Datos personales en la nube: ¿qué debes cuidar?

Hay que distinguir entre controlador y procesador de datos personales. (Foto: virket.com)

Se requiera tener cuidado especial en el manejo de datos personales con proveedores en la nube. Y aunque la legislación mexicana es lo suficientemente flexible, para el sector financiero en específico podría simplificarse en varios aspectos…

 

En mi columna del mes pasado hablé de mi posición acerca de que pretender proteger los datos personales de los clientes, buscando restringir la ubicación física de los mismos, en muchos casos no tiene sentido, y se convierte más bien en una medida proteccionista que encarece todo tipo de servicios para los consumidores al limitar la competencia.

Sin embargo, esto no significa que no se requiera de un cuidado especial en el manejo de datos personales con proveedores en la nube. La legislación mexicana en términos generales es, por fortuna, lo suficientemente flexible, aunque en específico para el sector financiero creo que podría simplificarse en varios aspectos.

Es muy importante entender la distinción entre un controlador de datos personales y un procesador de los mismos. El controlador es la entidad responsable de decidir el uso de estos datos y de obtener la autorización correspondiente de parte del consumidor final. Decide también acerca de las transferencias de esos datos a terceros. Un procesador de datos personales está más bien subordinado al controlador, y no tiene facultades sobre los datos personales más allá de las instrucciones que reciba el controlador. No puede, motu proprio, hacer ningún uso de esos datos personales diferente del uso para el que fue específicamente contratado.

La distinción es muy relevante, dado que la mayoría de los servicios en la nube caen en la segunda categoría de procesadores de datos personales. Su personal no accede ni utiliza estos datos personales para fines diferentes de los que se establecieron en el correspondiente contrato de servicios.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares en México establece que para hacer una transferencia de datos personales a un procesador de datos personales no es necesario obtener permiso explícito de la persona. Tampoco hace distinción en cuanto si esas transferencias son en territorio nacional o en el extranjero. Es diferente cuando se transfieren datos a un controlador en el extranjero que hará uso de ellos; por ejemplo, un call center que desde el extranjero realizará llamadas a los clientes. Este tipo de uso sí requiere de acuerdo específico de la persona y se debe divulgar en el aviso de privacidad de la entidad que recolecta los datos.

Para el caso de la regulación de entidades financieras en México, en las Disposiciones de Carácter General Aplicables a las Instituciones de Crédito, que emite la Comisión Nacional Bancaria y de Valores en conjunto con la Secretaría de Hacienda y Crédito Público, se establece en el artículo 328 que las instituciones requieren la autorización de la CNBV para cualquier tipo de servicio o comisión en el extranjero. La misma regulación establece con detalle el proceso de autorización requerido.

En mi opinión, el problema radica en que se trata dentro de la misma categoría de “servicios en el extranjero”, una amplia gama de servicios que pueden ser muy diferentes. Veamos dos ejemplos extremos:

  1. La contratación en modalidad IaaS (infraestructura como servicio) de un servidor de base de datos (bajo control total de la institución) en el extranjero para almacenar datos operativos.
  2. La contratación de un servicio de call center y telemarketing donde, desde el extranjero, se llame a clientes en México a sus móviles u hogares para ofrecerles un nuevo producto de la institución.

Podemos ver que entre estos dos usos hay niveles de riesgo muy diferentes. En el primero, nadie por parte del proveedor tendrá acceso a los datos (dado que no contará con claves de acceso a la base de datos contratada, además que los datos pueden almacenarse encriptados). En el segundo, decenas de personas del call center tendrán acceso a los datos de los clientes para realizar una llamada efectiva.

Las entidades financieras tienen que llevar a cabo básicamente el mismo proceso de autorización para estos dos ejemplos extremos. Para el primer caso, la regulación agrega una capa de costos para tener que cumplir con la misma, que finalmente repercute en que los clientes del sector financiero cubran mayores costos operativos de las instituciones, mientras que en el segundo caso, en mi opinión, tiene sentido el proceso por el nivel de riesgo asociado.

En resumen, si su empresa es una entidad regulada por la CNBV, le recomiendo revisar con detalle la regulación correspondiente y analizar los costos de aprobación de la solución en la nube que desea contratar. Es muy probable que los ahorros que le puede traer una solución en la nube justifiquen que se someta al proceso de aprobación de la CNBV.

Si su empresa no es una entidad regulada por la CNBV, distinga si los servicios que va a contratar representan un controlador o un procesador de datos. En el segundo caso puede trabajar con su proveedor sin problema. En el primer caso deberá revisar que su aviso de privacidad existente considere los usos que este tercero controlador dará a los datos y, en su caso, deberá ajustarlo para que sus clientes le permitan la transferencia al tercero, recordando que la gran mayoría de los escenarios de soluciones en la nube son un procesador de datos.


Referencias:
Comparativas internacionales de legislaciones de protección de datos personales.
Disposiciones de Carácter General Aplicables a las Instituciones de Crédito que emite la Comisión Nacional Bancaria y de Valores en conjunto con la Secretaría de Hacienda y Crédito Público.


 

Contacto:

Correo: [email protected]

Twitter: @Formiik

Facebook: Formiik

LinkedIn: Formiik

Página web: formiik

 

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.