Reportaje ‘La «nube” avanza con un marco normativo ya obsoleto’, con la colaboración de Eduardo Lagarón y María González, abogados de Information Technology de ECIJA, publicado LegalToday, portal de tendencias jurídicas de la editorial Thomson-Reuters Aranzadi.
El cloud computing es una gran oportunidad para las empresas. Sus riesgos en materia de seguridad están ligados a la relación contractual entre el cliente y el proveedor que proporciona estos servicios de almacenamiento: el responsable del tratamiento de los datos tiene la obligación de salvaguardarlos con independencia de que estén en manos de un tercero. Además, también debe verificar que el proveedor cumpla con los aspectos legislativos en materia de protección de datos de carácter personal.
En relación a la cuestión de si jurídicamente “la nube» sólo plantea problemas de protección de datos y propiedad intelectual e industrial, María González, puntualiza que «la nube» también plantea problemas relacionados con la protección y seguridad de la información almacenada en ella: ‘A modo de ejemplo, -especifica María González- podemos nombrar la Ley de Prevención de Blanqueo de Capitales, la normativa sobre PCI – DSS (buenas prácticas de seguridad aprobadas por los principales operadores de tarjetas de crédito), Esquema Nacional de Seguridad (en caso de tratarse de Administraciones Públicas), Infraestructuras Criticas, Ley Sarbanes – Oxley (SOX), Solvencia, Basilea, y otras normas. Igualmente otras buenas prácticas o normas de homologación y certificación, como son las ISO 27000 relativas a Sistemas de Gestión de Seguridad de la Información, ISO 22301 enfocada a la Continuidad de Negocio, etc.’
‘En este sentido, el Grupo del Art. 29 ha publicado recientemente su Opinión 05/2012 sobre Cloud Computing, en el que ya establece requerimientos acerca de la Disponibilidad, Integridad, Individualidad de los recursos en la nube, la atención de derechos reconocidos por las normativas nacionales (como los derechos ARCO de la LOPD), portabilidad, y responsabilidad, aspectos todos ellos que deberán ser tenidos en cuenta, tanto por los proveedores, como por los usuarios de dichos servicios’. Concluye María.
Sobre la cuestión de si «La nube» se rige fundamentalmente por una Directiva de 1995 o existe más desarrollo legislativo en la actualidad. María y Eduardo clarifican la normativa aplicable desde el punto de vista comunitario y nacional. Asimismo ambos expertos señalan algunos aspectos fundamentales que aún no han sido atendidos por la normativa y que urgirían regularse como:
‘La Ley aplicable ante la deslocalización de servicios en la nube. Las dudas acerca de la ley aplicable ante posibles controversias entre los proveedores y los usuarios, genera gran inseguridad jurídica’.
‘La regulación de las transferencias internacionales de datos que son efectuados por quienes utilizan los servicios de almacenamiento en la nube, sobre todo teniendo en cuenta que los servicios en la nube pueden y tienen servidores en múltiples países, ser redundantes, etc’.
‘Vemos necesario clarificar la regulación de las cookies y demás dispositivos de almacenamiento de información personal. La existencia de servicios como la publicidad comportamental, donde se utilizan cookies u otros dispositivos de almacenamiento muy diversos, da lugar a una gran complejidad legal a la hora de solicitar el consentimiento de los usuarios, exigiendo que se les facilite una información previa, clara y completa sobre dichos dispositivos, y una acción expresa del usuario dando su consentimiento a tal efecto’. Apostilla Eduardo.
Enlace al reportaje: La «nube” avanza con un marco normativo ya obsoleto’
http://www.legaltoday.com/actualidad/noticias/la-nube-avanza-con-un-marco-normativo-ya-obsoleto