SERVICIOS DE COMPUTACIÓN Y HABEAS DATA
En la actualidad, las compañías cada vez más apuestan por las soluciones tecnológicas, las cuales generalmente brindan mayor eficiencia y efectividad que las tradicionales. Es el caso de los servicios de computación en la nube.
Tres requisitos a la hora de emplear los servicios de Cloud Computing
Este es el caso de los servicios de computación en la nube, mediante los cuales un empresario podrá compartir hardware y software, así como sus licencias, plataformas, capacidad de almacenamiento y demás, con otros usuarios, con el fin de obtener un procesamiento de datos por internet, el cual brinda gran accesibilidad, al poder consultarse desde cualquier lugar, y optimización en los procesos empresariales.
Lo anterior, como vemos, son las consideraciones que tiene en cuenta todo empresario para contratar los servicios de un servidor en la nube que cuente con los medios necesarios para tratar toda la información de su empresa. Sin embargo, deberá tener en cuenta que, si la información que se suministrará al proveedor de servicios de computación en la nube es información personal, dicha relación contractual deberá estar regulada por las normas que existen sobre Habeas Data en el país.
Para lograr entender en qué condiciones se da la relación contractual y qué garantías se deben brindar a la información que se transfiere o encarga, es necesario aclarar qué partes o actores están involucrados:
Primero, encontramos como actor al Responsable de los datos, quien es persona natural o jurídica que tiene la capacidad de decidir sobre las bases de datos que son entregadas al Proveedor de Servicios de Computación en la Nube; esta situación deberá ser aprobada y conocida por parte del titular de la información personal. Al realizarse tal entrega de las bases de datos para su depósito, consulta y en general para el tratamiento de los datos, se perfecciona la figura del Encargo de Información Personal, situación que convierte al proveedor de los Servicios de Computación en la Nube en Encargado del tratamiento de los datos personales.
Es realmente importante que, al emplear este tipo de servicios de Cloud Computing, en aras de dar cumplimiento a la regulación colombiana sobre Habeas Data, se cumplan con los siguientes requisitos:
Contar con autorización del titular de los datos personales.
Cuando en las organizaciones se captura información personal, lo cual es casi que inexorable, es necesario seguir la regulación que sobre el tema se tiene, a saber, la ley de datos personales 1581 del 2012 y los decretos que la reglamentan, groso modo, esta norma lo que busca es que cada dato privado que se obtenga, siga lo estipulado en las políticas de tratamiento de datos personales de la empresa, las cuales deben ser conocidas por el titular, así como la finalidad y uso que se le dará a los datos, específicamente, que estos serán entregados a terceros para ejecutar su tratamiento, para el caso en cuestión.
Contar con unas políticas de tratamiento de datos personales, generará otras necesidades empresariales, como la realización del registro de las bases de datos ante la SIC 1, contar con avisos de privacidad, autorizaciones, controles de seguridad físicos, lógicos y administrativos de la información y en general un sistema integral que regule todo el ciclo de vida del dato que ingresa a la empresa; para lo que recomendamos el acompañamiento de un Abogado en Medellín.
Verificar los niveles de seguridad que le brindará el encargado del tratamiento.
Cuando un titular de la información personal, autoriza al Responsable para el tratamiento de sus datos, lo hace por que confía en que estos serán custodiados de la mejor manera, tal como deberá indicarse en las políticas de tratamiento de datos personales del Responsable; por tal motivo, al momento de encargar a un tercero Proveedor de Servicios de Cloud Computing, este último deberá identificar cuáles son los niveles de seguridad con los que cuenta y deberán corresponder a los dispuestos por el Responsable del tratamiento de la información personal.
Celebrar un contrato de encargo de información persona.
Una vez validados los lineamientos de seguridad que serán brindados a la información personal por parte del Encargado, se deberá celebrar un contrato de encargo para el tratamiento de datos personales, en donde se deberá estipular específicamente, que procedimiento será ejecutado con los datos, qué tipo de datos se encargan, cuáles serán bases de datos objeto del tratamiento, duración del encargo y los compromisos que adquiere el encargado respecto a los datos que le serán encomendados. Adicionalmente, el Responsable del tratamiento, deberá reportar ante la Superintendencia de Industria y Comercio la situación de Encargo de la información.
Lo anterior podría resultar un poco más complejo, cuando los proveedores de servicios de computación en la Nube, resultan ser empresas provenientes del extranjero, caso en el cual deberán suscribir un Contrato de Transmisión Internacional de Datos Personales, en donde el Encargado deberá obligarse a lo siguiente:
-
Salvaguardar la seguridad de la base de datos.
-
Cumplir con los principios de tratamiento de datos personales.
-
Guardar la confidencialidad sobre los datos personales a que tenga acceso.
En caso de que esto no sea posible de lograrse será necesario adelantar un tramite ante la Superintendencia de Industria y Comercio para que emita una Declaración de Conformidad con la relación comercial recién entablada con el proveedor de Servicios de Computación en la Nube.
Para concluir, deseamos hacer énfasis en la obligación que reposa sobre las empresas responsables del tratamiento de datos personales, su compromiso por la seguridad y la integridad del buen nombre y privacidad de las personas que confían su información al cuidado y custodia de las empresas colombianas; obligación que más que un deber legal se convierte en un propósito social, por incursionar en las nuevas tecnologías de manera ética e integra.