Descargar publicación completa

CONSIDERACIONES JURÍDICAS SOBRE SERVICIOS CLOUD EN LA ARGENTINA

08.10.19

Frene, Lisandro

La influencia de la tecnología en el derecho es tan evidente como versátil y exponencial en su crecimiento. Inicialmente comenzó siendo —y continúa siendo— un medio para agilizar y facilitar actos jurídicos, haciéndolos en definitiva más eficientes. En relativamente poco tiempo surgieron nuevos negocios basados casi exclusivamente en la tecnología o dependientes de ella en su esencia misma. De hecho, actualmente suele decirse —a mi criterio acertadamente— que cualquier compañía es una compañía de tecnología, sin importar qué tipo de bienes o servicios brinde (1), ya que en la actualidad difícilmente una empresa puede realizar, distribuir o comercializar sus productos eficientemente sin tecnología.
A nivel de nuestro país, tan axiomático como la influencia tecnológica en el escenario jurídico es el déficit regulatorio al respecto. Debe reconocerse que en los últimos años se han dictado normas que muestran indicios de modernización legislativa en este aspecto (2), si bien muchas de ellas han tenido hasta hoy escasa aplicación práctica. De todos modos, en muchos casos debemos analizar jurídicamente la realidad tecnológica actual con normas sancionadas en tiempos en que ni siquiera existía Internet (o incluso anteriores). El caso más paradigmático quizás sea el de la falta de regulación de los proveedores de servicios de Internet, pese a los cientos de fallos sobre el tema (principalmente contra buscadores de Internet), dos de ellos emanados de nuestro máximo tribunal (3), a las muchas opiniones doctrinarias y a los proyectos de ley sobre el tema, el último de ellos consensuado por los dos principales partidos políticos del país y aprobado unánimemente en el Senado de la Nación (4).
Por lo dicho precedentemente, pretender desarrollar un análisis omnicomprensivo acerca de la injerencia de la tecnología en el derecho argentino de hoy resultaría poco menos que inabarcable. Es así que enfocamos este artículo en alguna de las implicancias legales de los denominados “servicios informáticos en la Nube”, comúnmente conocidos como servicios cloud.
Lejos de tratarse de un concepto jurídico, el concepto de “nube” o “cloud” fue acuñado por la industria informática. Y dejando de lado definiciones técnicas (5), en términos muy llanos podemos decir que los servicios en la nube permiten que los archivos y contenidos que están en los dispositivos de hardware particulares de los usuarios (PC, servidor, Tablet, etc.) puedan ser alojados en un conjunto de servidores, a los que los usuarios pueden acceder a través de Internet y que forman la “nube”, a través de diversas modalidades de contratación (6). En definitiva, los servicios que permiten a los usuarios almacenar dichos contenidos, acceder a los mismos en forma inmediata y desde cualquier punto, procesarlos —por sí o a través de terceros— y ofrecer servicios asociados a los usuarios finales, son “servicios en la nube” provistos masivamente a través de una red (usualmente Internet).
Pese a la casi inexistencia de legislación específica sobre la nube, existen en nuestro país disposiciones que —en adición a la normativa general aplicable a la locación de servicios— regulan la implementación de tecnología y son usualmente consideradas en la contratación de servicios cloud para ciertas industrias o áreas del derecho. En ellas centraremos este trabajo.

I. Introducción. Los servicios de la nube ( cloud )
La influencia de la tecnología en el derecho es tan evidente como versátil y exponencial en su crecimiento. Inicialmente comenzó siendo —y continúa siendo— un medio para agilizar y facilitar actos jurídicos, haciéndolos en definitiva más eficientes. En relativamente poco tiempo surgieron nuevos negocios basados casi exclusivamente en la tecnología o dependientes de ella en su esencia misma. De hecho, actualmente suele decirse —a mi criterio acertadamente— que cualquier compañía es una compañía de tecnología, sin importar qué tipo de bienes o servicios brinde (1), ya que en la actualidad difícilmente una empresa puede realizar, distribuir o comercializar sus productos eficientemente sin tecnología.
A nivel de nuestro país, tan axiomático como la influencia tecnológica en el escenario jurídico es el déficit regulatorio al respecto. Debe reconocerse que en los últimos años se han dictado normas que muestran indicios de modernización legislativa en este aspecto (2), si bien muchas de ellas han tenido hasta hoy escasa aplicación práctica. De todos modos, en muchos casos debemos analizar jurídicamente la realidad tecnológica actual con normas sancionadas en tiempos en que ni siquiera existía Internet (o incluso anteriores). El caso más paradigmático quizás sea el de la falta de regulación de los proveedores de servicios de Internet, pese a los cientos de fallos sobre el tema (principalmente contra buscadores de Internet), dos de ellos emanados de nuestro máximo tribunal (3), a las muchas opiniones doctrinarias y a los proyectos de ley sobre el tema, el último de ellos consensuado por los dos principales partidos políticos del país y aprobado unánimemente en el Senado de la Nación (4).
Por lo dicho precedentemente, pretender desarrollar un análisis omnicomprensivo acerca de la injerencia de la tecnología en el derecho argentino de hoy resultaría poco menos que inabarcable. Es así que enfocamos este artículo en alguna de las implicancias legales de los denominados “servicios informáticos en la Nube”, comúnmente conocidos como servicios cloud.
Lejos de tratarse de un concepto jurídico, el concepto de “nube” o “cloud” fue acuñado por la industria informática. Y dejando de lado definiciones técnicas (5), en términos muy llanos podemos decir que los servicios en la nube permiten que los archivos y contenidos que están en los dispositivos de hardware particulares de los usuarios (PC, servidor, Tablet, etc.) puedan ser alojados en un conjunto de servidores, a los que los usuarios pueden acceder a través de Internet y que forman la “nube”, a través de diversas modalidades de contratación (6). En definitiva, los servicios que permiten a los usuarios almacenar dichos contenidos, acceder a los mismos en forma inmediata y desde cualquier punto, procesarlos —por sí o a través de terceros— y ofrecer servicios asociados a los usuarios finales, son “servicios en la nube” provistos masivamente a través de una red (usualmente Internet).
