En el Cloud Público la parte legal es muy importante

Esta semana toca Cloud por todos los frentes. Ayer estuve en una sesión sobre “Aspectos Legales del Cloud Computing” que impartió la firma de abogados Lener, una de cuyas especializaciones son las tecnologías de la información y la protección de datos. Esta sesión, que desbordó el aforo inicialmente previsto, forma parte de una serie de diferentes jornadas que esta firma ofrece a lo largo del año para el entorno TIC.

Creo muy interesante compartir en esta entrada un resumen de lo allí expuesto sobre los aspectos legales de Cloud Público y los consejos que allí se comentaron. Creo que es un tema no muy bien conocido, por lo que el resumen es amplio y espero que razonablemente entendible. Es obvio que en el caso de Cloud Privadas, más frecuente hoy en día en muchos sectores como sandidad, no aplica.

El primer bloque va ligado a la LOPD. Se debe tener en cuenta que:

  • El Cloud constituye un tratamiento de datos por un tercero. Para evitar cesiones inconsentidas de datos hay que redactar un Contrato de Encargado de Tratamiento con el proveedor.

  • La deslocalización de servidores puede implicar transferencias internacionales de datos no autorizadas. Aquí hay varias posibilidades, que van desde conseguir que las posibles transferencias sean a países UE o con adecuado nivel de protección, buscar proveedores con adhesión a las políticas de puerto seguro si las entidades están en EEUU, formalizar un contrato para la realización de transferencias internacionales de datos y solicitar autorización a la AEPD, establecer Normas Corporativas Vinculantes (BCR) en el caso de entidades del mismo grupo, etc

  • El control de la gestión de la seguridad cambia. Por ello hay que exigir garantía contractual al proveedor de las medidas apropiadas de seguridad, redactar el documento de seguridad en función de los compromisos adquiridos por cada parte y es recomendable que el proveedor acredite certificaciones ISO.

  • Dada la compartición de recursos en el proveedor se debe regular en contrato la obligación del proveedor de compartimentalizar la información e incluir las medidas acordadas en el documento de seguridad.

  • Es necesario regular en el contrato de Encargado de Tratamiento a quien le corresponde la obligación de llevar a cabo las copias de seguridad e incluir lo acordado en el documento de seguridad.

  • Regular los mecanismos de notificación por el proveedor de las posibles incidencias de quiebras de seguridad y redactar un protocolo de gestión de las mismas. El procedimiento ha de estar incluido en el Documento de Seguridad del Proveedor.

Otro bloque de temas tiene que ver con aspectos laborales, tanto por temas de intromisión en la intimidad del trabajador, fraudes de identidad o extracción indebida de información:

  • Se debe de elaborar un protocolo de uso dirigido a los trabajadores en los que se informe del uso profesional y privado que pueden hacer de la Cloud, de la gestión de la identidad digital, de las consecuencias y sanciones por incumplimiento, de quién hará el seguimiento y control de actividad en la nube, etc.

  • Redacción contractual de las condiciones en las que se llevará a cabo el control por parte del proveedor de la actividad laboral y del uso adecuado de las aplicaciones.

En el tema de aspectos procesales o judiciales:

  • Es necesario proparar un procedimiento para gestionar la creación de evidencias electrónicas de temas de deslocalización o de fallos de custodia válidas en juicio y el proceso de solicitud de las mismas

  • Cuando un tercero cree, use o almacene datos en el Cloud, se deberá aclarar la propiedad de los mismos, la trazabilidad del acceso, costes de identificación o búsqueda de información, retención de los datos, destrucción y/o devolución de datos, auditorías de cumplimiento, penalizaciones por incumplimiento, etc.

Hay un bloque de temas ligado a la propiedad intelectual de los contenidos y software en el Cloud:

  • Definir en el contrato la responsabilidad de los usuarios al ejecutar y usar los contenidos, servicios y software ajenos desde el Cloud y las medidas de seguridad y protectoras de la propiedad intelectual de los usuarios a garantizar por el proveedor.

  • Definir en el contrato los derechos sobre creacciones intelectuales que se puedan generar en el Cloud y que puedan ser sujeto de protección de propiedad intelectual.

  • Incluir en el contrato la asunción expresa de los usuarios de toda responsabilidad por actos ilícitos como poner software o contenidos ajenos a disposición de terceros.

  • Establecer en contrato la facultad del proveedor de monitorizar y eliminar contenidos y software ajenos subidos por los usuarios si afectan a derechos de terceros, intereses públicos, etc.

Un tema poco considerado es el fiscal si su proveedor es no residente. Los pagos efectuados por una organización española por temas de software, salvo que se transmita la propiedad del mismo, se considera un canon y está sujeta a tributación en España. Por ello se debe:

  • Separar en los servicios en el Cloud los costes que suponen la licencia de uso del software de otros que son considerados servicios

  • Identficar los titulares del software y lugar de residencia para la aplicación del canon según los Convenios de Doble Imposición firmados por España.

Y la densa sesión acabó con los aspectos contractuales. Aquí hay básicamente dos escenarios: un contrato de adhesión que se habilita mediante un click en línea y los contratos negociados, en los que se deben de especificar las condiciones durante la vigencia del contrato, en el momento de la resolución y contar con mecanismos que permitan la minoración de riesgos. Las cláusulas más habituales cubren:

  • Alcance de los servicios, con autorización para el uso, identificación del prestador (el propio proveedor o terceros, identificando en este caso que parte de los mismos), cesión a terceros del contrato, etc.

  • Tipos de usuarios (principales o finales), titularidad de las cuentas, no pertenencia a jurisdicciones donde los servicios estén prohibidos (ej, exclusiones de EEUU), etc

  • Condiciones de uso: finalidades de la información, responsabilidades de la gestión de la información, uso de la información que pudiera suministrar el proveedor, posibilidad de revender y sublicenciar el servicio, cesiones a terceros, etc.

  • Monitorización del nivel de servicio: reflejar la facultad del usuario de monitorizar si el nivel de servicio es el pactado en el acuerdo de nivel de servicion, o simplemente con fines puramente estadísticos y también la posibilidad de verificación de las políticas de uso.

  • Monitorización de seguridad: posibilidad de comprobar las medidas de seguridad, los controles y las políticas, posibilidad del usuario de auditar las prácticas de seguridad electrónica y física, acceso en tiempo real de los flujos de los sistemas de detección de intrusos e inclusión en contrato de las consecuencias de los quebrantamientos de seguridad más graves

  • Escalabilidad: un esquema de costes que balancee el umbral para el uso habitual y evite costes excesivos en los picos puntuales.

  • SLA: gestión de posibles incumplimientos y sanciones o compensaciones en esos casos, con un protocolo claro de actuación, definición clara de los servicios objeto del SLA, instrumentos para medir el incumplimiento, nivel de disponibilidad, exclusiones del SLA como paradas programadas, parámetros a tener en cuenta durante los procesos de escalado, etc.

  • Suspensión de servicio: circunstancias (uso indebido, impagos, emergencias, paros programados,), duración de la suspensión, condiciones del levantamiento en cuanto a plazos, condiciones económicas, etc.

  • Resolución del servicio: causas por plazo pactado, amistosa con protocolo de actuación, impagos, violación de condiciones del servicio, usos fraudulentos, daños al sistema, quiebras o situciones concursoales, en donde deberían de estar establecidos mecanismos contractuales para que el usuario pueda recuperar la información.

  • Consecuencias de la resolución: cese de derechos otorgados, conservación de los datos por el proveedor tras el cese (30 días, destrucción inmediata, etc), devolución de la información en forma y coste, conservación de la información por parte del proveedor establecida de antemano, tanto en temas económicos como de cumplimiento de obligaciones legales del proveedor.

Y finalmente Fernando Ramos, el ponente de Lener, recomendó profundizar información en la dirección de la Cloud Security Alliance en temas técnicos y de cumplimientos de normativas y en la de la Queen Mary University of London en aspectos más legales.

En fin, como ya avisé es larga esta entrada, pero creo que la conclusión es clara: los temas legales son realmente importantes y máxime en sanidad, sector muy regulado.

<script src="http://platform.twitter.com/widgets.js" type="text/freezescript"></script>








Comentarios:

Enviar un comentario:
Los comentarios han sido deshabilitados.
About

Mi punto de vista desde mi posición en Oracle.

Los puntos de vista de este blog son míos y no necesariamente reflejan los de Oracle.

Search

Categories
Archives
« abril 2014
lunmarmiéjueviesábdom
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Hoy