Contratación en la Nube, Privacidad y recomendaciones de la Autoridad colombiana. (Parte 1)
La Superintendencia de Industria y Comercio (SIC) de Colombia, autoridad de protección de datos en Colombia, presentó el pasado mes de Junio a la comunidad empresarial del país, un conjunto de recomendaciones para contratar servicios de nube, aplicables cuando tales servicios impliquen el tratamiento de datos personales. Este conjunto de recomendaciones, dentro de lo que parece inferirse de la lectura del documento, son expresiones que materializarían el principio de Responsabilidad Demostrada incorporado en el Decreto 1377 de 2013.
Debe recordarse que la Ley 1581 de 2012 sobre protección de información personal incorporó como prohibición la transferencia internacional de datos personales a países que no garanticen niveles adecuados de seguridad. Entendiendo que un país ofrece niveles adecuados cuando cumpla con los estándares de la Superintendencia de Industria y Comercio sobre la materia, las cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios, tal como lo señala el artículo 26 de la norma colombiana.
Hasta este punto debe tenerse en cuenta que, transcurridos más de tres (3) años desde la expedición de la ley citada, no existen directrices de la SIC en tal sentido. Pero la norma sí señala con claridad que, en ningún caso, tales parámetros podrán ser inferiores a las garantías y derechos que la ley colombiana reconoce respecto de la protección de la información personal de los ciudadanos nacionales y extranjeros domiciliados o residentes en Colombia. Por tanto, puede inferirse que los países que cuentan con niveles adecuados son los 28 países miembros de la Unión Europea (que hoy están en la transición de la Directiva 95/46/ CE al reciente reglamento 2016/679 que reemplazará la citada directiva y las respectivas leyes nacionales adoptadas con ocasión de esta), así como los países americanos que disponen de leyes de protección de datos personales, Canadá, entre otros.
En este orden de ideas, debe tenerse presente, que el país que presenta serios problemas no resueltos en materia de protección de datos personales, es Estados Unidos, el cual sigue siendo considerado como no seguro en materia de privacidad. La ausencia de un régimen de protección de datos personales robusto y homologable al estándar europeo, que se traduce en la ausencia de mecanismos legales ante la autoridades de Estados Unidos, impide que los datos de las personas tratados por empresas sometidas a la ley de ese país, sean protegidos de forma adecuada y fue precisamente eso lo que dio lugar a la anulación de Tratado de Puerto Seguro por parte de la CURIA europea.
Era necesario el contexto previo para volver sobre las recomendaciones de la autoridad colombiana en materia de protección de datos personales, teniendo presente el menudo problema que se experimenta hoy día frente a los servicios de nube cuando la mayoría de proveedores de estos son empresas ubicadas en territorio de Estados Unidos.
Algunos podrán pensar que el problema fue resuelto con la incorporación legal en el ordenamiento colombiano del llamado “contrato de trasmisión internacional de datos personales” adoptado por el Decreto 1377 de 2013; que no es otra cosa que una relación contractual entre un responsable del tratamiento de datos personales ubicado en Colombia con un Encargado del tratamiento de datos personales ubicados en el extranjero.
Esta figura contractual lejos de resolver problemas para las empresas colombianas al contratar servicios de nube con proveedores, que en calidad de Encargados tratan datos personales, más bien hace complejo el cumplimiento de la ley colombiana en la materia; salvo la contratación de los servicios que se realice con empresas ubicadas en territorios seguros.
La figura contractual de la trasmisión internacional de datos personales existente en Colombia implica que los Responsables colombianos del tratamiento de datos personales sean conscientes de que tales Encargados ubicados, particularmente en territorios no seguros, deben cumplir con todas las obligaciones que la ley colombiana establece en el artículo 18 de la ley 1581 de 2012.
La realidad de la contratación de proyectos tecnológicos en la nube tiene una complejidad superior a las recomendaciones que con buena intensión la autoridad colombiana presentó el pasado mes. También otra realidad es el marcado desequilibrio contractual, que en términos del poder de negociación, tiene una empresa colombiana frente a los grandes jugadores norteamericanos que proveen tales servicios, los cuales están mediados por contratos de adhesión o cuasi adhesión.
Ahora desde el punto de vista del cumplimiento de la ley 1581 de 2012, cabe preguntarse ¿si un proveedor de nube tiene domicilio en Estados Unidos se podrá garantizar a los ciudadanos colombianos el ejercicio del habeas data, a la protección de datos personales, a la intimidad? Aspectos entre otros, que invita la SIC a evaluar como riesgos a la hora de contratar servicios de nube; obrar que evidencia responsabilidad demostrada.
Muchas expectativas desde estos lares están centradas en el futuro del acuerdo entre laUE y Estados Unidos: el Escudo de Privacidad (Privacy Shield), sin embargo, la lectura es desalentadora en cuanto la protección solo cobijará a ciudadanos europeos. Una lectura adicional a los términos para ejercer el derecho al olvido ante Google deja la duda sobre los derechos de los ciudadanos diferentes a los europeos.
La única manera que los datos de ciudadanos colombianos sean debidamente protegidos es con el concurso de las instituciones nacionales como ha ocurrido en la Unión Europea.
En próximas ediciones ahondaremos en aspectos particulares de la guía de la SIC para contratar servicios de nube.