SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

Universidad Nacional de
Córdoba
Facultad De Derecho y
Ciencias Sociales
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

INDICE

Introducción…………………………………………………………… 3

Nube o Cloud Computing…………………………………………. 4

Tipos de nube………………………………………………………… 4

Capas de la nube……………………………………………………. 5

Ventajas……………………………………………………………….. 5

Desventajas…………………………………………………………… 6

Análisis de seguridad de datos del memorándum…….. 6

Ponencias diversas sobre el memorándum……………….11

Conclusión…………………………………………………………….12

Bibliografía……………………………………………………………..13
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

INTRODUCCIÓN
En el año 2017 la República Argentina, representando por el ministerio de
modernización, firmó un convenio con la empresa Amazon S.L (Compañía
estadounidense de comercio electrónico y servicios de computación en la nube a
todos los niveles, en la ciudad de Seattle y Estado de Washington) denominado:
“Memorando De Entendimiento De Colaboración Y Asistencia Técnica”. En el cual
se comprometían a trabajar en conjunto, para propulsar la modernización de la
infraestructura de tecnologías de información.
En su articulado no se dio la importancia necesaria para la seguridad y protección
de los datos.
La empresa Amazon S.L, en este convenio quiere implementar o generar una
nube privada, con lo cual pone en riesgo el derecho de la privacidad, de nuestros
habitantes.
A continuación haremos un pequeño análisis de dicho memorándum,
introduciendo brevemente algunos conceptos para lograr el entendimiento del
mismo.

3
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

Nube o Cloud Computing

La nube o Cloud computing, también conocido como informática en la nube o
almacenamiento en la nube, es una manera de prestar servicios, nos ofrece un
sistema informático a través de Internet, en la que se produce un tratamiento
virtual de la información, de un particular, de una empresa o de cualquier
Administración Pública.

Es un modelo de prestación de servicios, de negocios y tecnologías conocidos,

como e-business (negocios por Internet), que permite al usuario acceder a un
catálogo estandarizado, que respondan a los requerimientos de los mismos, de
forma flexible, adaptándose a sus necesidades. Permite al usuario acceder a los
servicios disponibles en la nube, sin tener vastos conocimientos, (sin ser
expertos), en la gestión de los recursos que usan.

La nube es una tecnología nueva, que busca tener todos nuestros archivos e
información en Internet, sin preocuparse por poseer la capacidad suficiente de
almacenamiento en nuestro ordenador.

Ya que toda la información, procesos, datos, etc, se localizan dentro de la red de

internet, de esta forma todo el mundo puede acceder a la información completa,
sin poseer una gran infraestructura.

Tipos de nube o Cloud computing

 Nube Pública: los servicios que ofrecen están en servidores externos al

cliente y se puede tener acceso de forma gratuita o de pago. Estos
servidores se manejan por terceras partes.
 Nube Privada: los servicios están dentro de las instalaciones del cliente y
lo normal es que no se ofrezca servicios a terceros. Estos servidores
pueden contratarse también con terceras partes.
 Nubes Híbridas: es una mezcla entre la nube pública y la nube privada.
Con este sistema la empresa puede tener el control de sus aplicaciones,
además de aprovechar las opciones del almacenamiento en la nube.

4
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

Capas de la nube

La nube o Cloud computing, consta de varias capas que conforman dicho

concepto, siendo tres de estas las más importantes:

1. Software SAAS (Software as a Service):

Es una de las modalidades más importantes de la computación en la nube.

Consiste en una aplicación de software, ofrecida totalmente por Internet,
con todas las funcionalidades y para todos los clientes que lo soliciten.
Como por ejemplo, Debitoor entre otros, es un programa 100% online de
facturación y contabilidad simple, donde se pueden:
 Enviar facturas, presupuestos y albaranes.
 Crear plantillas profesionales para facturas en menos de 1 minuto.
 Gestionar lista de clientes y productos.
 Exportar facturas a PDF y Excel.
 Almacenar automáticamente todos tus documentos.
 Gestionar gastos sin límite.

Más de 300.000 pymes y autónomos gestionan ya su negocio con

Debitoor.

2. Plataforma

Consta de una plataforma computacional y/o un conjunto de soluciones

desde cualquier explorador de internet, (Firefox, IE, Opera, Chrome, Safari,
etc.).

3. Infraestructura IaaS (Infrastructure as a service)

Soportan software o aplicaciones sin costo y complejidad de comprar, y/o

administrar el hardware.

Ventajas de la nube o cloud computing

 Bajo costo. Productos gratuitos o pagos mensuales fijos por utilización o

únicamente por el consumo efectuado, sin gastos adicionales, dado que
no hay que invertir en gran infraestructura, ni en licencias. Eliminando la

5
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

1
carga del mantenimiento del software, los costos de las operación y el
soporte técnico.
 No necesita gran capacidad de almacenamiento.
 Mayor rapidez en el trabajo, al estar basado en una plataforma web.
 Disponibilidad inmediata, en tiempo real para poder ver, revisar y
corregir datos.
 Acceso desde cualquier lugar o dispositivo (con conexión a Internet) y a
toda la información.
 Independencia a la hora de no tener que preocuparse de guardar una y
otra vez todos los datos que vamos registrando o actualizando.
 Fuerte inversión en innovación.

Desventajas del almacenamiento en la nube

 El acceso de terceros a nuestros datos, desde cualquier parte del

mundo.
 No se dispone de acceso total a los datos, para poder borrarlos o
simplemente portarlos o reubicarlos, con las garantías de su total
eliminación de la nube.
 No se conoce dónde están alojados los datos y algunos de ellos pueden
ser personales y si están garantizados al cumplimiento de la Ley.

Análisis de seguridad de datos del memorándum

Ya que el memorándum casi no tiene en cuenta la seguridad de datos, vamos a

analizar dicho punto.
“La mayoría de los artículos del Memorando De Entendimiento De Colaboración Y
Asistencia Técnica Entre El Ministerio De Modernización Y Amazon Web
Services, Inc. (MOU). Presentan una redacción vaga e indeterminada, salvo el
hecho de que indica que “Las PARTES se someten a la competencia será la de
los Tribunales en lo Contencioso Administrativo Federal, con asiento en la Ciudad
Autónoma de Buenos Aires.”1. Todo está supeditado a la posibilidad de convenios
específicos que se firmen, luego de este memorándum, no hay reflexión alguna
sobre la información que se recopile durante las acciones que realice AWS, en el
plazo de ejecución del memorándum, donde se recopilan, donde se almacenan,
que medidas de seguridad los protegen, y todo lo que respecta a la información
personal de ciudadanos argentinos, si se almacena en servers de la nube, si los
titulares debían solicitar el reconocimiento de los derechos de acceso,
1
Memorando De Entendimiento De Colaboración Y Asistencia Técnica Entre El Ministerio De Modernización Y Amazon Web Services, Inc. Entre El Ministerio De Modernización.
Articulo Décimo Primero

6
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

rectificación, actualización bloqueo o supresión, ante que autoridades deberán

peticionarlo, y qu2e pasa con la empresa AWS que fija domicilio en el exterior.
En Argentina, la empresa no tiene inscripción ni de su sociedad ni en el Registro
Nacional de Bases de Datos de la Ley 25.326, nadie tiene dudas sobre el éxito de
todos los emprendimientos de la empresa y de su capacidad de gestión
tecnológica, pero surgen dudas sobre la adecuación al tratamiento de la
información personal que se pueda hacer por la misma en la nube, en lo que
respecta a los resguardos que preveé la ley 25.326.
No se verifica en los antecedentes a este Memorándum, y menos aún en su
texto si ha intervenido el órgano de control, la Dirección Nacional de Protección de
Datos Personales.
Lejos de pretender objetar la vigencia del citado memorándum, ciertas dudas
atraen y se comparten con la ONG, Asociación por los Derechos Civiles (ADC)
ciertos interrogantes manifestados en la presentación que realizaron sobre
acceso a la información sobre siete cuestiones del acuerdo, entre las que se
destacan:
- Qué información se almacenará en los servidores provistos por
AWS
- Cuáles son las medidas de seguridad previstas para el resguardo
de dicha información
- Si los servidores se ubicarán en el país o tendrán otra ubicación
geográfica
- Cuáles son los costos de la contratación y si existió una consulta
previa ante la Dirección Nacional de Protección de Datos
Personales.
Todo ello da cuenta de que la ONG manifiesta un temor fundado en que Amazon
pueda acceder a la información sensible de los argentinos y utilizarla, ya sea para
beneficio propio o para vender a terceros.
La soberanía de un Estado también es representada por los datos personales de
los titulares, ciudadanos argentinos, que podrían a través de este Memorándum
ser comercializados y cedidos en el exterior sin los resguardos esenciales de
privacidad que las leyes indican. La vaguedad de las normas, siempre pueden dar
lugar a abusos sobre la privacidad e intimidad, abrirnos al mundo como Estado
que busca el crecimiento económico no tiene nada de malo siempre y cuando
existan los resguardos debidos para el tráfico de información personal. Argentina
es considerado internacionalmente como un país con legislación adecuada en lo
que respecta a protección de datos personales, la idea sería continuar con esa
adecuación y a la vez continuar también propiciando el crecimiento pero no a
costa de sacrificar la información personal, la intimidad y la privacidad de los
ciudadanos argentinos.”2

22
www.protegetusdatos.org/articulos/93-proteccion-de-datos/83-cecion-de-la-soberania-argentina

7
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

Es decir, a pesar de que los servicios ofrecidos en la nube, son un excelente

beneficio, tanto para los particulares, como para las empresas, una de los
razones principales y dudas que existen a la hora de utilizar el servicio en la nube,
es la implicancia de los datos personales, y a la hora de subir información no
existe una debida protección de los mismos, Esto está dado, porque al tratarse
de una empresa norteamericana, no goza con el mismo sistema de protección de
datos, que la argentina. Hay que tener en cuenta que debe existir,
necesariamente, una relación jurídica que vincule, al responsable, al cliente y al
encargado del tratamiento de los datos personales.
En tanto que, por la falta de vinculación jurídica, veríamos violentado los
derechos de la privacidad del ciudadano argentino, no respetando y vulnerando lo
que establece la ley 25.326 de Protección de los datos personales,
En sus artículos:
Capítulo I
ARTÍCULO 1° — (Objeto). La presente ley tiene por objeto la protección integral
de los datos personales asentados en archivos, registros, bancos de datos, u
otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados
destinados a dar informes, para garantizar el derecho al honor y a la intimidad de
las personas, así como también el acceso a la información que sobre las mismas
se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la
Constitución Nacional. Las disposiciones de la presente ley también serán
aplicables, en cuanto resulte pertinente, a los datos relativos a personas de
existencia ideal. En ningún caso se podrán afectar la base de datos ni las fuentes
de información periodísticas.
Capítulo II Artículos 5º y 6º
ARTÍCULO 5° — (Consentimiento). 1. El tratamiento de datos personales es ilícito
cuando el titular no hubiere prestado su consentimiento libre, expreso e
informado, el que deberá constar por escrito, o por otro medio que permita se le
equipare, de acuerdo a las circunstancias. El referido consentimiento prestado
con otras declaraciones, deberá figurar en forma expresa y destacada, previa
notificación al requerido de datos, de la información descrita en el artículo 6° de la
presente ley. 2. No será necesario el consentimiento cuando: a) Los datos se
obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio
de funciones propias de los poderes del Estado o en virtud de una obligación
legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional
de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento
y domicilio; d) Deriven de una relación contractual, científica o profesional del
titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se
trate de las operaciones que realicen las entidades financieras y de las

8
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

informaciones que reciban de sus clientes conforme las disposiciones del artículo
39 de la Ley 21.526.
ARTÍCULO 6° — (Información). Cuando se recaben datos personales se deberá
informar previamente a sus titulares en forma expresa y clara: a) La finalidad para
la que serán tratados y quiénes pueden ser sus destinatarios o clase de
destinatarios; b) La existencia del archivo, registro, banco de datos, electrónico o
de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;
c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le
proponga, en especial en cuanto a los datos referidos en el artículo siguiente; d)
Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la
inexactitud de los mismos; e) La posibilidad del interesado de ejercer los derechos
de acceso, rectificación y supresión de los datos.

No garantizando en el memorándum, los derechos de los ciudadanos, adquiridos

por los Artículos 9º, 10º, 11º de la presente ley.
ARTÍCULO 9° — (Seguridad de los datos).
1. El responsable o usuario del archivo de datos debe adoptar las medidas
técnicas y organizativas que resulten necesarias para garantizar la seguridad y
confidencialidad de los datos personales, de modo de evitar su adulteración,
pérdida, consulta o tratamiento no autorizado, y que permitan detectar
desviaciones, intencionales o no, de información, ya sea que los riesgos
provengan de la acción humana o del medio técnico utilizado.
2. Queda prohibido registrar datos personales en archivos, registros o bancos
que no reúnan condiciones técnicas de integridad y seguridad.
ARTÍCULO 10. — (Deber de confidencialidad).
1. El responsable y las personas que intervengan en cualquier fase del
tratamiento de datos personales están obligados al secreto profesional respecto
de los mismos. Tal obligación subsistirá aun después de finalizada su relación con
el titular del archivo de datos.
2. El obligado podrá ser relevado del deber de secreto por resolución judicial y
cuando medien razones fundadas relativas a la seguridad pública, la defensa
nacional o la salud pública.
ARTÍCULO 11. — (Cesión).
1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el
cumplimiento de los fines directamente relacionados con el interés legítimo del
cedente y del cesionario y con el previo consentimiento del titular de los datos, al
que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o
los elementos que permitan hacerlo.
9
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

2. El consentimiento para la cesión es revocable.

3
3. El consentimiento no es exigido cuando:
a) Así lo disponga una ley;
b) En los supuestos previstos en el artículo 5° inciso 2; 5
c) Se realice entre dependencias de los órganos del Estado en forma
directa, en la medida del cumplimiento de sus respectivas competencias;
d) Se trate de datos personales relativos a la salud, y sea necesario por
razones de salud pública, de emergencia o para la realización de estudios
epidemiológicos, en tanto se preserve la identidad de los titulares de los
datos mediante mecanismos de disociación adecuados;
e) Se hubiera aplicado un procedimiento de disociación de la información,
de modo que los titulares de los datos sean inidentificables
4. El cesionario quedará sujeto a las mismas obligaciones legales y
reglamentarias del cedente y éste responderá solidaria y conjuntamente por la
observancia de las mismas ante el organismo de control y el titular de los datos de
que se trate.
Según declaraciones de Beatriz Busaniche.

“Uno de los temas que están en la agenda, y que Argentina se puso al hombro, es
el de las regulaciones del comercio electrónico. El Gobierno de Macri apoya la
posición de Estados Unidos, que es la de los grandes de la industria. Quieren
prohibir aduanas en bienes digitales, que no haya ninguna discriminación para las
empresas electrónicas, habilitar los flujos de datos transfronterizos, sin protección
de datos. Que las empresas no tengan ninguna regulación para llevarse datos de
un país a otro”3

Nuevamente, pondríamos en peligro los derechos de la privacidad del ciudadano,

incumpliendo lo que establece la ley 25.326 en:
ARTÍCULO 12°. — (Transferencia internacional).
1. Es prohibida la transferencia de datos personales de cualquier tipo con países
u organismos internacionales o supranacionales, que no proporcionen niveles de
protección adecuados.
2. La prohibición no regirá en los siguientes supuestos:
a) Colaboración judicial internacional;

3
Beatriz Busaniche. Especialista en el mercado informático e integrante de la Fundación Vía Libre, según declaraciones a Página 12

