La complejidad del tema
Desde el punto de vista legal, las actividades en Internet siempre han sido complejas. Por ejemplo, una empresa que quiere vender sus productos en la Web debería realizar 32 contratos...
Los nuevos desafíos al derecho
- Facilidad de flujo transfronterizo de datos.
- Almacenamiento de los datos y provisión de servicios en múltiples bases de datos y países.
- Los nuevos protocolos de seguridad, como el IPv6, mejoran la encriptación y dificultan la investigación de los ilícitos.
- El anonimato representa un aspecto clave en materia de ciber seguridad, pero existe el dilema entre la adopción de medidas de seguridad y la protección de la privacidad y la información personal del individuo como derechos fundamentales.
Ahora veamos los temas legales involucrados en los "Servicios en la Nube" (IaaS, PaaS, SaaS).
Se trató lo referido a la Ley 25326 de Protección de Datos Personales, ya que son los que se ven
afectados. Acá tenemos una primera definición, ya que para los datos "no personales" no es necesario tener ninguna consideración especial, más allá de lo que una empresa cliente de estos servicios considere. Pero para los Datos Personales sí.
Hay un reconocimiento general de que la legislación, a nivel mundial, debe ser adaptada a los tiempos del Cloud Computing pero, mientras tanto, hay que atenerse a la vigente.
Según los especialistas, el almacenamiento y procesamiento de información personal en la nube se ve afectado por el art. 25 de la ley, que regula la "prestación de servicios informatizados". Un punto destacable de este artículo es el que exige que el almacenamiento no exceda el plazo de 2 años. Luego de los 2 años los datos deberían ser borrados, aunque podrían almacenarse nuevamente por el mismo plazo y así sucesivamente... Hecha la ley...
Otro artículo que se involucra es el art. 11 que regula la "transferencia internacional de datos", en este caso lo destacable es que el contrato que se celebre como marco del servicio entre el prestador y el cliente debe establecer que el prestador se somete a la ley argentina.
Preguntas para hacerle a un proveedor de servicios de cloud computing
- Si va a subcontratar los servicios: ¿Tienen los mismos niveles de seguridad?
- Transferencia y borrado de la información: ¿Qué puede ocurrir en caso de rescindir el contrato?
- Ubicación de la información: ¿pueden darme esta información?
- Protección de datos personales ¿Cumple con los niveles de seguridad?
- Acuerdo de los niveles de servicio (SLA): ¿Admite el proveedor tener niveles de servicio exigibles?
- Auditorias: ¿Cómo se podrían realizar, tanto las privadas como las estatales?
- Pérdida de información: ¿Acepta el proveedor algún límite de responsabilidad?
- Medidas de seguridad ¿tiene protocolos de recuperación por desastres?
Algunas cláusulas a revisar con un proveedor de cloud computing
- Propiedad intelectual de programas y actualizaciones.
- Propiedad y confidencialidad de la información.
- Confidencialidad de la información.
- Ubicación de los datos.
- Posibles transferencias internacionales de datos.
- Medidas de seguridad proporcionales al tipo de datos (tema bancos y disposiciones BCRA)
- Control de acceso y gestión de identidades.
- Copias de seguridad de los datos.
- Estándares e indicadores de calidad del servicio.
- Auditorías periódicas.
- Niveles de respuesta (SLA).
- Continuidad del servicio.
- Régimen de responsabilidades.
- Inclusión del proveedor en el plan de continuidad del negocio.
- Legislación y jurisdicción aplicables en el caso de proveedores extranjeros.
- Garantías post contractuales: retorno ordenado de la información.
2 comentarios:
Gabriel: Gracias por mencionar mi trabajo. Agradeceré mención de la fuente: http://xribas.typepad.com/xavier_ribas/2009/06/cláusulas-cr%C3%ADticas-en-el-contrato-de-cloud-computing.html
Gracias
Xavier
Xavier, interesante tu artículo, pero esta nota no está basada en él sino en un seminario dictado por otros abogados, que menciono.
De todas maneras es valioso tu aporte.
Publicar un comentario