Sin duda que la protección de datos personales debe ser entendida como un derecho fundamental, no en vano ya se le reconoce como tal expresamente en el artículo 19 N°4 de la Constitución, de forma separada al derecho a la vida privada.
Sin embargo, este derecho a decidir sobre el uso que otros den sobre la información que me concierne también debe ser entendida como un instrumento jurídico que debe implementarse, a través de un conjunto de obligaciones que deben cumplir quienes utilizan los datos de otros.
En los servicios cloud llaman especialmente la atención las exigencias de seguridad que deben implementar dos tipos de sujetos: Por un lado, los “Responsables de los registros”, es decir, quienes tienen autorización para utilizar mis datos y toman las decisiones sobre lo que hacen con ellos y, por el otro, los proveedores de servicios en la nube, contratados por los responsables para que realicen para ellos algún tratamiento sobre esos datos. Esos proveedores de servicios cloud asumen, en ese caso, el papel de “Encargados del tratamiento” o “Mandatarios”.
Como esta distinción no siempre es clara, quiero comentar a continuación algunas ideas básicas a tener en cuenta, por parte de estos dos actores, cuando realizan tratamiento de datos personales en servicios cloud.
Obligaciones para el Responsable del registro
La ley N°19.628 define al "responsable del registro" como aquella persona natural, empresa u órgano público que tiene una base de datos con información de los titulares y toma decisiones sobre su utilización.
En este punto es importante referirse a las obligaciones legales que debe cumplir el responsable si desea contratar un servicio cloud computing como apoyo al tratamiento de los datos. Por ejemplo, si desea entregar la base de datos para que una empresa cloud la respalde o para que le proporcione análisis de dichos datos.
Nuestra ley de protección de datos reconoce que todos tenemos derecho a tratar datos personales de otros, para fines lícitos. Para ello, por regla general, necesitamos que el titular nos autorice de forma previa.
Ahora bien, como hemos dicho, mientras el responsable del registro utiliza los datos, legítimamente puede estimar necesario acudir a un tercero, para que le preste algún servicio de apoyo a su tratamiento.
Esa posibilidad de externalizar tratamientos de datos está permitida en la ley N°19.628, aunque ella exige una formalidad bien concreta: debe suscribir un contrato de mandato específico.
“Al parecer, se confían en que los contratos cloud incluyan alguna cláusula de confidencialidad y otra sobre responsabilidad por incumplimientos y daños, pero eso no es suficiente para cumplir la ley”.
Este mandato obligatorio que debe existir entre el responsable del registro y el proveedor de servicios cloud no puede ser genérico. Tiene que describir con detalle qué tipo de datos personales se entregan, para qué serán utilizados, cuánto tiempo los procesará, de qué manera serán devueltos y cómo se eliminarán, junto con la prohibición de utilizarlos para otros fines distintos al servicio contratado y, por supuesto, el impedimento de comunicarlos a terceros.
La existencia de este contrato por escrito busca dejar evidencia de que el tratamiento de datos que realice el proveedor de cloud es legítimo, pese a no contar con autorización previa del titular. Del mismo modo, protege al responsable del registro aclarando que no ha realizado una comunicación no autorizada de datos a un tercero y que, en ese sentido, no ha infringido sus obligaciones de cuidado sobre la información personal de los titulares.
No hay que olvidar que ese mandato explicita que los datos no los usa el mandatario para sí mismo, sino para prestar un servicio al responsable del registro (su mandante), que sí cuenta con autorización previa del titular de los datos para tratarlos.
“La eficacia de la protección de datos personales en servicios cloud se puede apoyar en la autorregulación contractual”.
Sin embargo, no siempre el Responsable del registro tiene clara esta obligación legal y suele limitarse a suscribir los contratos tipo o de adhesión que regular muchos servicios cloud computing. Al parecer, se confían en que tales contratos incluyan alguna cláusula de confidencialidad que pese sobre el proveedor cloud y otra sobre responsabilidad por incumplimientos y daños, pero eso no es suficiente para cumplir la obligación legal. Se requiere suscribir un contrato de mandato específico para el tratamiento de los datos.
Obligaciones para el Proveedor de servicios cloud, como mandatario o Encargado de Tratamiento
Nuestra ley de protección de datos, como no es de extrañar, no regula suficientemente la figura del Encargado del tratamiento. De hecho, ni siquiera lo menciona como tal. Únicamente alude a él a través de la posibilidad de realizar el tratamiento a través de un mandatario. Es esa sola mención la que se refiere a uno de los actores relevantes dentro de las obligaciones de cuidar los datos personales.
Sin perjuicio de ello, y ante la insuficiente normativa chilena, creo que la referencia a contar con un contrato de mandato escrito y específico sobre la labor que realizará el mandatario puede ser un punto de inicio eficaz para la protección de los derechos de los titulares de datos, obviamente en la medida que dichos contratos estén bien construidos.
Para entender un poco más el rol del mandatario, éste recibe los datos personales sin una autorización directa del titular, sino que lo hace mediante un encargo específico del Responsable del registro. Además, los recibe para utilizarlos exclusivamente respecto del encargo, es decir, no los puede emplear para sus propios fines, ya que de lo contrario, junto con extralimitar el contrato de mandato, pasaría a ser un responsable de tratamiento sin autorización del titular, es decir, que estaría utilizando los datos infringiendo la ley.
Ahora bien, cuando todo está en regla, es decir, se cuenta con un contrato de mandato bien hecho, el Encargado o Mandatario asume las mismas obligaciones de cuidado que pesan sobre el Responsable del registro, por lo que creo importante detenerse en esta obligación.
La ley N°19.628 contiene una obligación más bien genérica sobre cuidar los datos personales, a partir de la cual el responsable del registro y el proveedor de servicios cloud deben adoptar medidas de seguridad.
Sin embargo, el legislador no indica qué medidas deben implementarse para proteger los datos, ni mucho menos qué controles corresponden según el tipo de dato personal de que se trate, por ejemplo, si son datos de mera identificación o si son datos sensibles.
En tales circunstancias, como la obligación existe, hay que cumplirla y para ello, se recomienda adoptar estándares técnicos internacionales de seguridad de la información.
Dentro de los estándares más adheridos se encuentran las normas de la serie ISO/IEC 27.000. De hecho, la norma ISO/IEC 27.018, de 2014, precisamente se refiere a requisitos para la protección de información de identificación personal en sistemas cloud.
La norma ISO/IEC 27.018 es muy cercana a la ISO/IEC 27.002, sobre buenas prácticas de seguridad de la información, aunque con ciertos énfasis en determinados controles e incluyendo algunos nuevos, a partir de los riesgos propios de los servicios cloud.
Por ejemplo, en el dominio de seguridad en las operaciones pone el acento en separar los entornos de desarrollo, en realizar copias de seguridad y en los registros de eventos.
Además, se incluyen controles tales como no utilizar los datos para fines de marketing y publicidad; eliminar los archivos temporales; notificar al cliente cuando se divulgan y cuando se violan los datos; informar sobre subcontratistas; establecer políticas para el traslado y eliminación de los datos; establecer acuerdos de confidencialidad con quienes acceden a los datos; cifrado de los datos; destrucción de medios de comunicación impresos con datos; identificaciones únicas para los clientes cloud; entre otras.
Por lo tanto, ante el poco detalle de nuestra ley, igualmente existen referencias que se pueden seguir para cuidar los datos personales en la nube.
“El mandatario recibe los datos para utilizarlos exclusivamente respecto del encargo, no los puede emplear para sus propios fines, ya que extralimitaría el mandato y pasaría a ser un responsable de tratamiento sin autorización del titular”.
Despejando nubes
Como ven, en resumen, la seguridad de nuestros datos personales en la nube descansa principalmente en los contratos que se suscriban, tanto para la prestación del servicio cloud propiamente tal, como también, respecto del contrato de mandato que debe existir entre el responsable del registro y la empresa cloud.
Por su parte, nuestra actual ley de datos personales no contiene normas especiales para el tratamiento de datos en la nube, ni siquiera cuando el servicio aloja los datos fuera del territorio nacional.
Lo único que indica es una obligación genérica de cuidar los datos, independiente de si el tratamiento se realiza en la nube o no. En este punto, se recomienda que las empresas que prestan servicios cloud implementen estándares técnicos internacionales de seguridad, incluso con mayor rigurosidad, como ocurre con la norma ISO/IEC 27.018, dado el mayor riesgo que puede representar el ambiente cloud para el titular de los datos.
Precisamente por esto último, creo que no hay que centrar todos los esfuerzos de protección en la ley actual, ni menos aún, en el proyecto en trámite (que incluiría un par de artículos sobre big data y sobre transferencia internacional de datos personales). La eficacia de la protección de datos personales en servicios cloud también exige mucho autocuidado y se puede apoyar en la autorregulación contractual.
Nuestro estudio puede ayudarle a tener un correcto contrato de mandato para el tratamiento de datos personales en la nube.
Más información aquí.