‘Cloud computing’ y protección de datos personales

cloud_colombia

Por Nelson Remolina Angarita

Se afirma que el cloud computing surgió como un paso adelante respecto de los modelos de “computación centralizada” y de “computación de cliente-servidor”. Para algunos el futuro llegó con el cloud computing,mientras otros son escépticos sobre el particular. Lo cierto es que el cloud representa una forma mediante la cual las organizaciones pueden obtener a través de internet diversos recursos y servicios informáticos.

El National Institute of Standars and Technology  ha establecido que el cloud computing es un “modelo para habilitar el acceso a un conjunto de servicios computacionales (e.g. redes, servidores, almacenamiento, aplicaciones y servicios) de manera conveniente y por demanda, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción con el proveedor del servicio mínimos”.

Dentro de los servicios de cloud computing se destacan al menos tres categorías: 1) software como servicio(software as a service –SaaS–), 2) plataforma como servicio (platform as a service –PaaS–) y 3) infraestructura como servicio (infraestructure as a service –Iaas–). Estos los podemos obtener en un escenario de nube pública y privada.

Las aplicaciones de cloud en el sector público y privado comprenden la posibilidad de trastear de la tierra a la nube los datos personales de empleados, clientes y ciudadanos en general. Estos pueden ser almacenados, procesados y administrados por empresas que proveen servicios de cloud (cloud service provider- CSP). Lo que se haga o no con la información dependerá del contrato que se suscriba.  En todo caso, surgen elementos que desde la regulación de protección de datos no deben perderse de vista:

En primer lugar, el aspecto central consiste en tener claro que por definición legal el tratamiento de datos personales normalmente implica la recolección, almacenamiento, uso, circulación y eliminación del dato personal. Quien realice cualquiera de las anteriores actividades se ve obligado a cumplir ciertas obligaciones legales, pautas jurisprudenciales y principios internacionales sobre protección de datos personales.

En segundo lugar, aunque los datos estén en la nube, la responsabilidad se asume en la tierra, por el eventual tratamiento indebido de datos personales. Esta recaerá, por lo menos, en cabeza de la organización que decidió acudir a los servicios de cloud. Dicha  entidad puede encasillarse dentro de los roles de “operador” o “fuente” de la información (L. 1266/08) o de “responsable” o “encargado” del tratamiento, en los términos de la futura ley de protección de datos personales, cuyo estudio aún está en manos de la Corte Constitucional. Como tal deberán cumplir una serie de deberes legales frente a las autoridades de control (Superintendencia de Industria y Comercio y Superintendencia Financiera) y los titulares de los datos.

En tercer lugar, si los “data center” o los equipos de almacenamiento se encuentran fuera del país, las entidades deben observar las reglas propias de la transferencia internacional de datos.

En cuarto lugar, si el CSP se encuentra en Colombia, está obligado a cumplir las obligaciones legales que recaen respecto del servicio que preste. En caso de que el CSP no se encuentre en el país, es poco o nada lo que pueden hacer las autoridades colombianas frente al mismo, pero seguramente toda la responsabilidad recaerá en los hombros de la entidad pública o empresa colombiana, la cual se expone al pago de multas y a indemnizar los daños y perjuicios que se causen al titular del dato. Esto último es una faceta que deben considerar las empresas y el Estado al momento de contratar servicios de cloud.

Publicado por el autor en ambitojuridico.com el 29 de Septiembre de 2012.

Artículos relacionados