Actualmente, la mayoría de empresas, administraciones públicas (y gran parte de particulares) utilizan servicios en la nube. Estos servicios normalmente consisten en un software sin cliente o aplicación instalada en el dispositivo del usuario, junto con almacenamiento y tratamiento de datos online. Hay servicios en la nube que sí ofrecen la posibilidad de instalar un software en nuestro equipo, pero en todo caso la nota común es que los datos se almacena en ordenadores y servidores externos, ajenos al propietario de la información.
Hasta no hace mucho, había que contar con servidores propios para ejecutar los programas y almacenar la información, con el consiguiente gasto en licencias y equipos. El Cloud Computing vino a modificar este paradigma, mediante las siguientes novedades:
– En lugar de adquirir una licencia para utilizar el software, se paga por el servicio, mediante planes de facturación periódicos
– El almacenamiento de datos tiene un coste directamente proporcional al espacio que realmente se utiliza, en lugar de tener que adquirir servidores o equipos que podrían ser infrautilizados.
– Se facilita el proceso de copias de seguridad y recuperación de datos
– Acceso ubicuo a la información desde diferentes dispositivos y casi cualquier lugar con acceso a internet
– El proveedor tiene un enorme poder sobre los datos. Un fallo en su infraestructura puede dejar sin servicio y sin acceso a la información.
No existe una normativa específica para esta materia, pero desde luego el Cloud Computing tiene bastantes implicaciones jurídicas. Quizás la norma más relevante, ya que estamos hablando de almacenamiento y tratamiento de datos (en la mayoría de los casos, de carácter personal) podría ser la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Además influyen la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI), Ley 32/2003 General de Telecomunicaciones, Código Penal para delitos de estafa a través de estos medios, propiedad intelectual… A continuación vamos a comentar los principales aspectos legales en Cloud Computing, en base a nuestra experiencia en el asesoramiento a emprendedores y startups de este sector:
1) LOPD
Cuando los datos que son tratados a través de servicios de Cloud Computing tienen la consideración de datos de carácter personal, tendremos que cumplir una serie de obligaciones legales. Según el art. 3 de la LOPD:
<<un dato personal es cualquier información concerniente a personas físicas identificadas o identificables.>>
Pueden ser el Nombre de una persona, DNI, dirección de email, teléfono, información sobre aspectos intimos como orientación sexual o ideología. Como podemos imaginar, el alcance de esta normativa es muy alto, pues afecta a la mayoría de actividades empresariales o de otros entes.
En Cloud Computing encontraremos mínimo tres sujetos:
a) Interesado: la persona a la que se refieren los datos en cuestión. Por ejemplo, un cliente, trabajador o colaborador de una empresa.
b) Responsable: el sujeto que recoge y procesa dichos datos, y toma decisiones sobre el uso de los mismos. Por ejemplo, una empresa es Responsable de los datos que le han facilitado sus trabajadores.
c) Encargado del Tratamiento: se trata de alguien que realiza un tratamiento de los datos por cuenta del Responsable. Esto ocurre porque el Encargado le presta algún servicio al Responsable para el que necesita acceder y tratar esos datos. Por ejemplo, la asesoría laboral de una empresa necesita disponer de los datos de los trabajadores de esa empresa para poder elaborar las nóminas de cada mes.
Otro ejemplo de encargado de tratamiento (quizás menos evidente) podría ser Dropbox respecto a una empresa que lo utiliza para guardar las facturas de sus clientes. O el proveedor de hosting de una empresa que utiliza los servidores para almacenar una base de datos y ejecutar un software en la nube que le permite gestionar encargos, facturar, seguimiento de pedidos,… En ambos casos se trata de entidades que prestan un servicio al Responsable de los datos, y ese servicio implica que los datos estén en su poder, que ellos pueden en cualquier momento tomar esos datos y venderlos, hacerlos públicos, borrarlos,…
La persona o empresa que contrate servicios de Cloud Computing seguirá siendo el Responsable de los datos de carácter personal. El prestador del servicio de Cloud Computing será Encargado del Tratamiento. La normativa exige que entre ambos exista un contrato que regule detalladamente una serie de obligaciones y límites en el tratamiento de esos datos. Como contenido de ese contrato se debería incluir, al menos, las siguientes cláusulas:
– límite en el acceso a datos según tipo de servicio
– prohibición para el Encargado de comunicación o cesión de los datos
– medidas de seguridad a implantar por el encargado
– posiblidad de subcontratación. Necesidad de autorización por el Responsable
– destrucción o devolución de los datos a finalizar el servicio.
Se viene admitiendo como contrato la aceptación de unas condiciones legales en el acceso electrónico de los servicios (la casilla «Acepto las condiciones…»). Sin embargo, esas bases legales son contratos de adhesión con poco margen de negociación. Hay que revisar detalladamente su contenido para asegurarnos que respeta la normativa española y europea en protección de datos, en especial sobre las obligaciones y responsabilidades del encargado de tratamiento al que vamos a contratar.