Pese a la casi inexistencia de legislación específica sobre la nube, existen en nuestro país disposiciones que —en adición a la normativa general aplicable a la locación de servicios— regulan la implementación de tecnología y son usualmente consideradas en la contratación de servicios cloud para ciertas industrias o áreas del derecho. En ellas centraremos este trabajo.

II. Datos personales: procesamiento informatizado. Régimen legal
Gran parte del contenido en la nube está compuesto por “datos personales” [7]. Resulta pertinente al respecto la explicación del profesor Travieso: “¿Qué sucede con la información y los datos personales? En general, los gobiernos, empresas, bancos y en general todas las organizaciones, manejan y operan información personal referente a empleados, proveedores, clientes, usuarios, etc. (…) Lo cierto, es que todas las empresas, tienen datos personales de mayor o menor entidad. Esta información es recolectada, procesada y resguardada, por redes de comunicación y se halla diseminada en varias computadoras radicadas en dispositivos internos, a nivel nacional o internacionalmente en dispositivos remotos. En la actualidad, gran parte, y en algunos casos la totalidad de esa información, se halla ubicada y resguardada, por cuestiones de costos, remotamente en la denominada nube (cloud computing), refiriéndose a instalaciones remotas que buscan tener todos nuestros archivos e información en Internet y sin depender de poseer la capacidad suficiente para almacenar información. Sea cual fuera el sistema de almacenamiento, la afectación de estos datos puede tener graves consecuencias para el patrimonio, el honor e incluso, la integridad física de sus titulares. Así, la protección de los datos personales se ha transformado en un requerimiento de la actividad de toda organización, que gatilla su responsabilidad jurídica (…). Por tanto, es indispensable el cumplimiento de exigencias legales. Pero también, la actividad de cumplimiento normativo se presenta como una exigencia ética y de competitividad, ya que los clientes, cada vez valoran más el resguardo de su privacidad”(8).
Queda claro entonces que la legislación sobre datos personales (9) tiene impacto directo en toda contratación de servicios cloud. En este sentido, resulta indudable que tales servicios constituyen un tratamiento informatizado de datos personales en los términos del art. 25 de la LPDP (10). En los casos en que el proveedor de servicios cloud se encuentre domiciliado fuera de la Argentina o aloje los datos que procesa en servidores fuera de la Argentina (lo cual sucede en la mayoría de los casos), habrá un tratamiento internacional de datos. De hecho, la entonces Dirección Nacional de Protección de Datos Personales (actualmente Agencia de Acceso a la Información Pública, autoridad de aplicación de la ley 25.326) ha reconocido normativamente que “el almacenamiento en la nube se considera una transferencia internacional de datos”(11).
Sin regulación durante años, en 2016 se dictó la disposición 60-E/2016 (12), que legisla expresamente el tratamiento internacional de datos personales y resulta plenamente aplicable a la contratación de servicios en la nube. En lo sustancial, dicha norma establece un modelo de contrato de transferencia internacional de datos personales a tales efectos, cuyos principios, garantías y contenidos relativos a la protección de los datos personales deberá ser adoptado por quienes deban realizar transferencias internacionales de datos a países sin “legislación adecuada”.
El dictado de esta norma —primordial en la contratación de servicios cloud— fue bienvenida por casi toda la industria ya que reguló un servicio en plena expansión global como es el “outsourcing de datos” y los servicios cloud, máxime con el advenimiento del big data (13) ; puso en legislación positiva criterios que antes estaban contenidos en meros dictámenes de la DNPDP (14), sin la fuerza vinculante de disposición legal; sigue casi al pie de la letra el modelo europeo en esta materia (15), lo cual resulta armónico con las fuentes de la ley 25.326 y la legislación más avanzada en este campo; y brinda certidumbre y seguridad jurídica sobre este tipo de servicios (16).
Otro aspecto destacable de esta norma es el favorable tratamiento de la responsabilidad del proveedor de servicios cloud(procesador de datos). El criterio doctrinario predominante —con el cual coincidimos— considera que, lejos de ser solidariamente responsables, el cliente (responsable del banco de datos) y el prestador de servicios de la nube tienen responsabilidades bien distintas bajo la ley 25.326 (17). Bajo este criterio, el importador encargado del tratamiento únicamente resultaría responsable si se aparta de las instrucciones impartidas por el cliente o infringe las obligaciones expresamente establecidas en el contrato de servicios de tratamiento.
Este último criterio fue también confirmado en una opinión formal de la ex Dirección Nacional de Protección de Datos Personales dictada en enero de 2014, mediante la cual dicho organismo confirma que la responsabilidad solidaria prevista para la cesión de datos (art. 11, de la ley 25.326) no aplica al tratamiento de datos previsto en el art. 25 de la ley 25.326 (18).
La disposición 60/2016, aunque con redacción deficiente e incompleta a nuestro entender, también parece inclinarse por esta última interpretación, por cuanto se adjuntan a la norma dos anexos con modelos distintos de cláusulas contractuales tipo de transferencia internacional —uno para cesión y otro para prestación de servicios— con cláusulas de responsabilidad diferentes para el importador en uno y otro caso (19).

III. Sector financiero: contratación de servicios de tecnología informática y tercerización de actividades
La bancaria es a nivel mundial una de las industrias más reguladas y a la vez que más reclama la posibilidad legal de implementar servicios cloud por la gran cantidad de datos que necesitan procesar.
En la Argentina, este tipo de servicios para las entidades financieras están regulados tanto por la legislación de Protección de Datos Personales como por la legislación bancaria aplicable; y, por lo tanto, las entidades financieras deben cumplir con ambos regímenes legales.
Hasta fines de 2017, la falta de regulación específica, lejos de permitir a los bancos acceder a los servicios tecnológicos avanzados, prácticamente impedían cualquier tipo de migración de datos fuera de las instalaciones de las entidades financieras. En efecto, en base a lo dispuesto por las Comunicaciones del BCRA A 4989, A 6126, A 5374 y A 6207, el BCRA restringía muy fuertemente —por así decirlo— la implementación de servicios en la nube y cualquier tipo de tercerización de actividades de las entidades financieras argentinas fuera del país; al punto que prohibía que los datos sobre las operaciones financieras constitutivas del núcleo de la actividad bancaria fueran almacenadas o procesadas en el exterior, salvo que se tratase de la casa matriz de bancos con sucursales o subsidiarias en la Argentina. Este marco regulatorio representaba una traba legal para que las entidades financieras argentinas accedieran a los servicios en la nube (actualmente, la esencia misma de los servicios informatizados de procesamiento de datos) (20).
En noviembre de 2017, el Banco Central de Argentina (“BCRA”) emitió la comunicación A 6354, días después modificada por la comunicación 6375, vigentes hasta hoy, que establecen requisitos específicos para entidades financieras con la intención de contratar servicios de tecnología informática (“STI”) y de descentralización y tercerización de actividades (secciones 7 y 2 de la norma respectivamente) (21). Esta norma regula directamente la provisión de servicios cloud —entre otros— a entidades financieras, estableciendo diversos requisitos operativos, técnicos y legales que deben cumplir tanto la entidad financiera como el proveedor de servicios cloud.
Entre los principales requerimientos de índole estrictamente legal establecidos por la com. 6375, cabe reseñar los siguientes:
(a) Ante todo conviene dejar aclarado que la com. 6375 permite expresamente a las entidades financieras realizar actividades de descentralización y tercerización, lo cual implica, entre otras cuestiones, poder alojar sus datos en instalaciones de terceros (es decir, contratar la provisión de servicios en la nube), siempre que tanto la entidad financiera como el proveedor de STI cumplan con los requisitos establecidos en la nueva regulación (22).
(b) Las entidades financieras que tengan la intención de realizar actividades de descentralización y/o tercerización deberán informarlo a través de una comunicación a la Secretaría de Entidades Financieras y Cambiarias (“SEFyC”) al menos 60 días antes de iniciar tales actividades (23). En dicha comunicación, la entidad financiera debe incluir información obligatoria y una copia del contrato de prestación del servicio en formato pdf (24) .
(c) Las actividades descentralizadas y/o tercerizadas “estarán sujetas a las reglamentaciones técnicas aplicables a la naturaleza de dichas actividades”(25). En el caso de los STI, las entidades financieras y los proveedores de STI deberán cumplir con los requisitos técnicos reglamentarios indicados en la sección 7 de la com. 6375. La obligación de cumplir con tales requisitos debe ser incluida expresamente en el acuerdo entre la entidad financiera y el proveedor de STI (26); y la facultad de la SEFyC de auditar dicho cumplimiento de forma periódica (27). En otras palabras, para proporcionar servicios STI a los bancos argentinos, en cumplimiento con lo requerido por la com. 6375, el proveedor de servicios cloud debería incluir en su contrato con el banco su compromiso expreso de cumplir con dicha norma.
(d) Los proveedores de STI deberán otorgar a la SEFyC acceso a las instalaciones de dicho proveedor “cuando sea necesario para cumplir con el deber de supervisión de la SEFyC”(28). Tal compromiso debe incluirse expresamente en el acuerdo entre la entidad financiera y el proveedor de STI (29).
(e) Los proveedores de STI en los que las entidades financieras descentralicen actividades deben realizar auditorías internas todos los años teniendo en cuenta en dicha auditoría el cumplimiento de la com. 6375; y enviar una copia de dicha auditoría a la Unidad de Auditoría Externa de la SEFyC (30).
(f) Los servicios cloud contratados a com. 6375, cualquiera sea el propósito para el que se lo contrate (31), deberán cumplir con las características de seguridad (una lista de procesos de seguridad funcional más que medidas técnicas específicas propiamente dichas) descritas en la secc. 7.2 de la com. 6375.
(g) Si bien se trata de un requerimiento más técnico que legal, la com. 6375 requiere que, al contratar STI, las entidades financieras mantengan un “Punto de acceso unificado” ubicado en la Argentina bajo la administración de cada entidad, que permita a la misma realizar un control permanente de las actividades llevadas a cabo por el proveedor de los STI. La norma establece las condiciones que debe reunir ese “punto de acceso unificado”, si bien con un léxico poco claro, o al menos que se ha prestado y se sigue prestando con dificultad interpretativa (32).
(h) Respecto de la responsabilidad por los STI, estos deben cumplir con todos los requisitos de dicha norma, “incluyendo a los propietarios de licencias o marcas que por acuerdo con las entidades financieras facilitan el uso de sus recursos e infraestructura”(33).
Por otra parte, como señalamos al principio, la com. 6375 es esencialmente una norma que principalmente lista requerimientos de índole técnico (34). Si bien el análisis de los mismos excede lo jurídico y el alcance de este memorándum, sobre la base de la experiencia con otros clientes entendemos que hasta la fecha existe incertidumbre entre las entidades financieras y los prestadores de STI respecto del alcance de tales requisitos técnicos.
En líneas muy generales, cabe señalar que la com. 6375 establece tres [3] diferentes “escenarios de los STI” clasificados según el tipo de datos que se transferirán al proveedor de tecnología informática y el riesgo derivado (35); e impone varios “requisitos técnicos y operativos” para cada escenario, que tanto el banco como el proveedor de STI deberán cumplir (36).
Además, los requisitos antes mencionados se describen en siete (7) categorías (con una “tabla” de requisitos para cada categoría), de la siguiente manera:
– Gobierno de la seguridad de la información (“Gobierno de la seguridad de información”).
