Aspectos legales a considerar en los servicios en la nube para las Pymes.

Aunque la adopción de servicios de Cloud Computing parezca monopolio de las grandes empresas o aquellas vinculadas al sector tecnológico, la tecnología en la nube tiene mucho que ofrecer a las PYMEs. Tanto si su actividad está vinculada a un sector tradicional o a una actividad surgida con el boom de Internet, existen soluciones cloud que agilizan y, en muchas ocasiones, mejoran el software habitual de las PYMEs: desde gestores de correo y copias de seguridad, hasta herramientas de gestión más complejas.

El Cloud Computing  vino a modificar este paradigma, mediante las siguientes novedades:

  • En lugar de adquirir una licencia para utilizar el software, se paga por el servicio, mediante planes de facturación periódicos
  • El almacenamiento de datos tiene un coste directamente proporcional al espacio que realmente se utiliza, en lugar de tener que adquirir servidores o equipos que podrían ser infrautilizados.
  • Se facilita el proceso de copias de seguridad y recuperación de datos
  • Acceso ubicuo a la información desde diferentes dispositivos y casi cualquier lugar con acceso a internet
  • El proveedor tiene un enorme poder sobre los datos. Un fallo en su infraestructura puede dejar sin servicio y sin acceso a la información.

Hay varios aspectos legales a tener en consideración en materia de seguridad en cuanto a computación en la nube se refiere:

  • La necesaria y comprometida aplicación de los datos personales. La normativa aplicable: RGPD y Reglamento de la LOPD.
  • La Ley de Servicios de la Sociedad de Información.
  • La delicada contratación de servicios en la nube y sus responsabilidades contractuales.

Toda empresa necesita proteger la confidencialidad y seguridad de sus propios datos y de su propia información. Para ello es preciso que el prestador de servicios considere los siguientes aspectos legales:

  • Ofrezca información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información.
  • Garantice la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
  • Establezca mecanismos seguros de autenticación para el acceso a la información tanto por parte de las personas autorizadas de la empresa como de los clientes.
  • Estipular el procedimiento de recuperación y migración de los datos a la terminación de la relación entre la empresa y el proveedor.
  • Evidentemente todos estos aspectos técnicos deben de trasladarse a un contrato de servicios entre la empresa y su proveedor que recoja estos aspectos legales mediante las garantías jurídicas necesarias en caso de incumplimiento por parte del proveedor, con la finalidad última de que la empresa no sufra perjuicio alguno.

Es preciso que los datos de carácter personal que sean objeto de tratamiento en la empresa se guarden en un lugar que cuente con las medidas de seguridad exigidas por la normativa española de protección de datos y todos los aspectos legales relacionados. Pero como estos datos se sitúan en un servidor cuya ubicación física desconoce el responsable, hay tres aspectos esenciales que deben ser tenidos en cuenta a la hora de decidir contratar servicios de Cloud Computing:

  • La empresa es el responsable del tratamiento de los datos y del cumplimiento de los aspectos legales de la normativa aplicable.
  • El prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento. Trata datos personales por cuenta del responsable.
  • Depende del lugar físico donde se ubique el servidor, puesto que lo que tenemos que lograr es que la normativa aplicable de los aspectos legales relacionados, sea la española y/o europea. Para ello, mientras el servidor contratado se encuentre ubicado en España u otro país comunitario, no hay problema. Pero cuando el servidor no tenga esta nacionalidad, debemos recurrir a cláusulas específicas que concluyan la remisión a la legislación nacional o, al menos, de un estado miembro de la Unión Europea.

¿Cuál es la solución? Que el cliente responsable del tratamiento, cuando contrate servicios de Cloud Computing, se asegure de que el prestador de servicios cumpla con todos los aspectos legales de la normativa española de protección de datos personales, esto es, la LOPD y su reglamento de desarrollo. Por tanto, es preciso blindar los contratos con cláusulas que garanticen la protección de los interesados antes señaladas.

En cualquier caso, dada la pertenencia de España a la Unión Europea, estas adaptaciones deben hacerse dentro del marco de la Directiva comunitaria sobre protección de datos (Directivas 95/46/CE y 2002/58/CE) en la que se recogen todos los aspectos legales de obligado cumplimiento en materia de seguridad de la información.

Para concluir solo resta agregar que a la fecha no hay ninguna ley –ni a nivel nacional ni internacional- que regule al Cloud Computing, ni las habrá en muchos años seguramente. Esto significa que la única manera de regular este fenómeno es por la vía contractual. Lea bien los contratos de sus proveedores, y asegúrese de que su abogado entienda el tema.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *