|
 |
| BOLETINES |
| Boletín Informativo |
| |
| Corporativo y Negocios |
| |
 |
Protecci�?³n de datos personales almacenados en la nube
03 de Septiembre 2017 |
|
| Protecci�?³n de datos personales almacenados en la nube |
|
|
Durante la �?ºltima d�?©cada el uso para la transmisi�?³n y almacenamiento de datos de la llamada â�?�?nubeâ�? se ha ido incrementando. Resulta cada vez m�?¡s raro quien no hace uso de esta infraestructura que permite el acceso omnipresente a grupos compartidos de recursos configurables, tales como redes inform�?¡ticas, servidores, almacenamiento, aplicaciones y servicios.
Como consecuencia del surgimiento de la nube, ha nacido la necesidad de su regulaci�?³n, conocida por su t�?©rmino en ingl�?©s como â�?�?Cloud Complianceâ�?.
El uso de la nube se ha venido regulado alrededor del mundo con diferentes instrumentos, siendo algunos de los m�?¡s destacados los siguientes documentos:
- Ley Federal de Gesti�?³n de la Seguridad de la Informaci�?³n de 2002 (Estados Unidos de Am�?©rica),
- Ley de Portabilidad y Responsabilidad de Seguro de Salud (Estados Unidos de Am�?©rica,
- Directiva de Protecci�?³n de Datos de la Uni�?³n Europea (Uni�?³n Europea), y
- Est�?¡ndar de Seguridad de Datos para el Sector de las Tarjetas de Pago (Estados Unidos de Am�?©rica).
En nuestro pa�?s, la nube se encuentra regulada principalmente por los siguientes instrumentos:
- NOM-151- SCFI 2016, Requisitos que deben observarse para la conservaci�?³n de mensajes de datos y digitalizaci�?³n de documentos,
- Ley Federal de Protecci�?³n de Datos Personales en Posesi�?³n de los Particulares (en lo sucesivo la Ley),
- Reglamento de la Ley Federal de Protecci�?³n de Datos Personales en Posesi�?³n de los Particulares (en lo sucesivo el Reglamento); y
- Lineamientos del Aviso de privacidad (en lo sucesivo los Lineamientos).
Por lo que respecta a la Ley, a�?ºn cuando en la misma, no se hace una regulaci�?³n expresa de la nube, en su art�?culo 36 nace la obligaci�?³n de notificar y solicitar consentimiento del titular de los datos para hacer transferencia de los mismos, y el art�?culo 37 se�?±ala los supuestos en los que no es necesario solicitar dicho consentimiento.
Al contratar a un proveedor de servicios de nube, los datos est�?¡n siendo transmitidos, por lo que resulta necesario notificar a los titulares de los datos.
De conformidad con el art�?culo 52 del Reglamento, deben cumplirse una serie de requisitos para contratar a un proveedor de servicios de nube, cuando se trate de informaci�?³n que contenga datos personales. El proveedor de servicios de nube que no garantice la protecci�?³n de datos personales, no se podr�?¡ utilizar para dichos datos.
En este sentido, los proveedores deber�?¡n:
- Contar con y aplicar pol�?ticas de protecci�?³n de datos personales compatibles con los principios y obligaciones establecidos en la Ley y en el Reglamento.
- Otorgar informaci�?³n respecto de cualquier subcontrataci�?³n de servicios que involucre la informaci�?³n para que se presta el servicio.
- Abstenerse de incluir en cualquier t�?©rmino, condici�?³n o cl�?¡usulas del servicio que les autorice a asumir la propiedad de la informaci�?³n para la que se presta el servicio.
- Mantener la confidencialidad con respecto a la informaci�?³n para la que se presta el servicio.
Adem�?¡s, deben tener mecanismos o medidas para:
- Informar cualquier cambio en sus pol�?ticas de privacidad, o en sus t�?©rminos y condiciones del servicio.
- Permitir la limitaci�?³n del uso de la informaci�?³n para la cual el servicio fue contratado.
- Establecer y mantener medidas de seguridad para proteger la informaci�?³n.
- Garantizar la eliminaci�?³n permanente de la informaci�?³n, una vez que el servicio sea terminado.
- Prevenir el acceso a la informaci�?³n a partes autorizada, y si dicho acceso es requerido por autoridades, informar de tal situaci�?³n.
De conformidad con los art�?culos 62 y 63 de la Ley, si los datos personales son transferidos a un proveedor de servicios de la nube que no cumple con todos los requisitos establecidos por la Ley y el Reglamento, o la transferencia no es debidamente notificada al propietario de los datos, la parte que env�?a los datos, podr�?a ser sancionada con una multa de hasta $ 25, 612.800,00 pesos.
De acuerdo a lo expuesto, en caso de ser poseedor de datos personales, es crucial tener en cuenta las medidas a tomar al contrator un proveedor de servicios de nube.
El texto en espa�?±ol de la Ley puede ser consultado aqu�?, y el Reglamento puede ser consultado aqu�?.
|
|
|
|
|
| M. Alejandro Ripoll Gonz�?¡lez |
|
|
|
|
|
| Mar�?a Fernanda Lazcano Arregui |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
NOTA IMPORTANTE: NOTA IMPORTANTE: La informaci�?³n aqu�? contenida es de naturaleza general y de car�?¡cter informativo. Por favor considere que lo aqu�? se�?±alado no aborda las circunstancias de ning�?ºn individuo o entidad. Recomendamos no tomar ninguna medida basado en esta informaci�?³n sin la debida asesor�?a profesional de nuestros abogados en base a su situaci�?³n particular. |
|
|
|
Nuestro Equipo de Práctica Corporativo y Negocios con gusto lo puede apoyar en los siguientes temas:
|
Derecho Migratorio
Obtenci�?³n y Tramitaci�?³n de Visas
Inversi�?³n Extranjera
Operaciones Comerciales Internacionales Complejas
Sociedades Mercantiles o Civiles
|
Sociedades Mercantiles o Civiles
Preparaci�?³n y negociaci�?³n de Contratos
Fusiones y Adquisiciones
|
| << Regresar a Boletines |
|
Archivo PDF |
|
|