– Concientización y entrenamiento (“Concientización y Capacitación”).
– Control de acceso (“Control de acceso”).
– Integridad y seguimiento (“Integridad y Registro”).
– Monitoreo y Control (“Monitoreo y Control”).
– Gestión de incidentes (“Gestión de incidentes”).
– Continuidad Operativa (“Continuidad operativa”).
En suma, la reciente comunicación BCRA A 6375 permite a las entidades financieras contratar servicios en la nube. Debe decirse que para ellos establece numerosos requerimientos técnicos y normativos, engorrosos, difíciles de interpretar e incluso de entender. Pese a ello, la norma constituye un paso adelante en el acercamiento normativo de la tecnología a las entidades financieras.

IV. Sector salud: historia clínica digital. La nube en los hospitales
En el sector salud existe una aseveración común —carente de todo asidero jurídico, probablemente derivada del temor a lo nuevo— de que la nube no puede ser utilizada en dicha industria porque los datos de salud deben quedar “dentro de las instalaciones de cada hospital o sanatorio”. Al respecto conviene dejar claro que ninguna disposición en la legislación argentina prohíbe o restringe el uso de la nube en el sector salud. Por el contrario, de acuerdo con lo dispuesto por la Ley de Derechos del Paciente e Historia Clínica 25.629 y la Ley de Protección de Datos Personales 25.326, las entidades del sector salud se encuentran habilitadas para contratar servicios en la nube siempre que cumplan determinados requisitos. Más aún, leyes de algunas jurisdicciones (como por ejemplo la Ciudad de Buenos Aires) incluso exigen la implementación de servicios en la nube para “garantizar que la información sanitaria esté disponible en todo momento y en todos los establecimientos asistenciales con asiento físico en la Ciudad Autónoma de Buenos Aires”, cumpliendo también ciertos requisitos técnicos y legales.
La historia clínica está constituida por datos personales del paciente, titular de la misma (37), encontrándose regulada genéricamente por la ley 25.326 —en cuanto a los datos personales— y específicamente por la ley 25.629. Esta última norma prevé expresamente la informatización de la historia clínica (38), al establecer que la misma “puede confeccionarse en soporte magnético siempre que se arbitren todos los medios que aseguren la preservación de su integridad, autenticidad, inalterabilidad, perdurabilidad y recuperabilidad de los datos contenidos en la misma en tiempo y forma. A tal fin, debe adoptarse el uso de accesos restringidos con claves de identificación, medios no reescribibles de almacenamiento, control de modificación de campos o cualquier otra técnica idónea para asegurar su integridad”.
El dec. 1089/2012, al reglamentar la disposición antedicha, establece que “la historia clínica informatizada deberá adaptarse a lo prescripto por la ley 25.506, sus complementarias y modificatorias” (corresponde señalar que resulta poco claro el alcance de este último requisito, ya que la ley 25.506 prevé tanto la firma electrónica como la firma digital, con efectos prácticos e implicancias jurídicas distintas para cada una de ellas (39)).
Muchas leyes provinciales adhirieron a la ley nacional 26.529, manteniendo sus principios y posibilitando la implementación de la historia clínica digital o electrónica (40). La más avanzada al respecto parecería ser la Ciudad de Buenos Aires, que sancionó la “Ley de Historia Clínica Electrónica”(41) estableciendo recaudos específicos —que exceden el marco de este trabajo— para digitalizar la misma. La norma en cuestión dispone que “la Historia Clínica Electrónica (HCE) es equivalente a la historia clínica registrada en soporte papel en los términos de la ley 26.529″(42).
Respecto de la posibilidad de contratar servicios cloud para “subir” los datos de salud a la nube de los proveedores de tales servicios, como principio cabe remitirse a lo apuntado en el punto II del presente, en tanto ello otorga sustento normativo expreso a la contratación de servicios de procesamiento informatizado de datos, incluyendo la posibilidad de hacerlo con datos sensibles, como lo son los de la salud.
Con relación a la posibilidad más específica de que la historia clínica de un paciente pueda ser accedida por profesionales de la salud de establecimientos distintos de aquel en el cual la historia clínica se encuentra archivada, ello depende en buena medida de la legislación local de cada jurisdicción.
La ley 26.529 se refiere siempre a la posibilidad de que los médicos de un mismo establecimiento accedan a la historia clínica, sin contemplar —al menos expresamente— la posibilidad de que la misma sea compartida con profesionales de otros establecimientos. Así la norma establece: “Cada establecimiento asistencial debe archivar las historias clínicas de sus pacientes, y la documentación adjunta (…). Los profesionales del establecimiento que realizan la asistencia al paciente y participan de su diagnóstico y tratamiento deben tener acceso a su historia clínica como instrumento fundamental para su adecuada asistencia. A estos fines cada centro debe arbitrar los recaudos para permitir su acceso”(43).
Por su parte, el art. 18 de dicha ley regula la inviolabilidad de la historia clínica y establece que “Mientras se mantenga en custodia la Historia Clínica, se permitirá el acceso a la misma, por parte de los profesionales de la salud en los siguientes casos:(a) Cuando se trate de los profesionales tratantes; (b) Cuando se encuentre en peligro la protección de la salud pública o la salud o la vida de otras persona/s, por parte de quienes disponga fundadamente la autoridad sanitaria; (c) Cuando sea necesario el acceso a la información para la realización de auditorías médicas o la labor de los agentes del seguro de salud, siempre y cuando se adopten mecanismos de resguardo de la confidencialidad de los datos inherentes al paciente”.
Ahora bien, algunas legislaciones locales, como la ley 5669 CABA, contemplan y permiten expresamente que —con determinados recaudos de seguridad— se comparta la historia clínica entre distintos establecimientos, de modo que esta pueda ser accedida desde todos los establecimientos sanitarios de la misma jurisdicción.
