Protección de datos personales en la Nube

El desarrollo avanzado de la tecnología ha permitido a los seres humanos contar con beneficios y ventajas que facilitan la vida cotidiana. Sin embargo expone la información a través de innumerables medios electrónicos y plataformas que recolectan de forma directa y/o indirecta los datos; es así como la huella digital que solicita el ingreso a un edificio inteligente, el uso de aplicaciones como Waze, que informa la geolocalización en tiempo real, las transacciones realizadas por internet de compra y venta de productos, así como los estados de ánimo compartidos en redes sociales, brindan un conjunto de datos que pueden ser recolectados y tratados para diferentes fines, según la necesidad de quien los captura.

Se puede afirmar entonces de forma categórica que todo servicio que incursiona en el ámbito tecnológico trae consigo un impacto en el ámbito legal, donde es preciso analizar y determinar los riesgos asociados en una primera instancia a la incertidumbre que genera perder el control sobre los datos alojados en internet, y en el presente caso las dudas que generan sobre el tratamiento de datos personales en los servicios de nube o cloud computing.

Protección de datos con Cloud Computing

Los servicios de computación de la nube o cloud computing son aquellos que siguiendo el concepto del Instituto Nacional de Estándares y Tecnología (NIST-National Institute of Standards and Technology. U.S. Department of Commerce)  son definidos como el  “modelo que permite, cuando sea solicitado, el acceso ubicuo y conveniente a la red, a un grupo compartido de recursos informáticos configurables (Ej. redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de administración o interacción por parte del proveedor de servicios”.

El Servicio de Nube puede ser dividido en tres tipos de servicios: IaaS, PaaS y SaaS, cada uno con diferentes alcances de control de usuario, seguridad y escalabilidad.

Al ser un espacio virtual que permite su gestión de forma remota a través de la red de Internet, no debería generar duda sobre la privacidad o protección de datos personales ya que el responsable del tratamiento de esa información debe mitigar los riesgos asociados con este tipo de servicios.

Dado que este artículo no pretende abordar conceptos técnicos nos centraremos en identificar la importancia del tratamiento de los datos personales para determinar su alcance en los servicios de la nube.

Tratamiento de datos en Colombia

La ley estatutaria colombiana 1581 del 2012, define los datos personales como: “c) Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables”. En palabras de la entidad destinada a la vigilancia y control del tratamiento de datos personales en Colombia; esta señala: “Cuando hablamos de datos personales nos referimos a toda aquella información asociada a una persona y que permite su identificación. Por ejemplo, su documento de identidad, el lugar de nacimiento, estado civil, edad, lugar de residencia, trayectoria académica, laboral, o profesional. Existe también información más sensible como su estado de salud, sus características físicas, ideología política, vida sexual, entre otros aspectos”.

Sobre este último concepto de manera más ilustrativa se señalan los ejemplos sobre los datos que son clasificados como personales y además incorpora la aclaración de una categoría más especial que contiene información y/o datos sensibles, los cuales se consideran una categoría de atención critica ya que su tratamiento inadecuado puede generar discriminación y afectación a los derechos fundamentales; por ejemplo en países fundamentalistas, una base de datos personales que contenga información detallada sobre la corriente religiosa podría atentar contra la vida misma de sus habitantes.

La ley 1581 de 2012 menciona los principios rectores del tratamiento de datos personales; a continuación se detalla bajo ocho términos correspondientes a la legalidad en materia de tratamiento de datos, la finalidad, la libertad, la veracidad o calidad, la transparencia, el acceso y circulación restringida, la seguridad y la confidencialidad dentro del alcance expuesto en la siguiente gráfica:

Por lo anterior, el contrato de Nube debería indicar de forma transparente los controles y las medidas adoptadas por el proveedor en términos de responsabilidad, acceso y circulación, seguridad y confidencialidad particularmente con violaciones a la seguridad de datos, devolución y/o eliminación de la información cuando sea el caso.

Siguiendo la regulación colombiana,  el legislador ha previsto que cuando el tratamiento de datos se realice fuera del territorio colombiano, el contrato debe contemplar la protección contenida en el  numeral 2.2.2.25.5.2 del Capítulo 25, Sección 5, del Decreto Único 1074 de 2015, de manera que el control y responsabilidad en el tratamiento de datos esté siempre en cabeza del Responsable que establece lo siguiente:

ARTÍCULO 2.2.2.25.5.2. Contrato de transmisión de datos personales. El contrato que suscriba el Responsable con los encargados para el tratamiento de datos personales bajo su control y responsabilidad señalará los alcances del tratamiento, las actividades que el encargado realizará por cuenta del responsable para el tratamiento de los datos personales y las obligaciones del Encargado para con el titular y el Responsable.

Mediante dicho contrato el Encargado se comprometerá a dar aplicación a las obligaciones del Responsable bajo la política de Tratamiento de la información fijada por este y a realizar el Tratamiento de datos de acuerdo con la finalidad que los Titulares hayan autorizado y con las leyes aplicables.

Además de las obligaciones que impongan las normas aplicables dentro del citado contrato, deberán incluirse las siguientes obligaciones en cabeza del respectivo encargado:

1. Dar Tratamiento, a nombre del Responsable, a los datos personales conforme a los principios que los tutelan.

2. Salvaguardar la seguridad de las bases de datos en los que se contengan datos personales.

3. Guardar confidencialidad respecto del tratamiento de los datos personales.

(Decreto 1377 de 2013, art. 25)

Desde la perspectiva de la regulación sobre tratamiento de datos, las empresas que proveen los servicios de la Nube usualmente son los “Encargados del Tratamiento” definidos por la norma como “Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del Responsable del tratamiento.

LA SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO, actúa como encargado del tratamiento de datos personales en los casos, en los que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta de un responsable del tratamiento”.

Recomendaciones al contratar un servicio de Nube

Por lo anterior todo proveedor de Nube deberá tener en cuenta las siguientes consideraciones y de la misma manera el Cliente que requiera este tipo de servicios:

1. Identificar el país y la jurisdicción que gobernará la protección de sus datos personales, eso le permitirá saber que tan rigurosa serán las medidas que tomará el proveedor frente a divulgación de información a terceros, confidencialidad y seguridad de la misma.
2. Informar cuando ocurra cualquier grado de vulneración de la información y las medidas aplicables.
3. No realizar transferencia internacional de datos personales a menos que esto sea autorizado y bajo los preceptos legales definidos para tal fin.
4. Una vez finalizada la relación jurídica  devolver, eliminar, suprimir o comunicar a un nuevo encargado designado por el responsable los datos personales objeto de tratamiento.