En los últimos días probablemente hemos recibido notificaciones en el correo electrónico de diversas organizaciones globales sobre la aceptación de los términos relacionados con el cumplimiento del Reglamento General de Protección de Datos (RGPD). “Es importante tener en cuenta lo siguiente, y para eso citamos parte de un estudio que realicé en el año 2013, junto con Carol Cernaqué del Ministerio de Desarrollo e Inclusión Social y Oswaldo Pelaes de Telefónica del Perú” nos dice el especialista Manuel Caldas Nuñez de Cloud Security Alliance, Perú Chapter. Sigamos leyendo.
¿Y en dónde están mis datos personales?
El especialista invita a profesionales versados en el tema a seguir profundizándolo.
(americasistemas.com.pe. Lima, Perú – 27 de junio 2018)“…En general; los estándares, las buenas prácticas, las normas, las regulaciones, las políticas, y demás marcos relacionados con la Seguridad de la Información se hacen en base a fenómenos humanos, en ese sentido Cloud Computing debería adecuarse a estos”
Está claro que todas aquellas organizaciones con operaciones en línea, que manejen datos personales deberán alinearse y adecuarse al Reglamento General de Protección de Datos (RGPD), siempre que sus sitios se utilicen en la Unión Europea.
Hoy vemos que organizaciones tan grandes como Facebook y Google, se encuentran inmersas en estos escenarios; y está bien que ocurra esto, ya que responden a necesidades basadas en fenómenos humanos: Privacidad.
A raíz de todo este tema que se nos venía encima, la semana pasada nos reunimos con Erick Iriarte, Abogado y Especialista en gestión pública del estudio de abogados Iriarte & Asociados, Jorge Rojas de Cloud Security Alliance Perú y Fernando Carrillo, Consultor en AirOn Group, para conversar sobre la ley aplicada a nuestro entorno peruano, cómo ha venido evolucionando y como se aplica la Ley de Protección de Datos Personales – Ley N° 2973 en nuestro país.
Observamos que desde la aplicación de la Ley N° 29733, muchas organizaciones se han alineado rápidamente con la regulación, aunque todavía existe preocupación por el tratamiento de los datos personales por parte del Titular del banco de datos, sobre todo cuando hablamos de Cloud Computing por el término “límite transfronterizo”.
Conversando con Erick Iriarte, nos comentó que “…está claro que si hay alguna falta en el tratamiento de los datos personales que se encuentran en algún proveedor de Cloud Computing, sea Local o Global, entonces la sanción recaerá sobre el Titular del banco de datos.”
Lo mismo ocurriría, si es que tenemos un banco de datos personales almacenado en alguna base de datos en servidores que se encuentra bajo la modalidad de Hosting o Housing ya sea de un proveedor Local o Global.
De acuerdo a revisiones exploratorias que hemos realizado en los Estudios del Estado del Arte de la Seguridad en Cloud Computing desde el año 2014, conjuntamente con España y demás países de la Región América del Sur; he observado que existe mucho interés en las condiciones que facilita el proveedor de Cloud Computing en términos de seguridad, acuerdos de niveles de servicios, incidentes, cumplimiento regulatorio, entre otros.
Entonces, si la responsabilidad y la sanción recae sobre el Titular del banco de datos por el incumplimiento de la Ley de Protección de Datos Personales – Ley N° 29733; la discusión ya no debería seguir siendo “¿Cloud o no Cloud?”
Para nosotros, los que estamos inmersos en estos temas de Cloud Computing, Seguridad de la Información, Auditoria, Seguridad Informática, Inteligencia Artificial, IoT, Big Data, Arquitectura de Sistemas y demás; deberíamos entender que la discusión debe estar en los términos de “Gobernanza”.
La relación que nos permite compartir riesgos con un proveedor de Cloud Computing, se basa en un esquema contractual con una organización global como: Amazon, Microsoft, u otros; o local como: Telefónica del Perú, GMD u otros. Entonces “¿Qué estamos haciendo para Gobernar bien a nuestros proveedores de Cloud Computing?”.
Gobierno es la palabra clave cuando adoptamos Cloud Computing, y que resume todos los temas que son parte de nuestros “Security Concerns”.
¿Hemos negociado bien en términos de gobierno? o hemos aceptado todos los términos contractuales cuando contratamos un servicio de un proveedor de Cloud Computing, sobre el que soportaremos un banco de datos y del cual somos los titulares del tratamiento de los datos personales.
Para seguir profundizando en el tema, próximamente contactaremos a Rómulo Lomparte de ISACA Perú, para conversar al respecto, ya que aquí hay mucho que hacer en conjunto.
Te invitamos a que formes parte de estas reuniones, así como también de estas discusiones que aportan a nuestra comunidad. También nos pueden seguir por medio de LinkedIn en el grupo de Cloud Security Alliance, Perú Chapter donde formo parte como voluntario, promoviendo el uso de mejores prácticas en seguridad para Cloud Computing.
Escrito por:
Manuel Caldas (Evangelista Cloud en Telefónica)
Con la colaboración de:
Fernando Carrillo (Consultor en AirOn Group)
Jorge Rojas (Cloud Security Alliance Perú)
Un comentario
El alcance del RGPD aplicable a Perú se precisa en el Articulo 3 Aplicación Territorial, Reglamento que deroga la DIRECTIVA 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y se complementa con la DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas). Te recomiendo dos enlaces sobe la cuestión: http://derecho-ntic.blogspot.com/2018/05/derechos-deberes-areas-concernidas-y.html y http://derecho-ntic.blogspot.com/2018/06/proyecto-de-modificatoria-de-ley-de.html Conversamos.