Esta norma, sancionada a fines de 2016, establece el “Sistema Integrador de Historias Clínicas Electrónicas (SIHCE) para todos los habitantes que reciban atención sanitaria en la Ciudad Autónoma de Buenos Aires, a cuyo efecto se crea por la presente la Base de Datos única, que permitirá el almacenamiento y gestión de toda la información sanitaria, desde el nacimiento hasta el fallecimiento, contenida en historias clínicas electrónicas…”. (44)
De hecho, el objeto de dicha norma —de avanzada en la materia— es “la integración y organización de la información sanitaria de las personas en el territorio de la Ciudad Autónoma de Buenos Aires…”(45). La norma consagra expresamente el principio de “Accesibilidad” disponiendo que “debe garantizarse que la información esté disponible en todo momento y en todos los establecimientos asistenciales con asiento físico en la Ciudad Autónoma de Buenos Aires”(46).
En el mismo sentido se prevé que “Todos los Establecimientos asistenciales ubicados en el territorio de la CABA, sean públicos, privados o de la seguridad social, deben facilitar los medios necesarios para la concreción del Sistema Integrador de Historias Clínicas Electrónicas (SIHCE) y el Registro de Historia Clínicas Electrónicas de la CABA (RHCE)”(47), y que “los establecimientos asistenciales que presten servicios en el ámbito del territorio de la CABA, deben (…) Generar los medios para poner a disposición y compartir la información, así como las funcionalidades y soluciones tecnológicas, entre aquellas que lo requieran”(48).
Concordantemente, la doctrina ha entendido que “A partir del Sistema Integrador de Historias Clínicas Electrónicas de la Ciudad Autónoma de Buenos Aires (SIHCE), se centraliza la compatibilización e integración de la totalidad de la información sanitaria contenida en las Historias Clínicas Electrónicas pertenecientes a pacientes que reciban asistencia a la salud en establecimientos asistenciales, públicos, de la seguridad social o privados, o en consultorios privados dentro de la Ciudad Autónoma de Buenos Aires”(49).
Respecto de los recaudos técnicos para la guarda de las historias clínicas en la nube, la normativa vigente determina que estas —en tanto se trata de datos relativos a la salud— deben ser objeto de medidas de seguridad particularmente “severas”, sustancialmente más estrictas que las aplicables a otro tipo de datos. Ello surge de la ley de historia clínica (50), de la ley de protección de datos personales (51) y también de la reciente disposición 47/2018 de la Agencia de Acceso a la Información Pública, cuyas medidas de seguridad allí establecidas —si bien son “recomendadas”— establecen medidas diferenciadas y especialmente estrictas para los datos sensibles, como lo son los datos relativos a la salud.

V. Documentación societaria en la nube
En materia de documentación societaria, diversas normas fueron permitiendo digitalizar los libros societarios y contables. Una norma que abrió la puerta a ello fue la resolución general 6/2017 de la Inspección General de Justicia que, en base a la flexibilización de los formatos societarios tradicionales que dispuso la ley 27.349, reglamentó los aspectos registrales de las nuevas Sociedades por Acciones Simplificadas (las SAS) terminando de redondear una ambiciosa modernización en diversos aspectos relativos a la constitución y el funcionamiento de las SAS.
Esta “desmaterialización de la documentación societaria” —al decir de Borthwick (52)— se inició con las SAS y fue extendida luego a otros tipos sociales mediante la reciente ley 27.444 de “Simplificación y desburocratización para el desarr
ollo productivo de la Argentina”, que modificó para ello el art. 61 de la Ley General de Sociedades. Esta última norma dispone en lo pertinente que “Podrá prescindirse del cumplimiento de las formalidades impuestas por los artículos 73, 162, 213, 238 y 290 de la presente ley, como así también de las impuestas por los artículos 320 y subsiguientes del Código Civil y Comercial de la Nación para llevar los libros societarios y contables por Registros Digitales mediante medios digitales de igual manera y forma que los registros digitales de las Sociedades por Acciones Simplificadas instituidos por la ley 27.349.
El libro diario podrá ser llevado con asientos globales que no comprendan períodos mayores de un [1] mes. El sistema de contabilización debe permitir la individualización de las operaciones, las correspondientes cuentas deudoras y acreedoras y su posterior verificación, con arreglo al artículo 321 del Código Civil y Comercial de la Nación. La Comisión Nacional de Valores dictará la normativa a ser aplicada a las sociedades sujetas a su contralor. Para el caso que se disponga la individualización, a través de medios digitales, de la contabilidad y de los actos societarios correspondientes, los registros públicos deberán implementar un sistema al solo efecto de comprobar el cumplimiento del tracto registral, en las condiciones que se establezcan reglamentariamente”.
El indudable avance de la normativa antes referida encuentra un óbice operativo en el criterio de la Inspección General de Justicia, pues el art. 53 de la resolución general 6/2017, antes citada, exige que el servidor donde se alojan los archivos societarios esté en la sede social, y que la sociedad guarde dos copias de cada archivo digital en dos lugares diferentes a la sede social, debiendo al menos uno ser virtual. Conforme al artículo citado de la RG IGJ 6/2017 la sociedad deberá informar a la Inspección General de Justicia la localización de las copias adicionales y actualizar inmediatamente cualquier cambio. No queda claro si la copia adicional virtual podría ser alojada en la nube, ya que la exigencia de informar la localización de los archivos digitales constantemente puede tornarse de difícil concreción, a pesar de que algunas empresas que alojan información en la nube ofrezcan comunicar la localización específica de los datos guardados.
Esta tesitura del organismo viene desde antes de la sanción de las normas antes citadas. La reglamentación se enrola en el tradicionalismo que impera sobre la obligación de conservar los libros y registros en soporte papel en el domicilio de su titular (53), esto es, la sede social. La labor jurisprudencial ha respaldado esta obligación desde antaño sosteniendo que “los libros y registros de una sociedad deben mantenerse en el domicilio social de la misma”(54), que “en principio tales libros societarios no deben ser retirados del domicilio social por moverse del domicilio social debido al uso periódico de los mismos”(55) y que los libros “no pueden hallarse bajo el poder de algún director en particular, sino que deben encontrarse en la sede social a efectos de permitir que sea llevada adelante la operatoria concerniente al objeto de esta”(56).
Tal concepción, de carácter histórico, es calificable como razonable para los registros en soporte papel, pero luce anacrónica para aquellos registros que sean digitales. Indudablemente, el acceso a los datos alojados en la nube despierta diversas inquietudes en la comunidad jurídica, desde que accionistas, directores y síndicos deben tener acceso, conforme al marco legal y estatutario de cada sociedad, a los archivos digitales alojados en la nube. Pero tales inquietudes pueden y deben ser superadas, estableciendo una reglamentación, similar a las citadas en el punto 3 de este trabajo dictadas por el Banco Central de la República Argentina para el sector financiero, que dispone requisitos operativos, técnicos y legales a cumplir por la sociedad titular de los registros digitales como el proveedor de servicios cloud.
La ratio legis de los principios antes referidos ha quedado completamente obsoleta, siendo superada por el avance de la tecnología plasmada en normas dictadas por la propia Inspección General de Justicia. El criterio de este último organismo (requerir que el servidor donde se alojan los libros sociales digitalizados se encuentre físicamente en la Argentina) obstruye la contratación de servicios cloud para guardar la documentación societaria y reemplazar los registros tradicionales. Confiamos en que, a tono con la modernización normativa de los últimos dos años, el organismo cambiará dicho criterio.

VI. Cloud en el sector público
Convencidos sobre los beneficios de la tecnología cloud, a nivel gubernamental se han puesto en marcha una serie de iniciativas para fomentar el uso de la nube en diversos sectores. Un número creciente de entidades públicas está migrando a este modelo de computación y de hecho los servicios en la nube han sido y siguen siendo contratados por diversas entidades del sector público argentino, incluyendo entes gubernamentales, Ministerios nacionales, gobiernos de distintas provincias y de la Ciudad de Buenos Aires.
La provincia de Buenos Aires fue pionera a nivel regulatorio al contemplar expresamente mediante el dec. 875/2016 la posibilidad de contratación de servicios cloud computing para toda la administración pública provincial, centralizada y descentralizada, requiriendo para ello previa intervención de la Dirección Provincial de Sistemas de Información y Tecnologías (57).
La Ciudad de Buenos Aires, por su parte, dictó la hasta el momento única norma que regula de manera más integral la contratación de servicios en la nube para entidades gubernamentales de esa jurisdicción. En efecto, la Agencia de sistemas de la Información del Gobierno de la Ciudad de Buenos Aires —organismo que debe autorizar la contratación de bienes informáticos de dicho gobierno— dictó la resolución 12/2017 aprobatoria del “Marco Normativo de Cloud Computing” que deben observar todas las dependencias del Poder Ejecutivo de la Ciudad de Buenos Aires. En el Anexo I se contempla expresamente “la posibilidad de tratamiento de los datos fuera del ámbito gubernamental, incluso fuera del territorio nacional (como) una característica propia de Cloud Computing”. Asimismo, la norma reconoce que “la implementación del Cloud tiene como objetivo principal disminuir los gastos de infraestructura y proporcionar recursos informáticos flexibles y medibles, así como también minimizar los gastos de acceso a la información, permitiendo reducir costos innecesarios”.
En similar sentido, la Oficina Nacional de Tecnologías de la Información —organismo dependiente del Ministerio de Modernización— dictó recientemente la disposición 2/2018 (58), vigente desde octubre de 2018 (59), por la que se aprobó el Código de Buenas Prácticas en la elaboración, ampliación y mejora de Soluciones Tecnológicas para el Sector Público Nacional, conocido como “Decálogo Tecnológico ONTI”. Entre los lineamientos contemplados por la norma para la elaboración de requerimientos de soluciones de tecnologías de la información y comunicación en el Estado, se encuentra aquel que propicia las soluciones que utilicen la Nube (60) y se especifica que el Gobierno identifica a la “nube híbrida” como el mejor escenario para cubrir todas las necesidades de infraestructura TIC en forma más eficiente.
Puntualmente, se reconoce que “el uso de la nube permite minimizar costos y gastos de mantenimiento, brindando a la vez escalabilidad y confiabilidad. La nube pública ofrece una amplia variedad de servicios, mientras que la nube privada ofrece un entorno controlado necesario para ciertas situaciones o requerimientos en ambientes de gobierno”. Concretamente, el decálogo mencionado dispone que “los organismos de gobierno —al requerir servicios nuevos TI o crecer en existentes— deben optar por soluciones en la nube antes que por cualquier otra opción”(61).
Los conceptos vertidos por la resolución ASI 12/2017 y por la disposición ONTI 2/2018 antes citados resumen las principales ventajas de los servicios cloud y explican la contratación de los mismos por numerosos organismos del sector público argentino.
(A) Abogado, egresado de la Universidad de Buenos Aires, Máster of Laws (LLM) de Yeshiva University, New York. Socio del Estudio Richards, Cardinal, Tutzer, Zabala & Zaefferer, a cargo del Departamento de IT. Profesor de Datos Personales de la Universidad Austral (Master de Derecho Empresario).
(1) En este sentido recomiendo el artículo de Stone, Stephenie, “Why every company is a Technology Company”, accesible en https://www.forbes.com/sites/forbestechcouncil/2017/01/23/why-every-company-is-a-technology-company/#352051c857ae.
(2) Frene, Lisandro, “Privacidad y tecnología en el derecho argentino actual”, publicado en Abogados.com.ar del 19/12/2017.
(3) CS, 28/10/2014, “Rodríguez, María Belén c. Google s/daños y perjuicios’, y CS, 12/9/2017, “Gimbutas c. Google s/daños y perjuicios”.
