Deficiencias en la protección de datos en el cómputo en la nube

• Falta de responsabilidad por parte de quienes son encomendados para ejecutar un contrato de cómputo en la nube, en el sentido de no estar actualizados en materia tecnológica y jurídica.

• Falta de iniciativa por parte del servidor público para estudiar los aspectos básicos de la protección de datos personales en el cómputo en la nube.

• Poca sinergia entre encargado, responsable y administrador respecto del manejo y establecimiento de cláusulas contractuales y elaboración de los anexos técnicos.

57Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Diario Oficial de la Federación, México, 26 de enero de 2017, Disponible en: https://www.gob.mx/sfp/articulos/sfp- comprometida-con-la-proteccion-de-datos-personales-144568. Fecha de consulta (29 de noviembre de 2019

137

• Especulación respecto de la emisión de cláusulas que garantizan el correcto resguardo de los datos personales que se recaban.

• Desconocimiento o evasión del riesgo existente y las posibles consecuencias para los interesados; responsable, titular y encargado.

• Vulnerabilidad de los datos ante el atraso tecnológico.

• Poca seguridad en los datos y aumento en la violación de los mismos a causa de los ataques cibernéticos y del ciberdelito.

• Incertidumbre respecto de las medidas de seguridad para el tratamiento de datos, afectando de manera significativa los derechos de los interesados en la contratación de cómputo en la nube.

• Insolvencia por parte del responsable o encargado para identificar delitos mayores relacionados con el uso incorrecto de datos personales en las etapas de recopilación, almacenamiento, uso y tratamiento.

• Violación de datos debido a la vulnerabilidad tecnológica al interior de las dependencias por amenazas de robo de datos.

La guía que emite el INAI para contratar cómputo en la nube se basa en lo establecido en el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

4.4. Conclusiones

Con la entrada en vigor, en enero de 2017, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, el marco jurídico existente incluyó deberes y obligaciones para el tratamiento de datos personales, considerando el desarrollo tecnológico para recabar, procesar, tratar o transmitir grandes volúmenes de información y es aquí donde el responsable juega un papel importante ya que se requiere que éste tenga pleno conocimiento de las políticas de protección de datos personales aunado a la importancia que representa la confidencialidad en la protección de datos.

Si bien mediante los avisos de privacidad, INFOTEC informa a los titulares de la información qué datos recaba, el uso y fin que se les dará y, con ello recaba el consentimiento de los titulares, resulta fundamental que no sólo se guarde la

138 confidencialidad, sino que se recomienda que, mediante un acuerdo de confidencialidad, integrado como anexo dentro del contrato, se implementen las medidas técnicas y organizativas necesarias para garantizar la confidencialidad.

Como vimos a lo largo, del presente trabajo, en la contratación de servicios de cómputo en la nube, intervienen diversos actores y diversas áreas al interior de la Institución: área requirente, técnica, contratante, comité o subcomité y usuarios finales; razón por la cual, se recomienda capacitar a todos los involucrados en la comprensión de la normativa en materia de protección de datos personales tanto en posesión de sujetos obligados como particulares, recordemos que INOFTEC juega ambos papeles, reforzar la contratación del servicio con el establecimiento de cláusulas que obliguen a los proveedores a incluir medidas de seguridad estrictas ya sea de infraestructura o accesos en la recopilación almacenamiento y uso de la información.

En apego al Manual Administrativo de Aplicación General en Materia de Tecnologías de la información y Seguridad de la Información, designar administradores de contrato que no solamente vigilen los aspectos técnicos, sino que también, conozcan la normatividad aplicable en la materia para garantizar que los servicios que proporciona INFOTEC ya sea servicios de infraestructura, coubicación y bóveda de medios, centro de datos, seguridad de la información, administración de servidores, procesamiento y almacenamiento, virtualización, telecomunicaciones, bases de datos y servidores de aplicaciones, monitoreo de infraestructura, central de mesas de servicio, correo electrónico, análisis de riesgos, análisis de vulnerabilidades, respaldo y resguardo de información, respaldo y recuperación de información, gestión de almacenamiento, gestión de procesamiento e implementación de servidores de bases de datos y servidores de aplicaciones, garanticen a sus clientes, en todo momento, el cumplimiento de la normatividad aplicable y sobre todo, la seguridad de la información.

134

Conclusiones

140

Conclusiones

Como pudimos apreciar a lo largo de cuatro capítulos, los actores que intervienen en un contrato administrativo de prestación de servicios de cómputo en la nube, son diversos y de diversas áreas, técnica, jurídica, administrativa, personal de apoyo, usuarios, proveedores, administradores, incluso, fiscalizadores; por lo que, dado que la protección de los datos personales es un derecho contemplado en nuestra carta magna, máximo instrumento jurídico, es que se debe prestar especial atención a su tratamiento, implementando medidas de seguridad ya sea físicas, administrativas o de infraestructura, capacitar a los actores que intervienen en los procesos, concientizando e incentivando la protección de los datos. Lo que podría convertirse en una ardua labor, ya que los procesos desde la elaboración de las necesidades, plasmarlo en el anexo técnico, pasando por el proceso de contratación, elaboración de contrato y administración es éste, exigen el conocimiento de normatividad de diversas disciplinas, expertos en derecho, en tecnologías de la información e involucran distintas disciplinas.

Labor que no es imposible si se comienza con una lista de verificación o check list de los puntos básicos, medulares y necesarios para contar con un contrato de servicios de cómputo en la nube seguro, práctico y funcional y continuar con capacitación constante al interior de la administración púbica e implementando controles de vigilancia, que si bien, en materia de tecnologías de la información y seguridad de la información, existe un manual administrativo de aplicación general con procesos, tareas y responsables perfectamente definidos; resulta necesario, involucrar a todos los actores en todas la tareas, lo que tendría como resultad confianza en las instituciones y la certeza de que los datos personales que se proporcionen al realizar un trámite o solicitar un servicio al gobierno, este cuenta con los filtros, personal y recursos técnicos idóneos para su protección.

Bibliografía

Agencia española de Protección de datos, ¿Qué es el derecho a la portabilidad?, 2018, https://www.aepd.es/es/prensa-y-comunicacion/blog/que-es-el- derecho-la-portabilidad

Amazon Web Services, Seguridad en la nube, Infraestructura y servicios que elevan su seguridad en la nube, https://aws.amazon.com/es/security/introduction-to- cloud-security

Carlos Matute González, El Universal, Compañía periodística Nacional, S.A. de C.V., ¿Para qué sirven las licitaciones públicas?

https://www.eluniversal.com.mx/articulo/carlos-f-matute- gonzalez/nacion/para-que-sirven-las-licitaciones-publicas

Criterios Técnicos para la Contratación, por parte de los sujetos obligados, de adquisiciones y arrendamiento de bienes muebles, prestación de servicios, de obras públicas y servicios relacionados con las mismas”, Diario Oficial de la Federación, 27 de septiembre de 2017.

Delia Ferreira Rubio, Transparencia Internacional, Percepción de transparencia 2018, https://www.transparency.org/cpi2018.

European Union Agency For Cibersecurity, Beneficios, riesgos y recomendaciones

para la seguridad de la información, 2019,

https://www.enisa.europa.eu/topics/threat-risk-management/risk-

management/files/deliverables/cloud-computing-risk-assessment-spanish.

Expansión SA de CV, México, líder de cloud computing en AL, México, 2011.

https://expansion.mx/tecnologia/2011/08/24/mexico-lider-de-cloud- computing-en-al

Emiliano Nieto, Facultad de Informática, Universidad de la Plata, Diseño de aplicaciones SaaS sobre plataformas de cloud computing, 2018, http://sedici.unlp.edu.ar/bitstream/handle/10915/46834/Documento_complet o.pdf?sequence=1

Fernández Ruiz, Jorge, Derecho administrativo, 2016, México, UNAM, Instituto de Investigaciones Jurídicas.

Gómez de Lara, Fernando y Huacuja Betancourt, Sergio, 2016, La contratación de bienes, arrendamientos y servicios en la administración pública federal”, México, Universidad Panamericana.

González Sandoval, Rodrigo, 2008, La licitación pública y el contrato administrativo, México, Porrúa.

Herrera Somellera, José Luis,1997, Apunte sobre contratos administrativos, México, UNAM, Instituto de Investigaciones Jurídicas.

Horacio E. Gutiérrez, Daniel Korn, Universidad Externado de Colombia, Facilitando

“the cloud”: la regulación de la protección de datos como motor de la

competitividad nacional en América Latina.

https://revistas.uexternado.edu.co/index.php/propin/article/view/3908/4344 Instituto Nacional de Transparencia, Acceso a la Información y Protección de datos

Personales Guía para el aviso de privacidad, http://inicio.ifai.org.mx/SitePages/Guia-para-el-Aviso-de-Privacidad.aspx.

Instituto Mexicano para la Competitividad, Guía práctica de compras públicas, 2018, https://imco.org.mx/wp-

content/uploads/2013/7/Guia_de_compras_publicas_011012.pdf

Leiza Zunino, Pablo “Contratos de la administración pública”, Fondo de Cultura

Universitaria, disponible en:

https://derechopublicoadministrativo.blogspot.com/2012/03/teoria-de-las- clausulas-exorbitantes.html

Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público, Diario Oficial de la Federación México Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados, 2017, México. 10 de noviembre de 2014.

