miércoles, 18 de mayo de 2011

Aspectos Jurídicos del Cloud Computing

Ayer participé de un seminario, dictado en el Colegio de Abogados de la Ciudad de Buenos Aires, titulado: "Aspectos Jurídicos del Cloud Computing" y dictado por los Drs. Horacio Granero y Santiago Gini. Un abogado comenzaría diciendo que lo siguiente no debe ser tomado como una recomendación profesional. Pero yo no soy abogado así que eso queda claro.

La complejidad del tema
Desde el punto de vista legal, las actividades en Internet siempre han sido complejas. Por ejemplo, una empresa que quiere vender sus productos en la Web debería realizar 32 contratos...

Los nuevos desafíos al derecho
  • Facilidad de flujo transfronterizo de datos.
  • Almacenamiento de los datos y provisión de servicios en múltiples bases de datos y países.
  • Los nuevos protocolos de seguridad, como el IPv6, mejoran la encriptación y dificultan la investigación de los ilícitos.
  • El anonimato representa un aspecto clave en materia de ciber seguridad, pero existe el dilema entre la adopción de medidas de seguridad y la protección de la privacidad y la información personal del individuo como derechos fundamentales.
Aspectos legales involucrados
Ahora veamos los temas legales involucrados en los "Servicios en la Nube" (IaaS, PaaS, SaaS).

Se trató lo referido a la Ley 25326 de Protección de Datos Personales, ya que son los que se ven
 afectados. Acá tenemos una primera definición, ya que para los datos "no personales" no es necesario tener ninguna consideración especial, más allá de lo que una empresa cliente de estos servicios considere. Pero para los Datos Personales sí.

Hay un reconocimiento general de que la legislación, a nivel mundial, debe ser adaptada a los tiempos del Cloud Computing pero, mientras tanto, hay que atenerse a la vigente.

Según los especialistas, el almacenamiento y procesamiento de información personal en la nube se ve afectado por el art. 25 de la ley, que regula la "prestación de servicios informatizados". Un punto destacable de este artículo es el que exige que el almacenamiento no exceda el plazo de 2 años. Luego de los 2 años los datos deberían ser borrados, aunque podrían almacenarse nuevamente por el mismo plazo y así sucesivamente... Hecha la ley...

Otro artículo que se involucra es el art. 11 que regula la "transferencia internacional de datos", en este caso lo destacable es que el contrato que se celebre como marco del servicio entre el prestador y el cliente debe establecer que el prestador se somete a la ley argentina.

Preguntas para hacerle a un proveedor de servicios de cloud computing
  • Si va a subcontratar los servicios: ¿Tienen los mismos niveles de seguridad?
  • Transferencia y borrado de la información: ¿Qué puede ocurrir en caso de rescindir el contrato?
  • Ubicación de la información: ¿pueden darme esta información?
  • Protección de datos personales ¿Cumple con los niveles de seguridad?
  • Acuerdo de los niveles de servicio (SLA): ¿Admite el proveedor tener niveles de servicio exigibles?
  • Auditorias: ¿Cómo se podrían realizar, tanto las privadas como las estatales?
  • Pérdida de información: ¿Acepta el proveedor algún límite de responsabilidad?
  • Medidas de seguridad ¿tiene protocolos de recuperación por desastres?
Como recomendación final se mencionó buscar que los prestadores exhiban certificaciones internacionales, como la ISO 27001, u otras equivalentes, que aseguren el tratamiento seguro que se dará a la información almacenada.

Algunas cláusulas a revisar con un proveedor de cloud computing
  • Propiedad intelectual de programas y actualizaciones.
  • Propiedad y confidencialidad de la información.
  • Confidencialidad de la información.
  • Ubicación de los datos.
  • Posibles transferencias internacionales de datos.
  • Medidas de seguridad proporcionales al tipo de datos (tema bancos y disposiciones BCRA)
  • Control de acceso y gestión de identidades.
  • Copias de seguridad de los datos.
  • Estándares e indicadores de calidad del servicio.
  • Auditorías periódicas.
  • Niveles de respuesta (SLA).
  • Continuidad del servicio.
  • Régimen de responsabilidades.
  • Inclusión del proveedor en el plan de continuidad del negocio.
  • Legislación y jurisdicción aplicables en el caso de proveedores extranjeros.
  • Garantías post contractuales: retorno ordenado de la información.
También se mencionó algo de caracter más general, tiene que ver con los contratos que incluyen cláusulas variables en el tiempo. Como cuando dicen que la política de privacidad es la que se exhibe en http://XXX... y que puede cambiar. Para la legislación argentina, según el Código Civil, estas cláusulas variables no son válidas.

2 comentarios:

Xavier Ribas dijo...

Gabriel: Gracias por mencionar mi trabajo. Agradeceré mención de la fuente: http://xribas.typepad.com/xavier_ribas/2009/06/cláusulas-cr%C3%ADticas-en-el-contrato-de-cloud-computing.html

Gracias

Xavier

Gabriel Paradelo dijo...

Xavier, interesante tu artículo, pero esta nota no está basada en él sino en un seminario dictado por otros abogados, que menciono.
De todas maneras es valioso tu aporte.