(4) Proyecto de ley sobre Responsabilidad de los Proveedores de Servicios de Internet de los senadores Federico Pinedo y Liliana Fellner, aprobado en el Senado.
(5) Se ha definido a los “servicios en la nube” como un modelo que habilita el acceso ubicuo sobre demanda y mediante una red de computadoras, a un conjunto de recursos compartidos que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con sus proveedores, cf. Rodrigues Moreira, Rafael Henrique, “Computación en la nube y políticas públicas en Brasil”, publicado en el Newsletter 2015, titulado “El Avance de la Computación en la Nube” y publicado por la CEPAL. Disponible en: http://www.cepal.org/socinfo/noticias/paginas/3/44733/newsletter19.pdf.
(6) Del Río, Mariano M., “¿Qué es el Cloud Computing?”, publicado en el marco del Programa Nacional de Infaestructuras Críticas de Información y Ciberseguridad. Disponible en: http://www.internetsano.gob.ar/archivos/Cloud_computing_usuarios.pdf.
(7) De acuerdo con el concepto amplio de nuestra legislación se entiende a los datos personales como la: “Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables” (ley 25.326, art. 2º).
(8) Conf. Travieso, J. A., “La protección de datos personales: problemas y sistemas”, LL del 8/4/2014, p. 1.
(9) En la Argentina, ley 25.326 y diversas resoluciones dictadas por la Agencia de Acceso a la Información Pública, autoridad de aplicación de la ley antedicha.
(10) Conf. Frene, Lisandro y Liefeldt, Luciana, “Privacidad en la nube”, LL del 29/11/2015.
(11) Disposición DNPDP 18/2015 (Anexo I, cap. 4, inc. 7º).
(12) BO 33.507 del 18/11/2016.
(13) Big data es un término usado para describir la aplicación de técnicas analíticas para buscar, agregar y grandes conjuntos de datos de referencia cruzada con el fin de desarrollar la inteligencia y puntos de vista. Conf. https://www.privacyinternational.org. Al respecto, ver también González Allonca, Juan Cruz y Ruiz Martínez, Esteban, “Big Data: riesgos y desafíos en el tratamiento masivo de datos personales”, por LL del 8/4/2016, p. 1.
(14) Dictámenes de la DNPDP 248/2005; 9/2008; 16/2008; 18/2012; 12/2013; 5/2015; 3/2016 y muchos otros.
(15) Decisión 2001/497/CE del 15 de junio de 2001 y la Decisión 2010/87/UE del 5 de febrero de 2010; especialmente esta última en cuanto establece cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE. Ello continúa vigente aun después de la entrada en vigencia del GDPR en virtud de lo dispuesto por el propio GDPR en su art. 46, inc. 5.
(16) Conf. Frene, Lisandro, “Tratamiento informatizado de datos personales: saludable evolución normativa”, LL del 13/12/2016.
(17) “Como el acceso del prestador del servicio no supone la revelación de datos al mismo en los términos en que la norma concibe la cesión, hay que entender que los deberes impuestos a los cesionarios no le son aplicables a quienes traten datos por cuenta de terceros”. Tanús, Gustavo D., “El contrato de prestación de servicios de tratamiento de datos personales (el outsourcing de datos)”, SJA 28/4/2004 – JA 2004-II-1445; Lexis Nº 0003/010498 o 0003/010506.
(18) Nota de la DNPDP 32/2014, de enero de 2014, en la que dicho organismo sostiene: “cabría aclarar que la prestación de servicios informatizados de datos personales previsto en el art. 25 excluye la aplicación del art. 11 de la ley 25.326, por tratarse de una prestación de servicios y no de una cesión de datos”.
(19) Disp. 60/2016, cláusula 5ª del Anexo I para el caso de cesión; y cláusula 6 del Anexo II para el caso de prestación de servicios.
(20) Conf. Frene, Lisandro, “Procesamiento de datos de entidades financieras”, publicada el 3 de abril de 2018 en Abogados.com.ar, disponible en http://www.abogados.com.ar/procesamiento-de-datos-de-entidades-financieras-nuevo-marco-regulatorio/21210.
(21) La propia com. 6375 define a los “Servicios de Tecnología Informática (STI)”: Comprende a la prestación formal, regular, periódica, delimitada y controlada de recursos de tecnología informática indispensables para brindar alguno o varios de los siguientes servicios: infraestructura informática, procesamiento de datos, operaciones y mantenimiento, comunicaciones, almacenamiento y custodia, desarrollo de aplicaciones y contingencia; siempre que los mismos tengan un impacto directo o indirecto sobre datos del cliente, datos contables-financieros o datos transaccionales.En tanto, establece que “STI tercerizados”. Corresponde a la prestación de servicios de administración y/o gestión operativa informática, mediante acuerdos con terceros, que cuenten con recursos aptos para ofrecer servicios de tecnología informática (STI) que pueden ser prestados parcial o totalmente a una o más organizaciones de manera conjunta o individualizada en el país o en el exterior en conformidad con lo establecido en las normas sobre “Expansión de entidades financieras”.
(22) Sección 2.1.2 de la com. 6375.
(23) Sección 2.1. de la com. 6375.
(24) Secciones 2.3 y 2.3.5. de la com. 6375.
(25) Sección 2.2.1 de la com. 6375.
(26) Sección 2.2.2.1 de la com. 6375: “2.2.2. En el contrato de tercerización o acuerdo de servicio de descentralización deberá estar expresamente estipulado lo siguiente: 2.2.2.1. La aceptación y el compromiso de cumplimiento de las condiciones a que se refiere el punto 2.2.1., por todas las partes intervinientes”.
(27) Sección 2.2.2.2 de la com. 6375.
(28) Sección 2.2.5 de la com. 6375.
(29) Sección 2.2.2.2 de la com. 6375.
(30) Sección 2.2.4 de la com. 6375.
