problematica juridica cloud computing - rafael garcía del poyo

CLOUD COMPUTINGLA NUEVA FRONTERA DE SERVICIOS TECNOLÓGICOS Y SU PROBLEMÁTICA

JURÍDICA

Mayo 2011

Rafael García del PoyoRafael García del Poyo

Abogado. Socio Director del Dpto. de Derecho de las Tecnologías de la Abogado. Socio Director del Dpto. de Derecho de las Tecnologías de la Información Información

1. Introducción1. Introducción

2. Modelos de “Nubes”2. Modelos de “Nubes”

3. Tipos de Servicios3. Tipos de Servicios

4. Beneficios4. Beneficios

5. Críticas5. Críticas

6. La problemática jurídica6. La problemática jurídica

1. Introducción1. Introducción

- “Cloud Computing”- “Cloud Computing” puede definirse como un puede definirse como un ““paradigma de programaciónparadigma de programación” que permite ” que permite ofrecer servicios informáticos a través de Internet. ofrecer servicios informáticos a través de Internet. El término El término CloudCloud o nube, es obviamente una o nube, es obviamente una alusión metafórica a Internet. alusión metafórica a Internet.

- “Paradigma de programación” es una - “Paradigma de programación” es una solución tecnológica cuya finalidad principal solución tecnológica cuya finalidad principal consiste en resolver uno o varios problemas o consiste en resolver uno o varios problemas o necesidades previamente definidos .necesidades previamente definidos .

1. 1. IntroducciónIntroducción

La información se almacena de manera permanente en

servidores de Internet y cuando es requerida por un

cliente se envía a sus equipos de escritorio,

centros de ocio, dispositivos portátiles, etc.

Cloud Computing: un nuevo modelo de negocio que, mediante la utilización de tecnologías de la información, permite a los usuarios acceder a un catálogo de servicios estandarizados y que sirve para responder a las necesidades de las empresas de forma flexible y adaptativa.

2. Modelos de “nubes”2. Modelos de “nubes”

- Cuatro formas fundamentales de prestación de los servicios en la nube en función del control y de la gestión de los entornos informáticos:"Nubes públicas" que son gestionadas por empresas prestadoras de estos servicios y en las que se atiende a una pluralidad de clientes (bien el público en general, bien un grupo industrial, etc.).

"Nubes privadas" son aquellas infraestructuras manejadas en favor de un solo cliente el cual suele decidir los usuarios que quedan autorizados a utilizar la infraestructura y que controla las aplicaciones, los servidores, etc. Ejemplo: sistemas informáticos.

"Nubes comunitarias" son aquellas en las que la infraestructura tecnológica se comparte entre diversas organizaciones que mantienen objetivos similares, por ejemplo, en materia de requisitos de seguridad, o sobre consideraciones relacionadas con el cumplimiento normativo.

"Nubes híbridas" son aquellas que combinan elementos definitorios de los modelos de nubes públicas, comunitarias y privadas, por lo que los clientes pueden ser propietarios de unas partes y compartir otras con otros clientes aunque de una manera controlada.


- Cloud Computing se confunde con los denominados sistemas informáticos de “grid” (o en red) que son más bien sistemas a través de los cuales un “superordenador virtual” compuesto por un conjunto enlazado de ordenadores actúa de manera concertada para realizar tareas que requieren una gran capacidad de procesamiento.

- La diferencia fundamental que aporta el Cloud Computing a los modelos de negocio radica en la posibilidad de aumentar de forma gradual y escalable el número de servicios prestados a través de Internet:

Beneficios

Proveedores: pueden ofrecer, de forma más

rápida y eficiente, un mayor número de servicios Usuarios: tienen la posibilidad de acceder a ellos, disfrutando de la sencillez e inmediatez del sistema y, potencialmente, de un modelo de pago por consumo


- Existen tres tipos de prestación de los servicios a través de la nube:

a.) Software como Servicio (SaaS): El SaaS se caracteriza por la puesta a disposición de un software ofrecido como un servicio bajo demanda que se utiliza de forma compartida con otros usuarios, lo cual implica que un solo software que reside en la infraestructura del proveedor del servicio puede ser utilizado por múltiples organizaciones empresariales o clientes.b.) Plataforma como Servicio (PaaS): Se trata de plataformas de desarrollo de software como herramienta de desarrollo a la cual se accede a través de Internet. De esta forma, los desarrolladores pueden construir nuevas aplicaciones sin tener que instalar ninguna herramienta específica en sus propios ordenadores, por lo que se hace posible el acceso a esa herramienta sin necesidad de tener conocimientos especializados.

c.) Infraestructura como Servicio (IaaS): Tiene como principal característica el servir como medio para alcanzar capacidad tanto de procesamiento informático como de almacenamiento de información a través de servicios estandarizados prestados a través de Internet de forma que el cliente puede desplegar y ejecutar software de cualquier tipo, ya sean sistemas operativos o software específico.


