Aspectos legales a considerar al contratar servicios en la nube.

Hay varios aspectos legales a tener en consideración en materia de seguridad en cuanto a computación en la nube se refiere:

• La necesaria y comprometida aplicación de los datos personales. La normativa aplicable: LOPD y Reglamento de la LOPD.

• La Ley de Servicios de la Sociedad de Información.

• La delicada contratación de servicios en la nube.

Toda empresa necesita proteger la confidencialidad y seguridad de sus propios datos y de su propia información. Para ello es preciso que el prestador de servicios considere los siguientes aspectos legales :

• Ofrezca información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información.

• Garantice la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.

• Establezca mecanismos seguros de autenticación para el acceso a la información tanto por parte de las personas autorizadas de la empresa como de los clientes.

• Estipular el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la empresa y el proveedor.

• Evidentemente todos estos aspectos técnicos deben de trasladarse a un contrato de servicios entre la empresa y su proveedor que recoja estos aspectos legales mediante las garantías jurídicas necesarias en caso de incumplimiento por parte del proveedor, con la finalidad última de que la empresa no sufra perjuicio alguno.

Es preciso que los datos de carácter personal que sean objeto de tratamiento en la empresa se guarden en un lugar que cuente con las medidas de seguridad exigidas por la normativa española de protección de datos y todos los aspectos legales relacionados. Pero como estos datos se sitúan en un servidor cuya ubicación física desconoce el responsable, hay tres aspectos esenciales que deben ser tenidos en cuenta a la hora de decidir contratar servicios de Cloud Computing:

• La empresa es el responsable del tratamiento de los datos y del cumplimiento de los aspectos legales de la normativa aplicable.

• El prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento. Trata datos personales por cuenta del responsable.

• Depende del lugar físico donde se ubique el servidor, puesto que lo que tenemos que lograr es que la normativa aplicable de los aspectos legales relacionados, sea la española y/o europea. Para ello, mientras el servidor contratado se encuentre ubicado en España u otro país comunitario, no hay problema. Pero cuando el servidor no tenga esta nacionalidad, debemos recurrir a cláusulas específicas que concluyan la remisión a la legislación nacional o, al menos, de un estado miembro de la Unión Europea.

¿Cuál es la solución? Que el cliente responsable del tratamiento, cuando contrate servicios de Cloud Computing, se asegure de que el prestador de servicios cumpla con todos los aspectos legales de la normativa española de protección de datos personales, esto es, la LOPD y su reglamento de desarrollo. Por tanto, es preciso blindar los contratos con cláusulas que garanticen la protección de los interesados antes señaladas.

En cualquier caso, dada la pertenencia de España a la Unión Europea, estas adaptaciones deben hacerse dentro del marco de la Directiva comunitaria sobre protección de datos (Directivas 95/46/CE y 2002/58/CE) en la que se recogen todos los aspectos legales de obligado cumplimiento en materia de seguridad de la información.

ENLACES:  AGENCIA ESPAÑOLA DE PROTECCION DE DATOS      SEGURIDAD INTECO

 

Situación de los servicios en la nube en las pymes

La computación en la nube, concepto conocido también bajo los términos servicios en la nube o informática en la nube, del inglés cloud computing, permite ofrecer servicios de computación a través de Internet. En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder a los servicios disponibles “en la nube de Internet” sin conocimientos importantes en la gestión de los recursos que utilizan.

“Cloud computing” es un nuevo modelo de prestación de servicios que permite al usuario acceder a un catálogo de servicios estandarizados y responder a las necesidades de su empresa de forma flexible y adaptándolos en caso de demandas de servicios no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado, o incluso gratuitamente en caso de proveedores que se financian mediante publicidad.

Según el informe sobre el grado de adopción de la nube en las organizaciones empresariales españolas realizado por la Consultora IDC y con la colaboración y el patrocinio de Arsys y VMware, la informática en la Nube está evolucionando de manera muy positiva. El conocimiento de este tipo de servicios en España se sitúa en un nivel elevado: El 88% de los responsables TIC de las empresas y organizaciones han escuchado hablar de cloud  o nube y su oferta y el 41% de estas organizaciones españolas están utilizando algún tipo de servicio o aplicación en la nube.

 La implantación de la nube está dejando de ser proyectos piloto para implantarse a gran escala. Según destaca la Consultora IDC: “La auténtica oportunidad de cloud, el despliegue de todo su potencial, está por llegar”. El analista Alberto Bellé lo explica así: “Las primeras etapas de adopción cloud vienen marcadas por tres aspectos muy claros: la orientación a coste, la búsqueda de mejoras a corto plazo y el alcance limitado a un área en particular, que no se extiende a la organización al completo. Sin embargo, ésta es una pequeña parte del mapa de oportunidad de cloud, ya que el mayor potencial se alcanzará cuando éste abarque la totalidad de procesos a lo largo de la organización, y este paso requiere algo más que un cambio tecnológico: aquí entran las personas y los procesos. Las organizaciones españolas se encuentran a las puertas de esta transformación”.

Para entrar en la nueva fase de la que se habla en el informe es preciso realizar “el gran salto en la adopción”. Pero para llegar a la nube “optimizada”, como la llama IDC, las organizaciones deben recorrer un camino previo con un análisis funcional de la organización que defina las operaciones y protocolos necesarios de implantación y migración.

 La consultora IDC recomienda que las empresas transformen sus procesos: “Si todos los departamentos o sedes realizan sus procesos de forma distinta, cloud no tiene sentido”, indica el estudio. Esta fase, que IDC denomina cloud “replicable” implica pérdida de flexibilidad pero incrementa la eficiencia en toda la empresa.

 Posteriormente es preciso abordar la fase “gestionada”, donde la nube estará completamente integrada en las diferentes unidades de negocio que gestionarán las tecnologías de forma muy sencilla, como un departamento TIC virtual.

De la reducción del coste a la generación de ingresos. La dinámica que tendrá la nube en las tres etapas que señala IDC será diferente a la que existía previamente: “Ya no importará tanto cuánto se reduce el coste, sino qué oportunidades de ingresos se van a generar. El ahorro ya no se producirá solo al reducir la inversión o gasto en hardware y software, sino a través de procesos más eficientes.  Este salto no lo puede dar el departamento TIC en solitario”.

 Para que esta transformación sea posible será necesaria la participación de tres actores principales: El departamento TIC, las unidades de negocio y los proveedores de tecnología. El primero no solo tendrá que conocer la tecnología sino también el negocio. Las segundas son responsables de transmitir las necesidades de negocio al departamento TIC. Finalmente, el proveedor de tecnología tiene que evolucionar y explorar el impacto de la Nube en el cliente, ayudándole a pensar de forma diferente y estratégica.

ENLACES:  Servicios para Pyme