Argentina: Protección legal de información en los modelos SaaS y Cloud Computing
Por Julia Enríquez, Abogada de Carranza Torres & Asociados - www.carranzatorres.com.ar
El SaaS (Software as a Service), enmarcado dentro del denominado “Cloud Computing”, implica un modelo de procesamiento de la información que conlleva la administración de la misma por terceros en centros de datos o servidores. Veamos el caso de la normativa argentina.
La implementación de dicho modelo implica que el almacenamiento de la información deja de estar en cabeza del usuario, lo que requiere adoptar una serie de consideraciones significativas en lo que respecta a la seguridad de la información, haciendo hincapié, principalmente, al cumplimiento de las obligaciones legales relativas a la protección de datos personales.
Si tenemos en cuenta las disposiciones de la Ley 25.326, cuando se prestan servicios de almacenamiento de datos personales, nos encontraríamos ante la figura del tratamiento por cuenta de terceros. Así lo regula el Art. 25 de la Ley y del Decreto Reglamentario 1558/01.
Se dispone que el encargado de tratamiento es aquella persona que trata datos de carácter personal por cuenta y conforme a las instrucciones del titular de la base de datos, diferenciando esta figura de la cesión de datos. En este sentido, no se considera que exista cesión o comunicación cuando el acceso a los datos se realice para la presentación de un servicio con finalidad técnica determinado al responsable de la base.
En caso que se configure este supuesto de tratamiento de datos por cuenta de terceros, la normativa citada establece una serie de requisitos formales.
En líneas generales, se exige que la realización del tratamiento deberá estar regulada por escrito en un contrato que vincule al encargado de este con el responsable de la base de datos, de modo tal que se deje establecido que el encargado únicamente tratará los datos conforme a las instrucciones de la empresa y no los aplicará o utilizará con un fin distinto al que figure en dicho contrato, no estando permitida su cesión ni siquiera con fines de conservación. Una vez cumplida la prestación contractual los datos personales deberán ser destruidos.
Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad previstos en la ley, la reglamentación y las normas complementarias que dicte la Dirección Nacional de Protección de Datos Personales (DNPDP), como así también las obligaciones que surgen en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida.
Resulta necesario resaltar la disposición “no estará permitida su cesión ni siquiera con fines de conservación”. Esto conlleva en la práctica y para las modalidades nombradas, que quien preste dichos servicios no podrá a su vez ceder o transferir los datos a un tercero. Básicamente, y teniendo en cuenta un ejemplo, quien preste los servicios relacionados con la prestación SaaS (Software as a Service) será quien a su vez deba alojar los contenidos, cuestión que en la práctica no sucede con regularidad. Es decir, no podrán “tercerizar” su almacenamiento, debiendo ser conservado en sus propios archivos.
Por otro lado, puede suceder que en la implementación de estos nuevos modelos de servicios el almacenamiento de datos personales no se realiza en centros de cómputos localizado en nuestro país. De efectivizarse dicha situación, las normas citadas regulan la llamada “Transferencia Internacional de Datos”.
La normativa establece una prohibición como base, regulando luego algunas excepciones. En este sentido, se dispone que únicamente se podrá realizar transferencia internacional de datos personales cuando se garanticen niveles de protección adecuados.
La DNPDP, como autoridad de aplicación, evaluará el nivel de protección proporcionado por las normas de un Estado u organismo internacional. Se establecen diferentes parámetros para tales fines, disponiendo que “se evaluara atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos”.
En este sentido, básicamente se tomará en consideración:
* la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos;
* el lugar del destino final, las normas de derecho y profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares.
El decreto reglamentario dispone que “se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales”.
De esta forma, al analizar si la legislación del país a donde se pretende trasladar los datos o en su defecto si las cláusulas contractuales prevén una adecuada protección de datos, la DNPDP en diferentes dictámenes se ha basado en la práctica del derecho comparado sobre la transferencia internacional de datos personales, aplicando la Directiva 95/46 de la Comisión Europea (CE).
La directiva citada crea un marco regulador relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos. Pretende facilitar la elaboración de códigos de conducta nacionales y comunitarios que contribuyan a una correcta aplicación de las disposiciones nacionales y comunitarias y determina qué países garantizan un nivel adecuado de protección.
La CE determinó a través del Dictamen 4/2002 del Grupo de Trabajo sobre Protección de Datos Personales, que nuestro país garantiza un nivel de protección adecuado con arreglo a lo dispuesto por aquella directiva del Parlamento Europeo y del Consejo.
Sin embargo, el Grupo de Trabajo indicó que las autoridades argentinas deberán tomar medidas necesarias para solucionar puntos débiles detectados en el análisis. En virtud de ello, no es menor la responsabilidad que pesa sobre estas, quienes deberán garantizar la aplicación efectiva de la legislación.
Fuente: Evaluando ERP
El SaaS (Software as a Service), enmarcado dentro del denominado “Cloud Computing”, implica un modelo de procesamiento de la información que conlleva la administración de la misma por terceros en centros de datos o servidores. Veamos el caso de la normativa argentina.
La implementación de dicho modelo implica que el almacenamiento de la información deja de estar en cabeza del usuario, lo que requiere adoptar una serie de consideraciones significativas en lo que respecta a la seguridad de la información, haciendo hincapié, principalmente, al cumplimiento de las obligaciones legales relativas a la protección de datos personales.
Si tenemos en cuenta las disposiciones de la Ley 25.326, cuando se prestan servicios de almacenamiento de datos personales, nos encontraríamos ante la figura del tratamiento por cuenta de terceros. Así lo regula el Art. 25 de la Ley y del Decreto Reglamentario 1558/01.
Se dispone que el encargado de tratamiento es aquella persona que trata datos de carácter personal por cuenta y conforme a las instrucciones del titular de la base de datos, diferenciando esta figura de la cesión de datos. En este sentido, no se considera que exista cesión o comunicación cuando el acceso a los datos se realice para la presentación de un servicio con finalidad técnica determinado al responsable de la base.
En caso que se configure este supuesto de tratamiento de datos por cuenta de terceros, la normativa citada establece una serie de requisitos formales.
En líneas generales, se exige que la realización del tratamiento deberá estar regulada por escrito en un contrato que vincule al encargado de este con el responsable de la base de datos, de modo tal que se deje establecido que el encargado únicamente tratará los datos conforme a las instrucciones de la empresa y no los aplicará o utilizará con un fin distinto al que figure en dicho contrato, no estando permitida su cesión ni siquiera con fines de conservación. Una vez cumplida la prestación contractual los datos personales deberán ser destruidos.
Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad previstos en la ley, la reglamentación y las normas complementarias que dicte la Dirección Nacional de Protección de Datos Personales (DNPDP), como así también las obligaciones que surgen en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida.
Resulta necesario resaltar la disposición “no estará permitida su cesión ni siquiera con fines de conservación”. Esto conlleva en la práctica y para las modalidades nombradas, que quien preste dichos servicios no podrá a su vez ceder o transferir los datos a un tercero. Básicamente, y teniendo en cuenta un ejemplo, quien preste los servicios relacionados con la prestación SaaS (Software as a Service) será quien a su vez deba alojar los contenidos, cuestión que en la práctica no sucede con regularidad. Es decir, no podrán “tercerizar” su almacenamiento, debiendo ser conservado en sus propios archivos.
Por otro lado, puede suceder que en la implementación de estos nuevos modelos de servicios el almacenamiento de datos personales no se realiza en centros de cómputos localizado en nuestro país. De efectivizarse dicha situación, las normas citadas regulan la llamada “Transferencia Internacional de Datos”.
La normativa establece una prohibición como base, regulando luego algunas excepciones. En este sentido, se dispone que únicamente se podrá realizar transferencia internacional de datos personales cuando se garanticen niveles de protección adecuados.
La DNPDP, como autoridad de aplicación, evaluará el nivel de protección proporcionado por las normas de un Estado u organismo internacional. Se establecen diferentes parámetros para tales fines, disponiendo que “se evaluara atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos”.
En este sentido, básicamente se tomará en consideración:
* la naturaleza de los datos, la finalidad y la duración de tratamiento o de los tratamientos previstos;
* el lugar del destino final, las normas de derecho y profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares.
El decreto reglamentario dispone que “se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales”.
De esta forma, al analizar si la legislación del país a donde se pretende trasladar los datos o en su defecto si las cláusulas contractuales prevén una adecuada protección de datos, la DNPDP en diferentes dictámenes se ha basado en la práctica del derecho comparado sobre la transferencia internacional de datos personales, aplicando la Directiva 95/46 de la Comisión Europea (CE).
La directiva citada crea un marco regulador relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos. Pretende facilitar la elaboración de códigos de conducta nacionales y comunitarios que contribuyan a una correcta aplicación de las disposiciones nacionales y comunitarias y determina qué países garantizan un nivel adecuado de protección.
La CE determinó a través del Dictamen 4/2002 del Grupo de Trabajo sobre Protección de Datos Personales, que nuestro país garantiza un nivel de protección adecuado con arreglo a lo dispuesto por aquella directiva del Parlamento Europeo y del Consejo.
Sin embargo, el Grupo de Trabajo indicó que las autoridades argentinas deberán tomar medidas necesarias para solucionar puntos débiles detectados en el análisis. En virtud de ello, no es menor la responsabilidad que pesa sobre estas, quienes deberán garantizar la aplicación efectiva de la legislación.
Fuente: Evaluando ERP
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!