Características funcionales del Cloud Computing

a.) Los recursos del proveedor se disponen de forma común para que puedan ser utilizados por múltiples consumidores siguiendo un modelo de “multiposesión” (multi-tenancy).

b.) El cliente se puede abastecer unilateralmente de capacidades de procesamiento, tiempo de utilización de servidor, capacidad de almacenamiento en red, etc. según las necesidades empresariales de cada momento.

c.) Los sistemas informáticos disponibles mediante Cloud Computing controlan y optimizan el uso de los recursos de manera automática. El uso de estos recursos por parte de los clientes puede seguirse, controlarse y notificarse, lo que aporta una enorme transparencia en la gestión del negocio para ambas partes.

d.) La capacidad está disponible en la red y se accede a ella a través de mecanismos de sencilla utilización que posibilitan el acceso a aquellos recursos informáticos disponibles por parte de clientes que mantienen unas características técnicas y organizativas de sus propios sistemas muy diversas entre sí.

4. Beneficios

- Cloud Computing constituye un “modelo a la carta” para la asignación de una serie de servicios, aplicaciones e infraestructuras.

- Una infraestructura integral de Cloud Computing no necesita instalar ningún tipo de hardware y, por tanto, requieren de una inversión menor para poder beneficiar a cualquier empresa.

- Por su naturaleza, la tecnología de Cloud Computing se puede integrar con mucha mayor facilidad y rapidez con el resto de sus aplicaciones empresariales de los clientes y proporciona una mayor capacidad de recuperación de desastres así como una importante reducción de los tiempos de inactividad de los sistemas.

- Cloud Computing es muy criticado porque muchos aducen que limita la libertad de gestión de las empresas clientes y las hace dependientes de su proveedor de servicios. Se limita tanto la libertad como la creatividad de la empresa cliente.

- Cloud Computing pone en peligro la libertad de disposición de la información y los datos con los que cuentan las empresas clientes, dado que estas dejan sus informaciones de negocio más valiosas y los datos personales de los que disponen en manos de terceros.

- La proliferación de empresas emergentes o de alianzas entre empresas de Cloud Computing podría dar lugar a un ambiente propicio para el monopolio y el crecimiento exagerado en los servicios, de ahí que deba imponerse un seguimiento exhaustivo por parte de las autoridades de la competencia empresarial.

- La excesiva dependencia de los proveedores de servicios de Cloud Computing y de la disponibilidad de acceso a Internet. Si la información de la empresa debe recorrer diferentes nodos puede convertirse en un foco permanente de inseguridad.

- Los Proveedores de Cloud Computing prestan servicios altamente especializados y la prestación completa de los servicios al cliente que los solicita puede llegar a tardar meses o incluso años.

5. Críticas

- El Cloud Computing implica la presencia de un tercero -el proveedor de servicios en la nube- y que entre en la organización empresarial y la información que ésta gestiona:

nuevos retos a la hora de determinar las leyes que se aplican a la gestión de la información.

- Conviene aquí recordar que mucha de la legislación relacionada con la informática que las empresas deben cumplir no se redactó pensando en el Cloud Computing:

es muy posible que los auditores y asesores externos con los que habitualmente colabora la empresa no estén familiarizados con el Cloud Computing en general o con algún servicio en la nube en particular.

Deberemos acercarnos a este fenómeno empresarial desde una perspectiva funcional, jurisdiccional y contractual.


1) Perspectiva Funcional estudiará qué funciones y servicios (Cloud Computing) generan consecuencias legales para los participantes.

2) Perspectiva Jurisdiccional analiza la forma en la que los gobiernos administran las leyes que afectan a los servicios de Cloud Computing.

3) Perspectiva Contractual debe encargarse de examinar los contenidos de los contratos y sus mecanismos de aplicación.


- Corresponde al cliente de los servicios de Cloud ComputingCloud Computing comprender:

a.) Las exigencias de cumplimiento normativo de un determinado servicio prestado a través de la nube.

b.) El reparto de las responsabilidades de cumplimiento normativo entre el proveedor de la nube y su cliente.

c.) Que la capacidad del proveedor de servicios en la nube para generar evidencias electrónicas resulta necesaria para dar debida respuesta al cumplimiento normativo.

d.) El papel que debe desempeñar la empresa cliente a la hora de aproximar las posiciones del proveedor de servicios en la nube y sus auditores y asesores externos.


