Rafael garcia del poyo

CLOUD COMPUTINGLA NUEVA FRONTERA DE SERVICIOS

TECNOLÓGICOS Y SU PROBLEMÁTICA JURÍDICA

15 de Febrero de 2011

Rafael García del Poyo

Socio de CREMADES & CALVO-SOTELO, Abogados.

Director del Departamento de Derecho de Tecnologías de la Información

1. Introducción

2. Modelos de “Nubes”

3. Tipos de Servicios

4. Beneficios

5. Críticas

6. La problemática jurídica

1. Introducción

- “Cloud Computing” puede definirse como un“paradigma de programación” que permite ofrecerservicios informáticos a través de Internet. El términoCloud o nube, es obviamente una alusión metafórica a

Internet.

- “Paradigma de programación” es una solucióntecnológica cuya finalidad principal consiste enresolver uno o varios problemas o necesidadespreviamente definidos .

1. Introducción

La información se almacena de manera permanente en

servidores de Internet y cuando es requerida por un cliente se

envía a sus equipos de escritorio, centros de ocio, dispositivos

portátiles, etc.

Cloud Computing: modelo de negocio que permite a los usuariosacceder a un catálogo de servicios estandarizados y que sirve pararesponder a las necesidades de las empresas de forma flexible yadaptativa.

2. Modelos de “nubes”

- Cuatro formas fundamentales de prestación de los servicios en la nube en función del control y de la gestión de los entornos informáticos:

"Nubes públicas" que son gestionadas por empresas prestadoras de estos servicios y en las que se atiende a una pluralidad de clientes (bien el público en general, bien un grupo industrial, etc.).

"Nubes privadas" son aquellas infraestructuras manejadas en favor de un solo cliente el cual suele decidir los usuarios que quedan autorizados a utilizar la infraestructura y que controla las aplicaciones, los servidores, etc. Ejemplo: sistemas informáticos.

"Nubes comunitarias" son aquellas en las que la infraestructura tecnológica se comparte entre diversas organizaciones que mantienen objetivos similares, por ejemplo, en materia de requisitos de seguridad, o sobre consideraciones relacionadas con el cumplimiento normativo.

"Nubes híbridas" son aquellas que combinan elementos definitorios de los modelos de nubes públicas, comunitarias y privadas, por lo que los clientes pueden ser propietarios de unas partes y compartir otras con otros clientes aunque de una manera controlada.


- Cloud Computing se confunde con los denominados sistemas informáticosde “grid” (o en red) que son más bien sistemas a través de los cuales un“superordenador virtual” compuesto por un conjunto enlazado deordenadores actúa de manera concertada para realizar tareas que requierenuna gran capacidad de procesamiento.

- La diferencia fundamental que aporta el Cloud Computing a los modelos denegocio radica en la posibilidad de aumentar de forma gradual y escalable elnúmero de servicios prestados a través de Internet:

Beneficios

Proveedores: pueden ofrecer, de forma más rápida y

eficiente, un mayor número de servicios

Usuarios: tienen la posibilidad de acceder a ellos, disfrutando de la sencillez e inmediatez del sistema y, potencialmente, de un modelo de pago por consumo


- Existen tres modelos fundamentales que junto a sus combinaciones derivadasdescriben los tipos de prestación de los servicios que cabe realizar a través de la

nube:

a.) Software como Servicio (SaaS): El SaaS se caracteriza por la puesta a disposición de unsoftware ofrecido como un servicio bajo demanda que se utiliza de forma compartida con otrosusuarios, lo cual implica que un solo software que reside en la infraestructura del proveedor delservicio puede ser utilizado por múltiples organizaciones empresariales o clientes.

b.) Plataforma como Servicio (PaaS): Se trata de plataformas de desarrollo de software comoherramienta de desarrollo a la cual se accede a través de Internet. De esta forma, losdesarrolladores pueden construir nuevas aplicaciones sin tener que instalar ningunaherramienta específica en sus propios ordenadores, por lo que se hace posible el acceso a esaherramienta sin necesidad de tener conocimientos especializados.

c.) Infraestructura como Servicio (IaaS): Tiene como principal característica el servir comomedio para alcanzar capacidad tanto de procesamiento informático como de almacenamientode información a través de servicios estandarizados prestados a través de Internet de forma queel cliente puede desplegar y ejecutar software de cualquier tipo, ya sean sistemas operativos osoftware específico.


Características funcionales del Cloud Computing

a.) Los recursos del proveedor se disponen de forma común para que puedan ser utilizados pormúltiples consumidores siguiendo un modelo de “multiposesión” (multi-tenancy).

b.) El cliente se puede abastecer unilateralmente de capacidades de procesamiento, tiempo deutilización de servidor, capacidad de almacenamiento en red, etc. según las necesidadesempresariales de cada momento.

c.) Los sistemas informáticos disponibles mediante Cloud Computing controlan y optimizan eluso de los recursos de manera automática. El uso de estos recursos por parte de los clientespuede seguirse, controlarse y notificarse, lo que aporta una enorme transparencia en la gestióndel negocio para ambas partes.

d.) La capacidad está disponible en la red y se accede a ella a través de mecanismos de sencillautilización que posibilitan el acceso a aquellos recursos informáticos disponibles por parte declientes que mantienen unas características técnicas y organizativas de sus propios sistemas muydiversas entre sí.

4. Beneficios

- Cloud Computing constituye un “modelo a la carta” para laasignación de una serie de servicios, aplicaciones einfraestructuras.

- Una infraestructura integral de Cloud Computing nonecesita instalar ningún tipo de hardware y, por tanto,requieren de una inversión menor para poder beneficiar acualquier empresa.

- Por su naturaleza, la tecnología de Cloud Computing sepuede integrar con mucha mayor facilidad y rapidez con elresto de sus aplicaciones empresariales de los clientes yproporciona una mayor capacidad de recuperación dedesastres así como una importante reducción de los tiemposde inactividad de los sistemas.

- Cloud Computing es muy criticado porque muchos aducen quelimita la libertad de gestión de las empresas clientes y las hacedependientes de su proveedor de servicios. Se limita tanto lalibertad como la creatividad de la empresa cliente.

- Pone en peligro la libertad de disposición de la información ylos datos con los que cuentan las empresas clientes, dado queestas dejan sus informaciones de negocio más valiosas y losdatos personales de los que disponen en manos de terceros.

- Proliferación de empresas emergentes o de alianzas entreempresas de Cloud Computing podría dar lugar a un ambientepropicio para el monopolio y el crecimiento exagerado en losservicios, de ahí que deba imponerse un seguimientoexhaustivo por parte de las autoridades de la competenciaempresarial.

5. Críticas

- Dependencia de los proveedores de servicios de CloudComputing disponibilidad de acceso a Internet. Si lainformación de la empresa debe recorrer diferentesnodos puede convertirse en un foco permanente deinseguridad.

- Proveedores de servicios altamente especializados laprestación completa de los servicios al cliente que lossolicita puede llegar a tardar meses o incluso años.

5. Críticas

- El Cloud Computing implica la presencia de un tercero -el proveedorde servicios en la nube- entre la organización empresarial y lainformación que ésta gestiona nuevos retos a la hora dedeterminar las leyes que se aplican a la gestión de la información.

- Mucha de la legislación relacionada con la informática que lasempresas deben cumplir no se redactó pensando en el CloudComputing. De hecho, es muy posible que los auditores y asesoresexternos con los que habitualmente colabora la empresa no esténfamiliarizados con el Cloud Computing en general o con algúnservicio en la nube en particular.

Deberemos acercarnos a este fenómeno empresarialdesde una perspectiva funcional, jurisdiccional y contractual.


1) La perspectiva Funcional estudiará qué funciones y servicios (CloudComputing) generan consecuencias legales para los participantes.

2) La perspectiva Jurisdiccional analiza la forma en la que los gobiernosadministran las leyes que afectan a los servicios de Cloud Computing.

3) La perspectiva Contractual debe encargarse de examinar los contenidos de loscontratos y sus mecanismos de aplicación.

- Corresponde al cliente de los servicios de Cloud Computing comprender:

a.) Las exigencias de cumplimiento normativo de un determinado servicioprestado a través de la nube.b.) El reparto de las responsabilidades de cumplimiento normativo entre elproveedor de la nube y su cliente.c.) Que la capacidad del proveedor de servicios en la nube para generarevidencias electrónicas resulta necesaria para dar debida respuesta alcumplimiento normativo.


Información y datos personales- Archivos alojados en sistemas informáticos: inquietudes sobre los riesgos que

este modelo plantea para la seguridad de la información y la adecuadaprotección de los datos personales.

Desde el punto de vista de la PRIVACIDAD resulta innegable que el intercambio y la conectividad plantea una serie de interrogantes que todos los actores implicados deben

ayudar a responder

* Comprender las responsabilidades contractuales de las empresas clientes y de lasprestadoras de servicios.* Saber dónde el prestador de servicios en la nube hospedará los datos de cara a implementarlas medidas jurídicas, técnicas y organizativas necesarias para garantizar el correctocumplimiento de las leyes locales que regulan el adecuado flujo de datos transfronterizos.* La premisa fundamental debe ser que los datos de carácter personal que se encuentran bajo lacustodia de los proveedores de servicios en la nube deben recibir la misma tutela que siestuvieran en manos del propietario o responsable del fichero.* Normativa española sobre protección de datos: la puesta a disposición de información alproveedor de servicios en la nube constituye un tratamiento de datos por parte de un tercero,pudiendo producirse, si no se cumple la normativa aplicable a esta figura consistentebásicamente en la firma de un contrato de agente tratante (o de encargado del tratamiento), unacesión inconsentida de datos de carácter personal.


Información y datos personales

* Servidores localizados en el extranjero: nos encontraríamos ante una transferenciainternacional de datos contrato de encargado de tratamiento entre el cliente y elproveedor de servicios, así como tener en cuenta el territorio de destino último de losdatos al objeto de determinar si nos encontramos o no ante un país con nivel adecuado de

protección.

* Hacer mención en el contrato a que determinados servicios de Cloud Computing van aprestarse a través del régimen de “multiposesión o multi-tenancy”. Son servicios queimplican un uso simultáneo de los mismos recursos tecnológicos por parte de variosusuarios.

* Finalmente, resulta muy recomendable que las partes de un contrato de prestación deservicios en la nube anticipen en su clausulado las fórmulas de resolución de laproblemática relacionada con la recuperación de la información y de los datos personalesque son responsabilidad del cliente una vez extinguida la relación contractual.


Territorialidad versus internacionalidad

* Problema del “principio de territorialidad”: resulta complicado determinar dóndese ubican los servidores en los que se aloja la información y resulta complejodeterminar qué norma puede llegar a aplicarse en cada momento.

* No debe servir para excusar el incumplimiento por parte de las empresas queprestan servicios de Cloud Computing de los principios jurídicos de la protección dedatos y la privacidad que protegen a los ciudadanos.

* El lugar físico de ubicación de los servidores en un Estado concreto viene adeterminar, como norma general, tanto la legislación como la jurisdicciónaplicables.

* Problema: Autoridades extranjeras podrían tener competencia para “confiscar” talinformación. Solución: el proveedor de servicios de Cloud Computing deberíaobligarse a no transferir la información a otros países sin el previo consentimientoexpreso del cliente.



Regulación contractual (I)• Si bien es cierto que existe una carencia en materia de regulación del Cloud Computing, tanto elderecho español como la legislación europea sirven para dar una respuesta general y suficiente ainterrogantes de carácter normativo que se plantean en la operativa diaria de este modelo. De ahíque surja la necesidad de regular este tipo de actividades por vía contractual, con independenciade que ello sea o no una práctica lo suficientemente habitual.

• Por otro lado, un importante número de legislaciones nacionales o bien imputan diversasresponsabilidades directamente a las empresas contratistas de la nube o bien requieren a lasentidades prestadoras del servicio que indirectamente regulen las potenciales responsabilidades enlas que podrían incurrir por medio de un contrato.

