Privacidad de los datos en Argentina

Información general

La Ley de protección de datos personales de Argentina Nº 25.326, incluida la Orden ejecutiva Nº 1558/2001 y las reglamentaciones complementarias (“PDPL”) es una ley federal argentina que se aplica a la protección de datos personales en Argentina cuando los datos personales se transfieren internacionalmente para su procesamiento. En julio de 2018, la Agencia de Acceso a la Información Pública de Argentina (ADPA) emitió la Resolución 47/2018 (“Resolución 47”) bajo el PDPL, que derogó la Disposición No. 11/2006 relacionada con medidas de seguridad que los controladores de datos (es decir, los clientes de AWS) deben tener en cuenta al procesar datos personales. La Resolución 47 describe nuevas medidas de seguridad recomendadas que están alineadas con las mejores prácticas y estándares internacionales, y están destinadas a proteger la confidencialidad e integridad de los datos personales durante su procesamiento, desde la recopilación de datos hasta la eliminación de datos. En particular, esta nueva resolución actualizó la lista de medidas y controles recomendados para administrar, planificar, controlar y mejorar la seguridad al procesar datos personales. Estas medidas de seguridad recomendadas se dividen en categorías de actividades relacionadas con el procesamiento, incluida la recopilación de datos, los controles de acceso, los controles de cambio, la copia de seguridad y la recuperación, la gestión de vulnerabilidades, la eliminación o eliminación de datos, los incidentes de seguridad y los entornos de desarrollo. Además, la Resolución 47 incluye una lista de medidas de seguridad aplicables a los “datos sensibles” (como se define en el PDPL).

AWS vela por la privacidad y la seguridad de los datos de sus clientes. La seguridad en AWS comienza con nuestra infraestructura central. Diseñada a medida para la nube y diseñada para cumplir con los requisitos de seguridad más estrictos del mundo, nuestra infraestructura se monitorea las 24 horas del día, los 7 días de la semana para garantizar la confidencialidad, integridad y disponibilidad de los datos de nuestros clientes. Los mismos expertos en seguridad de clase mundial que supervisan esta infraestructura, también crean y mantienen nuestra amplia selección de innovadores servicios de seguridad, que pueden ayudarlo a simplificar el cumplimiento de sus propios requisitos de seguridad y reglamentarios. Como cliente de AWS, independientemente de su tamaño o ubicación, hereda todos los beneficios de nuestra experiencia, probados por los más estrictos marcos de garantía de terceros.

AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de la infraestructura de la nube de AWS en virtud de marcos y certificaciones de seguridad reconocidos en todo el mundo, como ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y de organización están validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.

Por ejemplo, la norma ISO 27018 es el primer código internacional de prácticas que se centra en la protección de los datos personales en la nube. Se basa en la norma de seguridad de la información de la ISO 27002 y ofrece directrices de aplicación sobre los controles de la ISO 27002 aplicables a información de identificación personal (PII) procesada por proveedores de servicios de nube públicos. Esto demuestra a los clientes que AWS cuenta con un sistema de controles que aborda específicamente la protección de la privacidad de su contenido.

Estas medidas técnicas y organizativas integrales de AWS son consistentes con los objetivos del PDPL y la Resolución 47 del PDPL para proteger los datos personales. Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido y son responsables de implementar medidas de seguridad adicionales basadas en sus necesidades específicas, incluida la clasificación de contenido, el cifrado, la administración de acceso y las credenciales de seguridad.

Dado que AWS no tiene una visibilidad significativa sobre el tipo de contenido que los clientes eligen almacenar en AWS, incluido si esos datos se consideran o no sujetos al PDPL, los clientes son en última instancia responsables de su propio cumplimiento con el PDPL y las regulaciones relacionadas. El contenido de esta página complementa los recursos de privacidad de datos existentes para ayudar a que alinee sus requisitos con el Modelo de responsabilidad compartida de AWS al tratar datos personales en centros de datos internacionales.