Información y datos personales

Archivos alojados en sistemas informáticos: inquietudes sobre los riesgos que este modelo plantea para la seguridad de la información y la adecuada protección de los datos personales

* Comprender las responsabilidades contractuales de las empresas clientes y de las prestadoras de servicios.* Saber dónde el prestador de servicios en la nube hospedará los datos de cara a implementar las medidas jurídicas, técnicas y organizativas necesarias para garantizar el correcto cumplimiento de las leyes locales que regulan el adecuado flujo de datos transfronterizos.* La premisa fundamental debe ser que los datos de carácter personal que se encuentran bajo la custodia de los proveedores de servicios en la nube deben recibir la misma tutela que si estuvieran en manos del propietario o responsable del fichero. * Normativa española sobre protección de datos: la puesta a disposición de información al proveedor de servicios en la nube constituye un tratamiento de datos por parte de un tercero, pudiendo producirse, si no se cumple la normativa aplicable a esta figura consistente básicamente en la firma de un contrato de agente tratante (o de encargado del tratamiento), una cesión inconsentida de datos de carácter personal.


Información y datos personales

* Servidores localizados en el extranjero: nos encontraríamos ante una transferencia internacional de datos contrato de encargado de tratamiento entre el cliente y el proveedor de servicios, así como tener en cuenta el territorio de destino último de los datos al objeto de determinar si nos encontramos o no ante un país con nivel adecuado de protección.

* Hacer mención en el contrato a que determinados servicios de Cloud Computing van a prestarse a través del régimen de “multiposesión o multi-tenancy”. Son servicios que implican un uso simultáneo de los mismos recursos tecnológicos por parte de varios usuarios.

* Finalmente, resulta muy recomendable que las partes de un contrato de prestación de servicios en la nube anticipen en su clausulado las fórmulas de resolución de la problemática relacionada con la recuperación de la información y de los datos personales que son responsabilidad del cliente una vez extinguida la relación contractual.


“Territorialidad versus internacionalidad”

El lugar físico de ubicación de los servidores en un Estado concreto viene a determinar, como norma general, tanto la legislación como la jurisdicción aplicables.

* Problema del “principio de territorialidad”: resulta complicado determinar dónde se ubican los servidores en los que se aloja la información y resulta complejo determinar qué norma puede llegar a aplicarse en cada momento.

* No debe servir para excusar el incumplimiento por parte de las empresas que prestan servicios de Cloud Computing de los principios jurídicos de la protección de datos y la privacidad que protegen a los ciudadanos.

* Problema: Autoridades extranjeras podrían tener competencia para “confiscar” tal información. Solución: el proveedor de servicios de Cloud Computing debería obligarse a no transferir la información a otros países sin el previo consentimiento expreso del cliente.



Regulación contractual

Existe una carencia en materia de regulación del Cloud Computing, pero el derecho español como la legislación europea sirven para dar una respuesta general y suficiente a interrogantes de carácter normativo que se plantean en la operativa diaria de este modelo. De ahí que surja la necesidad de regular este tipo de actividades por vía contractual, con independencia de que ello sea o no una práctica lo suficientemente habitual.

* Las legislaciones nacionales o bien imputan diversas responsabilidades directamente a las empresas contratistas de la nube o bien requieren a las entidades prestadoras del servicio que indirectamente regulen las potenciales responsabilidades en las que podrían incurrir por medio de un contrato.

* Trasladar información, datos y aplicaciones informáticas a un esquema de prestación de servicios en la nube repercute muy directamente en las políticas y en los procedimientos internos de la empresa cliente. Los clientes deben evaluar qué políticas y procedimientos están dispuestos a modificar y a cambiar de forma íntegra. Algunos ejemplos de las políticas y procedimientos que pueden verse afectados y cuya regulación debe preverse en el clausulado del contrato: los informes de actividad, las políticas de retención de datos, los procedimientos de respuesta a incidencias, la normativa de las auditorías de control interno y externo y las políticas de privacidad de la compañía.


* Habitualmente, los contratos utilizados para regular los servicios de Cloud Computing suelen ser contratos de adhesión en los que los proveedores de servicios en la nube imponen sus propias condiciones (a pesar de que lo más deseable sería que fuesen contratos específicamente negociados entre las partes). El contenido de tales contratos, generalmente, carece de la necesaria regulación de aspectos como el reparto de responsabilidad respecto de la seguridad en la conservación de los contenidos, la retención de los datos de tráfico en las comunicaciones, la obligatoriedad de dar cumplimiento a la normativa de protección de datos, etcétera.