• Trasladar información, datos y aplicaciones informáticas a un esquema de prestación de serviciosen la nube repercute muy directamente en las políticas y en los procedimientos internos de laempresa cliente. Por ello, los clientes deben evaluar con detenimiento qué políticas yprocedimientos están dispuestos a modificar y, potencialmente, a cambiar de forma íntegra.Algunos ejemplos de las políticas y procedimientos que pueden verse afectados y cuya regulacióndebe preverse en el clausulado del contrato incluyen los informes de actividad, las políticas deretención de datos, los procedimientos de respuesta a incidencias, la normativa de las auditorías decontrol interno y externo y las políticas de privacidad de la compañía.

Regulación contractual (II)

* Habitualmente, los contratos utilizados para regular los servicios de Cloud Computing suelen ser contratos deadhesión en los que los proveedores de servicios en la nube imponen sus propias condiciones (a pesar de que lomás deseable sería que fuesen contratos específicamente negociados entre las partes). Además esta situación se veagravada debido a que el contenido de tales contratos, generalmente, carece de la necesaria regulación de aspectosque resultan tan fundamentales como el reparto de responsabilidad respecto de la seguridad en la conservaciónde los contenidos, la retención de los datos de tráfico en las comunicaciones, la obligatoriedad de darcumplimiento a la normativa de protección de datos, etcétera.

* La aparición del concepto de multiposesión en los contratos de servicios en la nube implica la necesidad dereflejar en los clausulados, unos modelos precisos de gestión de la información, pautas de aislamiento de susegmentación de datos en relación con terceras partes, acuerdos pormenorizados relativos al nivel de prestacióndel servicio y unos procedimientos claros referentes a la devolución de cargos de facturación para los casos deincumplimiento.

* En el Cloud Computing existe un sentido de independencia de la ubicación física sobre la que el clientegeneralmente no tiene control que suele traducirse en que desconoce el lugar exacto de los recursossuministrados. Sin embargo, se puede pedir al prestador de servicios que determine contractualmente unaubicación más específica para la información sobre el país, la región, o un determinado centro de datos, así comode asignación de adicional de recursos en relación con la capacidad de almacenamiento, procesamiento, memoria,ancho de banda de la red y de la disposición de máquinas virtuales.

* Sin embargo, debido a las características intrínsecas de los sistemas de “abastecimiento a la carta”, al conceptode “multiposesión” del Cloud Computing y a su regulación mediante contratos de adhesión, determinadasformas de prestación de servicios informáticos que las empresas precisan puede que no estén disponibles, o quesi existen, aparezcan ligeramente alterados.


Regulación contractual (III)* También existe la posibilidad de que deba accederse a las aplicaciones informáticas desdedistintos canales o dispositivos del cliente. En este caso, el cliente no gestiona ni controla lainfraestructura de nube subyacente ni tampoco la red, los servidores, los sistemas operativos, …De hecho, resulta muy conveniente prever contractualmente las consecuencias que debenderivarse de la posibilidad de que, en la medida en que un mayor número de clientes compartanla infraestructura de la nube, se produzcan sobrecargas en los servidores y degradaciones en elservicio de los prestadores.

* Las empresas clientes deben reservarse en todo caso la capacidad de auditar al proveedor deservicios en la nube, habida cuenta de la naturaleza dinámica tanto del entorno tecnológico deInternet como del ámbito normativo. Como decimos, los clientes deben incluir en los contratosla posibilidad de auditar, en el marco de un adecuado proceso de due diligence, lasinfraestructuras informáticas y los procesos de gestión de la seguridad de la informaciónimplantados por el proveedor.

* El contrato debe permitir al cliente de los servicios en la nube o a quien se designe, realizar elseguimiento del rendimiento de los proveedores de servicio y de comprobar lasvulnerabilidades del sistema informático del que se dispone. Tampoco debe descartarse laconveniencia de planificar la resolución tanto esperada como inesperada de la relación en lasnegociaciones contractuales, y una devolución metódica o enajenación segura de tus activos.


Regulación contractual (y IV)

* Por tanto, resulta muy recomendable extremar las precauciones a la hora de atribuir en elcontrato las funciones y responsabilidades de las partes e incluir en los clausulados pautas deactuación en función de la aplicabilidad de las disposiciones de contratos locales y leyes enjurisdicciones extranjeras o de otros estados que en principio no pudieran haberse identificado.

* Por ello, junto a la primordial normativa de protección de datos de carácter personal,observamos que también habrán de tenerse en cuenta el ordenamiento jurídico aplicable sobrederechos de propiedad intelectual e industrial, el deber de vigilancia del empresario respectodel acceso de sus empleados a la información, cláusulas de resolución de conflictos, etcétera.

* Finalmente, con carácter previo a la firma del mencionado contrato, deberán examinarse otraserie de aspectos relevantes como son su situación financiera, la reputación profesional, lapotencial existencia de procedimientos de control de calidad, la forma de contratación –almenos- del personal identificado como clave para el proceso que se contrata, los planes yprocedimientos para la recuperación de catástrofes, los seguros de responsabilidad civilcontratados, así como sus capacidades tanto de recursos materiales como de relación comercialcon potenciales subcontratistas.


Gestión del riesgo empresarial (I)* En el Cloud Computing, los problemas fundamentales de la gestión de los riesgos de las empresas

hacen referencia a la identificación e implementación contractual de las estructuras, procesos y controles organizativos adecuados necesarios para gestionar la seguridad de la información y alcanzar un cumplimiento normativo efectivo.

* Las empresas clientes deben considerar los servicios en la nube y la seguridad de su información como si fuesen "cuestiones de seguridad de la cadena de suministro".

* Por ello, el principal objetivo de la contratación de este esquema de servicios debe quedar plenamente garantizada tanto por parte de los proveedores de servicios de Cloud Computing como por las terceras empresas colaboradoras.

* En este sentido, el cumplimiento de las diversas normativas recientemente aprobadas en todo el mundo obliga a una mayor colaboración entre el departamento jurídico de la empresa y los profesionales de la tecnología. Esta afirmación se hace especialmente cierta en el ámbito del Cloud Computing, debido al importante potencial de nuevas áreas de riesgos legales que la “naturaleza distribuida” de la nube crea en comparación con las tradicionales infraestructuras internas o externalizadas.

* Los departamentos jurídicos y de tecnología de las empresas clientes deberían implicarse y trabajar codo con codo durante el establecimiento de los Contratos de Nivel de Servicios y de las obligaciones contractuales, para garantizar que los requisitos de seguridad se pueden solicitar y alcanzar contractualmente mediante el establecimiento de métricas y estándares para medir los resultados y la efectividad de la gestión de la seguridad antes de trasladarse a la nube.


Gestión del riesgo empresarial (y II)* El contrato del modelo de servicio debe ajustar las funciones y responsabilidades para la gestión de la seguridad de lainformación y la gestión de riesgos. También deberían identificarse e incorporarse en los contratos de servicio comoesenciales unos procesos de gestión colaborativa, así como unos protocolos de evaluación de riesgos del servicio y degestión de los mismos.

* Debido a la falta de control físico sobre la infraestructura informática en numerosos de modelos de despliegue deCloud Computing, los Contratos de Nivel de Servicio, los requisitos contractuales, y la documentación del proveedordesempeñan un papel determinante. Por ello, tales estándares y métricas de seguridad -especialmente las relacionadascon los requisitos legales y de cumplimiento normativo- deben incluirse en los Contratos de Nivel de Servicio teniendo.

* La estrategia de un plan de gestión de los riesgos debe, entre otras tareas, incluir:

a.) la identificación y valoración de las amenazas y vulnerabilidades y su impacto potencial sobre los activos;

b.) el análisis de la probabilidad de ocurrencia de ciertos escenarios, niveles y los criterios de aceptación aprobadospor el órgano de gobierno de la empresa, y;

c.) el desarrollo de planes de tratamiento de los riesgos con múltiples opciones (controlar, evitar, transferir y aceptar)para el tratamiento de riesgos.

* Los resultados de los planes de gestión de los riesgos deberán incorporarse en los contratos de servicio y tanto elplan de continuidad del negocio del cliente como el de recuperación de catástrofes debería incluir escenarios depérdida de los servicios del proveedor y de pérdida por parte del proveedor de servicios y capacidades dependientes deterceros.


Evidencias electrónicas (I)

• Tal y como hemos comentado anteriormente, la capacidad del proveedor de servicios enla nube para presentar evidencias ante las autoridades competentes y otros tercerosresulta fundamental a la hora de tener la capacidad de demostrar un eficaz cumplimientonormativo.

• En esta misma línea, los tribunales de los Estados están empezando a ser conscientes deque la gestión de los servicios relativos a la seguridad de la información sondeterminantes a la hora de tomar decisiones sobre si los datos facilitados puedenaceptarse como prueba.

• Preparar pruebas confiables sobre cómo se cumple cada requisito normativo puede llegara suponer un desafío importante tanto para las empresas prestadoras como receptoras delservicio. Los clientes de los servicios en la nube deben para ello desarrollar procesosespecíficos destinados a poder recabar y almacenar evidencias del cumplimientonormativo, entre los que se encuentran auditorías (internas o externas), informes deactividad, copias de las configuraciones de los sistema informáticos, informes degestión de los cambios, y sobre otros muchos informes derivados de los procedimientosde auditoría y control implantados en las empresas.


Evidencias electrónicas (y II)* Así, en lo que se refiere a la implementación de aquellas medidas que pueden resultar necesarias

para el aseguramiento de cierta información a los efectos de que puedan convertirse en evidenciaselectrónicas (pruebas), la deslocalización de la información va a requerir la preparación de unosprocedimientos adecuados dirigidos a lograr la validez jurídica de tales evidencias electrónicas.

* Entre tales medidas cabría mencionar la creación por parte del prestador de servicios de una base dedatos central de conocimiento que refleje su particular uso de la nube y en la que se identificaríanlos servidores que custodian los datos, qué tipo de datos y el uso que se realiza de los mismos deforma que en cualquier instante pueda ser aportados en un litigio con terceras partes.

* Igualmente, la deslocalización a la que venimos haciendo referencia puede dar lugar a imposiciónde medidas solicitadas por las autoridades competentes o dimanantes de la legislación aplicable enel territorio de ubicación de los servidores de almacenaje que, ciertamente, pueden llegar a dificultarlas actuaciones relativas a la obtención de pruebas electrónicas.

* En cualquier caso, los clientes y potenciales clientes de los prestadores de servicios en la nube debencobrar conciencia de que la información o los datos que son objeto de la prestación podrían quedarsujetos a la competencia de una jurisdicción extranjera ante un eventual litigio o una investigacióngubernamental, aspectos que ineludiblemente deberán valorarse a la hora de gestionar lainformación y de encargar el tratamiento de la misma a un determinado proveedor de servicios deCloud Computing.


Autorregulación

* La autorregulación puede llegar a ser una solución que contribuya a un mejorcumplimiento de la normativa vigente, constituye ésta una práctica mucho másextendida en Estados Unidos que en Europa y que en aquel continente cobra unsentido muy distinto al europeo.

* Los marcos legislativos europeo y español actuales aportan muchas respuestas a losdesafíos que se derivan de la implantación de los entornos de Cloud Computing y, porello, la autorregulación en ningún caso puede ni debe llegar a convertirse en unsustitutivo del cumplimiento normativo.

*A nuestro juicio, la autorregulación debe concebirse como un complemento necesariodirigido a dotar de ciertas pautas de comportamiento ante la aparición de ciertassituaciones conflictivas concretas. Aunque podemos coincidir en que resultaimprescindible promover la aparición de esquemas de autorregulación que cobren uncarácter complementario a la legislación y que sean de obligada observancia paraaquellos que voluntariamente deciden comprometerse a ello debido a su pertenencia aun determinado colectivo empresarial, en todo caso y de forma primordial, elcumplimiento de la legislación aplicable debe estar plenamente garantizado a laempresa cliente por parte del prestador de servicios de Cloud Computing.


GRACIAS POR VUESTRA ATENCIÓN

C/. Jorge Juan, 3028001 Madrid Tel. : 91 426 40 50 Fax: 91 426 40 52Móvil: 695 457 223

e-mail: [email protected]

Encuéntranos y síguenos:

www.cremadescalvosotelo.com

http://www.linkedin.com/companies/cremades-%26-calvo-sotelo

Rafael García del Poyo

Socio de CREMADES & CALVO-SOTELO, Abogados.

Director del Departamento de Derecho de Tecnologías de la Información

mailto:[email protected]

Business

Rafael garcia del poyo