Privacidad de datos en México
Información general
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) fue publicada en julio de 2010 y regula el tratamiento de datos personales (definidos como cualquier información relativa a una persona física identificada o identificable) realizado por personas físicas o jurídicas del sector privado. Posteriormente, el Congreso de la Unión aprobó diversos reglamentos que regulan la privacidad de los datos, entre ellas la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), que norma el tratamiento de datos personales por parte del sector público. El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) es el órgano constitucional autónomo de México encargado de velar por el cumplimiento tanto de las leyes como de sus reglamentos.
En el caso del sector privado, el artículo 52 del Reglamento de la LFPDPPP establece que los responsables de los datos personales podrán utilizar servicios, aplicaciones e infraestructura en la nube siempre y cuando el proveedor de servicios en la nube cumpla con ciertos requisitos relacionados, entre otros, con la protección de la privacidad de los datos personales. En el caso del sector público, esta misma autorización está contemplada en el artículo 63 de la LGPDPPSO.
AWS se preocupa por la privacidad y la seguridad de los datos. En AWS, la seguridad comienza con nuestra infraestructura principal. Diseñada específicamente para la nube y cumplir los requisitos de seguridad más estrictos del mundo, nuestra infraestructura se supervisa de forma ininterrumpida para garantizar la confidencialidad, integridad y disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de prestigio mundial que supervisan esta infraestructura también crean y mantienen nuestra amplia selección de servicios de seguridad innovadores, que sirven para ayudar a satisfacer exigencias propias en materia de seguridad y normativa. Como cliente de AWS, cualquiera que sea su tamaño o ubicación, cuenta con todas las ventajas derivadas de nuestra experiencia, la cual se mide en función de los más estrictos programas de seguridad de terceros.
AWS implementa y mantiene medidas de seguridad técnicas y organizativas que se aplican a los servicios de infraestructura en la nube de AWS en virtud de certificaciones de seguridad y marcos normativos reconocidos a nivel mundial, incluidos, entre otros, ISO 27001, ISO 27017, ISO 27018, PCI DSS nivel 1 y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y organizativas son validadas por evaluadores externos independientes y están diseñadas para evitar tanto el acceso no autorizado como la divulgación de los contenidos de los clientes.
Por ejemplo, la norma ISO 27018 es el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información ISO 27002 y proporciona directrices sobre la aplicación de los controles previstos en la norma ISO 27002 que se aplican a la información de identificación personal (IIP) tratada por los proveedores de servicios en la nube pública. Esto demuestra a los clientes que AWS dispone de un sistema de controles específicamente orientado a proteger la privacidad de los contenidos.
Las medidas técnicas y organizativas de AWS se ajustan a los requerimientos señalados por la LFPDPPP y la LGPDPPSO en materia de protección de datos personales. Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido y son responsables de implementar medidas de seguridad adicionales en función de sus necesidades específicas, incluidas la clasificación del contenido, el cifrado, la administración del acceso y las credenciales de seguridad.
Dado que AWS no tiene visibilidad sobre el tipo de contenido que los clientes deciden almacenar en AWS, en particular si ese contenido se considera o no sujeto a la LFPDPPP y a la LGPDPPSO, los clientes son en última instancia los responsables de cumplir con la normativa. El contenido que aparece en esta página complementa los recursos existentes en materia de privacidad de datos para ayudarle a ajustarse a los requisitos establecidos en el Modelo de responsabilidad compartida de AWS al procesar datos personales en centros de datos internacionales.
Preguntas frecuentes
-
¿Es posible utilizar los servicios de AWS y cumplir con la LFPDPPP y la LGPDPPSO?
Sí. Todos los servicios de AWS se pueden utilizar de acuerdo con la LFPDPPP y la LGPDPPSO para almacenar datos personales mexicanos, incluidos los asuntos relacionados con la eliminación de datos. Esto implica que, además de obtener los beneficios derivados de todas las medidas que AWS ya toma para mantener la seguridad de los servicios, los clientes pueden implementar los servicios de AWS como un componente clave en el marco de sus planes conforme a la LFPDPPP y la LGPDPPSO.
-
¿Qué papel desempeña el cliente en la protección de sus contenidos?
Bajo el Modelo de responsabilidad compartida de AWS, los clientes de AWS mantienen el control de las medidas de seguridad que optan por implementar para proteger sus contenidos, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de las aplicaciones ubicadas en un centro de datos en instalaciones propias (centro de datos local). Los clientes pueden confiar en las medidas de seguridad y los controles técnicos y organizativos proporcionados por AWS para administrar sus propios requisitos de conformidad. Los clientes pueden utilizar medidas de seguridad habituales para proteger sus datos, como el cifrado y la autenticación multifactor, además de las características de seguridad de AWS, como AWS Identity and Access Management.