* La aparición del concepto de multiposesión en los contratos de servicios en la nube implica la necesidad de reflejar en los clausulados, unos modelos precisos de gestión de la información, pautas de aislamiento de su segmentación de datos en relación con terceras partes, acuerdos pormenorizados relativos al nivel de prestación del servicio y unos procedimientos claros referentes a la devolución de cargos de facturación para los casos de incumplimiento.

* En el Cloud Computing existe un sentido de independencia de la ubicación física sobre la que el cliente generalmente no tiene control que suele traducirse en que desconoce el lugar exacto de los recursos suministrados. Sin embargo, se puede pedir al prestador de servicios que determine contractualmente una ubicación más específica para la información sobre el país, la región, o un determinado centro de datos, así como de asignación de adicional de recursos en relación con la capacidad de almacenamiento, procesamiento, memoria, ancho de banda de la red y de la disposición de máquinas virtuales.



* Si debe accederse a las aplicaciones informáticas desde distintos canales o dispositivos del cliente el cliente no gestiona ni controla la infraestructura de nube subyacente ni tampoco la red, los servidores, los sistemas operativos, … De hecho, resulta muy conveniente prever contractualmente las consecuencias que deben derivarse de la posibilidad de que, en la medida en que un mayor número de clientes compartan la infraestructura de la nube, se produzcan sobrecargas en los servidores y degradaciones en el servicio de los prestadores.

* Las empresas clientes deben reservarse en todo caso la capacidad de auditar al proveedor de servicios en la nube, habida cuenta de la naturaleza dinámica tanto del entorno tecnológico de Internet como del ámbito normativo. Como decimos, los clientes deben incluir en los contratos la posibilidad de auditar, en el marco de un adecuado proceso de due diligence, las infraestructuras informáticas y los procesos de gestión de la seguridad de la información implantados por el proveedor.

* El contrato debe permitir al cliente de los servicios en la nube o a quien se designe, realizar el seguimiento del rendimiento de los proveedores de servicio y de comprobar las vulnerabilidades del sistema informático del que se dispone. Conveniencia de planificar la resolución tanto esperada como inesperada de la relación en las negociaciones contractuales, y una devolución metódica o enajenación segura de tus activos.



* Resulta muy recomendable extremar las precauciones a la hora de atribuir en el contrato las funciones y responsabilidades de las partes e incluir en los clausulados pautas de actuación en función de la aplicabilidad de las disposiciones de contratos locales y leyes en jurisdicciones extranjeras o de otros estados que en principio no pudieran haberse identificado.

* Junto a la primordial normativa de protección de datos de carácter personal, observamos que también habrán de tenerse en cuenta el ordenamiento jurídico aplicable sobre derechos de propiedad intelectual e industrial, el deber de vigilancia del empresario respecto del acceso de sus empleados a la información, cláusulas de resolución de conflictos, etc.

* Deberán examinarse otra serie de aspectos relevantes como son su situación financiera, la reputación profesional, la potencial existencia de procedimientos de control de calidad, la forma de contratación –al menos- del personal identificado como clave para el proceso que se contrata, los planes y procedimientos para la recuperación de catástrofes, los seguros de responsabilidad civil contratados, así como sus capacidades tanto de recursos materiales como de relación comercial con potenciales subcontratistas.

6. La problemática 6. La problemática jurídicajurídica

Gestión del riesgo empresarial

En el Cloud Computing, los problemas fundamentales en este campo hacen referencia a la identificación e implementación contractual de las estructuras, procesos y controles organizativos adecuados necesarios para gestionar la seguridad de la información y alcanzar un cumplimiento normativo efectivo.

* Las empresas clientes deben considerar los servicios en la nube y la seguridad de su información como si fuesen "cuestiones de seguridad de la cadena de suministro".

* El cumplimiento de las diversas normativas recientemente aprobadas en todo el mundo obliga a una mayor colaboración entre el departamento jurídico de la empresa y los profesionales de la tecnología. Esta afirmación se hace especialmente cierta en el ámbito del Cloud Computing, debido al importante potencial de nuevas áreas de riesgos legales que la “naturaleza distribuida” de la nube crea en comparación con las tradicionales infraestructuras internas o externalizadas.

* Los departamentos jurídicos y de tecnología de las empresas clientes deberían implicarse y trabajar codo con codo durante el establecimiento de los Contratos de Nivel de Servicios y de las obligaciones contractuales, para garantizar que los requisitos de seguridad se pueden solicitar y alcanzar contractualmente mediante el establecimiento de métricas y estándares para medir los resultados y la efectividad de la gestión de la seguridad antes de trasladarse a la nube.


