Privacidad de los datos en Argentina

Información general

Argentina

La Ley de Protección de los Datos Personales de Argentina N° 25.326, incluyendo el Decreto Reglamentario N° 1558/2001 y normas complementarias (en adelante, “LPDP”), es una ley federal que aplica a la protección de los datos personales en Argentina y cuando los datos personales son transferidos internacionalmente para su procesamiento. La Dirección Nacional de Protección de Datos Personales en Argentina (“Autoridad”) ha dictado la Disposición N° 11/2006 conforme la LPDP. Esta Disposición describe tres niveles diferentes de medidas de seguridad técnicas y organizativas (básico, medio y crítico) que deberá considerar en función de las actividades que realice o el carácter de los datos personales que procese.

AWS vela por su privacidad y la seguridad de sus datos. En AWS, la seguridad empieza en nuestra infraestructura central. Diseñada específicamente para la nube y para cumplir los requisitos de seguridad más exigentes en el mundo, nuestra infraestructura se supervisa ininterrumpidamente para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de reconocimiento mundial que supervisan esta infraestructura también crean y mantienen nuestra amplia selección de servicios innovadores de seguridad, que pueden ayudarle a satisfacer sus propias exigencias normativas y de seguridad. Como cliente de AWS y sin perjuicio de su tamaño o ubicación, Usted cuenta con todos los beneficios de nuestra experiencia, la cual se mide con los más estrictos programas de seguridad de terceros.

AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de la infraestructura en la nube de AWS bajo marcos normativos y certificaciones de seguridad reconocidos mundialmente, incluyendo ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y organizativas son validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.

Por ejemplo, la norma ISO 27018 es el primer código internacional de prácticas que se focaliza en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información ISO 27002 y ofrece directrices de aplicación sobre los controles de la ISO 27002 aplicables a la información personal identificable (IPI) procesada por proveedores de servicios en la nube pública. Esto demuestra a los clientes que AWS dispone de un sistema de controles orientado específicamente a la protección de la privacidad de su contenido.

Este conjunto de medidas técnicas y organizativas de AWS son consistentes con los objetivos de la LPDP y la Disposición 11/2006 para proteger los datos personales. Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido y son responsables de implementar medidas de seguridad adicionales en función de sus necesidades específicas, incluyendo la clasificación de contenido, el cifrado, la administración del acceso y las credenciales de seguridad.

Los clientes son responsables de su propio cumplimiento con la LPDP y las normativas relacionadas, dado que AWS no tiene visibilidad o conocimiento del contenido que los clientes suben a su red así como tampoco si dichos datos están sujetos o no a las regulaciones de la LPDP. El contenido de esta página complementa a los recursos existentes de privacidad de datos para ayudarle a alinear sus requisitos con el modelo de responsabilidad compartida de AWS a la hora de procesar datos personales en centros de datos internacionales.

  • ¿Qué función desempeña el cliente en cuanto a la protección de su contenido?

    Bajo el modelo de responsabilidad compartida de AWS, los clientes de AWS mantienen el control de las medidas de seguridad que deciden implementar para proteger su contenido, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de aplicaciones ubicadas en un centro de datos en sus propias instalaciones. Los clientes pueden basarse en los controles y las medidas de seguridad técnicas y organizativas que ofrece AWS para administrar sus propios requisitos de cumplimiento. Los clientes pueden utilizar las medidas habituales para proteger sus datos, como el cifrado y la autenticación con factores múltiples, además de funcionalidades de seguridad de AWS, como AWS Identity and Access Management.

    Al evaluar la seguridad de una solución en la nube, es importante que los clientes entiendan y distingan entre:

    • Medidas de seguridad que AWS implementa y opera - "seguridad de la nube", y
    • Medidas de seguridad que los clientes implementan y operan, relacionadas con la seguridad del contenido y las aplicaciones de los clientes que utilizan servicios de AWS – "seguridad en la nube"
    AWS_Shared_Responsibility_ES
  • ¿Quién puede acceder al contenido de los clientes?

    Los clientes mantienen la propiedad y el control de su contenido y seleccionan qué servicios de AWS procesan, almacenan y reciben su contenido. AWS no puede ver el contenido del cliente y no usa ni accede al contenido salvo para proporcionar los servicios de AWS que el cliente ha seleccionado o bien cuando sea necesario para cumplir con la ley o una orden legal vinculante.

    Los clientes que utilizan servicios de AWS mantienen el control de su contenido dentro del entorno de AWS. Los clientes pueden:

    • Determinar dónde se guardará el contenido, como por ejemplo el tipo de entorno de almacenamiento y la ubicación geográfica del almacenamiento.
    • Controlar el formato del contenido, como por ejemplo texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado provisto por AWS o un mecanismo de cifrado proporcionado por un tercero que el cliente elija.
    • Administrar otros controles de acceso, como la gestión de acceso e identidad y las credenciales de seguridad.
    • Controlar si se utiliza SSL, nube privada virtual y otras medidas de seguridad de la red para prevenir el acceso no autorizado.

    Esto permite a los clientes de AWS controlar la totalidad del ciclo de vida de su contenido en AWS y administrarlo de acuerdo con sus necesidades específicas, incluyendo la clasificación del contenido, el control del acceso, la retención y la eliminación.

  • ¿Dónde se almacenará el contenido del cliente?

    Los centros de datos de AWS se encuentran repartidos en grupos en varios países alrededor del mundo. Cada uno de nuestros grupos de centro de datos es referenciado como una "región". Los clientes pueden obtener acceso a 18 regiones de AWS en todo el mundo.

    Los clientes de AWS eligen la región (o regiones) de AWS en la que se almacenará su contenido. De este modo, los clientes con exigencias geográficas específicas pueden establecer entornos en la ubicación (o ubicaciones) que deseen. Por ejemplo, los clientes de AWS pueden elegir implementar sus servicios de AWS exclusivamente en una de las regiones de la UE (Francia, Alemania, Reino Unido o Irlanda). Si el cliente así lo decide, su contenido se almacenará en la región de AWS que elija, a menos que seleccione explícitamente que se traslade o replique su contenido en una región diferente de AWS.

    Los clientes pueden replicar el contenido y realizar copias de respaldo (back up) en más de una región, pero AWS no traslada el contenido de los clientes fuera de la región (o regiones) seleccionadas por el cliente excepto para proporcionar los servicios solicitados por los clientes o para cumplir con una ley vigente.

  • ¿Cómo protege AWS sus data centers?

    La estrategia de AWS en cuanto a la seguridad de sus centros de datos se basa en controles de seguridad escalables y varios niveles de protección que contribuyen a proteger su información. Por ejemplo, AWS administra cuidadosamente riesgos potenciales de inundaciones y sismos. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un exhaustivo proceso de revisiones para limitar el acceso a los centros de datos. Hacemos copias de seguridad de nuestros sistemas, testeamos frecuentemente los equipos y procesos, y entrenamos continuamente a los empleados de AWS para que estén preparados ante lo inesperado.

    Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas sobre más de 2600 estándares y requerimientos a lo largo del año. Con este examen independiente garantizamos que los estándares de seguridad se cumplan, o incluso se superen, de forma consistente. Como resultado, las organizaciones más reguladas del mundo confían en AWS para proteger sus datos.

    Obtenga más información sobre cómo protegemos los centros de datos de AWS desde el diseño realizando un recorrido virtual.

  • Qué región de AWS puedo utilizar?

    Los clientes pueden elegir utilizar cualquier región, todas las regiones o una combinación de ellas, incluyendo las regiones de Brasil y los Estados Unidos de Norteamérica. Visite la página de la infraestructura global de AWS para obtener una lista completa de las regiones de AWS.

  • La Autoridad de Protección de Datos Personales en Argentina ha determinado que ciertos países proporcionan un “nivel de protección adecuado” para los datos personales. ¿Tiene AWS regiones en alguno de estos países?

    Bajo la LPDP, los responsables de las bases de datos (es decir, los clientes de AWS) pueden transferir datos personales a jurisdicciones que ofrecen un "nivel de protección adecuado" para los datos personales, conforme lo ha determinado la Autoridad. De acuerdo con la Disposición 60-E/2016 que dictó la Autoridad, se considera que los estados miembros de la Unión Europea (UE) y la Comunidad Económica Europea (CEE), entre otros, ofrecen niveles de protección adecuados para los datos personales.

    AWS tiene regiones en muchos de los países que la Autoridad considera que ofrecen un "nivel de protección adecuado" en virtud de la LPDP, como Alemania, Francia, Reino Unido o Irlanda en la UE. Visite la página de la infraestructura global de AWS para obtener una lista completa de las regiones de AWS.

    Con independencia de la región que Usted elija, AWS aplica los mismos estándares de seguridad a todos sus centros de datos.

  • ¿Qué acuerdos de transferencia internacional de datos ofrece AWS para abordar la protección de datos personales transferidos a cualquier país, incluyendo Estados Unidos y Brasil?

    En los contratos con clientes, AWS asume compromisos de seguridad y privacidad específicos que se aplican ampliamente al contenido de los clientes en cada región que eligen para almacenar sus datos. Los compromisos que AWS adopta son consistentes con los objetivos de la LPDP, la Disposición 11/2006 y la Disposición 60-E/2016, para proteger los datos personales.

    AWS también ofrece un acuerdo para el procesamiento internacional de datos (DPA) que se aplica globalmente y en el que se incluyen compromisos contractuales específicos para abordar de forma adecuada la privacidad y la seguridad de los datos personales.

    Los clientes también pueden tener la opción de celebrar un acuerdo empresarial (Enterprise Agreement) con AWS, el cual se puede adaptar para satisfacer mejor las necesidades del cliente en cuestión. Para obtener más información sobre los acuerdos empresariales o el DPA, póngase en contacto con su representante de ventas.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »