Sección I. Generalidades 7
1. Objetivo y alcances 7
2. Fundamento jurídico 7
3. Servicios de cómputo en la nube 8
4. Responsables y encargados 12
5. Cumplimiento de principios y deberes 14
Anexo 3. Referencias 44
Considerandos En ese sentido, el artículo 52 del
Reglamento de la Ley Federal de
El cómputo en la nube es un fenó- Protección de Datos Personales
meno global que representa una en Posesión de los Particulares
oportunidad económica y social para (Reglamento) estableció requisitos
México, al tratarse de un modelo que mínimos a observar por parte de
optimiza la prestación de servicios los responsables del tratamiento de
de tecnología, centrado en el uso de datos personales, para la adhesión a
Internet, permite hacer más eficientes cláusulas generales de contratación
los procesos y procedimientos de de servicios, aplicaciones e infraes-
una organización y es un detonante tructura del denominado cómputo en
de la competitividad y apoya la espe- la nube. Al respecto, dicho artículo
cialización. El cómputo en la nube señala que los responsables del tra-
facilita el tratamiento de la información, tamiento de los datos personales
indispensable para el desarrollo de sólo podrán utilizar servicios en los
un mundo globalizado y con grandes que el proveedor cumpla, al menos,
beneficios económicos y sociales. con lo siguiente:
4
d) Guardar confidencialidad respecto fundada y motivada de autoridad
de los datos personales sobre competente, informar de ese hecho
los que se preste el servicio. al responsable.
5
En ese orden de ideas, la Secretaría Así, en virtud de que el contenido de
de Economía, en calidad de autoridad este documento tiene fines de orien-
reguladora, facultada para difundir tación, y con independencia de la
el conocimiento de las obligaciones adopción de las prácticas aquí señala-
en torno a la protección de datos das, los responsables están obligados
personales entre la iniciativa privada a dar cumplimiento a la normatividad
nacional e internacional con actividad que regula el derecho de protección
comercial en territorio mexicano; de datos personales en México.
promoverá las mejores prácticas
comerciales en torno a la protección
de los datos personales como insumo
de la economía digital, y el desa-
rrollo económico nacional en su
conjunto, y el INAI, en su calidad de
autoridad garante del derecho de
protección de datos personales, emi-
ten los presentes Criterios mínimos
que buscan orientar a los respon- Por último, resulta relevante reco-
sables del tratamiento de datos nocer que los servicios de cómputo
personales en la selección de pro- en la nube tienen una naturaleza
veedores y servicios de cómputo en transnacional, por lo cual, cuando el
la nube, para garantizar una debida responsable del tratamiento de datos
protección de los datos personales. personales elija contratar servicios
de cómputo en la nube, será res-
Si bien estos Criterios pretenden ponsabilidad de éste seleccionar
un nivel elevado de protección de aquéllos que operen bajo normas
los datos personales, se emiten con equivalentes a las mexicanas, o en su
fines de orientación, por lo que no caso cumplan con estándares inter-
son vinculantes, ni su observancia es nacionales que le permitan proteger
obligatoria, a fin de evitar sobrecar- los datos personales en su posesión.
gas regulatorias que pudieran afectar
la competitividad e innovación de las
empresas y organizaciones del país.
6
Sección I. Generalidades
7
Lo anterior, considerando que la 3. Servicios de cómputo en la nube
Secretaría de Economía, en su calidad
de autoridad reguladora, tiene la Derivado del artículo 52 del Reglamento,
facultad de difundir el conocimiento se considerará al cómputo en la nube,
de las obligaciones en torno a la pro- como un modelo de abastecimiento
tección de datos personales entre y entrega externa de servicios de
la iniciativa privada nacional e inter- acceso a recursos informáticos y
nacional con actividad comercial en su tecnología (por ejemplo, redes,
territorio mexicano. servidores, almacenamiento, aplica-
ciones), que cumpla con las siguientes
Por su parte, de conformidad con el características:
artículo 6 de la Constitución Política
de los Estados Unidos Mexicanos y 1. Medidos y bajo demanda:
38 de la Ley Federal de Protección de los que se ofrecen según las
Datos Personales en Posesión de los necesidades de consumo del
Particulares, el INAI es la autoridad Cliente.
garante del derecho de protección
de datos personales. 2. De distribución flexible: los
que permiten modificaciones de
Para las definiciones de los términos sus características, aun estando
utilizados en los presentes Criterios, en marcha el servicio.
se sugiere consultar los artículos 3º
de la Ley Federal de Protección de 3. Compartidos: los que se utili-
Datos Personales en Posesión de los zan de manera dinámica entre
Particulares y 2º y 52 de su Reglamento. distintos consumidores, a través
de mecanismos como la virtuali-
zación, que dan la apariencia de
que los recursos proveídos son
únicos para cada Cliente.
8
Las características mencionadas En este sentido, los presentes
anteriormente pueden variar depen- Criterios se enfocan a todo servicio de
diendo de la configuración del servicio cómputo en la nube proporcionado
de cómputo en la nube, dicha composi- por un proveedor externo, quien se
ción considera los siguientes Criterios: identifica bajo la figura del encargado,
sin importar la ubicación geográfica
1. Si la infraestructura se encuentra de la infraestructura, el tipo de tecno-
dentro o fuera del perímetro logía utilizada, o si actúa dentro de las
físico del Cliente. premisas de operación del Cliente.
9
c.
