El tema de habeas data y la ley de protección de datos personales ha sido uno de los temas más sonados estos meses en el sector de las TICs. Según una circular de la Superintentencia de industria y comercio – SIC -, Estados Unidos no es un país seguro o no es un país que cumple las normas para recibir información datos personales desde Colombia.
Leyendo una circular de la SIC me encontré con una lista de países que cumplirían la normativa para la transmisión de datos internacionales de acuerdo con las leyes colombianas. Estos son los países:
a) Albania b) Alemania c) Argentina d) Austria e) Bélgica f) Bulgaria g) Canadá h) Chipre i) Costa Rica j) Croacia k) Dinamarca l) Eslovaquia m) Eslovenia n) Estonia o) España p) Finlandia q) Francia r) Grecia s) Hungría t) Irlanda u) Islandia v) Italia w) Letonia 3 x) Lituania y) Luxemburgo z) Malta aa) México bb) Noruega cc) Nueva Zelanda dd) Países Bajos ee) Perú ff) Polonia gg) Portugal hh) Reino Unido ii) República Checa jj) República de Corea kk) Rumania ll) Serbia mm) Suecia nn) Suiza oo) Uruguay
¿Estados Unidos, un país inseguro para alojar datos personales de terceros?
Como se puede apreciar Estados unidos no aparece en la lista blanca de la SIC. Sin embargo es importante saber que así mismo la SIC no está prohibiendo el alojamiento de información en los países que no se encuentran en la lista. En su lugar solicita posiblemente un procedimiento adicional cuando se realiza el registro:
«Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre en el listado presentado en este numeral, corresponderá al Responsable del tratamiento que realizará la transferencia verificar si ese país cumple con los estándares fijados en el numeral 3.1 anterior, caso en el cual podrá realizar la trasferencia, o, de no cumplirlos, solicitar la respectiva declaración de conformidad ante esta Superintendencia.»
Me genera inquietud que las empresas del sector de TIC que alojan datos en Estados Unidos – seguramente la mayoría – tengan que asegurar cada ve que ese país cumple con los estándares. Debe ser la SIC quien se encarga de estos temas para simplificar y estimular el desarrollo del sector y no generar más confusión y trámite.
La importancia estratégica de los proveedores de hosting de Estados Unidos
Siendo Estados Unidos una de las principales potencias en infraestructura de hosting – quizás la mayor – y que además está geográficamente cerca a Colombia (desde el punto de vista de internet) hace a sus proveedores muy atractivos para las empresas Colombianas que utilizan este tipo de servicios.
Su cercanía geográfica genera una latencia menor que con otras potencias de infraestructura dando como resultado mejor un mejor servicio.
Además hay empresas que tienen servidores fuera y dentro de Estados Unidos peo aunque se haga uso de sus servicios con servidores fuera de ese país muy seguramente desde cierto punto de vista es inevitable que los datos pasen por allí porque parte de su infraestructura o equipo de trabajo puede estar allá. Otros ejemplos serían: alojamiento de copias de seguridad externa por parte de los proveedores, las CDN, servicios de correo Gmail, Integraciones con servicios de Facebook, etc.
Respecto del responsable del tratamiento de datos
Han venido en la SIC avanzando con una serie de normativas que pueden afectar al sector de las TICs en Colombia y a empresas que utilicen hosting estadounidense incluyendo servicios en Facebook, Gmail, etc. También en la aplicación de estas normas que está emitiendo la SIC la gente tiende a confundir el tema de «tratamiento de datos» con alojamiento de datos que son dos temas diferentes. En mi opinión, el responsable de los datos no debe ser el hosting porque el hosting nunca elimina o crea registros de personas – ni siquiera por solicitud -. Debería ser quien administra la aplicación que crea, consulta y elimina dichos datos el responsable registrado ante la SIC.
Estas normas versus la seguridad de los datos que propenden proteger
Internet por su naturaleza transporta información por distintos países sin que el usuario sea consciente cuales. Por eso creo que más importante que en cual país aloja la información es la forma como se transporta y los procesos que se siguen en su tratamiento.
Quizás sería más útil que la información fuese transportada por protocolos seguros (https por ejemplo) siempre que se trate de información de terceros. Adicionalmente a eso bases de datos cifradas para disminuir un poco los riesgos frente a los terceros que pueden tener acceso (ejemplo proveedor de hosting).
También sería útil llevar una trazabilidad sobre el alojamiento de la información sin que esto implique registrar el proveedor de hosting. Es decir, el responsable en su calidad precisamente de responsable debe conocer quienes tiene acceso a la información y sus riesgos. Hay que tener en cuenta que en dado caso que un proveedor de hosting utilizara esta información eso equivale a un robo de información pero realmente no lo hace responsable por el tratamiento de los datos. Es igual que si un atacante accede a la información por otro medio y la utiliza.
Conclusiones
Los terceros pueden ser apoyo en ciertas tareas pero en general es la misma empresa quien trata la información y por lo tanto los responsables a registrar deberían ser los funcionarios no los proveedores.
Por su parte debe la SIC buscar que Estados Unidos esté en la lista blanca de países teniendo en cuenta el contexto.
Enlaces:
- http://blogs.eltiempo.com/blogabunderias/2017/03/07/colombia-hara-un-muro-digital-contra-internet/
- http://www.sic.gov.co/sites/default/files/normatividad/Proyecto_Circular_Adiciona_capitulo_3_al_titulo_5_transferencia_internacional_de_datos.pdf
Last modified: 8 marzo, 2017
