RRS :: Ramos, Ripoll & Schuster
Untitled Document
 
Investigación
BOLETINES
Boletín Informativo
 
Corporativo y Negocios
 
Protección de datos personales almacenados en la nube

10 de Octubre 2017

Protección de datos personales almacenados en la nube
 
Durante la última década el uso para la transmisión y almacenamiento de datos de la llamada “nube” se ha ido incrementando. Resulta cada vez más raro quien no hace uso de esta infraestructura que permite el acceso omnipresente a grupos compartidos de recursos configurables, tales como redes informáticas, servidores, almacenamiento, aplicaciones y servicios.

Como consecuencia del surgimiento de la nube, ha nacido la necesidad de su regulación, conocida por su término en ingles como “Cloud Compliance”.

El uso de la nube se ha venido regulado alrededor del mundo con diferentes instrumentos, siendo algunos de los más destacados los siguientes documentos:

- Ley Federal de Gestión de la Seguridad de la Información de 2002 (Estados Unidos de América),
- Ley de Portabilidad y Responsabilidad de Seguro de Salud (Estados Unidos de América,
- Directiva de Protección de Datos de la Unión Europea (Unión Europea), y
- Estándar de Seguridad de Datos para el Sector de las Tarjetas de Pago (Estados Unidos de América).

En nuestro país, la nube se encuentra regulada principalmente por los siguientes instrumentos:
- NOM-151- SCFI 2016, Requisitos que deben observarse para la conservación de mensajes de datos y digitalización de documentos,
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo la Ley),
- Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo el Reglamento); y
- Lineamientos del Aviso de privacidad (en lo sucesivo los Lineamientos).

Por lo que respecta a la Ley, aún cuando en la misma, no se hace una regulación expresa de la nube, en su artículo 36 nace la obligación de notificar y solicitar consentimiento del titular de los datos para hacer transferencia de los mismos, y el artículo 37 señala los supuestos en los que no es necesario solicitar dicho consentimiento.
Al contratar a un proveedor de servicios de nube, los datos están siendo transmitidos, por lo que resulta necesario notificar a los titulares de los datos.

De conformidad con el artículo 52 del Reglamento, deben cumplirse una serie de requisitos para contratar a un proveedor de servicios de nube, cuando se trate de información que contenga datos personales. El proveedor de servicios de nube que no garantice la protección de datos personales, no se podrá utilizar para dichos datos.

En este sentido, los proveedores deberán:
- Contar con y aplicar políticas de protección de datos personales compatibles con los principios y obligaciones establecidos en la Ley y en el Reglamento.
- Otorgar información respecto de cualquier subcontratación de servicios que involucre la información para que se presta el servicio.
- Abstenerse de incluir en cualquier término, condición o cláusulas del servicio que les autorice a asumir la propiedad de la información para la que se presta el
servicio.
- Mantener la confidencialidad con respecto a la información para la que se presta el servicio.
Además, deben tener mecanismos o medidas para:
- Informar cualquier cambio en sus políticas de privacidad, o en sus términos y condiciones del servicio.
- Permitir la limitación del uso de la información para la cual el servicio fue contratado.
- Establecer y mantener medidas de seguridad para proteger la información.
- Garantizar la eliminación permanente de la información, una vez que el servicio sea terminado.
- Prevenir el acceso a la información a partes autorizada, y si dicho acceso es requerido por autoridades, informar de tal situación.
De conformidad con los artículos 62 y 63 de la Ley, si los datos personales son transferidos a un proveedor de servicios de la nube que no cumple con todos los requisitos establecidos por la Ley y el Reglamento, o la transferencia no es debidamente notificada al propietario de los datos, la parte que envía los datos, podría ser sancionada con una multa de hasta $ 25, 612.800,00 pesos.
De acuerdo a lo expuesto, en caso de ser poseedor de datos personales, es crucial tener en cuenta las medidas a tomar al contrator un proveedor de servicios de nube.

El texto en español de la Ley puede ser consultado aquí, y el Reglamento puede ser consultado aquí.

Para información adicional, puede comunicarse con cualquiera de los miembros de nuestro Equipo de Práctica de Corporativo & Negocios.

 
Rodolfo Ramos Menchaca
[email protected]
M. Alejandro Ripoll González
[email protected]
Diego A. Álvarez Ampudia
[email protected]
María Fernanda Lazcano Arregui
[email protected]
Abelardo Bernáldez Márquez
[email protected]
Karla M. Peña Medina
[email protected]
Lupita Esparza Sánchez
[email protected]
 
NOTA IMPORTANTE: La información aquí contenida es de naturaleza general y de carácter informativo. Por favor considere que lo aquí señalado no aborda las circunstancias de ningún individuo o entidad.
Recomendamos no tomar ninguna medida basado en esta información sin la debida asesoría profesional de nuestros abogados en base a su situación particular.
 
Nuestro Equipo de Práctica Corporativo y Negocios con gusto lo puede apoyar en los siguientes temas:
Derecho Migratorio
Obtención y Tramitación de Visas
Inversión Extranjera
Operaciones Comerciales Internacionales
Complejas
Complejas
Sociedades Mercantiles o Civiles
Preparación y negociación de Contratos
Fusiones y Adquisiciones
<<   Regresar a Boletines Archivo PDF
FIRMA    ·    PRÁCTICAS    ·    EQUIPO    ·    BLOG    ·    OFICINAS 
Aviso de Privacidad    ·    Términos y Condiciones
 
 
 
  •     RRS. Ramos, Ripoll & Schuster Abogados | | DERECHOS RESERVADOS 2019