Breaking

16/3/16

La protección de datos personales en el modelo de negocio de la nube


El cloud computing o computación en la nube posee múltiples definiciones que han ido evolucionando en la última década desde su concepción hasta con el avance de las nuevas tecnologías y el desarrollo mobile.   Entre estas definiciones se pueden destacar la virtualización de diferentes servicios entre los cuáles el usuario puede acceder desde cualquier punto del globo en su pc o también desde dispositivos móviles, de esta manera las aplicaciones y el software utilizado por el usuario ya no se encuentran alojadas en la pc y en los equipos a nivel local, sino que está ubicados en datacenters e infraestructuras que puede estar en un territorio con legislación adecuada de protección de datos personales o no. En tanto, a nivel hardware ocurre la misma situación, los procesadores y equipos se encuentran disponibles pero pueden o no estar en diferentes puntos del país o del planeta.  

De esta forma, a pesar de que los servicios ofrecidos en la nube son un excelente beneficio tanto para usuarios particulares como empresas,  una de las cuestiones principales y dudas que existen a la hora de contratar un servicio en la nube es la implicancia de los datos personales y si a la hora de subir información personal existe una debida protección de los mismos. Hay que tener en cuenta que debe existir, necesariamente, una relación jurídica que vincule al responsable, al cliente que contrate el servicio y al encargado de tratamiento de los datos personales porque existen diferentes tipos de nubes que van desde la pública, la privada y la híbrida, cada una depende el tipo de servicio que se va a solicitar y del tratamiento que se va a realizar de los datos.

Cuando se piensa en la nube el usuario que contrata un producto tiene la posibilidad de poder acceder desde todas partes del mundo a un determinado servicio, por un costo menor de recursos y también con la ventaja de no tener que incorporar tecnología costosa en su hogar o en su empresa. Se pueden pensar en cuatro recursos que ofrece la red como servicios principales que deben ser tomados en cuenta a la hora de pensar en protección de datos personales y como modelo de negocio, estas se pueden dividir en lo que se denominan Infraestructure as a Service (IaaS), Plataform as a Service (PaaS), Software as a Service (SaaS) y Backend as a Service (BaaS). 


Para comprender como se realiza el tratamiento de los datos personales en la nube  primero hay que comprender el modelo de negocio: e
n el primer caso, se denomina IaaS al servicio de almacenamiento y capacidad de procesamiento de los servidores, de esta manera el usuario puede utilizar y acceder al hardware ubicado en la nube que se puede ubicar en diferentes partes del mundo dependiendo el lugar de contratación. Es un entorno virtualizado que permite implementar servicios que proporcionan recursos informáticos y de sistemas.  Ejemplos de este caso pueden ser Amazon Web Services, Vmware y Google. 


Un segundo caso de este modelo de negocio es PaaS, este servicio ofrece la plataforma y la infraestructura de aplicaciones. Brinda la ventaja de ahorrar costos a los desarrolladores de software y de aplicaciones ya que permite
desarrollar aplicaciones individuales o la integración entre múltiples apps, de esta forma el proveedor del servicio es el que se encarga de mantener y optimizar las herramientas tanto en su mantenimiento como en actualización, como por ejemplo Mulesoft, Netsuite y Sales Force. 

En tercer término aparece el servicio SaaS, donde las empresas ofrecen distintos tipos de aplicaciones finales que son utilizadas por el usuario en los servidores cloud.  En este servicio se encuentran Facebook, Gmail, Pinterest, etc..

Mientras que un cuarto servicio que suele ser muy utilizado es el Baas o mobile backend as a service, muy popular y utilizados por los desarrolladores  mobile en los últimos años. Este último servicio es muy importante ya que permite vincular las aplicaciones y videojuegos utilizados en celulares y tablets a un cloud storage o almacenamiento en la nube y servicios de gestión de usuarios, lugar donde pueden estar alojadas bases de datos que pueden incluir datos personales de usuarios o datos sensibles. Los proveedores de Baas generan ingresos utilizando modelos freemium, por lo que hay que tener mucha atención en la contratación de este tipo de servicios, sus contratos de privacidad, la seguridad y el tipo de nube, porque de no ser una empresa segura este tipo de apps o juegos pueden recolectar información de usuarios que puede dejar información sensible y personal en manos de cibercriminales.


En relación a los servicios principales mencionados casos IaaS, PaaS y Saas hay que destacar que cuando se alquila o se abona una membresía por el uso de estas
plataformas o aplicaciones on-line por parte de los prestadores de los servicios de Cloud Computing no se considera una cesión de datos personales según la legislación actual argentina, sino que se encuadra como un acceso a datos por cuenta de terceros, que como sabemos encuadra al prestador del servicio en la figura del “encargado del tratamiento”, una situación regulada en el art. 12 de la Ley 25.326.  Esto implica la existencia de un contrato formal entre la empresa responsable de los datos, el cliente que contrata los servicios y el encargado del tratamiento. Debe existir, necesariamente, una relación jurídica entre las partes vinculantes mediante un contrato formal.

A su vez, cabe destacar que a nivel internacional se hace hincapié en el principio de calidad del dato, dicho principio se encuentra descripto en el artículo 4 de la Ley Orgánica de Protección de Datos Española (LOPD) y  establece que el uso de los datos personales, únicamente, será el correspondiente a las finalidades para las que se obtuvieron dichos datos, principio también receptado en el derecho argentino en el art. 4 de la Ley 25326. Esta norma implica un control constante para evitar posibles usos ilegítimos, por eso es imprescindible proceder a enumerar y desarrollar en el contrato con el prestador del servicio cuáles serán los usos, accesos y los tratamientos que realizará con la información que se coloque  en el Cloud.  


