En la presente se expone el marco jurídico aplicable al cómputo en la nube en México, su referencia desde el punto de vista de protección al consumidor, así como los principales cuestionamientos que nacen entorno a la propiedad, posesión y ubicación de la información.
articulo 87 Ley General de Sociedades Ley N° 26887.pptx
Protección al consumidor y cómputo en la nube en México
1. Protección al consumidor y cómputo
en la nube en México
Jonathan López Torres
@JonathanLpezTor
Derecho, TIC y Conocimiento Abierto
http://jonathanlpeztor.blogspot.mx/
2. ¿Cómo se define al consumidor?
Consumidor: la persona física o moral que adquiere, realiza o disfruta como destinatario
final bienes, productos o servicios. Se entiende también por consumidor a la persona física
o moral que adquiera, almacene, utilice o consuma bienes o servicios con objeto de
integrarlos en procesos de producción, transformación, comercialización o prestación de
servicios a terceros, únicamente para los casos a que se refieren los artículos 99 y 117 de
esta ley.
Tratándose de personas morales que adquieran bienes o servicios para integrarlos en
procesos de producción o de servicios a terceros, sólo podrán ejercer las acciones a que se
refieren los referidos preceptos cuando estén acreditadas como microempresas o
microindustrias en términos de la Ley para el Desarrollo de la Competitividad de la Micro,
Pequeña y Mediana Empresa y de la Ley Federal para el Fomento de la Microindustria y la
Actividad Artesanal, respectivamente y conforme a los requisitos que se establezcan en el
Reglamento de esta ley.
Artículo 2 LFPC
3. ¿Qué es un proveedor?
Proveedor: la persona física o moral en términos del Código Civil
Federal, que habitual o periódicamente ofrece, distribuye, vende,
arrienda o concede el uso o disfrute de bienes, productos y servicios.
Artículo 2 LFPC
4. Gobierno ¿sujeto a la LFPC?
Estarán obligados al cumplimiento de esta ley los proveedores y los consumidores.
Las entidades de las administraciones públicas federal, estatal, municipal y del
gobierno del Distrito Federal, están obligadas en cuanto tengan el carácter de
proveedores o consumidores.
Artículo 6 LFPC
5. Cómputo en la nube
Consumidores sector privado Consumidores sector público
6. ¿Cuáles son las obligaciones del proveedor?
Todo proveedor está obligado a informar y respetar los precios, tarifas, garantías,
cantidades, calidades, medidas, intereses, cargos, términos, plazos, fechas,
modalidades, reservaciones y demás condiciones conforme a las cuales se hubiera
ofrecido, obligado o convenido con el consumidor la entrega del bien o prestación
del servicio, y bajo ninguna circunstancia serán negados estos bienes o servicios a
persona alguna.
Art. 7 LFPC
7. ¿Regulación aplicable?
Sector Privado
Reglamento de la LFPDPPP
Sector Público
DECRETO que establece las medidas para el uso eficiente,
transparente y eficaz de los recursos públicos, y las acciones de
disciplina presupuestaria en el ejercicio del gasto público, así
como para la modernización de la Administración Pública
Federal. DOF 10/12/2012
LINEAMIENTOS para la aplicación y seguimiento de las medidas
para el uso eficiente, transparente y eficaz de los recursos
públicos, y las acciones de disciplina presupuestaria en el
ejercicio del gasto público, así como para la modernización de la
Administración Pública Federal. DOF: 30/01/2013
ACUERDO que tiene por objeto emitir las políticas y
disposiciones para la Estrategia Digital Nacional, en materia de
tecnologías de la información y comunicaciones, y en la de
seguridad de la información, así como establecer el Manual
Administrativo de Aplicación General en dichas materias. DOF:
08/05/2014
8. ¿Qué es el cómputo en la nube?
Sector privado
Modelo de provisión externa de
servicios de cómputo bajo demanda,
que implica el suministro de
infraestructura, plataforma o software,
que se distribuyen de modo flexible,
mediante procedimientos de
virtualización, en recursos compartidos
dinámicamente.
Artículo 52 del Reglamento LFPDPPP
Sector público
Modelo de prestación de servicios
digitales que permite a las Instituciones
(dependencias y entidades de la APF)
acceder a un catálogo de servicios
digitales estandarizados, los cuales
pueden ser: de infraestructura como
servicios, de plataforma como servicios
y de software como servicios.
