Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Héctor Obregón - Datos Personales en La Nube
Héctor Obregón - Datos Personales en La Nube
Héctor Obregón
Es muy importante entender la distinción
entre un controlador de datos personales y
un procesador de los mismos. El
controlador es la entidad responsable de
decidir el uso de estos datos y de obtener
la autorización correspondiente de parte
del consumidor final. Decide también
acerca de las transferencias de esos datos
a terceros. Un procesador de datos
personales está más bien subordinado al
controlador, y no tiene facultades sobre los
datos personales más allá de las
instrucciones que reciba el controlador. No
puede, motu proprio, hacer ningún uso de
esos datos personales diferente del uso
para el que fue específicamente
contratado.
Héctor Obregón
La Ley Federal de Protección de Datos
Personales en Posesión de los
Particulares en México establece que para
hacer una transferencia de datos
personales a un procesador de datos
personales no es necesario obtener
permiso explícito de la persona. Tampoco
hace distinción en cuanto si esas
transferencias son en territorio nacional o
en el extranjero. Es diferente cuando se
transfieren datos a un controlador en el
extranjero que hará uso de ellos; por
ejemplo, un call center que desde el
extranjero realizará llamadas a los clientes.
Este tipo de uso sí requiere de acuerdo
específico de la persona y se debe
divulgar en el aviso de privacidad de la
entidad que recolecta los datos.
Héctor Obregón
Para el caso de la regulación de entidades financieras en México, en las
Disposiciones de Carácter General Aplicables a las Instituciones de
Crédito, que emite la Comisión Nacional Bancaria y de Valores en
conjunto con la Secretaría de Hacienda y Crédito Público, se establece
en el artículo 328 que las instituciones requieren la autorización de la
CNBV para cualquier tipo de servicio o comisión en el extranjero. La
misma regulación establece con detalle el proceso de autorización
requerido.
Héctor Obregón
El problema radica en que se trata dentro
de la misma categoría de “servicios en el
extranjero”, una amplia gama de servicios
que pueden ser muy diferentes. Veamos
dos ejemplos extremos:
Héctor Obregón
Podemos ver que entre estos dos usos hay niveles de
riesgo muy diferentes. En el primero, nadie por parte del
proveedor tendrá acceso a los datos (dado que no
contará con claves de acceso a la base de datos
contratada, además que los datos pueden almacenarse
encriptados). En el segundo, decenas de personas del
call center tendrán acceso a los datos de los clientes
para realizar una llamada efectiva.
Héctor Obregón
Las entidades financieras tienen que llevar
a cabo básicamente el mismo proceso de
autorización para estos dos ejemplos
extremos. Para el primer caso, la
regulación agrega una capa de costos
para tener que cumplir con la misma, que
finalmente repercute en que los clientes
del sector financiero cubran mayores
costos operativos de las instituciones,
mientras que en el segundo caso, en mi
opinión, tiene sentido el proceso por el
nivel de riesgo asociado.
Héctor Obregón
Referencias:
https://www.forbes.com.mx/datos-
personales-en-la-nube-que-debes-cuidar/
Héctor Obregón