10
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

4
b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del
afectado, o una investigación epidemiológica, en tanto se realice en los términos
del inciso e) del artículo anterior;
c) Transferencias bancarias o bursátiles, en lo relativo a las transacciones
respectivas y conforme la legislación que les resulte aplicable;
d) Cuando la transferencia se hubiera acordado en el marco de tratados
internacionales en los cuales la República Argentina sea parte;
e) Cuando la transferencia tenga por objeto la cooperación internacional entre
organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo
y el narcotráfico.
Por otra parte el ministerio aseguro “…Que no corrían riesgo los datos, ya que no
se compartiría base de datos y ninguna información sensibles, remarcando que es
un acuerdo marco, donde se establecen lineamientos…”

Ponencias diversas sobre el memorándum

“Si bien no resulta censurable el objetivo de que el Estado adopte prácticas más
eficientes para llevar a cabo sus tareas, las medidas para implementar dicha meta
deben tener en cuenta estándares de privacidad y seguridad para el resguardo de
los datos y la información”. “Uno de los desafíos del Estado es custodiar la
soberanía de los datos personales de sus ciudadanos a través de políticas que
eviten que los mismos queden a merced de abusos por parte de entidades
extranjeras, sean de carácter público o privado. Por eso creemos que debe
monitorearse con sumo cuidado todo proceso de modernización que involucre la
posibilidad de que información pública o datos de argentinas y argentinos sean
almacenadas en servidores ubicados fuera del país”4.
“Los clientes deberían reclamar al Gobierno que cambie la legislación, para que
pongan sus datos donde quieran, como sucede en Europa” afirmó Michael Punke,
vicepresidente de Política Pública Mundial de AWS.

Conclusión

4
Valeria Milanes, Directora del área Digital de ADC.

11
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

Si bien la modernización ha traído consigo varios beneficios, como los avances

tecnológicos, la facilitación del trabajo, rapidez en el flujo de la información,
también acarrea o ciertos riesgos como: virus, hacker, falta de privacidad,
comercialización de datos, etc.

Para finalizar este trabajo, debemos tener en cuenta varios aspectos…

Primero, el memorándum no nos ofrece con claridad la ubicación de los datos, por
lo tanto corremos riegos y nos encontramos desprotegidos, ya que el estado le
otorga la soberanía tecnológica a una multinacional, que no se hace responsable
por la divulgación de los datos personales.
Segundo, es totalmente innecesario, ya que la Argentina cuenta con una nube
pública llamada ARSAT (Empresa satelital estatal Argentina, titular de los
derechos para la operación y comercialización); que posee todos los resguardos y
las políticas de ciberseguridad, con una dinámica permanente, donde
continuamente se están migrando datos, teniendo hosteadas aproximadamente
más de 500 aplicaciones entre municipios, provincias, etc.

Tercero, queda mucho por trabajar, para asegurar el cumplimiento de la ley sobre
protección de la privacidad de datos personales.

Bibliografía

12
SEGURIDAD Y PRIVACIDAD DE DATOS EN LA NUBE

Realizado por: María Candelaria Fuentes

http://www.comunicarseweb.com.ar/noticia/solicitan-informacion-sobre-el-
convenio-entre-amazon-y-el-ministerio-de-modernizacion

https://es.wikipedia.org/wiki/Almacenamiento_en_nube

http://www.iprofesional.com/notas/265337-amazon-inversiones-oficina-
bahia-blanca-infraestructura-ecommerce-Amazon-se-instala-en-la-Argentina-
nuevos-datos-sugieren-que-montara-un-datacenter-en-Bahia-Blanca-tras-
descartar-a-Chile

https://www.pagina12.com.ar/50012-dime-que-eres-y-se-lo-dire-a-amazon

https://adcdigital.org.ar/2017/08/22/novedades-sobre-el-acuerdo-entre-el-
ministerio-de-modernizacion-y-aws/

https://www.protegetusdatos.org/articulos/93-proteccion-de-datos/83-
cesion-de-la-soberania-argentina-que-se-esconde-detras-del-memorandum-
firmado-entre-modernizacion-y-amazon-web-services-aws

https://www.infobae.com/tecno/2017/07/18/el-gobierno-firmo-un-acuerdo-de-
cooperacion-con-amazon/

13