Aspectos Legales del Cloud Computing

3.428 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
3.428
En SlideShare
0
De insertados
0
Número de insertados
2.424
Acciones
Compartido
0
Descargas
13
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Aspectos Legales del Cloud Computing

  1. 1. La Ley y el Desorden 2.0 Unidad de Víctimas del CibercrimenCloud Computing… ¿una tormenta legal seavecina?Retos y paradigmas legales en este nuevo modelo de servicios informáticos.Por Joel A. Gómez TreviñoEn octubre de 2009 compré la revista “The Economist”, creo que es la primera vez quecompro esta revista (no se lo cuenten a nadie, pero una de las materias que más odié enla carrera fue Economía!). La razón, muy sencilla, en portada alcancé a leer de lejos en losestantes “The Battle Over Cloud Computing”. Como ilustración aparecían 5 “teledirigibles”,que en lugar de estar sostenidos por un globo, estaban sostenidos por nubes. Cada“vehículo” estaba disparándole a otro, y cada uno portaba un logotipo: Google, Microsoft,Amazon, Apple y Yahoo. Antes de leer siquiera el artículo, ya me había caído el veinte…tenía que ponerme a estudiar el fenómeno legal del Cloud Computing.Voy a omitir toda la parte teórica-técnica, sobre qué es Cloud Computing, definiciones,cuáles son sus beneficios, ejemplos y aplicaciones reales, sus capas (SaaS, PaaS, IaaS),tipos de nubes y el amplio “etc.”, puesto que doy por hecho que la audiencia es técnicapor el segmento al que va dirigida esta revista, y además seguramente ya presenciaronuna excelente presentación de Adrián Palma sobre este tema en los pasados b:SecureConference de Distrito Federal y Monterrey.A riesgo de no agotar el tema en una parte, me permito enlistar a continuación losaspectos legales más relevantes sobre Cloud Computing: (1) Monopolios, duopolios uoligopolios del mercado de la CN, (2) Confidencialidad y seguridad de la información, (3)Contratos unilaterales (de adhesión) vs. contratos negociados, (4) Riesgos en torno a laprivacidad de la información, (5) Uso de la información en la nube para litigar oinvestigaciones gubernamentales, (6) Protección de datos personales y (7) ProblemasJurisdiccionales.Dentro de los aspectos contractuales de la Computación en Nube, todo usuarioenfrentará, entre otros, los siguientes retos:  Ámbito de aplicación de procesamiento de datos. ¿Qué tipo de datos pueden ser procesados? ¿Para qué propósitos? Su empresa tendrá que decidir si entra de lleno al mundo de la computación en nube, o si solo le da una “probadita” subiendo parte de su información a la nube. Si éste es el caso, ¿qué clase de
  2. 2. información estaría dispuesta su empresa a subir a la nube? Software, aplicaciones, bases de datos, nómina, listas de clientes, contratos, “know-how”, características, planos o fichas técnicas de tus productos, datos personales de clientes y proveedores… en general, mucho de lo que usted mueve en su empresa es sin duda información confidencial. ¡Hay que tomar las debidas precauciones para preservarla! Sub-contrantes (outsourcing en la nube). ¿Bajo qué condiciones el proveedor puede subcontratar partes del servicio de computación en nube? Puede usted estar negociando con “súper empresas”, con una extraordinaria reputación en el mercado… de esas que usted no podría concebir una falla sustancial en el servicio. ¿Pero qué pasa si esas empresas sub-contratan parte de los servicios en la nube? ¿Los sub-contratistas se obligarán con el contratista en los mismos términos y condiciones en que lo hizo con usted? ¿Tendrán los sub-contratistas los mismos niveles de seguridad, confidencialidad y de servicio (SLA) que la empresa con quien usted está contratando? Transferencia y/o Borrado de la información. Durante el noviazgo todo es color de rosa, pero… ¿qué pasa si te divorcias de tu proveedor de cómputo en la nube? ¿Cómo operará la transferencia de tu información… en el plano físico, electrónico o en ambos? ¿Estará tu proveedor actual obligado a colaborar en el proceso de transferencia con otro proveedor? Sabemos que es práctica común en la industria de IT el hacer respaldos de la información. Una