Sin embargo, existe un fuerte debate sobre lo que ocurre en los países que concentran la mayor cantidad de servicios en la nube donde se alojan datos personales en el exterior cuando no tienen una legislación adecuada. Se puede mencionar el caso de Estados Unidos (EEUU) o Irlanda, que hasta el año pasado gozaban del safe harbour o puerto seguro que consistía en que la Comisión Europea daba por buena y segura la transmisión de datos personales desde la Comunidad (europea) a entidades establecidas en Estados Unidos de América si las empresas responsables se adherían a los principios concretos  de "puerto seguro", es decir que las propias compañías eran las que certificaban los cumplimientos de esos principios y el Departamento de Comercio respondía por ellas, pero las cosas cambiaron con la sentencia del caso del austriaco Maximillian Schrems  de octubre de 2015, quien interpuso una denuncia ante la autoridad irlandesa de protección de datos como usuario de Facebook  con base en Irlanda, como las de grandes tecnológicas, pero que a instancias de Edward Snowden, sostuvo que sus datos se veían comprometidos ya que el espionaje lo afectaba directamente como ciudadano.


El afectado recurrió a la High Court irlandesa y  después de ver desestimada su queja, la High Court sometió la contienda ante el Tribunal de Justicia de la Unión Europea (TJUE) que invalidó la Decisión de la Comisión 2000/520/CE, que había establecido el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro. Hoy por hoy, existen negociaciones para establecer la posibilidad de un nuevo acuerdo para la transferencia internacional de datos a EEUU.   


Mientras que el caso de BaaS debe distinguirse de los servicios anteriormente mencionados ya que es específico y dirigido a las necesidades de la computación en la nube de los desarrolladores de aplicaciones móviles y proporcionan un medio unificado para conectar sus aplicaciones a servicios en la nube. Los proveedores BaaS son intermediarios entre el frontend de una aplicación y varios servicios backend en la nube a través de una Application Programming Interface (API) y un SDK unificados, esto significa para los desarrolladores un ahorro en el tiempo, dinero y también les permite no tener que desarrollar su propio Backend para  cada aplicación.


Por otra parte, la integración con las redes sociales y el almacenamiento de información en la nube hace que estos servicios soliciten datos que luego se gestionan en forma remota, pueden quedar expuestos o caer en manos de cibercriminales, si los desarrolladores utilizan APIS en la clave de acceso primaria BaaS, como por ejemplo diversos estudios demostraron que este tipo de práctica puede exponer datos de los usuarios.  Según un estudio realizado por la Universidad Técnica y el Instituto Fraunhofer para Tecnología de Información Segura de Darmstadt en Alemania, se analizó que existen en el mercado aplicaciones móviles que implementan este tipo de servicio en la nube, pero que están desprotegidos y pueden ser accedidos por terceros sin el consentimiento de los dueños de los datos.  Los registros que se pueden obtener de estos servicios si no son seguros van desde fechas de cumpleaños, información de contacto, direcciones de email, fotos, datos de compra, mensajes y tarjetas de crédito. A este último problema habría que agregar la problemática de contratación de utilización de este tipo de servicios en países sin legislación adecuada. 


Para este tipo de servicios, los desarrolladores o aquellos que utilicen estas plataformas deben tener en cuenta que es imprescindible proceder a enumerar y desarrollar un contrato con el prestador del servicio mencionando cuáles serán los usos, accesos y, en definitiva, tratamientos de datos personales que se harán, es decir, que cuando esos datos dejan de ser necesarios para dicha finalidad se deben eliminar.


En este sentido hay que asegurarse que cuando el responsable de los datos elimine  o bloquee los datos, esta acción  también sea realizada por el encargado del tratamiento,  existiendo una claúsula específica que regule dicho procedimiento en el contrato o bien a través de la previsión del derecho a realizar auditorías periódicas al prestador del servicio.
Es fundamental conocer la transparencia del servicio y la seguridad de la información del servicio contratado ya que la falta de alguno de estos elementos puede ser un gran riesgo para la base de datos alojada o información de clientes. También, hay que verificar en la locación donde se va a alojar la información si se cumplen con  las medidas de seguridad necesarias, y si el servicio que se contrata se ubica en un país con legislación adecuada. Caso contrario habría que tener en cuenta la transferencia internacional. 

Como conclusión cuando en una empresa surge la necesidad de plantear la contratación del servicio de la nube debe evaluarse la legalidad de subir datos personales de los clientes o empleados  a Internet tanto como los niveles de seguridad con que se resguardan dichos datos, cuáles son las herramientas utilizadas y también cual es el marco legal aplicable a los proveedores de cloud.  

Pueden complementar con el artículo Transferencia internacional y la contratación de servicios cloud computing fuera de Argentina.

Autores:
 

-Natalia Pacheco, Abogada y Docente UBA especializada en Derechos Humanos, Estado y Sociedad UNTREF-ECAE. @natipach77

- Marco Villan, Periodista TEA, Lic. en Comunicación Audiovisual, Docente UADE y actualmente se encuentra cursando la Maestría en Tecnologías Informáticas y la Comunicación (TIC) en la Universidad Argentina de la Empresa.  @marcoavillan

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar