Privacidad de datos en Argentina
Información general
La Ley de Protección de los Datos Personales de Argentina N° 25.326, incluyendo el Decreto Reglamentario N° 1558/2001 y normas complementarias (en adelante, “LPDP”), es una ley federal que aplica a la protección de los datos personales en Argentina y cuando los datos personales son transferidos internacionalmente para su procesamiento. En julio de 2018, la Agencia de Acceso a la Información Pública de Argentina (“Autoridad”) emitió la Resolución 47/2018 ("Resolución 47") bajo la LPDP, que derogó la Disposición No. 11/2006 relacionada con medidas de seguridad que los responsables de los datos (es decir, los clientes de AWS) debían tener en cuenta al procesar datos personales. La Resolución 47 describe nuevas medidas de seguridad recomendadas que están alineadas con las mejores prácticas y estándares internacionales, y están destinadas a proteger la confidencialidad e integridad de los datos personales durante su procesamiento, desde la recopilación de datos hasta la eliminación de datos. En particular, esta nueva resolución actualizó la lista de medidas y controles recomendados para administrar, planificar, controlar y mejorar la seguridad al procesar datos personales. Estas medidas de seguridad recomendadas se dividen en categorías de actividades relacionadas con el procesamiento, incluida la recopilación de datos, los controles de acceso, los controles de cambio, la copia de seguridad y la recuperación, la gestión de vulnerabilidades, la eliminación de datos, los incidentes de seguridad y los entornos de desarrollo. Además, la Resolución 47 incluye un listado de medidas de seguridad aplicables a los “datos sensibles” (según se define en la LPDP).
AWS vela por su privacidad y la seguridad de sus datos. En AWS, la seguridad empieza en nuestra infraestructura central. Diseñada específicamente para la nube y para cumplir los requisitos de seguridad más exigentes en el mundo, nuestra infraestructura se supervisa ininterrumpidamente para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de reconocimiento mundial que supervisan esta infraestructura también crean y mantienen nuestra amplia selección de servicios innovadores de seguridad, que pueden ayudarle a satisfacer sus propias exigencias normativas y de seguridad. Como cliente de AWS y sin perjuicio de su tamaño o ubicación, Usted cuenta con todos los beneficios de nuestra experiencia, la cual se mide con los más estrictos programas de seguridad de terceros.
AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de la infraestructura en la nube de AWS bajo marcos normativos y certificaciones de seguridad reconocidos mundialmente, incluyendo ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y organizativas son validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.
Por ejemplo, la norma ISO 27018 es el primer código internacional de prácticas que se focaliza en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información ISO 27002 y ofrece directrices de aplicación sobre los controles de la ISO 27002 aplicables a la información personal identificable (o Personally Identifiable Information - PII) procesada por proveedores de servicios en la nube pública. Esto demuestra a los clientes que AWS dispone de un sistema de controles orientado específicamente a la protección de la privacidad de su contenido.
Este conjunto de medidas técnicas y organizativas de AWS son consistentes con los objetivos de la LPDP y la Resolución 47 para proteger los datos personales. Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido y son responsables de implementar medidas de seguridad adicionales en función de sus necesidades específicas, incluyendo la clasificación de contenido, el cifrado, la administración del acceso y las credenciales de seguridad.
Dado que AWS no tiene una visibilidad relevante sobre el tipo de contenido que los clientes eligen almacenar en AWS, incluido si esos datos se consideran o no sujetos a la LPDP, los clientes son en última instancia responsables de su propio cumplimiento con la LPDP y las regulaciones relacionadas. El contenido de esta página complementa a los recursos existentes de privacidad de datos para ayudarle a alinear sus requisitos con el Modelo de responsabilidad compartida de AWS a la hora de procesar datos personales en centros de datos internacionales.
-
¿Qué función desempeña el cliente en cuanto a la protección de su contenido?
Bajo el Modelo de responsabilidad compartida de AWS, los clientes de AWS mantienen el control de las medidas de seguridad que deciden implementar para proteger su contenido, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de aplicaciones ubicadas en un centro de datos en sus propias instalaciones (on-premises data center). Los clientes pueden basarse en los controles y las medidas de seguridad técnicas y organizativas que ofrece AWS para administrar sus propios requisitos de cumplimiento. Los clientes pueden utilizar las medidas habituales para proteger sus datos, como el cifrado y la autenticación con factores múltiples, además de funcionalidades de seguridad de AWS, como AWS Identity and Access Management.
Al evaluar la seguridad de una solución en la nube, es importante que los clientes entiendan y distingan entre:
- Medidas de seguridad que AWS implementa y opera – "seguridad de la nube", y
- Medidas de seguridad que los clientes implementan y operan, relacionadas con la seguridad del contenido y las aplicaciones de los clientes que utilizan servicios de AWS – "seguridad en la nube"
-
¿Quién puede acceder al contenido de los clientes?
Los clientes mantienen la propiedad y el control de su contenido y seleccionan qué servicios de AWS procesan, almacenan y reciben su contenido. AWS no tiene visibilidad relevante sobre contenido del cliente y no usa ni accede al contenido salvo para proporcionar los servicios de AWS que el cliente ha seleccionado o bien cuando sea necesario para cumplir con la ley o una orden legal vinculante.
Los clientes que utilizan servicios de AWS mantienen el control de su contenido dentro del entorno de AWS. Los clientes pueden:
- Determinar dónde se guardará el contenido, como por ejemplo el tipo de entorno de almacenamiento y la ubicación geográfica del almacenamiento.
- Controlar el formato del contenido, como por ejemplo texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado provisto por AWS o un mecanismo de cifrado proporcionado por un tercero que el cliente elija.
- Administrar otros controles de acceso, como la gestión de acceso e identidad y las credenciales de seguridad.
- Controlar si se utiliza SSL, nube privada virtual y otras medidas de seguridad de la red para prevenir el acceso no autorizado.
Esto permite a los clientes de AWS controlar la totalidad del ciclo de vida de su contenido en AWS y administrarlo de acuerdo con sus necesidades específicas, incluyendo la clasificación del contenido, el control del acceso, la retención y la eliminación.
-
¿Dónde se almacenará el contenido del cliente?
La infraestructura global de AWS le brinda la flexibilidad de elegir cómo desea ejecutar las cargas de trabajo y dónde. Cuando lo hace, utiliza la misma red, plano de control, API y servicios de AWS. Si desea ejecutar las aplicaciones en todo el mundo, puede elegir entre cualquiera de las regiones de AWS y la zonas de disponibilidad. Como cliente, puede elegir las regiones de AWS en las que se almacenará su contenido, lo que le permite implementar los servicios de AWS en la ubicación que elija según los requisitos geográficos específicos. Por ejemplo, si un cliente de AWS en Australia quiere almacenar sus datos solo en dicho país, puede optar por implementar sus servicios de AWS exclusivamente en la región Asia-Pacífico (Sídney) de AWS. Si quiere descubrir otras opciones de almacenamiento flexible, consulte la página web de las regiones de AWS.
Puede replicar y respaldar el contenido de sus clientes en más de una región de AWS. No transferiremos ni replicaremos su contenido fuera de las regiones de AWS elegidas sin su aceptación, salvo en caso que sea necesario para cumplir con la ley o una orden vinculante de un organismo gubernamental. Sin embargo, cabe destacar que puede que no todos los servicios de AWS estén disponibles en todas las regiones de AWS. Para obtener más información sobre los servicios que están disponibles en las distintas regiones de AWS, consulte la página web de los servicios regionales de AWS.
Los centros de datos de AWS se encuentran repartidos en grupos en varios países alrededor del mundo. Cada uno de nuestros grupos de centro de datos es referenciado como una "región".
Los clientes de AWS eligen la región (o regiones) de AWS en la que se almacenará su contenido. De este modo, los clientes con exigencias geográficas específicas pueden establecer entornos en la ubicación (o ubicaciones) que deseen.