(31) Entre los varios STI, el art. 7.1 de la com. 6375 menciona los siguientes servicios, cada uno de los cuales se encuentra definido en el Glosario: 7.1.1. Infraestructura de Tecnología y Sistemas (SIS). 7.1.2. Procesamiento de Datos (SPD). 7.1.3. Soporte, Prevención y Mantenimiento (SPM). 7.1.4. Comunicaciones (STC). 7.1.5. Almacenamiento y Custodia (SAC). 7.1.6. Desarrollo de Aplicaciones (SDA). 7.1.7. Contingencia y Recuperación (SCR).
(32) Sección 7.3.2.2 y 2.3 de la com. 6375.
(33) Sección 7.3.3.3 de la com. 6375.
(34) Gran parte de los mismos se encuentra en la sección 7 y en “Tablas de requisitos técnico-operativos” listados en la sección 7.7.
(35) Secciones 7.4 y 7.5 de la com. 6375.
(36) Sección 7.7 de la com. 6375.
(37) El art. 14 de la ley 25.629 dispone que “El paciente es el titular de la historia clínica”.
(38) Art. 13 de la ley 26.529.
(39) La “firma electrónica” es cualquier dato o medio electrónico utilizado por el signatario del mismo para identificarse (por ejemplo, “la firma al pie del presente mail…”), que carece de los atributos para ser considerado “firma digital” (conf. ley 25.506, art. 5º). Si bien es admisible como medio de principio de prueba por escrito, no es jurídicamente equiparable a la firma ológrafa. La firma digital, en cambio, sí es equiparable a la firma ológrafa, conforme lo dispuesto por la ley 25.506 (arts. 2º, 7º y 8º) y recientemente por el art. 288 del Cód. Civ. y Com. Para ser considerada como tal, necesita un “Certificado Digital” adjunto emitido por un “Certificador” licenciado. En otras palabras, a través de un certificado digital, un certificador licenciado garantiza a los terceros que el documento digital que contiene una determinada firma digital (i) ha sido realmente firmado por la parte firmante y (ii) que no ha sido alterada.
(40) En la República Argentina, en Catamarca (ley 5325), Corrientes (ley 5971), Chaco (ley 6925), Chubut (ley I-436), Jujuy (ley 5645), Río Negro (ley 4692), Santa Cruz (ley 3288), Tierra del Fuego (ley 884), Buenos Aires (ley 14.464) y CABA (ley 5669) han adherido a la ley nacional 26.529.
(41) Ley 5669 CABA, sancionada en octubre de 2016.
(42) Art. 10 de la ley 5669 CABA.
(43) Regl. art. 12 del dec. 1089/2012.
(44) Ley 5669 CABA, art. 1º.
(45) Ley 5669 CABA, art. 2º.
(46) Ley 5669 CABA, art. 4º.
(47) Ley 5669 CABA, art. 15.
(48) Ley 5669 CABA, art. 22, inc. 4º.
(49) Corvalán, Juan G. – Gimbatti, Silvia, “Historias clínicas digitales. La consolidación del big data sanitario”, LL del 18/8/2017, p. 1, cita online: AR/DOC/2178/2017. Allí se sostiene que “la previsión de los principios en la nueva Ley de Historia Clínica Electrónica de CABA no hace más que reafirmar el contenido de otras normas o disposiciones tanto internacionales como locales, que regulan la incorporación de las tecnologías de la información y comunicación a diversos procedimientos”.
(50) Art. 18 de la ley 26.529: “La historia clínica es inviolable. Los establecimientos asistenciales públicos o privados y los profesionales de la salud, en su calidad de titulares de consultorios privados, tienen a su cargo su guarda y custodia, asumiendo el carácter de depositarios de aquélla, y debiendo instrumentar los medios y recursos necesarios a fin de evitar el acceso a la información contenida en ella por personas no autorizadas”.
(51) La Ley de Protección de Datos Personales 25.326 (“LPDP”), en su art. 9º, establece que “El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado”.
(52) Borthwick, Sebastián, “Hacia la desmaterialización de la documentación societaria”, publicado en Abogados.com.ar del 15 de agosto de 2017, en donde se dijo que “La regulación de las SAS implica un necesario cambio de paradigma en lo que hace a la elaboración y registración de diversos documentos societarios que resultan vitales para el ente societario. El sendero impuesto por la ley 27.349 y la resolución 6/2017 plantea, sin dudas, múltiples inquietudes y desafíos; creemos, sin embargo, que estas normas, disruptivas para el mundo jurídico tradicional, han llegado para revolucionar el Derecho Societario, ya que creemos que ante un exitoso funcionamiento el legislador extenderá su aplicación a otros tipos societarios (como la SRL) por imperio del avance tecnológico”.
(53) Conf. art. 325 del Cód. Civ. y Com.
(54) CNCom., sala B, 29/8/1956, LL 85-233, sala A, 6/6/1961, LL 106-975, S-7690.
(55) CNCom., sala A, 27/5/1963, ED 5-745.
(56) CNCom., sala C, 30/8/2012, “Tpyac SA s/medida precautoria”.
(57) El dec. 875/2016, en su art. 3º dispone que los organismos de la administración pública provincial deben requerir “la previa intervención de la Dirección Provincial de Sistemas de Información y Tecnologías, en toda contratación de software, hardware y cloud computing, entendiéndose por este concepto las modalidades de software como servicio (SaaS, por sus siglas en inglés), plataforma como servicio (PaaS, por sus siglas en inglés) e infraestructura como servicio (LaaS, por sus siglas en inglés)”.
(58) BO del 13/8/2018.
(59) Conforme con el art. 6º de la disposición, esta entrará en vigencia a los 45 días corridos de su publicación en el Boletín Oficial.
(60) Punto 3 del decálogo tecnológico de la ONTI.
(61) Punto 3 del Anexo I de la disp. ONTI 2/2018 (decálogo tecnológico de la ONTI).