Siguiendo con la línea de trabajo sobre los aspectos legales en los Servicios de Cloud Computing, es el turno del análisis sobre el tema de la Protección de Datos Personales en este tipo de Servicios, tema el cuál se ha desarrollado en la primera parte de la investigación, y que será uno de los principales tópicos a desarrollar dentro de la serie de charlas que se realizarán.
Debemos comenzar definiendo si en el Servicio que se desea migrar intervienen o no algún tipo de datos personales, ya que en caso negativo (por ejemplo, sólo se transfiere información de tipo industrial), no será necesario este análisis. Sin embargo, en la actualidad, en la mayoría de los Servicios en mayor o menor medida existe presencia de datos personales, y es por ello que debe asegurarse su correcto tratamiento.
Aparece aquí una de las principales inquietudes que se suele preguntar en los proyectos de migración a la nube: ¿Qué pasa con el tratamiento de los datos personales? Sin dudas una buena pregunta, donde debemos aclarar que una respuesta completa llevaría varias hojas de desarrollo, y que para aquellos interesados en el tema, se aconseja la consulta a un especialista en la materia. En este post intentaremos brindar al menos los principales pasos a seguir o tener en cuenta.
Para el análisis debemos tener en cuenta la Ley Nº 25.326 de Protección de Datos Personales (LPDP), junto con su decreto reglamentario y las disposiciones emanadas de la Autoridad de Control (Dirección Nacional de Protección de Datos Personales).
Según el art. 2, será tratamiento de datos personales:
Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias”.
Puede observarse aquí la amplitud del concepto de tratamiento de datos y su importancia radica en diferenciar si en el caso de realizar una migración de Servicios, estamos ante una cesión de datos personales (art. 11) o estamos ante el caso de tratamiento por parte de terceros (art. 25). La elección entre una u otra figura, implica el cumplimiento de requisitos legales sustancialmente diferentes.
A diferencia de la cesión (que no desarrollaremos aquí por cuestiones de extensión), el encargado de tratamiento (empresa proveedora de Servicios) es aquel que trata datos de carácter personal por cuenta y conforme a las instrucciones del titular de la base. Aquí el tratamiento se realiza para la presentación de un servicio con finalidad técnica determinado al responsable de la base, y es por ello que en principio, en los Servicios de Cloud Computing (en los 3 modelos), estaremos ante casos de tratamiento por parte de terceros.
Citamos aquí el art. 25 de la LPDP (la negrita me pertece):
ARTICULO 25. — (Prestación de servicios informatizados de datos personales).
1. Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, ni aun para su conservación.
2.Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.
Aquí se regulan las principales obligaciones para estos casos, pero que luego debe complementarse con las demás requisitos exigidos por el decreto reglamentario y las disposiciones de la DNPDP.
Para finalizar, dejaremos como tips para tener en cuenta, una interesante serie de preguntas sobre los diferentes proveedores de Servicios en la nube que se están analizando para llevar a cabo una migración.
- ¿Está en condiciones de garantizar la seguridad de los datos personales? ¿Esas condiciones son suficientes para cumplimientar lo exigido por la Ley? ¿Dispone de alguna certificación que podamos verificar?
- ¿Se audita? Y si lo hace, ¿garantiza cuando se audita frente a terceros la protección de mis datos? ¿Exhibe documentación acreditativa y fiable?
- El proveedor, ¿realizará el tratamiento dentro de Argentina? ¿O se realiza el procesamiento un país extranjero? ¿Informa sobre la ubicación física/territorial de sus activos? ¿Podemos decidir las ubicaciones?
- En el contrato, ¿se pueden definir las obligaciones que le corresponden según la legislación argentina? ¿O el contrato de Servicios es por adhesión?
Estas preguntas, dan lugar a una serie de desarrollados que deben ser previstos al momento de decidir realizar una migración, ya que sus consecuencias legales puede ser determinante en el éxito de la implementación.
Marcelo Temperini es Abogado, especializado en Derecho Informático. Actualmente es Doctorando de CONICET dedicado a la investigación de Delitos Informáticos y Cibercrimen en el Centro de Investigación de la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Es Socio Fundador de 
0 comentarios:
Publicar un comentario