La evaluación de las garantías que ofrezca un proveedor de Cloud Computing en el cumplimiento de la normativa de protección de datos debería ser crucial en el proceso de comparativa entre los distintos proveedores y servicios disponibles, dado las importantes sanciones y consecuencias derivadas para el Responsable de los datos.
Además, si los servidores o la empresa prestadora del servicio se encuentran en un país cuya legislación en materia de protección de datos no garantiza un nivel de protección equiparable con la normativa europea, estaremos ante una transferencia internacional de datos, que requiere una autorización previa del director de la Agencia Española de Protección de Datos. Existe un listado de países considerados por la Comisión Europea con un nivel de protección adecuado. Tampoco hay problema con empresas norteamericanas que hayan suscrito «Safe Harbour» (Puerto Seguro para la protección de la vida privada del Departamento de Comercio de los Estados Unidos).
2) LSSI y Ley General de Telecomunicaciones
Los proveedores de servicios de alojamiento de datos en la nube y de servicios acceso a Internet, se consideran prestadores de servicios de la sociedad de la información por la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI). Por tanto, un proveedor de Cloud Computing para servicios de alojamiento que esté establecido en España debe informar a sus clientes de forma permanente, fácil, directa y gratuita sobre:
– Los medios técnicos aplicados para aumentar la seguridad de la información (como programas antivirus, antiespías y filtros de correo).
– Las medidas de seguridad que aplican en la provisión de los servicios.
– Las herramientas existentes para el filtrado y restricción del acceso a determinados contenidos y servicios en Internet no deseados o que puedan resultar nocivos para la juventud y la infancia.
Por otro lado, la Ley 32/2003 General de Telecomunicaciones, también vela por el cumplimiento de las obligaciones en el secreto de las comunicaciones y protección de datos personales, así como de los derechos y obligaciones de carácter público vinculados con las redes y servicios de comunicaciones electrónicas. Esta ley contempla sanciones por su incumplimiento.
3) Responsabilidades contractuales
Además de las obligaciones e implicaciones de la normativa que hemos comentado anteriormente, queremos destacar la importancia de las responsabilidades contractuales en la prestación del servicio. Cuestiones como calidad y disponibilidad del servicio, cortes, interrupciones, ataques informáticos, pérdida de datos,… pueden suponer conflictos jurídicos y dar lugar a indemnizaciones por los daños provocados al cliente, puesto que afectan directamente a su actividad empresarial (por ejemplo en relaciones con clientes, o en el cumplimiento de obligaciones fiscales o legales,…). Tanto desde la perspectiva del cliente como del proveedor de Cloud Computing son aspectos fundamentales a establecer en la estrategia de sus contrataciones y en el desarrollo de los servicios.
4) Relaciones internacionales. Legislación aplicable
Por otro lado, las relaciones cliente-proveedor en este ámbito tendrán frecuentemente un factor internacional al tratarse de empresas de distintos países. En esos casos también encontramos la incertidumbre de la legislación aplicable, ya sea la seleccionada en el contrato o la de aplicación obligatoria para cuestiones reguladas como la protección de datos.
En definitiva, se trata de una cuestión de alto calado jurídico que hemos intentado presentar brevemente. Siendo por otro lado una materia relativamente reciente y sujeta a continuos cambios, exige un sobreesfuerzo en la coordinación de equipos legales y actores implicados, especialmente proveedores de servicios Cloud Computing y empresas que los contratan.
NOTA ACTUALIZACIÓN: Con motivo de la sentencia de 6 de octubre del Tribunal de Justicia de la Unión Europea (TJUE) que anula el llamado acuerdo Safe Harbor o Puerto Seguro, y el plazo dado a las empresas por la Agencia Española de Protección de Datos para adoptar alternativas como base legal a las transferencias internacionales de datos que realicen, recomendamos consultar el siguiente post para conocer las alternativas legales al Safe Harbor.
*Imagen: VIKTOR HANACEK – picjumbo.com
[…] Sin embargo, la sentencia del TJUE de 6 de octubre de 2015 tras la demanda de Max Schrems anula el acuerdo Safe Harbor y empieza entonces una nueva época en las relaciones de las empresas con proveedores de diversos ámbitos, especialmente en lo relacionado con la economía digital para actividades de cloud computing, hosting, CRM y redes sociales. Los grandes proveedores de este tipo de servicios son empresas estadounidenses que hasta ahora operaban en Europa con relativa sencillez en cuestiones de privacidad. Cualquier autónomo, PYME o startup española utiliza al menos uno de estos servicios: Google (Gmail, Google Drive), Twitter o Facebook (perfiles empresariales), Mailchimp (para mailing a clientes), WordPress (blog corporativo), Dropbox… En efecto, el mayor impacto de la anulación del acuerdo del Safe Harbor entre la mayoría de empresas va a ser en materia de hosting, cloud computing, redes sociales y comunicaciones con clientes. En un post anterior (previo a esta sentencia) estuvimos comentando las implicaciones legales del cloud computing. […]