Blog

La publicación de la “Guía de Protección de Datos en los servicios de computación en la nube” por parte la autoridad colombiana de protección de datos personales (SIC) invita a realizar un par de reflexiones sobre la realidad del llamado contrato de transmisión internacional de datos incorporado en la legislación colombiana con el decreto 1377 de 2013 (hoy Decreto 1074 de 2015)

• Es evidente que la computación en la nube desde el punto de vista económico y tecnológico representa ventajas importantes para las organizaciones, sin embargo, no es menos cierto el riesgo a los que quedan expuestos los ciudadanos respecto del tratamiento de los datos personales desde la perspectiva de cumplimiento, el cual se incrementa según el territorio al cual sean trasmitidos y tratados los datos personales.

• La relación jurídica entre la empresa colombiana como Responsable del tratamiento de datos personales (adquirente del servicio de nube) y el Encargado del tratamiento de datos personales (proveedor del servicio de nube) esta caracterizada por un contrato de adhesión en muchas ocasiones, en el cual el proveedor impone sus condiciones, las cuales no permiten negociar los términos de la cláusula allí incorporadas.

• A la luz de las normas colombianas relacionadas con el tratamiento de datos personales a través de contratos de transmisión de datos personales, el Encargado del tratamiento de datos personales (proveedor de servicios de nube) debe cumplir con todas las obligaciones descritas en el artículo 18 de la Ley 1581 de 2012, pues se trata de un encargado más. Tratándose de contratos de adhesión a los servicios de nube tal cumplimiento se constituye en una utopía, pues basta leer tales contratos para concluir lo experesado.

• La imposibilidad de negociar las condiciones del contrato de adhesión por parte del Responsable del tratamiento (cliente del contrato de nube) no lo exime de responsabilidad frente al cumplimiento de las disposiciones colombianas en la materia; por el contrario, la celebración del contrato de transmisión internacional de datos sin las garantías legales colombianas para los ciudadanos cuyos datos son objeto de tratamiento por el Encargo (proveedor de servicios de nube) tiene el grave riesgo de ser un acto de incumplimiento de la ley, matizado por un acto de negligencia por parte de los administradores societarios. No deben olvidarse en tal sentidos las obligaciones que surgen para los administradores societarios a la luz de la ley 222 de 1995 sobre el cumplimiento de la ley.

• La SIC indica que el titular de los datos personales debe ser informado sobre los tratamientos a realizarse mediante computación en la nube; recomendación que no es del todo clara en términos de la transparencia que aconseja la SIC. Valdría la pena mayores precisiones futuras en tal sentido con el fin de contribuir a la evaluación de riesgos en aras de la responsabilidad demostrada.

• Aconseja la SIC a los responsables identificar la naturaleza de los datos personales que serán objeto de tratamiento en la nube, indicando que si estos son sensibles o de menores de edad, para así analizar los riesgos y evaluar la conveniencia de contratar servicios de nube. Al respecto, vale la pena precisar que cualquiera que sea el entorno del tratamiento de los datos, sea la nube o infraestructura local propia, son las medidas de seguridad que se adopten las determinantes para garantizar los derechos de los titulares de los datos.

• En relación con el riesgo de experimentar incidentes de seguridad en el procesamiento de datos en la Nube, señala la SIC, la necesidad de imponer cargas al proveedor de estos servicios (encargado) de reportar al cliente (Responsable) y a los titulares, los incidentes de seguridad que se lleguen a presentar. Es preciso reiterar que en la mayoría de los contratos de nube, que como se ha señalado las empresas se encuentran ante contratos de adhesión, cuyos términos nada indican sobre esta obligación; muchos menos se dice sobre la debida gestión de los incidentes y la consecuente repercusión jurídica de los mismos. En esta misma línea de pensamiento, queda presente que si bien no existe norma legal especifica que imponga el Responsable del tratamiento informar al titular de un incidente de seguridad, en aplicación del principio de transparencia y seguridad, los Responsables en Colombia tienen esta obligación hacia los titulares a efectos de mitigar los eventuales daños.

• Por último, para cerrar los comentarios en esta publicación, sugiere la SIC que se pacten acuerdos de niveles de servicios y sanciones por incumplimiento (pueden ser de múltiple naturaleza); aspecto que de por sí es bastante complejo a la hora de diseñar y gestionar la aplicación de acuerdos de niveles de servicios, los cuales trascienden la disponibilidad de los servicios de nube, pues existen otros aspectos que deben ser objeto de los llamados SLA. Debe señalarse que si bien este tema en los contratos de tercerización de data center que son negociados adquiere una dimensión de casi “esotérica”, imaginemos lo que ocurre en los contratos de adhesión que caracteriza a la mayoría de servicios de nube que hoy contratan las empresas colombiana.

En la próxima entrega terminaremos las reflexiones sobre esta Guía publicada por la SIC.

PARTE 1