Privacidad de datos en Canadá

Información general

Los clientes de AWS pueden diseñar e implementar un entorno de AWS, además de utilizar los servicios de AWS de una manera tal que permita cumplir las obligaciones establecidas por las leyes de privacidad federales, provinciales y territoriales canadienses.

Los clientes siempre conservan el control acerca de la manera en la que administran el contenido almacenado en AWS y acceden a él. AWS no tiene conocimiento sobre lo que los clientes suben a sus servicios, ni siquiera si esos datos se consideran sujetos o no a las leyes de privacidad canadienses, y los clientes son responsables de garantizar su propio cumplimiento de las leyes vigentes.

El Anexo de procesamiento de datos de AWS (DPA de AWS), también conocido como un acuerdo de transferencia de datos, se aplica en todo el mundo e incluye compromisos contractuales específicos para abordar adecuadamente las funciones y obligaciones de cada parte con respecto a la privacidad y seguridad de los datos personales.

Hay varias leyes en Canadá relacionadas con la protección de la información personal. Varias organizaciones y organismos gubernamentales federales, provinciales y territoriales se encargan de la aplicación de estas leyes.

Con respecto a las federaciones, la Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) puede aplicarse a la recopilación, el uso y la divulgación de información personal en el sector privado, y la Ley de Privacidad puede aplicarse en el sector público. La Comisaría de Protección de Datos Personales de Canadá (OPC) supervisa la aplicación de ambas leyes.

Las provincias y territorios canadienses también han adoptado sus propias leyes de privacidad para los sectores público y privado, así como leyes de privacidad específicas para ciertos tipos de datos personales, como la información de salud personal. En el sitio web de la OPC se ofrece una descripción general de estas leyes y autoridades provinciales y territoriales.

Los clientes que deseen procesar sus datos en Canadá tienen disponibles la región Canadá (centro) de AWS cerca de Montreal y la región Canadá (oeste) cerca de Calgary. Si desea obtener una lista completa de las regiones y los servicios de AWS, consulte la página de infraestructura global.

Preguntas frecuentes

• ¿Cómo pueden los clientes determinar qué leyes de privacidad canadienses se aplican a su caso de uso?

  El hecho de que un cliente de AWS esté obligado a cumplir con la PIPEDA, la Ley de Privacidad o cualquier otro requisito de privacidad canadiense puede variar en función del negocio y caso de uso del cliente. Los clientes deben consultar a sus asesores legales para comprender las leyes de privacidad que deben cumplir.

• ¿Cómo pueden los clientes cumplir con las leyes de privacidad canadienses en AWS?

  Los clientes que estén sujetos a las leyes de privacidad canadienses quizás deban cumplir con los requisitos relacionados con la recopilación, el uso, la divulgación y la protección de la información personal, así como el acceso a ella. AWS brinda a los clientes el control acerca de cómo almacenar y procesar su contenido cuando usan los servicios de AWS, incluido el control sobre cómo se protege y quiénes pueden obtener acceso a él. AWS ofrece servicios que los clientes pueden configurar y utilizar para aumentar la seguridad de la información personal almacenada en AWS. Es responsabilidad del cliente diseñar una solución que cumpla los requisitos de privacidad correspondientes.

  AWS provee manuales, documentos técnicos y guías de prácticas recomendadas en la página Recursos de conformidad de AWS y los clientes tienen acceso bajo demanda a los informes de auditoría de terceros de AWS en AWS Artifact.

• ¿Hay alguna ley de privacidad canadiense que prohíba a un cliente de AWS transferir o almacenar datos personales fuera de Canadá?

  Los clientes deben consultar a sus propios asesores legales para determinar qué leyes de privacidad canadienses u otras obligaciones pueden aplicarse a su organización y caso de uso.

• ¿Alguna ley de privacidad canadiense exige que la información personal esté cifrada?

  Las entidades sujetas a las leyes de privacidad canadienses deben tomar medidas para proteger la información personal, y es responsabilidad de cada cliente determinar si el cifrado es necesario para cumplir con sus obligaciones de seguridad y conformidad.

  AWS recomienda a los clientes cifrar sus datos en reposo y en tránsito como práctica recomendada. Para obtener más información, consulte Encrypting Data-at-Rest and Data-in-Transit.

• ¿Qué función desempeña el cliente en lo que se refiere a la protección de su contenido en AWS?

  Al evaluar la seguridad de una solución en la nube, es importante que los clientes comprendan y distingan entre:

  • Las medidas de seguridad que implementa y opera AWS: “seguridad de la nube”.
  • Las medidas de seguridad que los clientes implementan y operan, relacionadas con la seguridad del contenido y las aplicaciones de sus clientes que hacen uso de los servicios de AWS: “seguridad en la nube”.

