Los retos legales del Cloud-computing
Letslaw estuvo presente en la XVI Edición de la Expo Relación Cliente + Call Center, organizada por IFAES, que tuvo lugar los días 8 y 9 de octubre en el Palco de Honor del Estadio Santiago Bernabéu.
José María Baños (@banoslog), socio fundador de Letslaw (@letslawfirm), participó como ponente en la mesa redonda titulada “Cloud Computing para clientes con múltiples necesidades”, donde también participaron José María Martín como moderador de la mesa (CEO de Technoactivity), así como los ponentes Jorge Hurtado (Territory Manager Iberia de ININ), José Antonio Esteban Sánchez (CTO Producto de CODERE) y Javier García Olaya (CIO de ASITUR)
La primera cuestión que se trató en la mesa fue la propia definición y/o concepto de cloud.
Para J. Antonio Esteban, lo importante en este momento es llegar a la esencia del concepto de cloud: el pago por servicio, es decir, la revolución en el ámbito del cloud llegará cuando el cliente pague por el servicio de acceso a determinada información que el cliente realmente lleve a cabo.
Otros expertos como Jorge Hurtado defendieron un concepto de cloud en un sentido más amplio, entendiendo que existe cloud desde el almacenamiento de la información en servidores (hosting).
Por otro lado, José Mª Baños señaló las dificultades de crear una regulación para el cloud cuando ni siquiera hay consenso en cuanto al concepto. En este sentido, José Mª Baños cuestionó incluso la necesidad implementar una normativa específica sobre la materia, puesto que “lo importante será fijar un marco contractual seguro en el que proveedor y cliente puedan desarrollar todos los aspectos jurídicos de los servicios en la nube”.
Así mismo, el cliente de un servicio de cloud debe tener en cuenta:
– Dónde se encuentran alojados sus datos (en la UE o en un tercer país), ante posibles transferencias internacionales de datos que requieran autorización del Director de la AEPD.
– Que el nuevo Reglamento Europeo de Protección de Datos obligará a las empresas a cumplir con el mismo incluso cuando se trate de organizaciones no establecidas en la Unión Europea, pero que sí tienen sus clientes u ofertan sus servicios a personas resientes en la Unión. Por lo tanto la normativa europea de protección de datos será aplicable con independencia de la ubicación física de los servidores donde se alojen los datos.
– Que el proveedor de cloud no podrá utilizar los datos para finalidades distintas a las pactadas, ya que el proveedor es un encargado del tratamiento (siendo el responsable el cliente).
– Que deben de pactarse las consecuencias de un uso malintencionado de los datos, ya sea por parte del proveedor de servicios o por fugas de información internas del cliente (dolosas o por errores humanos).
– Que la dependencia de terceros proveedores de servicios de cloud implica la posibilidad de confiscación de datos por autoridades extranjeras (Ej: caso Megaupload)
– Que es esencial la protección de la integridad de los datos, mediante procedimientos que articulen soluciones de control de integridad y gestión de cambios, así como estableciendo controles de acceso internos a los datos.
– Que deben establecerse medidas para evitar la pérdida potencial de datos, mediante el empleo de las siguientes medidas: políticas de seguridad (i); limitaciones a la libertad de borrar datos (ii); procedimientos de protección de equipos frente ataques de terceros (iii) y la realización de copias de seguridad (iv).
En cuanto a las condiciones que deben pactarse en un contrato de cloud computing, y pese a que en muchas ocasiones se trata de contratos de adhesión no negociables para el cliente (especialmente en el caso de PYMEs), el contrato de prestación de servicios de cloud deberá regular como mínimo los siguientes aspectos:
– Niveles de seguridad, confidencialidad e integridad de los datos.
– Niveles de respuesta y recuperación de datos.
– Control de las políticas de seguridad.
– Control de utilización de los datos, especialmente para aquellos casos de elaboración de perfiles (profiling).
– Cumplimiento legal y normativo por el cliente y el proveedor de servicios.
– Disponibilidad de los servicios y rendimiento (capacidad de los servidores y velocidad).
– Suspensiones de servicio (temporales o definitivas).
– Resolución o modificaciones contractuales.
– Sobrecargas en los servidores.
– Jurisdicción aplicable en caso de conflicto en caso de proveedores de terceros países.
– Situación financiera del proveedor de servicios de cloud.
– Seguros y coberturas frente a catástrofes y responsabilidad civil.
– Control de las subcontrataciones por parte de la empresa de cloud.
Por último, Javier García Olaya destacó las principales ventajas e inconvenientes del “cloud computing”.
Como inconveniente destaca sobre todo la excesiva dependencia de los proveedores de servicios y del acceso a Internet, lo cual pone en peligro acceso a la información.
Entre las principales ventajas destacó la flexibilidad y adaptabilidad que ofrecen los servicios de cloud a las empresas, la reducción de costes que supone en cuanto a los medios empleados y la movilidad o deslocalización que permiten las tecnologías de cloud.
Letslaw es un despacho especializado en Derecho Digital, Derecho de Internet y de las nuevas tecnologías.
Letslaw es una firma de abogados internacionales especializada en el derecho de los negocios.