Los clientes pueden replicar el contenido y realizar copias de respaldo (back up) en más de una región, pero AWS no traslada el contenido de los clientes fuera de la región (o regiones) seleccionadas por el cliente excepto para proporcionar los servicios solicitados por los clientes o para cumplir con la ley.
-
¿Cómo protege AWS sus centros de datos?
La estrategia de AWS en cuanto a la seguridad de sus centros de datos se basa en controles de seguridad escalables y varios niveles de protección que contribuyen a proteger su información. Por ejemplo, AWS administra cuidadosamente riesgos potenciales de inundaciones y sismos. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un exhaustivo proceso de revisiones para limitar el acceso a los centros de datos. Hacemos copias de seguridad de nuestros sistemas, testeamos frecuentemente los equipos y procesos, y entrenamos continuamente a los empleados de AWS para que estén preparados ante lo inesperado.
Para validar la seguridad de nuestros centros de datos, auditores externos realizan pruebas sobre más de 2600 estándares y requerimientos a lo largo del año. Con este examen independiente garantizamos que los estándares de seguridad se cumplan, o incluso se superen, de forma consistente. Como resultado, las organizaciones más reguladas del mundo confían en AWS para proteger sus datos.
Obtenga más información sobre cómo protegemos los centros de datos de AWS desde el diseño realizando un recorrido virtual »
-
¿Qué región de AWS puedo utilizar?
Los clientes pueden elegir utilizar cualquier región, todas las regiones o una combinación de ellas, incluyendo las regiones de Brasil y los Estados Unidos de Norteamérica. Visite la página de Infraestructura global de AWS para obtener una lista completa de las regiones de AWS.
-
La Autoridad de Argentina ha determinado que ciertos países proporcionan un “nivel de protección adecuado” para los datos personales. ¿Tiene AWS regiones en alguno de estos países?
Bajo la LPDP, los responsables de las bases de datos personales (es decir, los clientes de AWS) pueden transferir datos personales a jurisdicciones que ofrecen un "nivel de protección adecuado" para los datos personales, conforme lo ha determinado la Autoridad. De acuerdo con la Disposición 60-E/2016 que dictó la Autoridad, se considera que los estados miembros de la Unión Europea (UE) y la Comunidad Económica Europea (CEE), entre otros, ofrecen niveles de protección adecuados para los datos personales.
AWS tiene regiones en muchos de los países que la Autoridad considera que ofrecen un "nivel de protección adecuado" en virtud de la LPDP, como Alemania, Francia, Reino Unido o Irlanda en la UE. Visite la página de Infraestructura global de AWS para obtener una lista completa de las regiones de AWS.
Con independencia de la región que Usted elija, AWS aplica los mismos estándares de seguridad a todos sus centros de datos.
-
¿Qué acuerdos de transferencia internacional de datos ofrece AWS para abordar la protección de datos personales transferidos a cualquier país, incluyendo Estados Unidos y Brasil?
En los contratos con sus clientes, AWS asume compromisos específicos de seguridad y privacidad que se aplican ampliamente al contenido de los clientes en cada región que eligen para almacenar sus datos. Los compromisos que AWS adopta son consistentes con los objetivos de la LPDP, la Disposición 60-E/2016 y la Resolución 47/2018 bajo la LPDP, para proteger los datos personales.
AWS también ofrece un acuerdo para el procesamiento internacional de datos (Data Processing Addendum, o DPA), comúnmente referido como un acuerdo de transferencia de datos, que se aplica globalmente y en el que se incluyen compromisos contractuales específicos para abordar de forma adecuada los roles y obligaciones de AWS y el cliente respecto a la privacidad y la seguridad de los datos personales.
Los clientes también pueden tener la opción de firmar un acuerdo empresarial (Enterprise Agreement) con AWS, el cual se puede adaptar para satisfacer mejor las necesidades específicas del cliente. Para obtener más información sobre el Enterprise Agreement o el DPA, póngase en contacto con su representante de ventas de AWS.