México | ¿Contratas servicios en la nube? El INAI te guía para cuidar datos personales


El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) de México presentó una guía que recomienda criterios mínimos para quienes contraten servicios en la nube e impliquen tratamiento de datos personales, por ejemplo, comercio electrónico.

Blanca Lilia Ibarra, comisionada presidenta del INAI, comentó que un estudio del Banco Interamericano de Desarrollo (BID) señala que la implementación de acuerdos marco para suministro de tecnologías en la nube debe ser una práctica extendida en gobiernos líderes en la transformación digital.

Por ello, desde el INAI decidieron crear una Guía breve para sujetos obligados para la contratación de servicios de cómputo en la nube que impliquen el tratamiento de datos personales, en la que señalan recomendaciones específicas para que instituciones públicas y privadas protejan a sus usuarios y clientes.

Josefina Roman Vergara, comisionada del INAI y coordinadora de la Comisión de Normatividad de Datos Personales, destacó que el cómputo en la nube ocupa el quinto lugar dentro de prioridades de desarrollo tecnológico del ecosistema digital en México este año.

“Es de destacar que en la prestación de servicios de nube lo que se oferta son contratos de adhesión con cláusulas cerradas en las que el proveedor fija condiciones con un contrato tipo sin que el usuario tenga opción de negociar términos. Ante ello debemos realizar una evaluación de riesgos de protección de datos. Esto no eximirá de responsabilidades que determina la normativa de protección de datos personales. La guía será un instrumento que auxilie a los responsables de estrategia de verificación en qué proveedores prestan sus servicios en la nube”, comentó la comisionada.

Jorge Humberto Torres, coordinador General de la Unidad Técnica de Servicios de Informática del Instituto Nacional Electoral (INE), comentó que desde dicha institución contratan servicios de nube y uno de los consejos es que estén avalados por estándares internacionales, además de que es necesario que realicen auditorías por parte de terceros. 

Federico González Waite, director Ejecutivo del Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (Infotec), dijo que quienes contratan servicios de nube pueden considerar hacerlo con compañías que incluso tengan sus centros de datos en el territorio nacional, pues algunas como Huawei ya lo tienen en el país.

Cindy Rayo Zapata, directora General de Comercio Internacional de Servicios e Inversión de la Secretaría de Economía, aseguró que la guía que presentó el INAI está apegada a las condiciones de comercio internacional en protección de datos que se firmaron con el Tratado México, Estados Unidos y Canadá (T-MEC).

Algunos criterios mínimos de contratación

– Identificar los datos, procesos o funciones que se pretendan migrar al servicio de cómputo en la nube.

– Definir el modelo de aprovisionamiento que garantice de mejor manera el control sobre el tratamiento de datos personales, según los datos, procesos o funciones que se pretenden migrar a la nube.

– Definir de manera interna las políticas y medidas de seguridad para el uso del servicio de cómputo en la nube.

– Evaluar todos los aspectos del servicio, así como los términos y condiciones a los que se sujeta el servicio a contratar.

– Investigar la reputación del proveedor, el nivel de cumplimiento y la calidad del servicio que presta.

– Es importante que el cliente cuente con información de la identidad y medios para contactar al proveedor.