Puede que dentro de las informaciones que se pretendan subir a la nube se en- cuentren bases de datos de personas naturales.
Se considera que los órganos de la Administración pueden contratar esta clase de servicios, en la medida que se tomen ciertas prevenciones.
En este sentido, conviene recordar que, de conformidad a Ley N° 19.628 sobre protección a la vida privada, los órganos pueden tratar datos personales respecto de las materias de su competencia y sin consentimiento del titular30, en la medida que cumplan con los principios y normas que establece dicha ley. En este contex- to, “[los] órganos o servicios públicos, en conformidad a lo dispuesto en el artículo
8° de la Ley N° 19.628, [pueden] encargar el tratamiento de los datos a un tercero, que tendrá la calidad de mandatario”31.
Ahora, una vez hecho el análisis sugerido en el punto II.4., y en caso que se deci- da contratar un prestador de servicio cloud, alojando en sus sistemas datos prote- gidos por la Ley N° 19.628, se deben tomar una serie de resguardos contractua- les32.
29 Sobre el tema del tratamiento de datos personales por parte de los órganos del Estado, se sugie-
re consultar CONSEJO PARA LA TRANSPARENCIA, ‘Recomendaciones del Consejo para la Transparen-
cia sobre protección de datos personales por parte de los órganos de la Administración del Estado’.
Santiago, 5 de septiembre de 2011. Disponible en línea en: <http://bit.ly/Vbb9hs> [Visitado: 22 de
noviembre de 2012].
30 Artículo 20 de la Ley N° 19.628. En este mismo sentido, véase CONTRALORÍA GENERAL DE LA RE-
PÚBLICA, Dictamen N° 43.866 de 3 de octubre de 2003. 31 C
ONSEJO PARA LA TRANSPARENCIA, ‘Recomendaciones del Consejo para la Transparencia sobre
protección de datos personales por parte de los órganos de la Administración del Estado’. Op.Cit., p. 15.
32 En este sentido, cabe recordar que la jurisprudencia de Contraloría requiere a los órganos de la
En efecto, en el caso de contratar servicios cloud se hace necesario que el contra- to con dicho proveedor cumpla con las siguientes condiciones:
(a) Que sea otorgado por escrito;
(b) Que dicho instrumento deje especial constancia de las condiciones de la utili- zación de los datos por parte del proveedor del servicio cloud;
(c) Que el contrato contenga cláusulas que:
(i) Obliguen al prestador para a adoptar “[…] los resguardos necesarios
para que tal información no sea utilizada en finalidades distintas a las deseadas por el servicio”33;
(ii) Protejan la debida confidencialidad de los datos, a fin de que “…no se
vulneren, además, las disposiciones que regulan la información de ca- rácter secreto o reservado”34. Particular atención se debe poner al ar- tículo 7 de la Ley N° 19.628, el que obliga a las personas que están en el tratamiento de los datos (en este caso, el prestador del servicio
cloud), a guardar reserva o secreto de los datos que están siendo obje-
to de tratamiento35; y
(iii) Ordenen al prestador del servicio adoptar, en su calidad de mandatario,
“[…] todas las medidas, tanto organizativas como técnicas, para res-
LORÍA GENERAL DE LA REPÚBLICA, Dictamen N° 43.866 de 3 de octubre de 2003 y Dictamen N°
57.623 de 22 de noviembre de 2004.
33 CONTRALORÍA GENERAL DE LA REPÚBLICA, Dictamen N° 43.866 de 3 de octubre de 2003 y Dicta-
men N° 57.623 de 22 de noviembre de 2004.
34 C
ONTRALORÍA GENERAL DE LA REPÚBLICA, Dictamen N° 43.866 de 3 de octubre de 2003.
35 “Artículo 7°.- Las personas que trabajan en el tratamiento de datos personales, tanto en orga-
nismos públicos como privados, están obligadas a guardar secreto sobre los mismos, cuando pro- vengan o hayan sido recolectados de fuentes no accesibles al público, como asimismo sobre los demás datos y antecedentes relacionados con el banco de datos, obligación que no cesa por haber terminado sus actividades en ese campo.”
guardar la integridad, confidencialidad y disponibilidad de los datos con- tenidos en sus registros con la finalidad de evitar la alteración, pérdida, transmisión y acceso no autorizado de los mismos”36. Lo anterior, aten-
dido al deber legal del responsable de las bases de cuidar de tales da- tos con la debida diligencia, haciéndose responsable de los daños (ar- tículo 11 de la Ley N° 19.62837)
(iv) Que hagan civilmente responsable al prestador del servicio cloud acer- ca de la filtración o uso inadecuado de los datos personales que le son confiados38.
(v) Que obliguen al prestador del servicio y sus empleados cumplir con las disposiciones establecidas por la Ley N° 19.62839.
El mandato a que se hace referencia debe ser parte integrante del instrumento donde consta el contrato de prestación de servicios cloud.
Más allá de que pueda contratarse esta clase de servicios, cabe precisar que lo
anterior no faculta a los servicios públicos a ceder o transferir tales datos personales al prestador del servicio40. Por lo mismo, se debe tomar especial cuidado de que quede absolutamente claro que la propiedad sobre tales bases de
36 CONSEJO PARA LA TRANSPARENCIA, ‘Recomendaciones del Consejo para la Transparencia sobre
protección de datos personales por parte de los órganos de la Administración del Estado’. Op.Cit., p. 15.
37 “Artículo 11.- El responsable de los registros o bases donde se almacenen datos personales con
posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose respon- sable de los daños.”
38 C
ONSEJO PARA LA TRANSPARENCIA, ‘Recomendaciones del Consejo para la Transparencia sobre
protección de datos personales por parte de los órganos de la Administración del Estado’. Ibídem.
39 CONSEJO PARA LA TRANSPARENCIA, ‘Recomendaciones del Consejo para la Transparencia sobre
protección de datos personales por parte de los órganos de la Administración del Estado’. Ibídem.
datos se mantienen en el servicio público y, bajo ninguna circunstancia, son cedi- das al prestador del servicio cloud.41