Gestión del riesgo empresarial

* La estrategia de un plan de gestión de los riesgos debe, entre otras tareas, incluir:

a.) la identificación y valoración de las amenazas y vulnerabilidades y su impacto potencial sobre los activos;

b.) el análisis de la probabilidad de ocurrencia de ciertos escenarios, niveles y los criterios de aceptación aprobados por el órgano de gobierno de la empresa, y;

c.) el desarrollo de planes de tratamiento de los riesgos con múltiples opciones (controlar, evitar, transferir y aceptar) para el tratamiento de riesgos.

* Los resultados de los planes de gestión de los riesgos deberán incorporarse en los contratos de servicio y tanto el plan de continuidad del negocio del cliente como el de recuperación de catástrofes debería incluir escenarios de pérdida de los servicios del proveedor y de pérdida por parte del proveedor de servicios y capacidades dependientes de terceros.


Evidencias electrónicas

Resulta fundamental la capacidad del proveedor de servicios en la nube para presentar evidencias ante las autoridades competentes y otros terceros a la hora de tener la capacidad de demostrar un eficaz cumplimiento normativo.

* En esta misma línea, los tribunales de los Estados están empezando a ser conscientes de que la gestión de los servicios relativos a la seguridad de la información son determinantes a la hora de tomar decisiones sobre si los datos facilitados pueden aceptarse como prueba.

* Preparar pruebas confiables sobre cómo se cumple cada requisito normativo mediante: auditorías (internas o externas), informes de actividad, copias de las configuraciones de los sistema informáticos, informes de gestión de los cambios, y otros derivados de los procedimientos de auditoría y control implantados en las empresas en función del tipo de servicio en la nube al que nos estemos refiriendo.


Evidencias electrónicas

* La deslocalización de la información va a requerir la preparación de unos procedimientos adecuados dirigidos a lograr la validez jurídica de tales evidencias electrónicas.

* Entre otros, la creación de una base de datos central de conocimiento que refleje el particular uso de la nube y en la que se identificarían los servidores que custodian los datos, qué tipo de datos y el uso que se realiza de los mismos de forma que en cualquier instante pueda ser aportados en un litigio con terceras partes.

* Imposición de medidas solicitadas por las autoridades competentes o dimanantes de la legislación aplicable en el territorio de ubicación de los servidores de almacenaje que, ciertamente, pueden llegar a dificultar las actuaciones relativas a la obtención de pruebas electrónicas.

* Conciencia de que la información o los datos que son objeto de la prestación podrían quedar sujetos a la competencia de una jurisdicción extranjera ante un eventual litigio o una investigación gubernamental, aspectos que ineludiblemente deberán valorarse a la hora de gestionar la información y de encargar el tratamiento de la misma a un determinado proveedor de servicios de Cloud Computing.


Autorregulación

Si bien es cierto que la autorregulación puede llegar a ser una solución que contribuya a un mejor cumplimiento de la normativa vigente, constituye ésta una práctica mucho más extendida en Estados Unidos que en Europa y que en aquel continente cobra un sentido muy distinto al europeo.

* Los marcos legislativos europeo y español actuales aportan muchas respuestas a los desafíos que se derivan de la implantación de los entornos de Cloud Computing y, por ello, la autorregulación en ningún caso puede ni debe llegar a convertirse en un sustitutivo del cumplimiento normativo.

*Aunque podemos coincidir en que resulta imprescindible promover la aparición de esquemas de autorregulación que cobren un carácter complementario a la legislación y que sean de obligada observancia para aquellos que voluntariamente deciden comprometerse a ello debido a su pertenencia a un determinado colectivo empresarial, en todo caso y de forma primordial, el cumplimiento de la legislación aplicable debe estar plenamente garantizado a la empresa cliente por parte del prestador de servicios de Cloud Computing.


GRACIAS POR SU ATENCIÓN

Rafael García del PoyoRafael García del PoyoC/. Jorge Juan, 30C/. Jorge Juan, 3028001 Madrid 28001 Madrid

Tel: Tel: +34 91 426 40 50 +34 91 426 40 50 Fax: Fax: +34 91 426 40 52+34 91 426 40 52Móvil: + 34 695 457 223Móvil: + 34 695 457 223

e-mail: e-mail: [email protected]

www.cremadescalvosotelo.com

http://www.linkedin.com/companies/cremades-%26-calvo-sotelo

mailto:[email protected]

problematica juridica cloud computing - rafael garcía del poyo

Documents