujeto Obligado es responsable ante el Titular de Datos respecto de los datos personales que sean tratados como resultado de la provisión de los servicios de cómputo en nube.
La certificación garantizará las políticas de protección de datos personales equivalentes a los principios y deberes establecidos en la Ley General de Protección De Datos Personales En Posesión De Sujetos Obligados y demás disposiciones que resulten aplicables en la materia.
En el caso de que el proveedor externo no se encuentre certificado, el responsable deberá delimitar el tratamiento de los datos personales por parte del proveedor externo a través de condiciones, cláusulas contractuales u otros instrumentos jurídicos.
Con esta iniciativa, dijo, se crearán condiciones para que se detone el mercado de computación en la nube de una manera responsable, segura y sostenible, desarrollar el talento e infraestructura y más fuentes de trabajo relacionadas con este sector.
Más aún. Con esta modificación México cumplirá con uno de los acuerdos estipulados en el TMEC (Artículo 19.8: Protección de la Información Personal), relacionado a la protección transfronteriza de la información personal acorde a los principios y directrices de los organismos internacionales reconocidos en dicho tratado.
Recordemos que en 2013, México se convirtió en el segundo país que adoptó el Sistema Transfronterizo de Protección de Datos (Cross Border Privacy Rules System-CBPR) del Foro de Cooperación Económica Asia-Pacífico (APEC). La inserción de nuestro país en el CBPR permite que empresas que realizan negocios en la región se certifiquen en prácticas reconocidas a nivel internacional sobre protección de datos personales de acuerdo a APEC y a la normatividad que rige esta materia en nuestro país.
Esta posición envidiable de nuestro país no ha sido aprovechada, ya que tenemos acuerdos no solo con nuestros socios del TMEC, sino con Europa y las 21 economías miembro de APEC.