El artículo 52 del reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares publicado el 21 de diciembre aborda de manera integral las cuestiones planteadas por el Cloud. En el precepto, cuyo texto íntegro se reproduce al final merecen ser destacados algunos elementos significativos.
En primer lugar, ofrece una definición normativa de este tipo de servicios a los que integra en la regulación del encargado:
«Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente».
Como puede apreciarse se trata de una aproximación que en la práctica recoge los distintos tipos de servicio objeto de prestación y reconoce el elemento definitorio del servicio: la asignación dinámica de recursos.
Pero el elemento determinante es la acogida de la contratación mediante condiciones generales fijando un conjunto de requisitos mínimos que disciplinan el sector ofreciendo una mínima seguridad jurídica.
A partir del reglamento, cualquier responsable en México podrá contratar utilizando contratos tipos con cualquier proveedor que:
a) Disponga y aplique políticas de protección de datos personales homologables con los principios y deberes contenidos en la Legislación Mexicana.
b) Dar publicidad, cabe entender que por ejemplo en una página web específica, a las subcontrataciones que afecten a la prestación del servicio contratado.
c) En ningún caso las condiciones generales podrán contener previsiones que permitan al encargado decidir sobre los fines y usos de la información. En palabras del regulador «abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio». Por tanto, el regulador parece apuntar a que lo que califica al responsable es la titularidad sobre la información y, por tanto, nada obsta, puesto que ya se reconoce en la definición, a que las decisiones sobre la asignación de recursos y cuestiones relacionadas, como la seguridad, correspondan plenamente al encargado.
d) Obviamente el encargado se compromete a guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio.
En segundo lugar, se fija como requisito complementario que el proveedor cuente con mecanismos, al menos, para:
a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta. Lo que debería ser interpretado como un deber de diligencia del prestador y como condición resolutoria del contrato.
b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio. Y por tanto, mantener el control absoluto sobre fines, usos limitando el poder de disposición del prestador a los aspectos meramente técnicos.
c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio. Por tanto, trasladando al prestador de modo pleno tal responsabilidad.
d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos. Por tanto fijando condiciones adecuadas de interoperabilidad para la recuperación o migración de los datos previa a la finalización del contrato.
e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable. Esta interesante disposición, además de incorporar una obvia medida de seguridad y una limitación clara en nubes públicas con múltiples usuarios, posee un valor añadido fundamental. Reconoce de modo evidente que en los países en los que se alojen los datos las autoridades disponen de facultades de investigación y registro. En la práctica, y tratándose de democracias homologables, poco se puede objetar frente a competencias de entrada y registro como las previstas por la Cuarta Enmienda de la Constitución Norteamericana el artículo 18 de la Constitución Española y sus normas de desarrollo. Sin embargo, la comunicación al responsable de tales registros opera como una garantía adicional particularmente interesante.
Por último, debe destacarse cómo el párrafo final abre el camino a posteriores directrices del IFAI, en su caso con otras autoridades competentes, para disciplinar y concretar el régimen jurídico aplicable.
Sin duda, se trata de un interesante esfuerzo regulador que pone sobre la mesa la necesidad de actuación de las autoridades nacionales disciplinando esta materia y ofreciendo seguridad al mercado.
____________________________________________________
Tratamiento de datos personales en el denominado cómputo en la nube
Artículo 52. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor:
I. Cumpla, al menos, con lo siguiente:
a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento;
b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio;
c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y
d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y
II. Cuente con mecanismos, al menos, para:
a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta;
b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;
c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio;
d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y
e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.
En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales.
Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente.
Las dependencias reguladoras, en el ámbito de sus competencias, en coadyuvancia con el Instituto, emitirán criterios para el debido tratamiento de datos personales en el denominado cómputo en la nube.