Software como Servicio
(Software as a Service o SaaS):
el Proveedor suministra programas
o aplicaciones que corren comple-
tamente en su infraestructura para
uso de sus Clientes. El Cliente no
tiene control de la infraestructura
y sólo tiene control sobre cier-
b.
Plataforma como Servicio tas características del software.
(Platform as a Service o PaaS): Por ejemplo: El Cliente puede
el Proveedor facilita herra- gestionar correo electrónico,
mientas a sus Clientes para almacenamiento de contenido
que desarrollen sus propias o mensajería instantánea, a través
aplicaciones en la plataforma de software o aplicaciones ofreci-
ofrecida. El Cliente administra das por el Proveedor.
el software, pero no la infraes-
tructura. Por ejemplo: El Cliente
puede acceder a través de
Internet, a plataformas de desa-
rrollo de aplicaciones en línea,
para distintos lenguajes de pro-
gramación, colaborativas y de
bases de datos.
10
El nivel de control que tienen el Proveedor y el Cliente sobre los recursos
de cómputo y la información depende de los modelos de servicio de apro-
visionamiento, como se muestra en la figura siguiente:
Proveedor Cliente
Modelo de
Servicio
IaaS PaaS SaaS IaaS PaaS SaaS
Recursos de
Cómputo
Aplicaciones
Plataformas de
Arquitectura
Infraestructura
Virtual
Hardware
Instalaciones
Físicas
11
Por lo que respecta a las caracterís- El artículo 3º de la Ley Federal de
ticas de los servicios de cómputo en Protección de Datos Personales
la nube, así como los modelos de en Posesión de los Particulares
aprovisionamiento expuestos ante- (LFPDPPP) define las figuras de res-
riormente, tienen por objeto apoyar ponsable y encargado de la siguiente
a los responsables y encargados en forma:
el entendimiento del nivel de con-
trol que pueden tener sobre los IX. Encargado: La persona física
datos personales a través de estos o jurídica que sola o conjun-
servicios. tamente con otras trate datos
personales por cuenta del
Es importante aclarar que los con- responsable.
ceptos expuestos no son absolutos,
debido a la condición evolutiva de XIV. Responsable: Persona física
las tecnologías de la información y o moral de carácter privado que
las comunicaciones y el dinamismo decide sobre el tratamiento
que las caracteriza. de datos personales.
4. Responsables y encargados
12
Por su parte, el artículo 49 del En consecuencia, el Cliente es el
Reglamento precisa la naturaleza y “responsable” del tratamiento de
alcance de la figura del encargado, datos personales, al ser quien decide
de la siguiente forma: sobre dicho tratamiento, por lo que
en adelante será mencionado de
Figura del encargado manera indistinta como responsable
o Cliente.
Artículo 49. El encargado es la
persona física o moral, pública Asimismo, es relevante señalar que
o privada, ajena a la organiza- la comunicación de datos personales
ción del responsable, que sola o entre el responsable y el encargado
conjuntamente con otras, trata es definida como remisión, por el
datos personales por cuenta Reglamento.
del responsable, como con-
secuencia de la existencia de Lo anterior implica que la protec-
una relación jurídica que le vin- ción de los datos personales que se
cula con el mismo y delimita el coloquen en la nube sigue siendo
ámbito de su actuación para la responsabilidad de quien contrata
prestación de un servicio. un servicio de cómputo en la nube,
quien ha sido definido como el Cliente
En congruencia con lo anterior, se en su carácter de responsable, con
entenderá que el Proveedor de un independencia de que el Proveedor
servicio de cómputo en la nube tiene de dicho servicio tenga también obli-
la figura de “encargado”, en términos gaciones con relación al manejo de la
de lo dispuesto por la LFPDPPP y su información personal que le sea comu-
Reglamento, por lo que en adelante nicada, en su carácter de encargado.
será mencionado de manera indistinta
como encargado o Proveedor. Es por ello, que resulta importante la
contratación de servicios de cómputo
en la nube seguros.
13
Con independencia de lo anterior, El cumplimiento de estos principios
es importante tener en cuenta que y deberes está a cargo del Cliente,
cuando el Proveedor destine o utilice quien es el responsable del trata-
los datos personales con una finalidad miento de los datos personales y
distinta a la autorizada por el Cliente, o quien deberá responder frente al
bien efectúe una transferencia incum- titular de los mismos. Para conocer
pliendo con las instrucciones del Cliente, más de estos principios y deberes en
el encargado del tratamiento de datos materia de protección de datos perso-
personales puede tomar la figura de res- nales, se recomienda ver el Anexo 1.
ponsable conforme lo señala el artículo
53 del Reglamento, con las obligaciones
que ello implica. Adicionalmente, en la Guía para
empresas en materia de protección
5. Cumplimiento de principios y de datos personales en el uso del
deberes cómputo en la nube disponible en la
página de PROSOFT de la Secretaría
El tratamiento de datos personales de Economía, se puede consultar el
en el denominado cómputo en la Checklist para la revisión del cumpli-
nube deberá observar los principios miento1, el cual permite a las empresas
de licitud, consentimiento, infor- evaluar por sí mismas su nivel de conoci-
mación, calidad, finalidad, lealtad, miento y aplicación de la normatividad
proporcionalidad y responsabilidad, en materia de Protección de Datos
así como los deberes de confidencia- Personales en el uso de Cómputo en
lidad y seguridad, establecidos en la la Nube. Un extracto de este checklist
LFPDPPP y su Reglamento, y deberá también se puede consultar en el
prever condiciones para que los titu- Anexo 2 de los presentes criterios.
lares de los datos personales puedan
ejercer sus derechos ARCO.
1
Guía para empresas en materia de protección de datos perso-
nales en el uso del cómputo en la nube (Cloud Computing), 4.
Checklist para la revisión del cumplimiento, Pp. 375-387. Estu-
dio apoyado por el Programa para el Desarrollo de la Industria
de Software (PROSOFT) y el Banco Mundial. Consultable en:
https://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/
Estudios%20Prosoft/FREF_33.pdf
14
Sección II. Criterios mínimos para la III. Defina de manera interna, las polí-
contratación de servicios ticas y medidas de seguridad
de cómputo en la nube que para el uso del servicio de
impliquen el tratamiento cómputo en la nube.
de datos personales
2
Para efectos de un servicio de cómputo en la nube, de acuer-
do con la Procuraduría Federal de Consumidor y la Ley Fede-
ral de Protección al Consumidor, un contrato de adhesión es el
documento elaborado unilateralmente por el Proveedor, para
establecer en formatos uniformes los términos y condiciones
aplicables a la adquisición de un producto o la prestación de
un servicio, aun cuando dicho documento no contenga todas
las cláusulas ordinarias de un contrato. Más información sobre
contratos de adhesión puede ser consultada en: https://rcal.
profeco.gob.mx/rcal.jsp
15
Bajo ese contexto, se recomienda por autoridades de protección
considerar los siguientes Criterios: de datos personales alrededor
del mundo, así como la res-
A.1. Reputación del Proveedor puesta que dio el Proveedor a
las autoridades.
· El nivel de cumplimiento y la
calidad del servicio que presta, · Si el Proveedor es claro y trans-
o bien, si el Proveedor es un parente respecto a su modelo
actor reconocido en el mercado de negocio, sus prácticas en el
de prestación de servicios de tratamiento de datos personales
cómputo en la nube, y la opinión y su política de privacidad, esta
pública que existe entorno a última además debe ser dife-
sus servicios. renciada para cada uno de sus
productos y servicios en la nube.
· Si el Proveedor o sus subcontrata-
ciones han sufrido incidentes A.2. Identidad del Proveedor
importantes, y si después de
un incidente, el Proveedor es Es importante que el Cliente cuente
diligente con sus clientes, con información de la identidad y
al tomar acciones que mitiguen medios para contactar al Proveedor,
su impacto. entre ella la siguiente:
18
e. Para eliminar o destruir la exista alguna causal de clasifica-
información del Cliente con ción, por la cual la notificación
métodos de borrado seguro, al cliente no sea posible, tal
dentro de un periodo definido, como una investigación policial
durante y después de la pres- en curso.
tación del servicio.
c. Apoyar al Cliente para la iden-
f. Para notificar al Cliente de cual- tificación y la mitigación o
quier cambio o actualización remediación de una vulnera-
en la prestación del servicio, ción a la seguridad de los datos
en particular en lo que se personales, relacionada con el
refiere a la protección de los servicio. En su caso, el Proveedor
datos personales. debe proporcionar acceso a
herramientas, bitácoras, registros,
g. Para notificar las acciones del o elementos de prueba para apo-
Proveedor en caso que ocurra yar al Cliente con la investigación
un incidente que afecte la del incidente, o bien para proce-
información del Cliente. dimientos ante las autoridades en
materia de protección de datos.
III. Se recomienda al Cliente elegir,
de manera preferente, Proveedores d. Ofrecer compensaciones o pri-
que aseguren diligencia para: mas a los Clientes en caso de
una falla o interrupción del
a. Notificar al Cliente cualquier falla servicio, o bien debido a una
o interrupción del servicio. vulneración a la seguridad de
los datos personales.
b. Notificar al Cliente el acceso o
solicitud de acceso de terceros e. Ofrecer al Cliente instrumentar
a la información, por ejemplo, acciones proactivas para pro-
las que realicen las autoridades teger los datos personales.
competentes, nacionales o extran-
jeras. Lo anterior, a menos que
19
En ese sentido, se sugiere considerar · La posibilidad de atender
los siguientes Criterios: solicitudes de ejercicio de
derechos ARCO, en aquellos
B.1. Transparencia en el servicio datos que estén siendo tratados
por encargados subcontratados, y
Con la finalidad de garantizar el
cumplimiento de las obligaciones · La supresión de los datos per-
en materia de protección de datos sonales a través de métodos
personales, y de conformidad con lo de borrado seguro u otro meca-
establecido en los artículos 52, inciso nismo, que evite la recuperación
b, fracción I, 54 y 55 del Reglamento, de los datos personales por un
el Cliente debe conocer la existencia tercero no autorizado.
de las subcontrataciones que, en
su caso, realice el Proveedor, con Con independencia de lo anterior, se
excepción de aquellos detalles o recomienda que el Cliente o respon-
información que se encuentre pro- sable elija proveedores que tomen
tegida por algún secreto, cuya responsabilidad completa por los
publicidad se encuentre protegida servicios subcontratados, sin que
conforme la normatividad aplicable. lo anterior implique que el Cliente
pueda perder su calidad de respon-
En ese sentido, se sugiere al res- sable de los datos personales.
ponsable optar por Proveedores
que garanticen transparencia en la Asimismo, se recomienda seleccionar
cadena de subcontrataciones, así proveedores que tengan políticas y
como los siguientes elementos: rindan informes de transparencia
respecto a las solicitudes de infor-
· El control sobre las personas o mación que reciben por parte de
empresas que subcontraten; autoridades locales, internacionales
o constituidas en países terceros.
