La Red Iberoamericana de Protección de Datos[1] (RIPD) publicó en abril de 2021 las Recomendaciones para el tratamiento de datos personales mediante servicios de computación en la nube[2]. Se trata de otro trabajo de los miembros de la RIPD mediante el cual emiten orientaciones a las entidades públicas y las empresas de países iberoamericanos que usan servicios de computación en la nube.

La guía reconoce que la “computación en la nube o “cloud computing” es una alternativa mediante la cual las organizaciones pueden obtener a través de Internet diversos recursos y servicios informáticos. El uso de dichos servicios implica que se realicen tratamientos de datos personales porque, según el caso, podría efectuarse, entre otras, almacenamiento, circulación (nacional o transfronteriza) o uso de esa información”[3]

El texto de la guía se suma a los trabajos elaborados por otras organizaciones y autoridades de protección de datos de varios países[4]. Especialmente, y como punto de partida, se hace referencia a lo expuesto en el 2012 por la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad (hoy Global Privacy Assembly -GPA–[5]), que recomendó lo siguiente en la resolución sobre computación en la nube[6]:

• “La computación en la nube no debe generar una reducción de la privacidad ni de la protección de datos en relación con otras formas de Tratamiento de esa información.

• Los Responsables del Tratamiento deben efectuar análisis de riesgos y evaluaciones de impacto sobre protección de datos necesarias antes de contratar servicios o realizar proyectos de computación en la nube.

• Los proveedores de servicios en la nube deben garantizar transparencia adecuada, seguridad, responsabilidad y confianza en las soluciones de computación en la nube, en particular con respecto a la información sobre violaciones de seguridad de los datos y cláusulas contractuales que promuevan, en su caso, portabilidad y control de datos por parte de los usuarios de los servicios de computación en la nube.

• Para generar más confianza y garantizar un adecuado tratamiento de datos a través de los servicios de computación en la nube, se deben adoptar medidas desde el diseño de la arquitectura tecnológica de dichos servicios (privacidad desde el diseño).

• Todas las partes interesadas o involucradas (proveedores y clientes de servicios de computación en la nube y los reguladores) deberían cooperar para garantizar un alto nivel de privacidad, protección de datos y seguridad.”

La guía fue redactada teniendo en cuenta los Estándares de protección de datos personales para los Estados Iberoamericanos de la RIPD[7] como el referente para establecer los principios, términos, definiciones, etc.  A continuación, nos referiremos a los aspectos centrales de la guía. Para el efecto, tendremos como referencia el texto de la misma[8].

La neutralidad tecnológica de la regulación sobre tratamiento de datos personales.

Las recomendaciones son enfáticas en destacar que “La regulación sobre tratamiento de datos personales es neutral tecnológica y temáticamente. Ello significa que aplica a cualquier tratamiento de datos, con independencia de las técnicas, procesos o tecnologías –actuales o futuras- que se utilicen para dicho efecto. En este sentido, el artículo 4.1. de los Estándares dice que los mismos son “aplicables al tratamiento de datos personales que obren en soportes físicos, automatizados total o parcialmente, o en ambos soportes, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización”.

Con lo anterior se quiere destacar que las innovaciones tecnológicas deben ser respetuosas de los derechos humanos. Por eso, es perentorio que las tecnologías y los procesos deben diseñarse para que desde el inicio de cualquier proyecto se respeten y garanticen los derechos de las personas.

En suma, señalan las recomendaciones, “la regulación sobre Tratamiento de Datos Personales debe aplicarse al margen de los procedimientos, metodologías o mecanismos que se utilicen para recolectar, usar o tratar ese tipo de información.  Por ende, debe ser cumplida por quien realice tratamiento de datos mediante el uso de técnicas, herramientas como, entre otros, en internet de las cosas, las App, la inteligencia artificial, la robótica y la computación en la nube. El uso de esas innovaciones tecnológicas no desaparece la protección de datos ni debe convertirse en un instrumento para disminuir el nivel de protección de los derechos de las personas que es exigido por la regulación en comento.”

De las recomendaciones de la RIPD

La RIPD recomienda lo siguiente respecto del tratamiento de datos personales a través de los servicios de computación en la nube:

• Respetar las normas locales sobre Tratamiento de Datos Personales (TDP): Allí se pone de presente que los proveedores de servicios de computación en la nube usualmente son empresas extranjeras pero que ello no es excusa para que se respeten las regulaciones de cada país sobre tratamiento de datos porque no hacerlo pone en riesgo jurídico a quienes contratan sus servicios de computación en la nube.

• Formalizar un acuerdo con el proveedor de servicios de computación en la nube (PSCEN) que contenga aspectos mínimos sobre tratamiento de datos personales: El contrato que suscriban las empresas o las entidades públicas con los PSCEN debe incorporar aspectos mínimos sobre tratamiento de datos para no poner en riesgo los derechos de las personas cuya información es tratada mediante servicios de computación en la nube.

