Datos personales, empresas y nube: ¿estamos preparados?

by Digital Rights LAC on abril 6, 2015

Cloud computing

La tecnología de computación en la nube (cloud computing), de desarrollo avanzado en otras latitudes, es incipiente en Latinoamérica en general y en Argentina en particular. Sin embargo y según informan encuestas recientes (Usuaria Research, 2013), el empresariado argentino espera un significativo crecimiento en la incorporación de la tecnología de nube para este 2015, en especial mediante la contratación de servicios de nube pública ofrecidos por grandes empresas multinacionales, como Google, Amazon, Microsoft, Rackspace, entre otras.

Por Valeria Milanés, Asociación por los Derechos Civiles

Los aspectos que surgen como más preocupantes respecto de la adopción de la computación en la nube están vinculados a cuestiones relativas a la privacidad y seguridad de los datos e información, no sólo de la propia empresa sino también, principalmente, de datos pertenecientes a sus clientes y usuarios.

¿Cuál es la situación en Argentina? El marco normativo preponderante está dado por la Ley de Datos Personales N° 25.326 del 30/10/2000 (copia casi textual del texto legal español), modificada por Ley 26.343 del 12/12/2007 y la normativa derivada, como su Decreto Reglamentario N° 1558/2001 y todo el conjunto de Disposiciones emitido por la autoridad de Aplicación, que es la Dirección Nacional de Protección de Datos Personales (D.N.P.D.P.). Sin dejar de mencionar, claro está, el artículo 43 de la Constitución Nacional, como así también las convenciones internacionales con jerarquía constitucional que resultan aplicables conforme art. 75 inciso 22 del mismo cuerpo legal.

La ley argentina de Protección de Datos Personales se considera acorde a las leyes más avanzadas en el tema de protección de datos. Así establece, en primer lugar, la licitud de las bases de datos siempre que se encuentren debidamente inscriptas por ante la D.N.P.D.P., entendiéndose indistintamente por “archivo”, “registro”, “base o banco de datos” el conjunto organizado de datos personales que sea objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuera la modalidad de su formación, almacenamiento, organización o acceso.

La ley determina además aspectos relativos a la calidad, seguridad y confidencialidad de los datos, el consentimiento del titular, las condiciones que rigen para la cesión y transferencia internacional de datos (incluyendo respecto de ambas operaciones supuestos de responsabilidad solidaria entre el responsable de los datos y el tercero co-contratante), los derechos que tienen los titulares de datos respecto de los mismos (información, acceso, rectificación, actualización, suspensión), habeas data, requisitos y procedimientos relativos a la inscripción de las Bases de Datos y sanciones penales, entre otras disposiciones. Establece, respecto de los capítulos I, II, III, IV y art. 32 (cuyo contenido fue recién reseñado), el carácter de orden público, cuestión no menor si consideramos que las normas de orden público no son negociables ni renunciables, tornando ilícita toda obligación asumida en contrario.

Por otra parte, en lo que a cloud se refiere, las grandes empresas multinacionales prestadoras de los servicios de nube pública se caracterizan por utilizar contratos de adhesión, que por lo general no contienen las especificaciones requeridas en la ley 25.326 y en los que hasta la ley aplicable y jurisdicción prefijada corresponde al país en los que estas empresas tienen sus domicilios legales –por lo general, ciudades de Estados Unidos–. Es más, inclusive los servidores en los que se almacena la información pueden no encontrarse en Argentina.

Debemos considerar además que Estados Unidos, al carecer de legislación de Protección de Datos Personales, es considerado como país de nivel inadecuado de protección conforme parámetros nacionales e internacionales. Esta característica tampoco es menor, pues en el caso de transferencia internacional de datos, la ley local exige el otorgamiento de una autorización administrativa especial (cfr. art. 12 Decr. Reglam 1558/2001).

A todo este contexto debemos agregar el hecho de que la Ley de Datos Personales es de aplicación y cumplimiento limitados. Sirva como ejemplo el siguiente dato: en 2012, y luego de doce años de funcionamiento, la D.N.P.D.P. tenía registradas 20.000 bases de datos, contra 1.600.000 que tenía registradas a la misma fecha y en similar plazo la Agencia Española de Protección de Datos.

Por su parte, tampoco caracteriza a la cultura empresaria argentina la adopción de estándares internacionales en la materia. Son muy pocas las empresas locales que han obtenido la certificación en ISO 27001 y demás estándares vinculados. Ni qué decir acerca de la reciente ISO/IEC 27018, que específicamente trata de estándares para seguridad en la nube y que recién está empezando a ser analizado por especialistas en la materia.

Así podemos concluir que Argentina tiene todavía un largo camino por recorrer en materia de protección de datos, y que es ineludible para la beneficiosa incorporación de la tecnología de cloud el crecimiento conjunto y responsable del sector público y privado, tendiente a la armonización y adecuación de las prácticas comerciales con el plexo normativo vigente.

También es un largo camino para la región, ya que si bien los países que la integran cuentan, en mayor o menor medida, con normativa protectora de datos personales, continúa siendo un desafío común para los Estados, el empresariado y, por qué no, para los usuarios que brindamos nuestros datos, el desarrollo de acciones que hagan efectiva la implementación y cumplimiento de las normativas vigentes y la adopción de prácticas empresariales responsables y cuidadosas, que permitan preservar con la mayor extensión posible las garantías de privacidad y seguridad de los datos personales.

Crédito de la imagen: (CC: BY) JD Hancock / Flickr