Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) Protección de datos en la nube

Transcripción

1 Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) Protección de datos en la nube

2 Cuando la nube nos alcance

3 La tendencia Fuentes: Zdnet Internet World Stats, Klogix

4 La amenaza Fuentes: Zdnet Internet World Stats, Klogix

5 Reglamento de la LFPDPPP

6 Definiciones Por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente.

7 Definiciones Responsable Persona física o moral de carácter privado que DECIDE sobre el tratamiento de los DP Encargado Persona física o jurídica que sola o conjuntamente con otras trate DP POR CUENTA del responsable Relación establecida a través de un instrumento jurídico que acredite su existencia, alcance y contenido. Tercero Persona física o moral, nacional o extranjera distinta del titular, el responsable y el encargado

8 Encargado que trata DP a nombre de un responsable en México Responsable en territorio mexicano Le son aplicables las medidas de seguridad contenidas en el Reglamento Le aplica la legislación mexicana por la celebración de un contrato o en términos del derecho internacional

9 Artículo 52 Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor:

10 Artículo 52 I. Cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento; Tú eres responsable de la información que pones en la nube b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio; Debes conocer la ubicación de la infraestructura que almacena los datos, así como su regulación si se encuentran fuera del país

11 Artículo 52 c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y Utilizar cláusulas claras respecto al uso y confidencialidad de los datos que procesa el encargado.

12 Artículo 52 II. Cuente con mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta; b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio; Asegurarse que el responsable y el encargado tengan en claro sus obligaciones

13 Artículo 52 c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio; A través de un análisis de riesgo debes decidir si un encargado del tratamiento de datos te ofrece la seguridad que requieres

14 Artículo 52 d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y Si termina tu contrato debes poder recuperar los datos y migrarlos. Así como, eliminarlos totalmente de los medios del proveedor e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso o bien en caso de que sea solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable. Asegurarte que como responsable sólo tú tengas control de acceso a los datos

15 Artículo 52 y la nube confiable Este artículo sustenta una de las principales recomendaciones que un profesional de seguridad puede hacer a los responsables respecto a la contratación de servicios de computo en la nube: el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales. Si un proveedor de servicios de computo en la nube no puede garantizar seguridad y transparencia de sus procesos a través de una relación jurídica, éste no debe ser contratado.

16 Recomendaciones

17 Recomendaciones La buena práctica internacional ha generado algunas recomendaciones para trabajar con CC: Los responsables tienen el deber de medir el impacto a la seguridad y a la privacidad antes de considerar el uso de tecnologías de CC Las políticas de protección de datos sobre el uso de cómputo en la nube deben ser iguales o mejores que las aplicadas a los procesos convencionales de tratamiento de datos

18 Recomendaciones Se debe trabajar solamente con proveedores de CC que ofrezcan seguridad, transparencia y confianza a través de clausulas contractuales balanceadas, enfocadas especialmente a la responsabilidad del proveedor en caso de una vulneración a la seguridad y a remarcar que el responsable siempre tiene control sobre los datos La implementación de CC debe hacerse cuidadosamente, iniciando con datos personales no sensibles Al realizar un contrato, se debe especificar que el proveedor de CC no podrá hacer uso de los datos personales para su propio beneficio

19 Recomendaciones El responsable y el proveedor de CC deben estar organizados para que en caso de ocurrir una vulneración a la seguridad de los datos, el proveedor pueda auxiliar al responsable a cumplir sus obligaciones ante las autoridades de protección de datos. Se sugiere utilizar un enfoque de privacidad por diseño o Privacy by Design

20 Cómputo en la nube, responsabilidad en la tierra Dr. Nelson Remolina Maestra Lina Ornelas Directora General de Autorregulación Secretaría de Protección de Datos