  

  En virtud del Modelo de responsabilidad compartida de AWS, los clientes de AWS mantienen el control de las medidas de seguridad que deciden implementar para proteger su contenido, plataforma, aplicaciones, sistemas y redes, del mismo modo que lo harían en el caso de aplicaciones ubicadas en un centro de datos en las instalaciones. Los clientes pueden utilizar medidas de seguridad conocidas, como el cifrado y la autenticación multifactor, para proteger sus datos y cumplir los requisitos de conformidad, además de los servicios y las características de seguridad de AWS, como AWS Identity and Access Management (IAM).

• ¿Quién puede acceder al contenido de los clientes en AWS?

  Los clientes mantienen la propiedad y el control del contenido de sus clientes y seleccionan qué servicios de AWS procesan, almacenan y alojan el contenido de sus clientes. AWS no accede al contenido de los clientes ni lo usa, excepto cuando sea necesario para mantener o prestar los servicios de AWS seleccionados por un cliente o cuando sea necesario para cumplir con la ley o una orden vinculante de un organismo gubernamental, tal como se establece en el Contrato de cliente de AWS.

  Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido dentro del entorno de AWS. Pueden:

  • Determinar dónde se ubicará, por ejemplo, seleccionando el tipo de entorno de almacenamiento y la ubicación geográfica de ese almacenamiento.
  • Controlar el formato del contenido, por ejemplo, texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado provisto por AWS o un mecanismo de cifrado de un tercero que el cliente elija.
  • Administrar los controles de acceso, como AWS Identity and Access Management (IAM).
  • Controlar si desea utilizar el cifrado, las características de Amazon Virtual Private Cloud (Amazon VPC) y otras medidas de seguridad de la red y los datos para evitar el acceso no autorizado.

  Esto permite a los clientes de AWS controlar todo el ciclo de vida de su contenido en AWS y administrar su contenido de acuerdo con sus necesidades específicas, lo que incluye la clasificación de contenido, el control de acceso, la retención y la eliminación.

• ¿Dónde se almacena el contenido de los clientes?

  La infraestructura global de AWS le brinda la flexibilidad de elegir cómo y dónde desea poner en marcha sus cargas de trabajo. Como cliente, puede elegir las regiones de AWS en las que se almacenará su contenido, lo que le permite implementar los servicios de AWS en las ubicaciones que elija según sus requisitos específicos. Si quiere descubrir otras opciones de almacenamiento flexible, consulte la página web Regiones de AWS.

  Puede replicar el contenido de sus clientes y hacer copias de seguridad en más de una región de AWS. No transferiremos su contenido fuera de las regiones de AWS elegidas sin su aceptación, salvo en caso de que sea necesario para cumplir con la ley o una orden vinculante de un organismo gubernamental. Sin embargo, cabe destacar que puede que no todos los servicios de AWS estén disponibles en todas las regiones de AWS. Para obtener más información sobre los servicios que están disponibles en las distintas regiones de AWS, consulte la página web Servicios de AWS por región.

• ¿Qué medidas de seguridad tiene AWS para proteger los sistemas?

  AWS está diseñado para ser la infraestructura en la nube global más segura en la que crear, migrar y administrar aplicaciones y cargas de trabajo. Esta infraestructura se compone del hardware, el software, las redes y las instalaciones que ponen en marcha los servicios de AWS, lo que brinda potentes controles, incluidos los controles de la configuración de seguridad, a los clientes para el tratamiento de los datos personales.

  AWS proporciona varios informes de conformidad de auditores de terceros que han comprobado y verificado que cumplimos con distintos estándares de seguridad, incluidas las normas SOC 2 tipo 2, ISO 27001, ISO 27017 e ISO 27018. En Canadá, el Centro Canadiense de Ciberseguridad también evalúa los servicios de AWS.

  A fin de ofrecer transparencia en relación con la eficacia de estas medidas, proveemos acceso a los informes de auditoría de terceros en AWS Artifact. En estos informes, los clientes pueden ver que protegemos la infraestructura subyacente sobre la que almacenan y procesan los datos personales. Para obtener más información, consulte Recursos de conformidad.

• ¿Cómo garantiza AWS la seguridad de sus centros de datos?

  La estrategia de seguridad de los centros de datos de AWS se ensambla con controles de seguridad escalables y múltiples capas de defensa que ayudan a proteger la información. Por ejemplo, AWS gestiona cuidadosamente los riesgos potenciales de inundación y actividad sísmica. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un proceso de detección en profundidad para limitar el acceso a los centros de datos. Realizamos copias de seguridad de nuestros sistemas, probamos regularmente equipos y procesos, y capacitamos continuamente a los empleados de AWS para que estén listos para lo inesperado.

  Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas con respecto a más de 2600 estándares y requisitos durante todo el año. Esta revisión independiente permite garantizar que los estándares de seguridad se cumplan o superen de manera sistemática. Como resultado, las organizaciones más reguladas del mundo confían en AWS para proteger sus datos.

  Obtenga más información sobre cómo protegemos los centros de datos de AWS por diseño mediante un recorrido virtual.