Está en la página 1de 29

Legal Considerations in Cloud Computing: Mexico

Jorge Navarro Isla

Asociado Senior

Gonzlez Calvillo, S.C.


Montes Urales 632, Piso 3
Col. Lomas de Chapultepec, 11000, Mxico, D.F.
Tel: (55) 5202-7622; Fax: (55) 5520 7671
jnavarro@gcsc.com.mx

20 October 2011
Agenda
Consideraciones adicionales sobre el Cloud Computing

Tendencia regional

Legislacin Mexicana

Ley Federal de Proteccin de Datos personales en


Posesin de los Particulares

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Consideraciones adicionales sobre el Cloud Computing

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Fuente: www.corbis.com

Molculas de H2O 0101010101010101

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Fuente: http://www.microsiervos.com/archivo/internet/dimes-mapas-internet.html

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
No es una nube etrea, de hecho
est conformada por un sinnmero de
sistemas, cables, programas (bits 0s y 1s),
que transportan millones de MD que
no en pocos casos viajan a la velocidad
de la luz.

Fuente: www.corbis.com

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Staff - Capacitacin; Controles

Sistemas, servidores y aplicaciones

Back ups

Medidas de seguridad

Propiedad intelectual

Proteccin de datos

Conflicto de leyes

Ley y jurisdiccin aplicable

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Quin controla los servicios en la nube?

Existe o debe existir una responsabilidad compartida entre las empresas y los terceros
que les prestan servicios?

Quin responde en caso de una mala utilizacin de los datos?

En las transferencias internacionales de datos donde no es clara la localizacin del


proveedor de servicios

Cmo puede una compaa saber cuando los datos son transferidos fuera de la nube y
fuera del territorio del proveedor?

Qu pasa cuando los datos viajan de un pas con un rgimen de proteccin robusto a otro
con legislacin ms laxa?

Qu recursos e instancias legales tiene el titular de los datos?

Mecanismos de Cooperacin Internacional?

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Naturaleza distribuida servicios a la carta anonimato en cuanto a la identidad del proveedor y la
localizacin de los servidores implcitos en el servicio

Nueva dinmica de la relacin entre la organizacin y el proveedor de servicios en la nube.

SLA: Mtricas claras y medibles gestin de riesgos; Due dilligence goodwill eleccin de proveedores

Dimensin funcional: determinar qu funciones y servicios se producen en el CC y qu implicaciones


legales generan

Dimensin Jurisdiccional: forma en la que los gobiernos administran las leyes y normativas que afectan
los servicios provistos en el CC

Dimensin Contractual: Trminos y condiciones, mecanismos de aplicacin y gestin de los servicios

E-Discovery: Funciones y responsabilidades de los custodios de la informacin metodologas para


preservar datos autnticos y fiables informacin primaria, metadatos, archivos de registro e informacin
relacionada.

Clusulas de salida; Continuidad de operaciones.

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Tendencia Regional

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Tendencia Regional

Fortalecimiento de medidas legales, tecnolgicas y de control

Principios constitucionales

Declaracin Universal de los Derechos Humanos

Cumbre Mundial de la Sociedad de la Informacin

Planes e-LAC 2007 y e-LAC 2010

e-LAC 2015

Red Iberoamericana de Proteccin de Datos Personales (RIPDP) - Directrices de


Armonizacin de Proteccin de Datos en la Comunidad Iberoamericana

Leyes en materia de proteccin de datos personales: Argentina, Chile, Mxico y


Uruguay

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Legislacin Mexicana

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.
Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Derecho a la intimidad y a la vida privada
Constitucin Poltica de los Estados Unidos Mexicanos Proteccin de Datos Personales

Ley Federal de Transparencia y Acceso a la Informacin Pblica Gubernamental. Autodeterminacin informativa

Proteccin de datos Personales

Ley Federal de Proteccin de Datos en Posesin de Particulares Proteccin de datos personales

Ley de Instituciones de Crdito; Circular nica de Bancos; Ley del Mercado de Valores; Secreto bancario, fiduciario y burstil

Ley para regular las Sociedades de Informacin Crediticia Proteccin de datos Personales

Ley Federal de Telecomunicaciones; Secreca de las telecomunicaciones


Ley de Vas Generales de Comunicacin

Cdigo Penal Federal Delitos informticos

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Ley Federal de Proteccin de Datos personales en Posesin
de los Particulares

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Ley Federal de Proteccin de Datos Personales en Posesin de los Particulares
I. Objeto

II. Informacin protegida

III. Actividades reguladas

IV. Sujetos obligados

V. Principales obligaciones

VI. Autoridades

VII. Infracciones y sanciones administrativas

VIII. Delitos

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
I. Objeto

Proteccin de los datos personales (DP) en posesin de los particulares.

Finalidad: regular su tratamiento legtimo, controlado e informado

-Garantizar privacidad

-Derecho a la autodeterminacin informativa

Protege al titular de los DP

Reconoce derechos ARCO

Medios para ejercerlos: Responsables e IFAI

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
II. Informacin Protegida

Datos personales: cualquier informacin concerniente a una persona fsica (p.f)


identificada o identificable.

Datos personales sensibles: Afectan esfera ms ntima, su utilizacin indebida


puede causar discriminacin o conlleva riesgo grave.
Origen racial o tnico, el estado de salud presente y futurolas preferencias
sexuales.

Datos financieros y patrimoniales: No incluidos en categora de datos sensibles;


precisan consentimiento expreso.
Datos sensibles: implica la exigencia del consentimiento expreso y agravante -
sanciones. Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.
Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
III. Actividades reguladas

Tratamiento de los Datos personales:


Obtencin
Uso
Nombre:
Divulgacin
Almacenamiento de DP
Jorge Navarro Isla
Cancelacin y eliminacin
Por cualquier medio. Miguel Valle Salinas

Uso de los DP:


Cualquier accin de acceso
Manejo
Aprovechamiento
Transferencia
Disposicin de DP
Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.
Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
III. Actividades reguladas

Transferencia de datos personales: toda comunicacin de datos


realizada a persona distinta del responsable o encargado.

Nacional o Internacional.

Fuente: sealevel.jpl.nasa.gov

Fuente: img.boonic.com

Fuente: uteq.edu.ec

Fuente: apidemexico.com.mx
Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.
Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
IV. Sujetos Obligados

Particulares p.f. o p.m. carcter privado; tratamiento de DP.


Responsable: Quien decide sobre el tratamiento de los DP; Ejecuta la
gran mayora de las obligaciones.
Encargado: p.f. o p.m. que sola o conjuntamente con otras trata los DP
por cuenta del responsable.
Tercero: p.f. o p.m., nacional o extranjera, distinta del titular o del
responsable de los datos.
Excepciones: Burs de Crdito LRSIC y personas que recolectan y
almacenan DP para uso exclusivamente personal, y sin fines de
divulgacin o utilizacin comercial

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
V. Principales Obligaciones
Observar los principios de privacidad:
Licitud
Consentimiento
Informacin
Calidad
Finalidad
Lealtad
Proporcionalidad
Responsabilidad

Informar a los titulares de los datos, la informacin que se recaba de ellos y con
qu fines, a travs del aviso de privacidad.

Aviso de privacidad

Designar - PCO
Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.
Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
V. Principales Obligaciones
Aviso de privacidad (Julio 6, 2011)
Inventario de datos personales
Inventario de sistemas y aplicaciones
Inventario de finalidades
Uno o varios avisos
Publicacin medidas compensatorias

Designar PCO (Julio 6, 2011)


Persona o Departamento
Comit de Proteccin de Datos
Acta de Sesin

Atencin de los Derechos ARCO (Enero 5, 2012)


Modelo de los Derechos ARCO
Instrumentacin del Modelo
Gestin del modelo de Seguridad
Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.
Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
V. Principales Obligaciones

El responsable que lleve a cabo el tratamiento de datos personales a


establecer y mantener medidas de seguridad administrativas, tcnicas y
fsicas que permitan proteger los datos personales contra dao, prdida,
alteracin, destruccin o el uso, acceso o tratamiento no autorizado.

Los responsables no adoptarn medidas de seguridad menores a aquellas


que mantengan para el manejo de su informacin.

El responsable deber tomar en cuenta el riesgo existente, as como las


posibles consecuencias para los titulares, la sensibilidad de los datos y el
desarrollo tecnolgico (Art. 19). (TJX, Sony)

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
V. Principales Obligaciones
Reglamento de la LFPDPP Noviembre 2011?; Recomendaciones SE; Lineamientos IFAI

Estndares y mejores prcticas - Apoyo fundamental para instrumentar las distintas medias
tcnicas, legales y de control que las distintas leyes nacionales, los contratos o los esquemas de
autorregulacin han consignado para la adecuada proteccin de los datos personales de los
usuarios de sus servicios y/o productos.

Serie de estndares ISO/IEC 27000 (27000, 27001 y 27002) para la administracin de la


seguridad de la informacin

Estndar de seguridad de la informacin de la industria de las tarjetas de crdito (PCI DDS por
sus siglas en ingls)

Estndares de la Biblioteca de Infraestructura de Tecnologas de Informacin (ITIL) que


documenta las mejores prcticas para la Administracin de Servicios de TI,

Objetivos de Control para la informacin y sus Tecnologas relacionadas (COBIT).


Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.
Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
VI. Autoridades
rgano garante Supervisa aplicacin de la Ley; Sanciones; Reglamento;
Mejores prcticas Internacionales.

Regulacin sobre BD comerciales automatizadas; Lineamientos AvPr;


Consumidores

Otras autoridades - coadyuvancia del IFAI - regulacin administrativa

Autorregulacin: Cdigos Deontolgicos


Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.
Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
VII. Infracciones y sanciones administrativas
Negligencia o dolo solicitudes ARCO (N)
Contravenir principios (C)
Falta A/P (F)
No rectificar (N)

N; C.; F; N.
Confidencialidad; Cambio Finalidad (C;C)
Transferir sin AP; Vulnerar Seg. BD; Recabar
engao (T;V;R)
BD datos sensibles sin justificacin (BDs)

C; C; T; V; R; BDs

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
VIII. Delitos 3 meses 3 aos Autorizado para tratar datos,
con nimo de lucro, provoca
vulneracin de seguridad en
sus BD. (BD)

6 meses 6 aos BD Datos sensibles

6 meses 5 aos C; C; T; V; R; BDs


Finalidad de lucro indebido, con
engao, trate datos personales,
aprovechndose del error del
titular o persona autorizada
para transmitirlos (LI)

1 10 aos LI Datos Sensibles

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.
Muchas gracias!

Jorge Navarro

jnavarro@gcsc.com.mx

Tel. 5202 76 22

Jorge Navarro Isla. 2011. Material licenciado a Gonzlez Calvillo, S.C.


Todos los Derechos Reservados. Queda prohibida su divulgacin, as como su reproduccin total o parcial y por cualquier medio sin la autorizacin del titular.