Artículo 52 del REGLAMENTO de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares
Explicado en lenguaje simple
En palabras simples
Este artículo te dice qué revisar antes de usar un servicio de "nube", como Google Drive o iCloud, para guardar información de tus clientes o empleados. Si contratas uno de estos servicios (por ejemplo, con un contrato que solo te pide aceptar términos y condiciones), el proveedor debe cumplir reglas estrictas para proteger los datos. Por ejemplo, debe tener políticas de privacidad claras, no puede quedarse con la propiedad de tu información y tiene que borrar los datos cuando termines de usarlos. También debe asegurarse de que solo personas autorizadas vean la información y, si una autoridad se la pide, debe notificártelo. Tú, como responsable, solo puedes contratar servicios que realmente garanticen esa protección.
Texto oficial
Artículo 52. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante REGLAMENTO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN Secretaría General Secretaría de Servicios Parlamentarios Nuevo Reglamento DOF 21-12-2011 14 de 36 condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor: I. Cumpla, al menos, con lo siguiente: a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento; b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio; c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, y II. Cuente con mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta; b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio; c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio; d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable. En cualquier caso, el responsable no podrá adherirse a servicios que no garanticen la debida protección de los datos personales. Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente. Las dependencias reguladoras, en el ámbito de sus competencias, en coadyuvancia con el Instituto, emitirán criterios para el debido tratamiento de datos personales en el denominado cómputo en la nube. Remisiones de datos personales
Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.