• Novus

¿Hay temas legales si contrato AWS o Google Cloud para mi app?

Por @LawyerCount

Fundador

Novus Concilium


Contratar servicios de cómputo en la nube como los de AWS o Windows Azure es muy común cuando desarrollas una aplicación, no importa si es web o móvil.


En la mayoría de los casos, estos servicios almacenan los datos personales que recabas a través de tu aplicación. Esto no es ilegal pero, tiene una regulación muy específica con base en las leyes mexicanas en materia de protección de datos personales.


Incumplir con esta regulación puede ocasionar sanciones para tu empresa. Por eso, aquí te dejamos algunos aspectos que debes de considerar cuando diseñas tus políticas de privacidad.


Recuerda que esto no es asesoría legal y que si quieres asesoría legal, sólo tienes que enviarnos un mensaje a través de nuestra página de contacto.


Empezamos….


Cloud Computing Law.


Muchas personas no lo saben pero el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares ya contempla el Cloud Computing.


Su artículo 52 la define como el modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de cirtualización, en recursos compartidos dinámicamente.


Sólo se pueden utilizar servicios de Cloud Computing en los que el proveedor:

  • Cuente con políticas de protección de datos personales afines a los principios y deberes aplicables que establece la legislación mexicana;

  • Transparente las subcontrataciones que involucren la información sobre la que se presta el servicio;

  • No incluya condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y

  • Guarde confidencialidad respecto de los datos personales sobre los que se preste el servicio

  • De a conocer cambios en sus políticas de privacidad o términos y condiciones;

  • Permita limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio;

  • Cuente con medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio;

  • Garantice la suporesión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y;

  • Se impida el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable.

Obligaciones del Encargado.


Además, quien presta el servicio web es el “Encargado” del tratamiento de los datos personales de tus usuarios.


Un Encargado es la persona física o jurídica que trata datos personales por cuenta del responsable como consecuencia de la existencia de una relación jurídica (e.g contrato de licencia o servicios) que le vincula con el mismo y tiene las siguientes obligaciones:

  • Tratar únicamente los datos personales conforme a las instrucciones del responsable;

  • Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable;

  • Implementar medidas de seguridad;

  • Guardar confidencialidad respecto de los datos personales tratados;

  • Suprimir los datos personales objeto de tratamiento por instrucciones del responsable o cuando se termine el contrato (salvo que una Ley lo prohíba) y;

  • No transferir los datos personales salvo: (i) que el responsable lo pida; (ii) la comunicación derive de una subcontratación, o; (iii) cuando lo requiera una autoridad competente.

y… ¿Si aplica la Ley aunque el servidor esté en Oregon?


Si. Todas estas reglas son aplicables sin importar en dónde se encuentre el servidor o la empresa de Cloud Computing, si tu empresa está establecida en México, debes de cumplir con estas reglas.


Por eso, a nuestros clientes les recomendamos lo siguiente:


  • Revisar constantemente los términos y condiciones de los proveedores que utilizar para verificar que, por contrato, se están cumpliendo con los requisitos reglamentarios y;

  • Revisar constantemente el funcionamiento de los servicios que se contratan para verificar que las funcionalidades de los sistemas, permiten cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y;

  • Hacer auditorías constantes para verificar que se están cumpliendo los requisitos regulatorios aplicables a Cloud Computing.



----------------------


Derechos de Autor:


  1. Portada: Photo by Joe deSousa from StockSnap Bajo Licencia "CC0 Públic Domain"

©2020 El Nuevo Orden Tradicional, S.C