Acuerdo PDEDNTICSI DOF: 08/05/2014
10. Requisitos para la contratación de servicios de cómputo en la nube
(RLFPDPPP)
Requisitos mínimos:
• Tener y aplicar políticas de PDP afines a los
principios y deberes aplicables que establece la
LFPDPPP y su Reglamento.
• Transparentar las subcontrataciones que
involucren la información sobre la que se presta el
servicio.
• Abstenerse de incluir condiciones en la prestación
del servicio que le autoricen o permitan asumir la
titularidad o propiedad de la información sobre la
que presta el servicio.
• Guardar confidencialidad respecto de los datos
personales sobre los que se preste el servicio.
Mecanismos mínimos para:
• Dar a conocer cambios en sus políticas de
privacidad o condiciones del servicio que presta.
• Permitir al responsable limitar el tipo de
tratamiento de los datos personales sobre los que
se presta el servicio.
• Establecer y mantener medidas de seguridad
adecuadas para la protección de los datos
personales sobre los que se preste el servicio.
• Garantizar la supresión de los DP una vez que haya
concluido el servicio prestado al responsable, y
que este último haya podido recuperarlos.
• Impedir el acceso a los DP a personas que no
cuenten con privilegios de acceso, o bien en caso
de que sea a solicitud fundada y motivada de
autoridad competente, informar de ese hecho al
responsable.
11. Regla general…
“El responsable no podrá adherirse a servicios que no garanticen la
debida protección de los datos personales.”
12. ¿Qué pasa si no cumplimos lo dispuesto en el
Reglamento de la LFPDPPP?
Artículo 63.- Constituyen infracciones a esta Ley, las siguientes conductas
llevadas a cabo por el responsable:
…
XIX. Cualquier incumplimiento del responsable a las obligaciones
establecidas a su cargo en términos de lo previsto en la presente Ley.
“Esta fracción no tiene sanción”
LFPDPPP
14. DECRETO que establece las medidas para el uso eficiente, transparente y eficaz de los recursos
públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto público, así como para la
modernización de la Administración Pública Federal. DOF: 10/12/2012
Todas las adquisiciones de TIC deberán cumplir con las especificaciones y estándares que se
establezcan conforme a las políticas de EDN, con la participación que corresponda a la SHCP en
materia presupuestaria. Art. 25
Sanción al incumplimiento:
Se sancionará a los servidores públicos que, derivado de las funciones a su cargo, no realicen las
acciones y no lleven a cabo las medidas que establece el presente Decreto, de conformidad con la
Ley Federal de Responsabilidades Administrativas de los Servidores Públicos. Art. 27.
15. LINEAMIENTOS para la aplicación y seguimiento de las medidas para el uso eficiente, transparente y
eficaz de los recursos públicos, y las acciones de disciplina presupuestaria en el ejercicio del gasto
público, así como para la modernización de la Administración Pública Federal. DOF: 30/01/2013
Para la contratación de hospedaje de infraestructura y aplicaciones en un centro de
datos, las Dependencias y Entidades deberán solicitar la autorización de la UGD,
anexando el estudio costo-beneficio, en el que se describan, entre otros elementos,
los niveles de disponibilidad del servicio a contratar, así como los requerimientos
de seguridad de la información asociados.
La UGD emitirá su pronunciamiento a más tardar a los 10 días hábiles posteriores a
la recepción de la solicitud presentada por la Dependencia o Entidad de que se
trate. La adquisición se tendrá por autorizada si transcurrido el plazo anterior la
UGD no emite pronunciamiento alguno.
Lineamiento 35
16. ACUERDO que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional,
en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la
información, así como establecer el Manual Administrativo de Aplicación General en dichas materias.
DOF: 08/05/2014
Centro de Datos: el lugar físico en los que se ubiquen los activos de TIC y desde el que se provén
servicios de TIC.
Cómputo en la Nube: al modelo de prestación de servicios digitales que permite a las Instituciones
acceder a un catálogo de servicios digitales estandarizados, los cuales pueden ser: de
infraestructura como servicios, de plataforma como servicios y de software como servicios.
