Este artículo fue publicado hace más de un año, por lo que es importante prestar atención a la vigencia de sus referencias normativas.

Computación en la nube para servicios financieros: ¿qué tanto ha avanzado el país en su regulación?


Computación en la nube para servicios financieros: ¿qué tanto ha avanzado el país en su regulación?
Actualizado: 29 noviembre, 2018 (hace 5 años)

Actualmente Colombia cuenta con dos clases de regulaciones para los servicios de computación en la nube. El primero, la protección de datos personales. El segundo, regulaciones del sistema de administración de riesgos operativos. ¿Qué normatividad aplica para las entidades financieras?

En el informe de Semana Económica 2018 titulado Computación en la nube para entidades financieras: ¿qué se debe tener en cuenta?, del 26 de noviembre del mismo año, Asobancaria presenta las iniciativas que se han emprendido en el país para regular el uso de los servicios de computación en la nube por parte de las entidades financieras.

“en Colombia aplican dos tipos de regulaciones para los servicios de computación en la nube: protección de datos personales y regulaciones relacionadas con el sistema de administración de riesgos operativos”

Hoy en Colombia aplican dos tipos de regulaciones para los servicios de computación en la nube: protección de datos personales y regulaciones relacionadas con el sistema de administración de riesgos operativos. Para los dos el país cuenta con una regulación robusta, sin embargo no existe una norma específica que defina los aspectos regulatorios para la adquisición y uso de servicios de nube.

Por una parte está la Ley Estatutaria 1581 de octubre de 2012, por medio de la cual se dictan disposiciones generales para la protección de datos personales. «Esta ley se basa en los principios europeos que consideran como un derecho fundamental de las personas el solicitar y obtener la información existente sobre sí mismos y de solicitar su eliminación o corrección si fuera falsa o estuviera desactualizada», describe el informe de Asobancaria.

También establece categorías de datos dentro de los cuales se encuentran los datos sensibles, definidos como “aquellos que pueden afectar la intimidad del titular o cuyo uso indebido puede generar discriminación y prohíbe su tratamiento”, excepto bajo autorización expresa, y los datos sobre información de niños o adolescentes, salvo que sea información de naturaleza pública.

Otro adelanto en materia de regulación lo hizo la Superintendencia de Industria y Comercio –SIC– al publicar la cartilla Protección de los datos personales en los servicios computación en la nube, donde sugiere a las compañías que quieran adquirir este tipo de servicios analizar los riesgos en cada una de las etapas del ciclo del flujo de información y exigir al proveedor el cumplimiento de la normatividad vigente aplicable al tratamiento de la información personal administrada.

Para el sistema financiero y bursátil, la Superfinanciera emitió la Circular Externa 048 de 2012, donde se encuentran las reglas para las entidades vigiladas alrededor de la administración del riesgo operativo de las actividades realizadas propiamente o por terceros, donde se incluirían los servicios de computación en la nube, esto con el fin de “identificar, medir, controlar y monitorear eficazmente este riesgo”.

En septiembre de 2018 esta entidad publicó un proyecto de circular externa acerca de las reglas relativas al uso de computación en la nube por parte de las entidades vigiladas, para facilitar su aplicación en la prestación de servicios financieros. Según el documento, las entidades podrían soportar sus procesos misionales y contables en servicios de nube, toda vez que remitan con quince días de anterioridad información como el nombre del proveedor, los datos que serán manejados y la ubicación física o región donde se almacenarán, sin limitaciones frente a que se encuentren dentro del territorio nacional.

El proyecto describe tres aspectos principales:

  1. Las obligaciones generales de las entidades.
  2. Los acuerdos o contratos de servicios.
  3. La administración de la continuidad del negocio.

Lo anterior busca garantizar que se tomen las medidas necesarias para mitigar el riesgo, establecer responsabilidades contractuales de las entidades vigiladas y de los prestadores del servicio, extender los planes de continuidad a los procesos externalizados en la nube y obtener el acceso a la información necesario en caso de auditoría o toma de posesión por parte de los entes vigilantes.

Material relacionado

Descubre más recursos registrándote o logueándote. Iniciar sesión Registro gratuito
,