vez que termines la relación con tu proveedor, ¿qué garantías tienes de que realmente no se quedó con una copia de tu información? ¿Presenciaste o auditaste el proceso de eliminado electrónico (confiable) de tu información? Ubicación de la información. Una de las características principales de los servicios de cómputo en la nube, es la flexibilidad con que se pueden brindar (“bajo demanda”), diseñando casi un traje a la medida para cada cliente. Parte de esa flexibilidad implica que el proveedor podrá decidir en cualquier momento dónde o en qué servidores podrá estar tratando y almacenando su información. ¿Qué sucede si su proveedor hoy tiene su información en servidores mexicanos, pero mañana decide moverlos a un servidor estadounidense, europeo o asiático? En el terreno legal, un lugar físico significa jurisdicción. Si su información está en un servidor Alemán, probablemente estará sujeta a las leyes alemanas. Autoridades extranjeras podrían no solo auditar, sino eventualmente “confiscar” su información, ante un incumplimiento de leyes locales. El proveedor debe obligarse a no transferir la información a otros países, sin el previo consentimiento expreso del cliente. Protección de datos personales. Este es un tema íntimamente ligado al anterior. Solo como ejemplo, la Unión Europea tiene los más altos estándares en materia de protección de datos personales, mientras los Estados Unidos tiene un modelo sectorial flexible y poco riguroso (comparado con el estándar europeo). El pasado 27 de abril la Cámara de Senadores, actuando como cámara revisora,
  3. 3. aprobó finalmente el proyecto de Ley Federal de Protección de Datos Personales en Posesión de Particulares, al cual solo le falta la sanción Presidencial para publicarse en el Diario Oficial de la Federación. El tratamiento de datos personales en bases de datos es cada vez más sensible y está tremendamente fiscalizado en muchos países. Si usted no adopta las medidas contractuales necesarias, podría toparse con un serio problema no deseado.  Acuerdo de Niveles de Servicio (SLA). Es importante pactar obligaciones relacionadas con la disponibilidad y recuperación de información, particularmente si el proveedor sub-contratará parte de los servicios a otros proveedores en la nube.  Auditorias. El usuario debe poder verificar que el proveedor está cumpliendo con lo pactado. Pudiere haber auditorias gubernamentales, en las que ambas partes deberán cooperar para salir bien librados de ellas.  Pérdida de la información. Ante un escenario trágico de pérdida de su información por negligencia, culpa o dolo de su proveedor, ¿cuáles son los recursos legales que usted dispone? ¿Hay penas convencionales o pago daños y perjuicios? ¿Existe en el contrato algún límite de responsabilidad para el proveedor?  Medidas de seguridad de la información. ¿Está encriptada? ¿Libre de virus / spyware? ¿Es segura la transferencia o solo el almacenamiento? ¿Tiene su proveedor un Plan de Recuperación en Caso de Desastre (DRP) o BCP? No olvide obligar a su proveedor a revelarle cualquier incidente de seguridad que involucre sus datos, particularmente aquellos en que su información haya podido ser vulnerada, copiada o alterada por terceros no autorizados.  Segregación de la información. ¿Están mis datos separados de los de otros clientes? Eventualmente cierto tipo de empresas podrían estar interesadas en que sus datos o información este segmentada o separada del resto de los clientes, sobre todo si el proveedor pudiera brindarle servicios a empresas competidoras.Para concluir solo me resta agregar que a la fecha no hay ninguna ley –ni a nivel nacionalni internacional- que regule al Cloud Computing, ni las habrá en muchos añosseguramente. Esto significa que la única manera de regular este fenómeno es por la víacontractual. Lea bien los contratos de sus proveedores, y asegúrese de que su abogadoentienda el tema.Joel Gómez (abogado@joelgomez.com) es Abogado egresado del ITESM, con Maestría en Derecho ComercialInternacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996.Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE.

×