Privacidad de datos en Sudáfrica

Información general

La Ley de Protección de Datos Personales (PoPIA) regula la recopilación, el uso y el tratamiento de los datos personales recopilados de una persona física, viva e identificable y, cuando proceda, de una persona jurídica, existente e identificable en Sudáfrica. Establece las condiciones para el tratamiento legal de la información personal. El Regulador de la Información de Sudáfrica supervisa y aplica la PoPIA, entre otras responsabilidades.

Flujo de datos entre fronteras
 El artículo 72 de la PoPIA permite la transferencia de información personal fuera de Sudáfrica, sujeto a las siguientes condiciones:

  • el tercero que es el destinatario de la información está sujeto a una ley, a normas corporativas vinculantes o a un contrato vinculante que proporciona un nivel de protección adecuado (según se describe en el PoPIA)
  • el titular de los datos autoriza la transferencia;
  • la transferencia es necesaria para la ejecución de un contrato entre el titular de los datos y el responsable, o para la implementación de medidas precontractuales adoptadas en respuesta a la solicitud del titular de los datos; 
  • la transferencia es necesaria para la formalización o ejecución de un contrato celebrado en interés del titular de los datos entre el responsable y un tercero; o 
  • la transferencia es para beneficiar al titular de los datos, conforme a lo establecido por la PoPIA.
 
AWS vela por la privacidad y la seguridad de los datos de sus clientes. En AWS, la seguridad empieza en nuestra infraestructura central. Diseñada específicamente para la nube y para cumplir los requisitos de seguridad más exigentes del mundo, nuestra infraestructura se supervisa ininterrumpidamente para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de talla mundial que supervisan esta infraestructura crearon y mantuvieron nuestra amplia selección de servicios de seguridad innovadores, que pueden ayudarle a satisfacer sus propias exigencias normativas y de seguridad. Como cliente de AWS e independientemente de su tamaño o ubicación, cuenta con todas las ventajas de nuestra experiencia, probada en los entornos de seguridad más estrictos de terceros.
 
AWS implementa y mantiene medidas de seguridad técnicas y organizativas que se aplican a los servicios de la infraestructura de la nube de AWS en virtud de marcos y certificaciones de garantía de seguridad reconocidos en todo el mundo, entre ellos: ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Estas medidas técnicas y de seguridad las validaron asesores independientes de terceros y están diseñadas para impedir el acceso no autorizado a los datos de clientes o su divulgación.

Por ejemplo, la norma ISO 27018 es el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información de la ISO 27002 y ofrece directrices de aplicación sobre los controles de la ISO 27002 aplicables a información de identificación personal (PII) procesada por proveedores de servicios de nube públicos. Esto demuestra a los clientes que AWS cuenta con un sistema de controles que aborda específicamente la protección de la privacidad de su contenido.

Estas medidas técnicas y organizativas integrales de AWS son coherentes con el objetivo de la PoPIA, que es proteger la información personal. Los clientes de AWS mantienen el control sobre su contenido que cargan en los servicios de AWS y son responsables de implementar medidas de seguridad adicionales en función de sus necesidades específicas, como el cifrado, la clasificación del contenido, la administración del acceso y las credenciales de seguridad.

AWS no tiene visibilidad ni conocimiento de lo que los clientes cargan en los servicios de AWS. Los clientes de AWS son, en última instancia, responsables de cumplir con la PoPIA y las normativas relacionadas. El contenido de esta página complementa los recursos de privacidad de datos existentes para ayudarlo a alinear sus requisitos con el modelo de responsabilidad compartida de AWSa la hora de procesar datos personales con servicios de AWS.

  • “Información personal”: se refiere a la información sobre una persona física, viva e identificable y, cuando proceda, a una persona jurídica, existente e identificable, incluidos, entre otros, los siguientes:

    • información sobre la raza, el género, el sexo, el embarazo, el estado civil, el origen nacional, étnico o social, el color, la orientación sexual, la edad, la salud física o mental, el bienestar, la discapacidad, la religión, la conciencia, las creencias, la cultura, la lengua y el nacimiento de la persona;
    • información sobre la educación o el historial médico, financiero, penal o laboral de la persona;
    • cualquier número de identificación, símbolo, dirección de correo electrónico, dirección física, número de teléfono, información de la ubicación, identificador en línea u otra asignación particular a la persona;
    • la información biométrica de la persona;
    • las opiniones, puntos de vista o preferencias personales de la persona;
    • la correspondencia enviada por la persona que es implícita o explícitamente de naturaleza privada o confidencial, así como la correspondencia posterior que revelaría el contenido de la correspondencia original;
    • los puntos de vista u opiniones de otro individuo sobre la persona; y
    • el nombre de la persona, en caso de que aparezca con otros datos personales de la persona o si la divulgación del nombre por sí misma revelaría información sobre la persona

  • Bajo el modelo de responsabilidad compartida de AWS, los clientes de AWS mantienen el control de las medidas de seguridad que deciden implementar para proteger su contenido, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de aplicaciones ubicadas en un centro de datos en las instalaciones. Los clientes pueden aprovechar las medidas y los controles de seguridad técnicos y organizativos ofrecidos por AWS para administrar sus propios requisitos de conformidad. Los clientes pueden utilizar medidas conocidas para proteger sus datos, como el cifrado y la autenticación multifactor, además de las características de seguridad de AWS como AWS Identity and Access Management.

    Al evaluar la seguridad de una solución en la nube, es importante que los clientes comprendan y distingan entre:

    • Las medidas de seguridad que implementa y opera AWS: “seguridad de la nube”, y
    • Las medidas de seguridad que los clientes implementan y operan, relacionadas con la seguridad del contenido y las aplicaciones de sus clientes que hacen uso de los servicios de AWS: “seguridad en la nube”

  • Los clientes mantienen la propiedad y el control de su contenido y seleccionan qué servicios de AWS procesan, almacenan y albergan su contenido. AWS no puede ver el contenido del cliente y no lo usa ni accede a él salvo para proporcionar los servicios de AWS que el cliente seleccionó, o bien cuando sea necesario para cumplir con la ley o una orden legal vinculante.

    Los clientes que utilizan servicios de AWS mantienen el control de su contenido dentro del entorno de AWS. Pueden:

    • Determinar dónde se ubicará, por ejemplo, el tipo de entorno de almacenamiento y la ubicación geográfica de ese almacenamiento.
    • Controlar el formato del contenido, como por ejemplo texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado provisto por AWS o un mecanismo de cifrado de un tercero que el cliente elija.
    • Administrar otros controles de acceso, como la administración de acceso de identidad y las credenciales de seguridad.
    • Controlar si usar SSL, nube privada virtual y otras medidas de seguridad de la red para impedir el acceso no autorizado.

    Esto permite a los clientes de AWS controlar todo el ciclo de vida de su contenido en AWS y administrar su contenido de acuerdo con sus propias necesidades específicas, incluida la clasificación de contenido, el control de acceso, la retención y la eliminación.

  • Los centros de datos de AWS se encuentran repartidos en clústeres en varias ubicaciones de todo el mundo. Cada uno de nuestros clústeres de centros de datos de una ubicación determinada se conoce como “región”.

    Los clientes de AWS eligen la región (o regiones) de AWS en la que se almacenará su contenido. Esto permite a los clientes con requisitos geográficos específicos establecer entornos en las ubicaciones de su elección.

    Los clientes pueden replicar y realizar copias de seguridad del contenido en más de una Región, pero AWS no mueve el contenido del cliente fuera de la Región o regiones elegidas por el cliente, excepto para proporcionar los servicios solicitados por los clientes o cumplir con la ley aplicable.

  • La estrategia de seguridad del centro de datos de AWS se ensambla con controles de seguridad escalables y múltiples capas de defensa que ayudan a proteger la información. Por ejemplo, AWS gestiona cuidadosamente los riesgos potenciales de inundación y actividad sísmica. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un proceso de detección en profundidad para limitar el acceso a los centros de datos. Realizamos copias de seguridad de nuestros sistemas, probamos regularmente equipos y procesos, y capacitamos continuamente a los empleados de AWS para que estén listos para lo inesperado.

    Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas con respecto a más de 2600 estándares y requisitos durante todo el año. Esa revisión independiente ayuda a garantizar que los estándares de seguridad se cumplan o superen de manera consistente. Como resultado, las organizaciones más reguladas del mundo confían en AWS para proteger sus datos.

    Obtenga más información sobre cómo protegemos los centros de datos de AWS por diseño mediante un recorrido virtual »

  • Los clientes pueden usar una región, todas las regiones o una combinación de varias. Visite la página de la infraestructura global de AWS para ver una lista completa de las regiones de AWS.

  • La infraestructura de la nube de AWS está diseñada para ser uno de los entornos de informática en la nube más flexibles y seguros que están disponibles en la actualidad. La escala de Amazon permite realizar una inversión considerablemente mayor en medidas correctivas y políticas de seguridad que la que casi cualquier empresa grande podría permitirse por sí sola. Esta infraestructura se compone del hardware, el software, las redes y las instalaciones que ejecutan los servicios de AWS, lo que brinda potentes controles a los clientes y a los socios de APN, incluidos los controles de la configuración de seguridad, para el tratamiento de los datos personales. Para obtener más información sobre las medidas de AWS destinadas a mantener en todo momento niveles de seguridad elevados, consulte el documento técnico con información general sobre los procesos de seguridad de AWS.

    AWS también proporciona varios informes de conformidad de auditores externos que han comprobado y verificado que cumplimos con distintos estándares y reglamentos de seguridad, incluidas las normas ISO 27001, ISO 27017 e ISO 27018. A los fines de ofrecer transparencia en relación con la eficacia de estas medidas, proveemos acceso a los informes de auditoría externos en AWS Artifact. En estos informes, los clientes y los socios de APN (que pueden actuar como controladores de datos o procesadores de datos) pueden ver que protegemos la infraestructura subyacente sobre la que almacenan y procesan los datos personales. Para obtener más información, consulte nuestros recursos de conformidad.

Recursos sobre privacidad de datos en Sudáfrica

Uso de AWS en el contexto de las consideraciones de privacidad sudafricanas
Peticiones de información a Amazon
Amazon Web Services: información general sobre los procesos de seguridad
Preguntas frecuentes sobre ISO 27018 en AWS
Servicios de garantía de la seguridad de AWS
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »