:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/FNNJUVRPKJAGLHYUJRRVN2VH5Q.jpg)
María Soledad Gastañeta, Asociada Senior de Derecho Administrativo de García Sayán Abogados
El 17 de enero de 2023 se publicó en el sitio web BBC MUNDO una noticia titulada “La mujer que perdió su negocio online cuando todo el contenido desapareció de la nube”. El caso que cuenta la noticia debe servirnos a todos para reflexionar sobre los riesgos del uso de la nube y su implicancia en la protección de datos personales.
La noticia cuenta el caso de una persona que tenía su negocio, un blog alojado en un proveedor de Internet en la nube, que cerró en noviembre. Esta persona, para contratar los servicios del proveedor, usó una tercera empresa que también había cerrado y, por lo tanto, nadie le comunicó que el proveedor de Internet en la nube iba a cerrar. Además, tampoco tenía acceso a la copia de seguridad del blog, ya que ésta también estaba alojaba en la nube. Es decir, el trabajo de años se perdió.
Si bien se habla mucho de la nube, en qué consiste ésta todavía es desconocido para muchos. Cuando uno decide usar la nube, lo que está usando son infraestructuras, plataformas o sistemas de software que alojan proveedores externos y que se ponen a disposición de los usuarios a través de internet. Usar los servicios de la nube es muy eficiente porque facilita el flujo de datos de los usuarios a través de internet.
Lo que nos demuestra la noticia es que, si bien los servicios en la nube son eficientes en términos de tiempo de actividad y están acá para quedarse, pueden sufrir interrupciones por fallas técnicos o ciberataques.
En tal sentido, es importante para las empresas y las personas naturales con negocio proteger la información que gestionan y/o almacenan en la nube, no solo por temas comerciales relacionadas a las consecuencias de perder información y los costos que esto les generaría, sino porque en caso que almacenen datos personales en la nube, como titulares de los bancos de datos personales serán responsable legalmente de tomar las medidas de seguridad adecuadas para proteger los datos naturales que le han sido confiados por sus titulares.
Cuando se contrata a un tercero para que provea servicios usando la nube y se almacenan en la nube datos personales, este proveedor es encargado del tratamiento de esos datos o receptor de los mismos en una transferencia de datos, conforme a los términos de la relación contractual y, por lo tanto, tiene que informarse al titular de los datos personales de esta situación. Asimismo, al momento de registrar ante la Autoridad Nacional de Protección de Datos los bancos de datos también deberá declararse está situación.
No hay que olvidar que la Autoridad Nacional de Protección de Datos Personales puede imponer multas bastante altas a aquellos administrados que no han cumplido con implementar las medidas se seguridad establecidas por la Ley de Protección de Datos Personales, ni las demás obligaciones que esta ley impone.
La Ley de Protección de Datos Personales señala medidas de seguridad tanto físicas como electrónicas, para la información que se guarda en una nube o un servidor. También existe una directiva sobre medidas de seguridad que, sin ser de obligatorio cumplimiento, es una guía o punto de partida para establecer dichas medidas de seguridad. Hay que tener en cuenta que las medidas de seguridad no solo deben estar implementadas sino también deben estar documentadas.
Algunos ejemplos de medidas de seguridad: (i) control de acceso a la información (gestión de accesos desde el registro de un usuario, gestión de los privilegios de dicho usuario, identificación del usuario ante el sistema, , y la verificación periódica de los privilegios asignados); (ii) generar y mantener registros que provean evidencia sobre las interacciones con los datos lógicos, para los fines de la trazabilidad; y (iii) los ambientes en los que se procese, almacene o transmita la información deberán ser implementados, con controles de seguridad apropiados, tomando como referencia las recomendaciones de seguridad física y ambiental en la “NTP ISO/IEC 17799 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de Seguridad de la Información.”.
En conclusión, contratar a un proveedor de servicios en la nube no nos libera de responsabilidad, sino que, por el contrario, nos obliga a implementar medidas de seguridad que nos permitan proteger los datos personales que le entregamos al proveedor, a efectos de no ser sancionados por la Autoridad Nacional de Protección de Datos Personales.