Activos de TIC: los aplicativos de cómputo, bienes informáticos, soluciones tecnológicas, sus
componentes, las bases de datos o archivos electrónicos y la información contenida en éstos.
Borrado Seguro: el proceso mediante el cual se elimina de manera permanente y de forma
irrecuperable la información contenida en medios de almacenamiento digital.
17. ACUERDO que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional,
en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la
información, así como establecer el Manual Administrativo de Aplicación General en dichas materias.
DOF: 08/05/2014
Servicios de Centros de Datos, las Instituciones, deberán observar lo siguiente:
• Evaluar la conveniencia de contratar servicios de Centro de Datos, tomando en cuenta el beneficio
económico, eficiencia, privacidad, seguridad de los datos y de la información, en comparación con la de
utilizar un Centro de Datos propio o compartido con otra Institución.
• Establecer en las convocatorias a la licitación pública, en las invitaciones a cuando menos tres personas o las
solicitudes de cotización, o bien en los contratos que se celebren con otros entes públicos con los que se
pretenda contratar, que el proveedor cuente por lo menos con dos certificaciones vigentes que acrediten
sus niveles de servicio, en el caso de que se opte por la contratación del servicio de Centro de Datos. Se
establecerá como valor mínimo aquel que se cumpla en ambas certificaciones.
• Mantener en la infraestructura de los Centros de Datos una arquitectura que permita la portabilidad, de
forma tal que las aplicaciones de cómputo puedan migrar entre distintos Centros de Datos y sean
interoperables, dicha infraestructura deberá ser compatible con el uso de máquinas virtuales.
• En caso de contrataciones de servicios de Centro de Datos, se incluirá en la convocatoria a la licitación
pública, en la invitación a cuando menos tres personas o en las solicitudes de cotización, o bien en los
contratos que celebren con otros entes públicos, según corresponda, la opción de efectuar la migración de
los aplicativos de cómputo de las plataformas con las que cuenta la Institución, a una versión virtualizada
de las mismas, así como el acompañamiento para dicho proceso.
Art. 13
18. ACUERDO que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional,
en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la
información, así como establecer el Manual Administrativo de Aplicación General en dichas materias.
DOF: 08/05/2014
Contratos de servicios de correo electrónico:
• El servicio deberá comprender soluciones de filtrado para correo no deseado o no
solicitado, antivirus y de suplantación de identidad que protejan el envío y recepción de
correos;
• La obligación del proveedor de entregar a la Institución la evidencia digital necesaria
en caso de incidentes de seguridad o aquélla que le sea requerida, y
• La obligación del proveedor de entregar a la Institución la totalidad de los correos
electrónicos y bitácoras, así como de no conservar información alguna mediante
borrado seguro, al término del contrato.
Art. 14
19. ACUERDO que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional,
en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la
información, así como establecer el Manual Administrativo de Aplicación General en dichas materias.
DOF: 08/05/2014
Componentes de bases de datos:
Salvaguardar los derechos de la propiedad intelectual, portabilidad y recuperación de los datos
generados y procesados de acuerdo al ciclo de vida de la información, incluyendo el borrado
seguro.
Art. 16
20. ACUERDO que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional,
en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la
información, así como establecer el Manual Administrativo de Aplicación General en dichas materias.
DOF: 08/05/2014
• Aplicación: Unidades de TIC y servidores públicos (contratación bienes y servicios de TIC y SI)
• Interpretación en materia de TIC y seguridad de la información: UGD SFP
• Interpretación en materia de SI de SN: CISEN SEGOB
• Revisión y actualización: UGD y CISEN
• Cumplimiento: Órganos Internos de Control de las Instituciones
Arts. 3 y 30
21. Pacta Sunt Servanda
En las convenciones mercantiles cada uno se obliga en la manera y
términos que aparezca que quiso obligarse, sin que la validez del acto
comercial dependa de la observancia de formalidades o requisitos
determinados.
Art. 78 Código de Comercio
25. ¿Puede un proveedor pactar legislación extranjera para un cliente residente en
México?
¿Puede pactar jurisdicción extranjera?
¿Todo servicio prestado a un cliente residente en México se debe entender como
prestado y sometido a las leyes mexicanas?
26. ¿Qué tipo de cláusulas estarían prohibidas bajo el régimen de
protección al consumidor?