2. Guía para empresas
en materia de
protección de datos
personales en el uso
del cómputo en la
nube (“cloud
computing”)
CIRCUITO
TECNOLÓGICO
Pablo CORONA
3. Guía para empresas en materia de protección de datos personales en el
uso del cómputo en la nube (“cloud computing”)
OBJETIVO GENERAL
• Generar una guía práctica dirigida a las empresas mexicanas que les permitirá
conocer qué implicaciones tiene la adopción de servicios de cómputo en la
nube (“cloud computing”), prestando especial atención a la protección de
datos personales y a la seguridad de la información, al tiempo de que también
vean la oportunidad de convertirse en prestadores de estos servicios dirigidos
a las empresas de TI.
• Además, la guía puede ser utilizada, en su caso, como una lista de
comprobación o checklist para que las empresas revisen por sí mismas su
estado de cumplimiento en las diferentes áreas del Derecho de las TIC y, por
último, también para realizar un análisis de riesgos en la contratación de
productos y servicios en la nube.
4. OBJETIVOS ESPECÍFICOS
• Ayudar a las empresas mexicanas a cumplir con la normatividad sobre
protección de datos personales y otras áreas de Derecho de las TIC.
• Fomentar la adopción de servicios del cómputo en la nube (“cloud
computing”).
• Facilitar que las empresas mexicanas puedan comprender las
implicaciones jurídicas del cómputo en la nube.
• Dotar a las empresas mexicanas de una herramienta que les permita
hacer un uso seguro y efectivo de las TIC.
5. ESTUDIO SOBRE EL USO DEL CÓMPUTO
EN LA NUBE EN MÉXICO
• Estudio a 250 MiPyMEs mexicanas
(respondieron 214 organizaciones)
• Encuesta por medios electrónicos y
telefónicos
• 10 preguntas
• Checklist con 250 preguntas
6.
7. Cómputo en la nube
Servicios en
la nube
CRM
Email
Masivo
Servicios
de
escritorio Bases de
datos
Otros
servicios
8. • La adopción del cómputo en la nube entre
las MiPyMEs mexicanas avanza, aunque no
de manera acelerada
– falta de presupuesto o de personal de
Tecnologías de la Información (TI)
– Temor a fugas de información sensible y mal
manejo
– desconocimiento de la nube en sí misma
– mala conectividad
9. • 27,10% hacen uso del Cloud Computing
• 28% más piensa usarlo en los siguientes 12
meses
• 25,2% no planea utilizarlo
• 19,70% desconoce el uso que sus empleados
están haciendo en su casode dispositivos
móviles para acceder a la información
10. Datos personales en la nube
• De las empresas que usan el cómputo en la nube, tratan
datos personales:
– 40% sí los trata;
– 32,3% sólo maneja datos personales en sistemas en
sitio;
– 6,3% dijo no hacerlo por la existencia de riesgos
legales;
– 7,3% no los trata por la existencia de riesgos en
materia de seguridad de los datos ;
– 3,6% no lo hace por riesgos para la confidencialidad.
11. • 83.4% indican haber adoptado las medidas
necesarias para identificar riesgos en
materia de protección de datos personales y
para minimizar dichos riesgos.
Conclusión: necesidad de concientizar a las MiPyMEs
mexicanas sobre las implicaciones del uso de servicios de
cómputo en la nube, tanto por lo que se refiere al
cumplimiento legal y regulatorio como a los beneficios que
puede tener dicho uso.
12. Oportunidades
• Aspectos tecnológicos:
– Estandarización Estándares tanto nacionales como internacionales que
sean compatibles.
– Interoperabilidad Conforme a la definición dada en el Esquema de
Interoperabilidad de Datos Abiertos de la Administración Pública Federal,
en la fracción XVIII de su artículo segundo; así como desde el punto de vista
de los clientes.
• Tendencias tecnológicas que requieren de una especial atención en
materia de protección de datos personales y seguridad de la
información:
– El internet de las cosas (internet of things)
– Los tratamientos masivos de datos (Big Data)
– Los Sistemas Operativos Urbanos (smart cities)
13. Cómo elegir un proveedor
• Uso de canales seguros y con cifrado
• Adecuado manejo de llaves
• Revisar términos del contrato, que comprometa al
proveedor a proteger y tratar los datos en términos de la
legislación local
• Proveedores certificados en el tratamiento de datos,
seguridad de la información, datos personales
• El proveedor de servicios de cómputo en la nube se
abstiene de incluir condiciones relativas a la prestación del
servicio que le autoricen o permitan asumir la titularidad o
propiedad de la información sobre la que presta el servicio
14. Conclusiones
• Poco conocimiento sobre qué figura tiene
(Responsable o encargado)
• Necesidad de mayor penetración de banda
ancha
• Contar con proveedores confiables
• Concientizar sobre riesgos y beneficios
• Aprovechar oportunidades de negocio para
PyMEs
• Apego a la LFPDPPP
15. Factores para determinar los
controles de seguridad
Número de titulares
Vulnerabilidades
previas ocurridas en los
sistemas de
tratamiento
Riesgo de tratamiento
no autorizado por
parte de terceros
Otros factores que
resulten de otras leyes
o regulación aplicable
al responsable
El riesgo inherente
por tipo de dato
personal
La sensibilidad
de los datos
personales
tratados
El desarrollo
tecnológico
Las posibles
consecuencias de
una vulneración
para los titulares
16. Reglamento de la LFPDPPP
Tratamiento de datos personales en el
denominado cómputo en la nube
• Artículo 52. Para el tratamiento de datos
personales en servicios, aplicaciones e
infraestructura en el denominado cómputo
en la nube, en los que el responsable se
adhiera a los mismos mediante condiciones
o cláusulas generales de contratación
17. Cómputo en la nube y LFPDPPP
¿Qué hacer?
Apego a la
legislación local
no importando
dónde está la
infraestructura
El responsable no
puede deslindarse
de su
“responsabilidad” y
mantiene la
obligación de
proteger los datos
Realizar
análisis de
riesgos
derivado de
trabajar en la
nube
REVISAR los
términos y
condiciones del
servicio por
parte del
proveedor
Formalizar
acuerdos con el
proveedor
18. GRACIAS
Pablo CORONA FRAGA
Gerente Certificación SGTI
Normalización y Certificación Electrónica S.C.
1204 5191 ext 427
pcoronaf@nyce.org.mx
@pcoronaf