· Los mecanismos implementados
por los terceros subcontratados
para garantizar la confidenciali-
dad de los datos personales;
20
B.2. Cambios en los términos del C. Criterios mínimos a considerar
servicio por el cliente para asegurar que
el proveedor cuente con medi-
Resulta indispensable que el respon- das de seguridad
sable se informe y esté al tanto de
cualquier cambio en el servicio de I. Para cumplir con lo dispuesto
cómputo en la nube, que pudiera por el inciso c, fracción II del
tener alguna implicación relevante artículo 52 del Reglamento, es
para la protección de los datos recomendable que el Cliente
personales. elija Proveedores cuyos servicios
cuenten con cláusulas, políticas,
mecanismos o sistemas auto-
matizados, al menos sobre las
siguientes medidas de seguridad:
21
b. Para la protección de la confi- II. Se recomienda que el Cliente
dencialidad de la información opte por Proveedores que ade-
en tránsito, entre los diferentes más cuenten con las medidas
sistemas del Proveedor o de sus siguientes:
subcontrataciones, y entre los sis-
temas del Cliente y el Proveedor a. Mostrar evidencia de estar sujetos
o de sus subcontrataciones. Por a revisiones o auditorías por ter-
ejemplo, el cifrado del canal de ceros de reconocido prestigio, o
comunicaciones. en cumplimiento con estándares
internacionales, en particular de
c. Para la protección de la dispo- estándares como son ISO-27017
nibilidad e integridad de la e ISO-27018. Asimismo, permitir
información del Cliente. Por revisiones o auditorías por parte
ejemplo, a través de copias de del Cliente.
seguridad o almacenamiento
redundante. b. Mostrar evidencia de que sus
servicios consideran la protec-
d. Para el aislamiento de la infor- ción de datos personales desde
mación de un cliente, respecto el diseño o rediseño, como una
a la de otros clientes con los característica intrínseca en sus
que se comparten elementos operaciones, a fin de llevar la
de cómputo en común. Por seguridad de la información
ejemplo, la administración de más allá de la normativa.
entornos virtuales.
c. Mostrar o estar en proceso de
e. Para que el Cliente tenga con- certificación por un organismo
trol sobre el acceso y gestión reconocido nacional o inter-
de los datos, procesos o ser- nacional, o bien contar con
vicios. Por ejemplo, con esquemas de seguridad o pro-
contraseñas, gestión de identi- tección de datos personales
dades o certificados digitales. apegados a estándares y mejo-
res prácticas internacionales.
22
Por lo anterior, se sugiere considerar · Falta de control en el ciclo de
los siguientes Criterios: vida de los datos personales:
Este riesgo podría presentarse
C.1. Evaluación de riesgos para los cuando el Cliente no cuenta con
datos personales un control adecuado sobre los
datos y procesos sujetos a los
De conformidad con lo establecido servicios de cómputo en la nube,
en los artículos 60 y 61, fracción III del como pudiera ser:
Reglamento, es necesario que previo
a la contratación de un servicio de · Falta de confidencialidad:
cómputo en la nube, el Cliente realice los datos personales tratados
un análisis de riesgos con relación al en la nube no son de uso exclu-
tratamiento de datos personales que sivo del Cliente y pueden ser
efectúa en su organización3, a fin de accedidos por el Proveedor
identificar los controles de seguridad para finalidades adicionales
que resultan necesarios para la pro- a las del servicio contratado,
tección de los datos personales. o bien por terceros.
información.
23
· Falta de sistemas automa- · Falta de portabilidad: en
tizados o mecanismos de caso de que el Proveedor
ayuda: el servicio de cómputo almacene la información
en la nube carece de las en un formato cerrado, de
herramientas necesarias para manera que, en un futuro, se
que el Cliente cumpla con dificulte al Cliente trasladar
sus obligaciones normativas, su información a otros servi-
como podría ser la atención cios de cómputo en la nube,
de solicitudes de ejercicio de o bien, recuperarla una vez
los derechos ARCO. que se concluya la relación
con el Proveedor.
· Uso inadecuado de recursos
compartidos y falta de aisla- · Falta de entendimiento o de cla-
miento: puede ser que existan ridad sobre el tratamiento de los
conflictos entre los distintos datos personales. Este riesgo
clientes de un Proveedor, ya podría presentarse debido a
que el servicio de cómputo la falta de entendimiento del
en la nube puede disponer de Cliente respecto del modelo de
sistemas comunes. También aprovisionamiento, en particular
el Proveedor podría ejercer cuando ocurre lo siguiente:
control sobre los datos alma-
cenados por distintos clientes · Tratamiento adicional, no
y realizar tratamientos adicio- autorizado de datos persona-
nales, por ejemplo, combinar les: el servicio de cómputo
o cruzar la información. en la nube puede incluir
tratamientos de los datos per-
sonales que no son conocidos
o deseados por el Cliente, lo
que además podría dar lugar
a comunicaciones ilícitas de
dichos datos.
24
· Tratamiento de datos perso- · Tratamiento de datos persona-
nales por múltiples actores: les en distintas jurisdicciones o
los servicios de cómputo en la zonas geográficas que no cum-
nube están compuestos por plen con un nivel adecuado de
una cadena compleja de pro- protección: el Cliente podría
veedores y subcontrataciones estar exponiendo la informa-
y, por tanto, el Cliente puede ción a un régimen jurídico que
exponer los datos personales no satisface sus requerimientos
sin saberlo o estar consciente en materia de protección de
de ello. datos personales. Esto podría
ocasionar a los responsables
· Tratamiento de datos per- quedar sin la protección de la
sonales para modelos de legislación mexicana ante un
negocio basados en publicidad Proveedor extranjero.
sin autorización: el Cliente
podría estar exponiendo la No obstante, en este punto debe
información si el Proveedor tenerse en cuenta que la LFPDPPP y
utiliza y explota las bases de su Reglamento prevén la posibilidad
datos para fines publicita- de que se lleve a cabo el tratamiento
rios propios, sin que exista de datos personales en un país dis-
autorización para ello o tinto, siempre que se establezcan
conocimiento por parte del cláusulas contractuales que asegu-
Cliente. ren que el proveedor cumplirá con
los requerimientos de las normas
mexicanas.
25
Para la evaluación de estos riesgos,
se recomienda solicitar información al
Proveedor que permita conocer los
términos y alcances de los temas antes
señalados, así como tomar como refe-
rencia las Recomendaciones en materia
de seguridad de datos personales del
INAI,4 la Guía para implementar un
Sistema de Gestión de Seguridad de Además de la recuperación de la infor-
Datos Personales, o bien, algún están- mación, para cumplir con el inciso d
dar o esquema de buenas prácticas de la fracción II del artículo 52 del
como son: ISO-31000, ISO-27001, ISO- Reglamento, es indispensable que
27002, entre otros. el Cliente opte por Proveedores
que establezcan cláusulas, políti-
C.2. Devolución y destrucción de los cas, mecanismos o sistemas para el
datos personales al finalizar el borrado seguro de la información,
servicio una vez finalizado el servicio. Para
conocer los métodos de borrado
Se recomienda que el Cliente evite seguro, se sugiere consultar la Guía
aquellos proveedores que no ofrez- para Borrado Seguro de los Datos
can cláusulas, políticas, mecanismos Personales,5 emitida por el INAI y
o sistemas automatizados para que publicada en su portal de Internet.
pueda recuperar su información
una vez terminado el servicio, y en
un formato tal que el Cliente tenga
la capacidad de utilizar esa informa-
ción, o bien migrarla a un servicio
diferente.
4
Para consulta en: http://www.dof.gob.mx/nota_detalle. Consultable en: http://inicio.ifai.org.mx/DocumentosdeIn-
5
php?codigo=5320179&fecha=30/10/2013 teres/Guia_Borrado_Seguro_DP.pdf
26
C.3. Interoperabilidad y portabilidad C.4. Adhesión o contratación del
servicio
Se recomienda que el Cliente se entere
de las condiciones y prácticas del De manera general, se sugiere tener
Proveedor en materia de interoperabili- preferencia por Proveedores que
dad y portabilidad de la información bajo permitan contratos sujetos a nego-
su resguardo, ya que de ello depende ciación, respecto a los contratos de
que se puedan realizar transferencias adhesión, ya que es la mejor manera
o remisiones de datos personales a de adecuar las características de la
otros proveedores de servicio de cóm- prestación del servicio y los reque-
puto en la nube, a otros responsables o rimientos del Cliente en materia de
encargados. protección de datos.
27
Sección III. Acciones a evitar en la III. Asumir que los servicios de
contratación o adhesión cómputo en la nube son con-
a servicios de cómputo venientes por ser gratuitos.
en la nube Es importante que los clientes
que opten por adherirse a ser-
Además de los criterios mínimos vicios de cómputo en la nube
establecidos en este documento, se de carácter general o gratuito,
sugiere evitar las siguientes acciones: evalúen las condiciones de ser-
vicio y políticas de privacidad
I. Considerar que los servicios de que ofrecen, si es que las tie-
cómputo en la nube son una nen, para evaluar los riesgos
cuestión “de informáticos”. Los mencionados en los presentes
servicios de cómputo en la nube Criterios mínimos, pues en la
requieren de un análisis integral mayoría de los casos, el uso y
de diversos elementos aplicables aprovechamiento de la infor-
a la organización, como cumpli- mación personal es en lo que
mientos legales, valoraciones se basa el modelo de negocio
económicas (costo-beneficio), que permite la gratuidad del
buenas prácticas, gestión de servicio.
calidad, entre otros, además del
factor tecnológico. IV. Asumir que el tratamiento
de información y operacio-
II. Asumir que los servicios de nes del Cliente deben estar
cómputo en la nube popu- por completo en la nube. El
lares o en tendencia son la Cliente debe ponderar cuáles
mejor opción. Dependiendo del son las operaciones o procesos
Cliente, un servicio de cómputo que conviene optimizar a tra-
en la nube podría no ser una vés del servicio de cómputo en
opción, o sólo ser funcional para la nube, y cuáles no.
ciertos tipos de datos, procesos
o servicios.
