Por Andrea Pulgar, abogada especializada en Nuevas Tecnologías y Protección de Datos Personales.

El  “Cloud Computing” es una arquitectura de prestación y/o aprovisionamiento de servicios de tecnologías de la información y la comunicación que se basa en que las aplicaciones software y los equipos hardware con capacidad de proceso y almacenaje de datos están ubicados en un Datacenter que permite a los usuarios acceder a las aplicaciones y servicios disponibles a través de Internet o como se conoce coloquialmente a través “la Nube” de Internet[1].

En ese sentido, el Cloud Computing permite al usuario optimizar la asignación y el costo de los recursos asociados a sus necesidades de tratamiento de información, pues éste no tiene necesidad de realizar grandes inversiones en infraestructura sino que utiliza la de un tercero (prestador de servicios de Cloud Computing).

Ahora bien, evidentemente, hablar de Cloud Computing implica necesariamente hacernos las preguntas en relación a ¿qué implicancias tiene este tipo de servicios con el derecho a la protección de datos personales? y además, ¿contratar un servicio de Cloud Computing vulnera la Ley de Protección de Datos Personales?

Al respecto resulta evidente que al implicar este tipo de servicios el almacenamiento o procesamiento de datos en un entorno que es controlado por un tercero (el proveedor de servicios de cloud), al cual se debe acceder a través de internet, definitivamente estamos ante una actividad de tratamiento de datos personales, y en consecuencia, se debe cumplir con la Ley de Protección de Datos Personales. Más aún, el propio Reglamento de la Ley de Protección de Datos Personales dispone en su artículo 33° que el tratamiento de datos personales por medios tecnológicos tercerizados, resulta aplicable cuando el tratamiento se terceriza de acuerdo a los servicios que se conocen como computación en la nube o “Cloud Computing”.

En ese sentido, se trata de una actividad que implica tratamiento de datos personales que es perfectamente lícita y que además, constituye la base de la transformación digital; sin embargo, es importante tener en cuenta que a fin de garantizar el respeto al derecho a la protección de datos personales, quien desee contratar un servicio de Cloud Computing deberá verificar el cumplimiento de ciertas prestaciones mínimas:

  1. Información sobre la ubicación del proveedor[2].

Es necesario conocer la ubicación del proveedor y sus servidores, a efectos de identificar si dicha ubicación proporciona un nivel adecuado de protección conforme a la normativa sobre protección de datos personales.

  1. Informar con transparencia las subcontrataciones que involucren la información sobre la que presta el servicio.

Es recomendable que de existir subcontrataciones, se tenga presente lo siguiente:

  • Debe dar su conformidad a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán.
  • Debe poder conocer las terceras empresas que intervienen en el tratamiento de datos personales mediante cloud computing.
  • El proveedor de cloud debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.
  1. No incluir condiciones que autoricen o permitan al prestador asumir la titularidad sobre los bancos de datos personales tratados en la tercerización.

Conforme la normativa de protección de datos personales, el proveedor del “Cloud Computing” tiene la calidad de encargado del tratamiento de datos personales; por lo tanto, realizará una actividad en nombre del contratante o usuario; por lo que el contrato debe especificar cláusulas que delimiten dicha titularidad de la información. 

  1. Garantizar la confidencialidad respecto de los datos personales sobre los que preste el servicio.

El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados, así como también debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad. 

  1. Mantener el control, las decisiones y la responsabilidad sobre el proceso mediante el cual se realiza el tratamiento de los datos personales. 

Es necesario que en todo momento de la contratación, se mantenga el control y responsabilidad de los datos personales que trata en el marco del proceso tecnológico tercerizado.

  1. Garantizar la destrucción o la imposibilidad de acceder a los datos personales después de concluida la prestación.

Se debe obligar al proveedor del servicio de “Cloud Computing” a adoptar las medidas de seguridad técnicas a efectos de que se logre una destrucción o imposibilidad de acceso a los datos personales por parte de terceros al terminar el contrato.

  1. Garantizar la portabilidad de los datos personales después de concluida la prestación.

El proveedor de Cloud Computing debe obligarse a que, una vez finalizado resuelto el contrato, toda la información tratada por encargo del cliente le sea entregada de manera oportuna, en el formato requerido, a fin que pueda almacenarla en sus propios sistemas, o bien trasladarla a los sistemas de un nuevo proveedor.

  1. Garantizar el ejercicio de los derechos del titular de datos personales

El proveedor de Cloud Computing debe garantizar su cooperación con el  usuario, quien mantendrá su calidad de responsable del tratamiento de datos personales, así como la disposición de las herramientas adecuadas, a fin de facilitar la atención de los derechos del titular de datos personales.


[1] http://www.revistacloudcomputing.com

[2] Criterio recogido en el Oficio N° 213-2015-JUS/DGPDP.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí