DATOS PERSONALES EN LA NUBE

Héctor Obregón
Es muy importante entender la distinción
entre un controlador de datos personales y
un procesador de los mismos. El
controlador es la entidad responsable de
decidir el uso de estos datos y de obtener
la autorización correspondiente de parte
del consumidor final. Decide también
acerca de las transferencias de esos datos
a terceros. Un procesador de datos
personales está más bien subordinado al
controlador, y no tiene facultades sobre los
datos personales más allá de las
instrucciones que reciba el controlador. No
puede, motu proprio, hacer ningún uso de
esos datos personales diferente del uso
para el que fue específicamente
contratado.

Héctor Obregón
La Ley Federal de Protección de Datos
Personales en Posesión de los
Particulares en México establece que para
hacer una transferencia de datos
personales a un procesador de datos
personales no es necesario obtener
permiso explícito de la persona. Tampoco
hace distinción en cuanto si esas
transferencias son en territorio nacional o
en el extranjero. Es diferente cuando se
transfieren datos a un controlador en el
extranjero que hará uso de ellos; por
ejemplo, un call center que desde el
extranjero realizará llamadas a los clientes.
Este tipo de uso sí requiere de acuerdo
específico de la persona y se debe
divulgar en el aviso de privacidad de la
entidad que recolecta los datos.

Héctor Obregón
Para el caso de la regulación de entidades financieras en México, en las
Disposiciones de Carácter General Aplicables a las Instituciones de
Crédito, que emite la Comisión Nacional Bancaria y de Valores en
conjunto con la Secretaría de Hacienda y Crédito Público, se establece
en el artículo 328 que las instituciones requieren la autorización de la
CNBV para cualquier tipo de servicio o comisión en el extranjero. La
misma regulación establece con detalle el proceso de autorización
requerido.

Héctor Obregón
El problema radica en que se trata dentro
de la misma categoría de “servicios en el
extranjero”, una amplia gama de servicios
que pueden ser muy diferentes. Veamos
dos ejemplos extremos:

La contratación en modalidad IaaS

(infraestructura como servicio) de un
servidor de base de datos (bajo control
total de la institución) en el extranjero para
almacenar datos operativos.
La contratación de un servicio de call
center y telemarketing donde, desde el
extranjero, se llame a clientes en México a
sus móviles u hogares para ofrecerles un
nuevo producto de la institución.

Héctor Obregón
Podemos ver que entre estos dos usos hay niveles de
riesgo muy diferentes. En el primero, nadie por parte del
proveedor tendrá acceso a los datos (dado que no
contará con claves de acceso a la base de datos
contratada, además que los datos pueden almacenarse
encriptados). En el segundo, decenas de personas del
call center tendrán acceso a los datos de los clientes
para realizar una llamada efectiva.

Héctor Obregón
Las entidades financieras tienen que llevar
a cabo básicamente el mismo proceso de
autorización para estos dos ejemplos
extremos. Para el primer caso, la
regulación agrega una capa de costos
para tener que cumplir con la misma, que
finalmente repercute en que los clientes
del sector financiero cubran mayores
costos operativos de las instituciones,
mientras que en el segundo caso, en mi
opinión, tiene sentido el proceso por el
nivel de riesgo asociado.

En resumen, si su empresa es una entidad regulada por

la CNBV, le recomiendo revisar con detalle la regulación
correspondiente y analizar los costos de aprobación de
la solución en la nube que desea contratar. Es muy
probable que los ahorros que le puede traer una
solución en la nube justifiquen que se someta al
proceso de aprobación de la CNBV.

Héctor Obregón
Referencias:

https://www.forbes.com.mx/datos-
personales-en-la-nube-que-debes-cuidar/

Héctor Obregón