28
Anexo 1. Los principios y deberes Para el tema de cómputo en la nube,
de protección de datos resulta relevante lo siguiente:
personales en los servicios
de cómputo en la nube 1. En general, está permitido y es
lícito el tratamiento de datos
personales en el denominado
1. Principios de licitud y lealtad6
cómputo en la nube, salvo que
para ciertas actividades o sec-
De acuerdo con el principio de licitud, tores en lo particular exista
los datos personales deberán recabarse alguna disposición que prohíba
y tratarse de manera lícita, conforme colocar cierta información en la
a las disposiciones establecidas en la nube. En ese sentido, es impor-
LFPDPPP y demás normatividad apli- tante que el responsable
cable. En ese sentido, el responsable conozca la normatividad que
sólo podrá hacer con los datos per- regula la actividad en la cual se
sonales aquello que esté legalmente están tratado los datos per-
permitido. sonales, por ejemplo, salud,
bancaria, educación, telecomu-
Por su parte, el principio de lealtad nicaciones, entre otras.
establece que en todo tratamiento
de datos personales se presume que 2. Es importante que el responsa-
existe la expectativa razonable de ble contrate servicios seguros
privacidad de los titulares, es decir, la de cómputo en la nube, que
confianza de éstos de que sus datos garanticen el respeto a los
personales serán tratados conforme derechos de privacidad y pro-
a lo acordado con el responsable y tección de datos personales, a
en términos de la ley. fin de no vulnerar la expecta-
tiva razonable de privacidad de
los titulares.
6
Ver artículos 7 de la LFPDPPP y 10 y 44 de su Reglamento.
29
2. Principio de consentimiento7 3. Principio de información8
7
Ver artículos 8 al 10 de la LFPDPPP y 11 al 22 de su Regla- Ver artículos 15 al 18 de la LFPDPPP y 23 al 35 de su Regla-
8
30
4. Principio de calidad9 Con relación a la primera obligación,
en el caso del cómputo en la nube,
El principio de calidad establece que, así como en cualquier otro caso, por
conforme a la finalidad o finalidades ejemplo, una base de datos, los datos
para las que se vayan a tratar los datos que se coloquen o traten en la nube
personales, éstos deben ser pertinen- deben ser pertinentes, correctos
tes, correctos y actualizados. Asimismo, y actualizados. En ese sentido, el
este principio señala que cuando los responsable deberá optar por ser-
datos personales hayan dejado de ser vicios de cómputo en la nube que
necesarios para las finalidades para la permitan actualizar o modificar la
cuales se obtuvieron, el responsable información cuando ello sea nece-
debe eliminarlos, tomando en cuenta sario, y que garanticen la integridad
las disposiciones legales aplicables de los datos personales.
para los plazos de conservación, y con
independencia de que el titular ejerza o En cuanto a la segunda obligación,
no su derecho de cancelación. toma especial relevancia que el con-
trato que el responsable celebre con
En suma, el principio de calidad implica el Proveedor del servicio de cómputo
dos obligaciones para el responsable: en la nube, o al cual se adhiera, esta-
blezca con claridad las obligaciones
1. Tomar las medidas pertinentes del Proveedor respecto de la eli-
para que los datos personales minación de los datos personales
tratados sean pertinentes, cuando así lo solicite el Cliente o
correctos y actualizados, y cuando concluya la prestación del
servicio y no haya ninguna otra
2. Suprimir o eliminar los datos per- obligación legal de conservarlos.
sonales de las bases de datos,
cuando éstos ya no sean necesarios
para la finalidad para la cual se
obtuvieron, y cuando hayan con-
cluido los plazos de conservación
correspondientes.
31
9
Ver artículos 11 de la LFPDPPP y 36 al 39 de su Reglamento.
5. Principio de finalidad10 6. Principio de proporcionalidad11
10
Ver artículos 12 de la LFPDPPP y 40 al 43 de su Reglamento.
32
7. Principio de responsabilidad12 Para el caso que nos ocupa, destaca
la medida señalada en la fracción V
Este principio toma especial relevancia del artículo 48 del Reglamento, que
para la adopción de los presentes establece que entre las acciones que
Criterios mínimos, pues señala que podrán tomar los responsables para
el responsable velará por el cumpli- garantizar el debido tratamiento de
miento de los principios de protección datos personales, se encuentra la
de datos personales, para lo cual de “instrumentar un procedimiento
adoptará las medidas que resulten para que se atienda el riesgo para
necesarias, aún y cuando los datos la protección de datos personales
personales fueren tratados por un por la implementación de nuevos
tercero a solicitud del responsable. productos, servicios, tecnologías y
modelos de negocios, así como para
De conformidad con el artículo 48 mitigarlos”.
del Reglamento, existen diversas
acciones o medidas que puede En atención a lo anterior, es necesario
tomar el responsable para garantizar que el responsable contrate servicios
el debido tratamiento de los datos de cómputo en la nube que garan-
personales, y privilegiar la expectativa ticen el debido tratamiento de los
razonable de privacidad de los titu- datos personales, según lo establece
lares de los datos personales. Estas la normatividad en la materia en
medidas complementan, en gran México, con independencia de que
medida, las obligaciones previstas el Proveedor del servicio se encuen-
en el marco regulatorio, y se consi- tre o no en territorio nacional. Al
deran buenas prácticas. respecto, es importante recordar que
la obligación de la protección de los
datos personales es del responsable
del tratamiento, con independencia
de que los datos se encuentren en su
servidor, equipo de cómputo, archivos
o en la nube.
12
Ver artículo 14 de la LFPDPPP y 47 y 48 de su Reglamento.
33
8. Deber de confidencialidad13 Lo anterior implica tomar medidas
de carácter contractual, que obli-
Este deber implica la obligación de guen al Proveedor a guardar secreto
guardar secreto respecto de los datos respecto de los datos personales
personales que son tratados. Es por a los que tiene acceso con motivo
ello que el responsable tiene que del servicio que presta. Asimismo,
adoptar medidas para evitar que resulta fundamental establecer una
quienes tengan acceso a los datos condición que prohíba al Proveedor
personales los divulguen de manera asumir la propiedad de la información
indebida o no autorizada. que el Cliente deposite o que se
genera en la nube.
En ese sentido, el responsable debe
adoptar las medidas necesarias para 9. Deber de seguridad14
que el Proveedor del servicio de
cómputo en la nube, que tiene Este deber se refiere a la obligación,
acceso y trata los datos personales tanto del responsable como del
a su nombre y cuenta, cumpla con encargado, de establecer y mantener
el deber de confidencialidad, aun medidas de seguridad técnicas, físi-
terminada la relación jurídica entre cas y administrativas, que permitan
ambos, en cuyo caso, si no es nece- proteger los datos personales contra
sario que el Proveedor conserve los daño, pérdida, alteración, destrucción o
datos personales por alguna cuestión el uso, acceso o tratamiento no auto-
legal, una vez terminada la relación rizado. Las medidas adoptadas no
con el Cliente, tendría que eliminarlos podrán ser menores a aquéllas que
bajo métodos seguros de borrado. tengan el responsable y el encargado
para el manejo de su información en
lo general.
13
Ver artículo 21 de la LFPDPPP. 14
Ver artículos 19 de la LFPDPPP y 57 al 66 de su Reglamento.
34
Así, el responsable deberá contratar De acuerdo con lo anterior, el respon-
servicios de cómputo en la nube que sable del tratamiento está obligado a
garanticen medidas de seguridad informar al titular sobre las vulneracio-
adecuadas para la protección de nes que ocurran a los datos personales
los datos personales. Por su parte, que están en su posesión. En ese sen-
el deber de seguridad es una obli- tido, en caso de que ocurriera una
gación para el encargado, cuando a vulneración en el servicio de cómputo
éste le aplique la normatividad mexi- en la nube, que afecte a los datos per-
cana, de conformidad con la fracción sonales, el responsable tendría que
III del artículo 50 del Reglamento. informar sobre la misma al titular.
35
11. Ejercicio de derechos ARCO
36
Anexo 2. Checklist para la revisión del El primer checklist incluye preguntas,
cumplimiento de la Guía en diversas áreas, cuya finalidad es
para empresas en materia que los clientes o futuros clientes de
de Protección de Datos cómputo en la nube conozcan si están
Personales en el uso de alineados con la normatividad en la
Cómputo en la Nube materia y, de esta manera, evaluar
su situación actual. En concreto, esta
En este Anexo se incluye un checklist lista de comprobación incluye preguntas
general y un checklist específico relativas a:
extraídos de la Guía para empresas
en materia de Protección de Datos · Riesgos legales y regulatorios;
Personales en el uso de Cómputo en
la Nube apoyado por el Programa · Protección de datos personales;
para el Desarrollo de la Industria
del Software (PROSOFT)15, para que · Seguridad;
las empresas puedan revisar, por sí
mismas, su estado de cumplimento · Propiedad intelectual;
de la normatividad en materia de
Protección de Datos, así como ana- · Acuerdo de nivel de servicio
lizar los riesgos que asumen al (SLA) y otras cuestiones con-
contratar productos y servicios en la tractuales, y
nube.
· Ciberdelitos.
37
Ambas listas de comprobación son
una herramienta de apoyo, de manera
que no sustituyen en modo alguno
la realización de una auditoría futura
u otra forma de asegurar el cumpli-
miento, que corresponde al cliente o
futuro cliente de servicios de cómputo
en la nube en cada caso concreto, aten-
diendo a las circunstancias específicas
de su caso.
38
2.1 Checklist general sobre cómputo en la nube
RIESGOS LEGALES Y REGULATORIOS
¿Ha adoptado medidas para identificar riesgos legales y regulatorios previamente a la
contratación de servicios de cómputo en la nube? Sí No
Cuando contrata servicios de cómputo en la nube, ¿ha adoptado medidas de gestión
para minimizar los riesgos legales y regulatorios que pudieran ocurrir? Sí No
¿Ha verificado que los servicios de cómputo en la nube y su tecnología cumplan con
Sí No
las NormasOficiales Mexicanas y las Normas Internacionales aplicables en la materia?
En caso de que se produzca algún incumplimiento, ¿tiene previsto un procedimiento Sí No
para adoptar medidas correctivas que le permitan responder ante dicha situación?
En relación con los servicios que pudiera subcontratar el proveedor de servicios de
cómputo en la nube, ¿le ha proporcionado información sobre si existen políticas Sí No
específicas sobre el uso de subcontratistas?
Con respecto al proveedor de servicios de cómputo en la nube, ¿sabe si se somete Sí No
esporádicamente a algún procedimiento de evaluación de su desempeño?
¿Tiene suficiente ancho de banda para hacer uso del servicio y se ha informado sobre
las características del mismo en cuanto a necesidad de hardware y conexión? Sí No
¿Los datos personales que se tratan cumplen con los principios previstos en la
Sí No
normatividad?
¿Ha establecido políticas de protección de datos personales afines a los principios y
Sí No
deberes que establecen las normas en la materia?
¿Cuenta con políticas de protección de datos y privacidad que se refieran a todos los
Sí No
tratamientos de datos personales que lleva a cabo, incluido el uso de la nube?
¿Cuenta con alguna certificación en materia de protección de datos personales y si es
así, dicha certificación se refiere también a tratamientos de datos por encargados y en Sí No
la nube?
Antes de contratar los servicios de cómputo en la nube, ¿se ha asegurado de que el
proveedor de servicios de cómputo en la nube se abstiene de incluir condiciones
relativas a la prestación del servicio que le autoricen o permitan asumir la titularidad Sí No
o propiedad de la información sobre la que presta el servicio?
¿En el aviso de privacidad se ha informado a los titulares de los datos personales que
se tratan sobre las características principales del tratamiento al que será sometida Sí No
dicha información?
¿Ha adoptado medidas para asegurarse de que los datos personales que recoge son
exactos y están actualizados? Sí No
39
40
41
42
2.2 Checklist específico sobre cómputo en la nube
43
44
Anexo 3. Referencias · CASASOLA, SOLANGE, MOLINA,
MORENO, RECIO, La nube: nue-
Para la elaboración de los pre- vos paradigmas de privacidad y
sentes Criterios se tomaron las seguridad para un entorno inno-
siguientes referencias nacionales e vador y competitivo, México,
internacionales: Centro de Investigación y Docencia
Económicas, 2014.
· BADGER, GRANCE, PATT-
CORNER,VOAS,SpecialPublication · Cloud Computing Security for
800-146: Cloud Computing Tenants, Australia, Department
Synopsis and Recommendations, of Defence, 2015. Consultable
Estados Unidos, U.S Department en: http://www.asd.gov.au/
of Commerce, National Institute of publications/protect/cloud-securi-
Standards and Technology, 2012. ty-tenants.htm
Consultable en: http://csrc.nist.gov/
publications/nistpubs/800-146/ · Cloud Cube Model: Selecting
sp800-146.pdf Cloud Formations for Secure
Collaboration, The Open
· BRADSHAW, MILLARD, WALDEN, Group, Jericho Forum, 2009.
Contracts for Clouds: Contracts Consultable en: https://collabo-
and Analysis of the Terms and ration.opengroup.org/jericho/
Condition of Cloud Computing cloud_cube_model_v1.0.pdf
Services, Londres, Queen Mary
University of London, School of · Dictamen 05/2012 sobre la com-
Law, 2010. Consultable en: http:// putación en nube, Grupo de
papers.ssrn.com/sol3/papers. Protección de Datos del Artículo 29,
cfm?abstract_id=1662374 2012. Consultable en: http://ec.eu-
ropa.eu/justice/data-protection/
article-29/documentation/opi-
nion-recommendation/files/2012/
wp196_es.pdf
45
· Directrices del GSR 12 sobre · ISO/IEC 19086-1:2016 Information
prácticas idóneas enfoques de technology -- Cloud computing
reglamentación para fomentar -- Service level agreement (SLA)
el acceso a las oportunidades framework -- Part 1: Overview
digitales mediante servicios en and concepts, Suiza, International
nube, ITU, 2012. Consultable Organization for Standardization
en: https://www.itu.int/ and International Electrotechnical
ITU-D/treg/Events/Seminars/ Commission, 2016.
GSR/GSR12/consultation/
GSR12_BestPracticeGuidelines_ · ISO/IEC 27018:2014 Information
SPANISH_v3.pdf technology -- Security techniques
-- Code of practice for protection
· Grupo de Trabajo – Privacy Level of personally identifiable informa-
Agreement, Esquema de Privacy tion (PII) in public clouds acting as
Level Agreement (PLA) para la PII processors, Suiza, International
Venta de Servicios en la Nube en Organization for Standardization
la Unión Europea, Cloud Security and International Electrotechnical
Alliance, 2013. Consultable en: Commission, 2014.
https://www.ismsforum.es/
ficheros/descargas/acuerdo-de-ni- · JANSEN, GRANCE, Special
vel-de-privacidad1374159133.pdf Publication 800-144: Guidelines on
Security and Privacy in Public Cloud
· Guía para empresas en materia de Computing, Estados Unidos,
protección de datos personales U.S Department of Commerce,
en el uso del cómputo en la nube National Institute of Standards and
(Cloud Computing), Piñar Mañas & Technology, 2011. Consultable en:
Asociados, S.C. PROSOFT, 2013. http://csrc.nist.gov/publications/
Consultable en: https://prosoft. nistpubs/800-144/SP800-144.pdf
economia.gob.mx/Imagenes/
ImagenesMaster/Estudios%20
Prosoft/FREF_33.pdf
46
· MELL, GRANCE, Special · SOLANGE, MORENO, RECIO,
Publication 800-145: The NIST Lineamientos de Protección de
Definition of Cloud Computing, Datos en el Cómputo en la Nube:
Estados Unidos, U.S Department Parámetros para su elaboración,
of Commerce, National Institute México, Centro de Investigación y
of Standards and Technology, Docencia Económicas, 2014.
2011. Consultable en: http://
csrc.nist.gov/publications/nist- · STUDY: Cloud Service Agreements
pubs/800-145/SP800-145.pdf Omit Key Considerations, New
ISO/IEC 19086-1 Standard Guides
· Privacy & Cloud Computing Organizations To Structured,
Guideline Version 1.0, Australia, Effective Agreements, Forrester
Privacy Committee of South Consulting, 2016. Consultable en:
Australia, 2013. Consultable http://download.microsoft.com/
en: http://archives.sa.gov.au/ download/7/7/E/77E57C7E-4458-
sites/default/files/20131029%20 47A7-8646-8AA6F2BC7EED/
Privacy%20and%20Cloud%20 Cloud_Service_Agreements_
Computing%20Guideline%20 Omit_Key_Considerations-
Final%20V1_Copy.pdf Forrester_Paper.pdf
48