Al evaluar la seguridad de una solución en la nube, es importante que los clientes comprendan y distingan entre:
- Medidas de seguridad que AWS implementa y opera: “seguridad de la nube de AWS” y
- Medidas de seguridad implementadas y operadas por los clientes relacionadas con la seguridad del contenido y las aplicaciones de los clientes que utilizan los servicios de AWS: “seguridad en la nube del cliente”
-
¿Quién puede acceder al contenido de los clientes?
Los clientes mantienen la propiedad y el control de sus contenidos y seleccionan qué servicios de AWS procesan, almacenan y reciben sus contenidos. AWS no puede ver el contenido de los clientes y no utiliza ni accede al contenido excepto para proporcionar los servicios de AWS que el cliente ha seleccionado o según sea necesario para cumplir con la ley o una orden legal vinculante.
Los clientes que utilizan los servicios de AWS mantienen el control de su contenido dentro del entorno de AWS. Los clientes tienen la capacidad de:
- Decidir dónde se almacenará el contenido, por ejemplo, el tipo de entorno de almacenamiento y la ubicación geográfica de este.
- Controlar el formato del contenido, como texto plano, enmascarado, anonimizado o cifrado, mediante el cifrado proporcionado por AWS o un mecanismo de cifrado externo que elija el cliente.
- Administrar los controles de acceso, como la administración de la identidad y el acceso y las credenciales de seguridad.
- Controlar si se utiliza TLS, la nube privada virtual y otras medidas de seguridad de la red para evitar el acceso no autorizado.
Esto permite a los clientes de AWS controlar todo el ciclo de vida de su contenido en AWS y administrarlo según sus necesidades específicas, como la clasificación del contenido, el control del acceso, la retención y la eliminación.
-
¿Dónde se almacenará el contenido del cliente?
La infraestructura global de AWS ofrece la flexibilidad de elegir cómo y dónde se ejecutan las cargas de trabajo. Al hacerlo, utiliza la misma red, el plano de control, las API y los servicios de AWS. Si desea ejecutar las aplicaciones en todo el mundo, puede elegir entre cualquiera de las regiones y zonas de disponibilidad de AWS. Como cliente, puede elegir las regiones de AWS en las que se almacenará el contenido, con lo que podrá implementar los servicios de AWS en la ubicación que elija en función de requisitos geográficos específicos. Por ejemplo, si un cliente de AWS en Australia desea almacenar los datos únicamente en ese país, puede optar por implementar los servicios de AWS exclusivamente en la región de AWS Asia-Pacífico (Sídney). Si desea obtener información sobre otras opciones de almacenamiento flexible, consulte la página web de las regiones de AWS.
Puede replicar y realizar copias de seguridad del contenido de sus clientes en más de una región de AWS. No transferiremos ni replicaremos su contenido fuera de las regiones de AWS elegidas sin su consentimiento, salvo que sea necesario para cumplir con la ley o con una orden vinculante de un organismo gubernamental. Sin embargo, tenga en cuenta que es posible que no todos los servicios de AWS estén disponibles en todas las regiones de AWS. Para obtener más información sobre los servicios disponibles en las diferentes regiones de AWS, consulte la página web de los servicios regionales de AWS.
Los centros de datos de AWS están ubicados en grupos en varios países del mundo. Cada uno de nuestros grupos de centros de datos se denomina “región”.
Los clientes de AWS eligen las regiones de AWS en las que se almacenará el contenido. De este modo, los clientes que deban cumplir requisitos geográficos específicos podrán establecer entornos en la ubicación o ubicaciones que elijan.
Los clientes pueden replicar y realizar copias de seguridad del contenido en más de una región, pero AWS no traslada el contenido del cliente fuera de las regiones seleccionadas por este, excepto para proporcionar los servicios solicitados por los clientes o para cumplir con la ley. -
¿Cómo AWS protege los centros de datos?
El enfoque de AWS sobre la seguridad del centro de datos se basa en controles de seguridad escalables y en múltiples niveles de protección para ayudar a proteger la información de los clientes. Por ejemplo, AWS gestiona cuidadosamente los riesgos potenciales de inundaciones y terremotos. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un proceso de revisión exhaustivo para limitar el acceso a los centros de datos. Realizamos copias de seguridad de nuestros sistemas, probamos con frecuencia los equipos y los procesos, y formamos continuamente a los empleados de AWS de modo que se encuentren preparados para lo inesperado.
Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas respecto a más de 2600 normas y requisitos a lo largo del año. Gracias a esta revisión independiente, garantizamos el cumplimiento sistemático de las normas de seguridad, de tal modo que incluso superamos estos estándares. Como resultado, las organizaciones sujetas a las más estrictas regulaciones alrededor del mundo confían en AWS para proteger sus datos.
Obtenga más información sobre cómo protegemos los centros de datos de AWS desde la fase de diseño mediante un recorrido virtual » -
¿Qué regiones de AWS se pueden utilizar?
Los clientes pueden optar por utilizar cualquier región, todas las regiones o una combinación de regiones, incluidas las de Brasil y Estados Unidos de América. Visite la página de la infraestructura global de AWS para conocer la lista completa de las regiones de AWS.