Preguntas frecuentes

Aspectos generales

Abrir todo

¿Qué función desempeña el cliente en cuanto a la protección de su contenido?

Según el Modelo de responsabilidad compartida de AWS, los clientes de AWS retienen el control de la seguridad que eligen implementar para proteger su propio contenido, plataforma, aplicaciones, sistemas y redes, de forma diferente a como lo harían para las aplicaciones en un centro de datos en las instalaciones. Los clientes pueden aprovechar las medidas y los controles de seguridad técnicos y organizativos ofrecidos por AWS para administrar sus propios requisitos de conformidad. Los clientes pueden utilizar las medidas habituales para proteger sus datos, como el cifrado y la autenticación con varios factores, además de las características de seguridad de AWS, como AWS Identity and Access Management.

Al evaluar la seguridad de una solución en la nube, es importante que los clientes comprendan y distingan entre:

Las medidas de seguridad que implementa y opera AWS: “seguridad de la nube”.
Las medidas de seguridad que los clientes implementan y operan, relacionadas con la seguridad del contenido y las aplicaciones de sus clientes que hacen uso de los servicios de AWS: “seguridad en la nube”.

Modelo de responsabilidad compartida de AWS

¿Quién puede acceder al contenido de los clientes?

Los clientes mantienen la propiedad y el control del contenido de sus clientes y seleccionan qué servicios de AWS procesan, almacenan y alojan el contenido de sus clientes. AWS no tiene una visibilidad significativa del contenido del cliente y no accede ni utiliza el contenido del cliente, excepto para proporcionar los servicios de AWS seleccionados por un cliente o cuando sea necesario para cumplir con la ley o una orden legal vinculante.

Los clientes que utilizan los servicios de AWS mantienen el control sobre su contenido dentro del entorno de AWS. Pueden:

Determinar dónde se ubicará, por ejemplo, el tipo de entorno de almacenamiento y la ubicación geográfica de ese almacenamiento.
Controlar el formato del contenido, como texto sin formato, enmascarado, anonimizado o cifrado, mediante el cifrado proporcionado por AWS o un mecanismo de cifrado de un tercero que el cliente elija.
Administrar otros controles de acceso, como la administración de acceso de identidad y las credenciales de seguridad.
Controlar si usar SSL, nube privada virtual y otras medidas de seguridad de la red para impedir el acceso no autorizado.

Esto permite a los clientes de AWS controlar todo el ciclo de vida de su contenido en AWS y administrar su contenido de acuerdo con sus propias necesidades específicas, incluida la clasificación de contenido, el control de acceso, la retención y la eliminación.

¿Dónde se almacena el contenido de los clientes?

La infraestructura global de AWS ofrece la flexibilidad de elegir cómo y dónde desea ejecutar las cargas de trabajo, y cuando lo hace, utiliza la misma red, plano de control, API y servicios de AWS. Si desea ejecutar aplicaciones de forma global, puede elegir entre cualquiera de las regiones y zonas de disponibilidad de AWS. Como cliente, puede elegir las regiones de AWS en las que se almacenará su contenido, lo que le permite implementar los servicios de AWS en la ubicación que elija según los requisitos geográficos específicos. Por ejemplo, si un cliente de AWS en Australia desea almacenar sus datos únicamente en Australia, puede optar por implementar los servicios de AWS exclusivamente en la región de AWS Asia-Pacífico (Sídney). Si desea descubrir otras opciones de almacenamiento flexibles, consulte la página web de las regiones de AWS.

Puede replicar el contenido de sus clientes y hacer copias de seguridad en más de una región de AWS. No transferiremos ni replicaremos su contenido fuera de las regiones de AWS elegidas sin su aceptación, salvo en caso que sea necesario para cumplir con la ley o una orden vinculante de un organismo gubernamental. Sin embargo, cabe destacar que puede que no todos los servicios de AWS estén disponibles en todas las regiones de AWS. Para obtener más información sobre los servicios que están disponibles en las distintas regiones de AWS, consulte la página web Servicios de AWS por región.

¿Cómo protege AWS sus centros de datos?

La estrategia de seguridad del centro de datos de AWS se ensambla con controles de seguridad escalables y múltiples capas de defensa que ayudan a proteger la información. Por ejemplo, AWS gestiona cuidadosamente los riesgos potenciales de inundación y actividad sísmica. Utilizamos barreras físicas, guardias de seguridad, tecnología de detección de amenazas y un proceso de detección en profundidad para limitar el acceso a los centros de datos. Hacemos copias de seguridad, probamos con frecuencia los equipos y procesos y formamos continuamente a los empleados de AWS para que estén preparados para lo inesperado.

Para validar la seguridad de nuestros centros de datos, los auditores externos realizan pruebas con respecto a más de 2600 estándares y requisitos durante todo el año. Tal examen independiente ayuda a garantizar que los estándares de seguridad se cumplan o superen de manera consistente. Como resultado, las organizaciones con las normativas más exigentes del mundo confían en AWS para proteger sus datos.

Obtenga más información sobre cómo protegemos los centros de datos de AWS por diseño mediante un recorrido virtual.

¿Qué regiones de AWS puedo usar?

Los clientes pueden optar por utilizar cualquier región, todas las regiones o cualquier combinación de regiones, incluidas las regiones de Brasil y los Estados Unidos. Visite la página de la infraestructura global de AWS para conocer la lista completa de las regiones de AWS.

La Dirección Nacional de Protección de Datos Personales ha determinado que ciertos países proporcionan un “nivel adecuado de protección” para los datos personales. ¿Tiene AWS regiones en alguno de estos países?

Según el PDPL, los controladores de datos (es decir, los clientes de AWS) pueden transferir datos personales a jurisdicciones que ofrecen un “nivel adecuado de protección” para los datos personales, según lo determinado por la ADPA. De acuerdo con la Disposición 60-E/2016 que publicó la ADPA, se considera que los estados miembro de la Unión Europea (UE) y la Comunidad Económica Europea (EEC) ofrecen niveles de protección adecuados para los datos personales.

AWS tiene Regiones en muchos de los países que ADPA ha encontrado que proporcionan un “nivel adecuado de protección” bajo el PDPL, como Alemania, Francia, el Reino Unido e Irlanda en la UE. Visite la página de la infraestructura global de AWS para conocer la lista completa de las regiones de AWS.

Independientemente de la región que elija, AWS aplica los mismos estándares de seguridad a sus centros de datos.

¿Qué acuerdos internacionales de transferencia de datos ofrece AWS para abordar la protección de los datos personales transferidos a cualquier país, incluidos Brasil y los Estados Unidos?

En sus acuerdos con los clientes, AWS asume compromisos específicos de seguridad y privacidad que se aplican ampliamente al contenido del cliente en cada región que el cliente elija para almacenar sus datos. Los compromisos que AWS hace son consistentes con los objetivos del PDPL, la Disposición 60-E/2016 y la Resolución 47/2018 bajo el PDPL para proteger los datos personales.

AWS también ofrece un Anexo sobre el tratamiento de datos (DPA) internacional, también conocida como un acuerdo de transferencia de datos, que se aplica a nivel mundial e incluye compromisos contractuales específicos para abordar adecuadamente las funciones y obligaciones de cada parte con respecto a la privacidad y seguridad de los datos personales.

Los clientes también pueden tener la opción de inscribirse en un acuerdo empresarial con AWS, que se puede acomodar aún más para adaptarse mejor a las necesidades específicas de los clientes. Para obtener información adicional sobre los acuerdos empresariales de AWS o la DPA, comuníquese con su representante de ventas de AWS.

Recursos de privacidad de los datos en Argentina

Ley de Protección de los Datos Personales de Argentina

Resolución 47/2018 Libro de la Agencia de Acceso a la Información Pública

Más información

¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS

Contacte con nosotros

¿Está buscando trabajo en el sector de conformidad?

Inscríbase hoy mismo »

¿Desea recibir novedades acerca de asuntos de conformidad en AWS?

Síganos en Twitter »