Correa Merino & Co

Protección de datos personales en los servicios de computación en la nube (cloud computing)

La computación en la nube es la tecnología que permite gestionar servicios informáticos (tales como el almacenamiento y gestión de datos) de manera remota. Dicha tecnología es de gran utilidad para las empresas pues les permite reducir tiempos de acceso y costos, y optimizar sus procesos de desarrollo, sin embargo, aborda una problemática en cuanto a la seguridad de la información (para el caso concreto, datos personales), especialmente en las operaciones de tipo público, en donde la infraestructura y recursos son compartidos públicamente en internet.

Los riesgos asociados al tratamiento de datos personales en la computación en la nube comprenden la falta de control de los datos por parte de las empresas como responsables del tratamiento y la falta de información sobre el tratamiento y las condiciones en las que se presta el servicio por parte de los proveedores (encargados del tratamiento).

Partiendo de tales riesgos y con el ánimo de aminorarlos, las empresas, como responsables del tratamiento de datos personales, deben tener en cuenta los siguientes aspectos a la hora de contratar servicios de computación en la nube:

  1. Con respecto a los datos personales que serán tratados en la nube: las empresas deben tener claridad sobre el tipo de datos que serán tratados en la nube (públicos, semiprivados, privados, sensibles, de niños y adolescentes), pues esto es determinante con respecto a los niveles de seguridad que deben exigirse a los proveedores de los servicios de computación en la nube y con respecto al tipo de autorización que se requiere por parte de los titulares, para tratar sus datos personales en la nube. Sin perjuicio de lo anterior, las empresas, como responsables del tratamiento de datos personales, siempre deben ser transparentes con los titulares de los datos e informarles sobre el tratamiento del que los mismos serán objeto en la nube.
  2. Con respecto al proveedor de los servicios (encargado del tratamiento de datos personales): las empresas deben procurar seleccionar al proveedor que ofrezca mejores garantías para proteger los datos personales que le son entregados, para atender cualquier incidente de seguridad de la información y para salvaguardar los derechos de los titulares de los datos.
  3. Con respecto a la regulación del servicio de computación en la nube: las empresas deben propender por suscribir un contrato con el proveedor de los servicios de computación en la nube en el que quede claramente establecido:
  • La finalidad del tratamiento de los datos personales.
  • Las medidas de seguridad de la información, incluyendo la identificación de posibles riesgos y contingencias, cómo mitigarlos y cómo atenderlos en el evento de que ocurran.
  • La obligación de reportar los incidentes de seguridad de la información.
  • La obligación de confidencialidad de la información.
  • Las posibilidades para el ejercicio de los derechos por parte de los titulares de los datos personales.
  • Los acuerdos sobre niveles de servicios y sanciones por su incumplimiento.
  • Las condiciones para la subcontratación de los servicios de computación en la nube.
  • La localización de los servidores utilizados por el proveedor para la prestación de sus servicios de computación en la nube.
  • La adhesión del proveedor a la política de tratamiento de datos personales del responsable del tratamiento.
  • La obligación del proveedor de respetar los principios del tratamiento de datos personales de acuerdo con la normativa colombiana vigente que rige en la materia.

Sin perjuicio de lo anterior, por regla general los proveedores de servicios de computación en la nube no suscriben contratos particulares con cada empresa, sino que exigen la adhesión a sus términos y condiciones. En este tipo de casos, las empresas, como responsables del tratamiento de datos personales, deben verificar que en dichos documentos, como mínimo esté expresamente regulado:

  • La obligación del proveedor de respetar los principios del tratamiento de datos personales de acuerdo con la normativa colombiana vigente que rige en la materia.
  • La obligación del proveedor de salvaguardar la seguridad de los datos personales.
  • La obligación del proveedor de guardar confidencialidad sobre los datos personales.

Si el tratamiento de los datos personales se realiza fuera del territorio colombiano y el contrato o los términos y condiciones del proveedor no cumplen con los requisitos mínimos mencionados anteriormente, las empresas, como responsables del tratamiento de datos personales, deberán solicitar la declaración de conformidad a la Superintendencia de Industria y Comercio, a menos que cuente con la autorización expresa e inequívoca de los titulares o exista una causal que los exceptúe de tenerla, de acuerdo con la normativa vigente.  

  1. Principio de responsabilidad demostrada: las empresas no pueden perder de vista que independientemente de los servicios que contraten y de cómo los contraten, estas siguen siendo las responsables del tratamiento de los datos personales y en esta medida, deben obrar con la debida diligencia y deben desarrollar un sistema de administración de riesgos acorde con su estructura organizacional (que incluya aquellos que se desprenden de la tercerización de servicios tales como la computación en la nube).

Por: Daniela Lopera M.

Condiciones de uso del sitio web