‘Riesgos legales del Cloud Computing’, por María González, asociada senior de Information Technology de ECIJA
El Cloud Computing o Computación en la Nube no es una moda pasajera, está aquí para quedarse. Son amplios los beneficios y ventajas que aporta su adopción a entidades y administraciones públicas: abstracción, escalabilidad, flexibilidad, ahorro de costes, rápido retorno de la inversión, dedicación de esfuerzos al negocio, accesibilidad, movilidad, transferencia del riesgo, continuidad, globalización, simplicidad, sostenibilidad, y un amplio etcétera. No obstante, todos estos beneficios y ventajas serán realmente eficientes cuando las entidades y administraciones públicas hayan tomado las acciones tendentes a minorar los riesgos legales que todo servicio Cloud ocasiona, entre los que cabe señalar los siguientes:
– Cumplimiento normativo – Normativa aplicable – Transferencias Internacionales – Localización de los datos. Uno de los principales riesgos existentes en materia de servicios Cloud se encuentra en la determinación de la normativa aplicable en caso de resolución de conflictos, así como en la definición de las transferencias internacionales de datos que se efectúan y que han de regularse de conformidad con la normativa sobre protección de datos personales. Su regulación debe realizarse vía contractual, con total transparencia para el cliente y previendo la monitorización de los proveedores (exhaustiva definición de los SLA´s o acuerdos de nivel de servicio, intervención de las autoridades de control como la AEPD, ejecución auditorias periódicas que verifiquen dicho cumplimiento, etc).
De cara a los proveedores de servicios Cloud y con el objetivo de aportar valor añadido y garantías a sus clientes, pueden adoptar Normas Corporativas Vinculantes, en este caso, Binding Processor Rules, que regulen los aspectos recogidos en el WP 195 del Grupo de Trabajo del Artículo 29, en relación con el papel de los proveedores de servicios Cloud como encargados de tratamiento de conformidad con la normativa sobre protección de datos.
– Aspectos relativos al acceso no autorizado a los datos, disponibilidad de las copias de seguridad de la información y el tiempo de recuperación de la misma en caso de desastre, regulación almacenamiento compartido. Estos aspectos también han de ser regulados vía contractual y a través de la monitorización y auditorias que deben ser ejecutadas sobre los servicios Cloud. Se ha de garantizar el acceso a los datos sólo por personal autorizado, se debe garantizar la continuidad del servicio (y la información) y la portabilidad de los datos en todo momento.
Con todo esto, queda claro que para una correcta gestión de los riesgos legales derivados de la utilización de servicios Cloud, hay que prestar una especial atención a toda la regulación contractual y acuerdos de nivel de servicio y a la monitorización y supervisión tanto de los servicios como del cumplimiento de lo establecido contractualmente.
Enlace a la tribuna: ‘Riesgos legales del Cloud Computing’