• Respetar las reglas sobre transferencias internacionales de datos: Usualmente los datos de las personas son enviados a data centers ubicados en varios países. Por ende, quien contrata servicios de computación en la nube no debe perder de vista los deberes legales que debe cumplir para realizar circulación transfronteriza de datos.

• Efectuar estudios de impacto a la protección de datos personales: Como medida preventiva se recomienda realizar estos estudios para establecer los riesgos que se generan respecto de los derechos de los titulares de los datos y adoptar medidas para mitigarlos.

• Incorporar la privacidad, la ética y la seguridad desde el diseño y por defecto: Si las cosas se hacen bien desde el inicio de cualquier proyecto pues ello beneficia a todos: a las empresas, a las entidades públicas, a los PSCEN y a las personas cuya información es tratada mediante la computación en la nube. Adicionalmente, en esta materia y en cualquier otra, la ética es fundamental porque para las autoridades y los titulares de los datos es inviable detectar toda eventual infracción de las normas de datos personales. Por ello la ética de los PSCEN es crucial para garantizar un debido tratamiento de datos.

Sin seguridad no existe un debido tratamiento de datos personales. Por eso, la guía hace mucho énfasis en este aspecto con miras a que se eviten incidentes de seguridad para no causar daños a las empresas, a las entidades públicas y a las personas titulares de sus datos.

• Materializar el principio de responsabilidad proactiva: La responsabilidad o accountability demanda adoptar medidas útiles, oportunas, efectivas y demostrables para cumplir los deberes que exigen las regulaciones sobre datos personales y garantiza los derechos de las personas. Se hace énfasis en que no basta una protección formal “en el papel”, sino real y efectiva “en la práctica”.

• Adoptar medidas para garantizar los principios sobre TDP mediante los servicios de computación en la nube (CEN) y garantizar los derechos de los titulares de los datos e implementar mecanismos efectivos su ejercicio: Los principios son la columna vertebral del debido tratamiento de datos y los derechos de los titulares son una de las principales razones por las cuales se ha emitido la regulación. Así las cosas, las tecnologías y procesos de computación en la nube deben ser respetuosos y garantistas de unos y otros.

• Incrementar confianza y la transparencia con los titulares de los datos personales: La confianza es, quizá, el activo inmaterial mas valioso y determinante del éxito de los proyectos que involucren servicios de computación en la nube. Por ende, es relevante trabajar e implementar medidas para no frustrar las expectativas de los titulares de los datos respecto del tratamiento de sus datos mediante dichos servicios. Para ilustrar su relevancia, en el texto de las recomendaciones se señala que “la confianza se entiende como la credibilidad que te ofrece un tercero por las garantías que te ofrece en los servicios que presta. Cuando existe confianza, la persona cree que la empresa es fiable, cumple su palabra, es sincera, íntegra y cumple con las acciones prometidas”[9].

[1] Respecto de la RIPD, consulte su página web: https://www.redipd.org/es

[2] En este artículo se hará permanente referencia a las recomendaciones como punto de referencia bibliográfico. El texto de la guía está disponible en la sección de guias de la página web de la RIPD: https://www.redipd.org/es/documentos/guias

[3] Cfr. RIPD (2021) Recomendaciones para el tratamiento de datos personales mediante servicios de computación en la nube . En: https://www.redipd.org/es/documentos/guias

[4] Por ejemplo, se citan los trabajos realizados por las autoridades de ARGENTINA, ALEMANIA, CANADÁ, COLOMBIA, ESPAÑA,  ESTADOS UNIDOS DE ÁMERICA, EUROPA, MÉXICO, FRANCIA, GRAN BRETAÑA E IRLANDA DEL NORTE, HONK KONG, IRLANDA, ITALIA, PERÚ, NORUEGA, NUEVA ZELANDA, SUIZA, URUGUAY, y THE GLOBAL PRIVACY ASSEMBLY (GPA).

[5] https://globalprivacyassembly.org/

[6] Cfr. AUTORIDADES DE PROTECCIÓN DE DATOS Y PRIVACIDAD. 2012. Resolution on cloud computing. 34a Conferencia internacional de Autoridades de Protección de Datos y Privacidad. Punta del Este, Uruguay. En: https://edps.europa.eu/sites/edp/files/publication/12-10-26_uruguay_resolutionon_cloud_computing_en.pdf

[7] Cfr. Red Iberoamericana de Protección de Datos -RIPD- (2017). Estándares de protección de datos personales para los Estados Iberoamericanos. Disponibles en:  https://www.redipd.org/sites/default/files/inline-files/Estandares_Esp_Con_logo_RIPD.pdf

[8] El texto de las recomendaciones está disponible en la sección de guías de la página web de la RIPD: https://www.redipd.org/es/documentos/guias

[9]  Cfr. Barrera Duque, Ernesto (2018) Diseño organizacional centrado en el cliente. Teoría y práctica en empresas sociales. Universidad de la Sabana y Ecoe ediciones.