Lineamientos Generales de Protección de Datos Personales para el Sector Público, Diario Oficial de la Federación, México, 26 de enero de 2018

Lineamientos que establecen los parámetros, modalidades y procedimientos para la portabilidad de datos personales. Diario Oficial de la Federación, México, 2018.

Lineamientos para la aplicación y seguimiento de las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina

presupuestaria en el ejercicio del gasto público, así como para la modernización de la Administración Pública Federal, 2013, México.

López Elías, José Pedro, 1999, Aspectos jurídicos de la licitación pública en México, México, Instituto de Investigaciones Jurídicas UNAM.

Lucero Espinosa, Manuel, 2009, La licitación pública, 4a. ed., México, Porrúa.

Miguel Ángel Zamora y Valencia,1989, Contratos civiles, primera edición, México, Porrúa.

Miguel Recio Gayo, INAI, Principios y deberes en materia de Protección de Datos Personales,

http://metabase.uaem.mx/bitstream/handle/123456789/2525/3%20Principio s%20y%20deberes%20en%20materia%20de%20Proteccio%CC%81n%20d e%20Datos%20Personales.pdf?sequence=1.

Municipio de Zapopan, Jalisco, Gobierno de Zapopan, 2015, contrato de servicios en la nube administrados y servicios de actualización de licencias de software y soporte. https://www.zapopan.gob.mx/wp-content/uploads/2015/05/173.pdf Norma Mexicana NMX-I-27018-NYCE-2016, Tecnologías de la información-

técnicas de seguridad-código de práctica para la protección de datos personales (DP) para proveedores de servicios de nubes públicas. Diario Oficial de la Federación, 2016, México.

Oracle Corporation, Protección de datos, 2019,

https://www.oracle.com/es/database/security/

PalblaDigital S.L., Revista transformación digital, La computación en la nube en Europa y en España: una oportunidad de negocio, https://www.revistatransformaciondigital.com/2014/03/18/httpwww-

revistagestiondocumental

Paloma Aviles,2013, ContadorMX, Ejemplos de aviso de privacidad y para la

protección de datos personales en México.

https://contadormx.com/2013/05/06/ejemplos-de-aviso-de-privacidad-y- para-la-proteccion-de-datos-personales-en-mexico

Plataforma digital única del Estado Peruano gob.pe, Secretaría de Gobierno Digital

de la Presidencia del Consejo de Ministros,

https://www.gob.pe/institucion/pcm/informes-publicaciones/268665- lineamientos-para-el-uso-de-servicios-en-la-nube-para-entidades-de-la- administracion-publica-del-estado-peruano.

Privacy Driver, Responsabilidad del tratamiento en la mediación de seguros, Ley Orgánica 15/1999, de 13 de diciembre 1999, de Protección de Datos de Carácter Personal, https://www.privacydriver.com/es/responsabilidad-del- tratamiento-mediacion-seguros-c356

Reglamento de la Ley Federal de Protección de Datos en Posesión de Particulares, Diario Oficial de la Federación, 2011, México.

Rabindranath Guadarrama Martínez, Secretaría de Gobernación, Orden jurídico Nacional, Antecedentes de la Ley federal de Transparencia y acceso a la

información pública gubernamental,

http://www.ordenjuridico.gob.mx/Congreso/pdf/39.pdf.

Ricard Martínez “LOPD y Seguridad”, Cloud en el nuevo reglamento mexicano de protección de datos, España, 2011. http://lopdyseguridad.es/11

Sala, Vicente, 1873, Diccionario latino-español, París, Librería de Garnier Hermanos.

Sarabia Miramontes, Grecia, 2003, Gestión de obra pública en México: contratos de obra pública y Pidiregas, México, Universidad de las Américas Puebla.

Secretaría de Economía, Prosoft industria 4.0 mx, Guía para empresas en materia de Protección de Datos Personales en el uso de Cómputo en la Nube, https://prosoft.economia.gob.mx/Imagenes/ImagenesMaster/Estudios%20Pr osoft/FREF_33.pdf

Secretaría de Gobernación, Acuerdo por el que se modifican las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como el Manual Administrativo de Aplicación General en dichas materias, México, Diario Oficial de la Federación, 4 de febrero de 2016.

Secretaría de Hacienda y Crédito Público, Lineamientos para la aplicación y seguimiento de las medidas para el uso eficiente, transparente y eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio