Por Rafael García del Poyo – Abogado. Socio Director del Departamento de Derecho de las Tecnologías de la Información de CREMADES & CALVO-SOTELO
La pregunta “¿qué es el Cloud Computing?” se escucha con habitual frecuencia en estas fechas en aquellos foros donde los profesionales de la tecnología, del sector comercial y del derecho intercambian ideas. Bajo el paraguas de un prometido ahorro de costes y del uso de unos sistemas informáticos escalables en el tiempo que –en paralelo- permiten soportar “picos” en el rendimiento, podemos afirmar que nos encontramos en presencia de un modelo de prestación de servicios y de un negocio que se está desarrollando de una manera mucho más rápida de lo que cabría imaginar, mucho antes de que los juristas podamos percatarnos de qué materia tenemos entre manos.
“Cloud Computing” se puede definir como un “paradigma de programación” cuya finalidad no es otra que ofrecer servicios informáticos utilizando las ventajas de la telecomunicación que nos facilita Internet. El término Cloud o nube, es obviamente una alusión metafórica a Internet. De una manera más general, al hablar de Cloud Computing estamos abordando la posibilidad de trasladar toda nuestra información a la “nube” de modo que, en cualquier momento cuando la necesitemos, podamos acceder a ella sin que se generen excesivos gastos de mantenimiento (en algunos casos) ni se produzca un consumo o agotamiento de la propia capacidad empresarial de tratamiento de la información.
Por tanto, cuando hablamos de Cloud Computing, no es arriesgado afirmar que nos encontramos ante un modelo de licenciamiento de “software, plataformas o infraestructuras a la carta” que se ofrecen a través de Internet, en el que las empresas pueden beneficiarse de servicios que permiten lograr una mayor capacidad de almacenamiento de datos, disfrutar de un servicio de correo electrónico o de una gestión global empresarial más racional y moderna, entre otras posibilidades.
Las características de las diferentes aplicaciones o de cada servicio ofrecido por las empresas de Cloud son muy diversas. Sin embargo, el denominador común es que el cliente puede en todo momento decidir qué aplicaciones quiere usar, cuándo utilizarlas, mediante qué tecnología acceder a ellas, utilizarlas de manera simultánea con otros usuarios e incluso controlar y optimizar el uso de los recursos de manera totalmente personal, sin que –necesariamente- ello implique un incremento desmedido de los gastos empresariales destinados a estas finalidades.
Terceros
El modelo Cloud implica necesariamente la presencia de un tercero: la empresa proveedora de los servicios en la nube, lo cual puede generar una serie de nuevos retos –por ejemplo- a la hora de determinar qué leyes resultan de aplicación, muy especialmente, si consideramos que la mayor parte de la legislación actualmente vigente y que se relaciona con los aspectos que todas las empresas deben cumplir, no fue redactada pensando en los problemas específicos que se generan en la prestación de servicios mediante el denominado Cloud Computing.
Si deseamos entender correctamente, lo que en materia jurídica representa el Cloud Computing, debemos abordar esta forma de prestación de servicios desde una triple perspectiva: funcional, jurisdiccional y contractual.
Así pues, la realización de un examen previo funcional nos va a ayudar a identificar qué servicios de los que se prestan a través del Cloud pueden llegar a generar consecuencias jurídicas de especial trascendencia para las partes, mientras que un análisis jurisdiccional nos va permitir determinar cómo los diferentes países aplican su legislación interna a una realidad que afecta a dichos servicios. Por último, una correcta aproximación a la realidad contractual, por su parte, contribuye a determinar las exigencias concretas que deben incluirse en los contratos de prestación de servicios de Cloud Computing, con el objetivo final de alcanzar el debido cumplimiento tanto de las exigencias de la ley aplicable como de los objetivos de negocio que persiguen las empresas que deciden introducir un modelo cloud en su proceso productivo.
Información y datos personales
Una de las principales inquietudes que manifiestan los clientes de Cloud no es otra que saber en cada instante dónde se encuentra tanto la información crítica del negocio como aquellos datos de carácter personal que se recaban en el desarrollo de la actividad mercantil y de los cuales son responsables ante sus clientes, accionistas y administraciones públicas.
No es fácil convencer a usuarios y empresas de que los datos que –hasta la fecha- han venido siendo almacenados en ordenadores o servidores locales (o incluso en papel), pasen súbitamente a estar almacenados en lugares “imprecisos o no precisados” de una “red” que se presenta como un entorno bastante etéreo, aunque luego -de facto- ello no sea así. Con la aparición del modelo del Cloud Computing se ha convertido éste en un problema especialmente relevante, dado que los datos de los usuarios pasan a estar almacenados en servidores ajenos, gestionados por proveedores que -en algunos casos- pueden llegar a carecer de las necesarias garantías de confiabilidad y que, únicamente a través de un contrato debidamente acordado y firmado, van a resultar exigibles.
La puesta a disposición de los datos de carácter personal a favor de los proveedores de servicios en la nube está regulado en España por la Ley Orgánica de Protección de Datos (LOPD). En principio, el modelo cloud se basa en el modelo de la intervención de un tercero que se instituye como encargado del tratamiento cuyo contenido deberá estar regulado contractualmente. Como norma general, los datos van a quedar alojados en los denominados Data Centers en aquellas ubicaciones donde se concentran todos los recursos técnicos e informáticos necesarios para el procesamiento en modelo cloud de la información de una determinada organización.
Por esta razón, los servidores de los Data Centers pueden encontrarse en cualquier parte del mundo, al menos potencialmente, y ello podría conllevar numerosos problemas en relación con la LOPD y, de manera particular, con el contenido de su artículo 33. En este sentido, si no se da correcto cumplimiento la normativa referida podríamos encontrarnos ante una cesión inconsentida de datos de carácter personal, conducta sancionable por las autoridades nacionales de protección de datos.
Por ello, uno de los retos a los que se enfrenta el proveedor de servicios de Cloud Computing se relaciona de manera directa con la forma de proteger los principios del derecho relacionados con la privacidad, lo cual -a su vez- va a estar muy condicionado por el propio modelo de cloud (pública, privada, híbrida o comunitaria) que cada proveedor ofrezca o pueda llegar a ofrecer a sus clientes. En todo caso, resulta muy aconsejable que con el fin de evitar esta problemática y sus perniciosas consecuencias en lo posible, el flujo de la información y de los datos de carácter personal debe quedar perfectamente determinado y documentado en el contrato que regule las relaciones de negocio del cliente con la empresa prestadora de servicios en modelo cloud.
Es indispensable que como empresas clientes nos aseguremos de que la integridad de la información y de los datos personales esté garantizada de forma que no puedan ser modificados por terceros no autorizados y que cuando deseamos recuperarla utilizando Internet la información que efectivamente aparezca sea la original. Como se ha apuntado anteriormente, los datos pasan conservarse en servidores de terceros y por tanto cabe la posibilidad de que un fallo en el sistema provoque una distorsión o pérdida de esa información. En todo caso, el usuario debe tener la certeza -física y jurídica- y poder guardar la evidencia ante la administración pública u otros terceros de que sólo pueden acceder a dichos datos las personas autorizadas.
No cabe duda de que el Cloud contribuye de forma clara a una mejor conectividad y a una prestación más económica de servicios entre empresas y personas, si bien su utilización genera una serie de interrogantes e inquietudes cuya resolución deben abordarse entre todas las partes implicadas.
El principio de territorialidad
Otro punto clave en relación con la localización física de los servidores que contienen los datos y que añade un mayor grado de complejidad al cumplimiento normativo es el denominado “principio de territorialidad” de las normas jurídicas. Es evidente que resulta complicado determinar dónde se ubican realmente los servidores en los que se aloja la información y, en paralelo, también resulta complejo determinar en cada momento qué norma puede llegar a aplicarse, sobre la base de la normativa de derecho internacional.
Ante tal escenario normativo, resulta prudente recomendar que las partes, establezcan en el clausulado del contrato de prestación de servicios en la nube aquellas fórmulas de resolución de controversias relacionadas con la recuperación de la información y de los datos personales que son responsabilidad del cliente no sólo durante la vigencia sino una vez extinguida la relación contractual.
La gestión de la información de personas y empresas es cada vez más compleja en el entorno empresarial, sin embargo, a pesar de los problemas de índole jurídica que indudablemente surgen cuando hablamos de computación en la nube, uno de los atractivos más destacados que ofrece el prestador de servicios informáticos en cloud es la enorme capacidad de gestión y de eficiencia que, entre otras ventajas, va a proporcionar a las empresas clientes.
Las aplicaciones en la nube son el día a día de cualquier empresa que esté minimamente actualizada. Nosotros utilizamos los servicios que ofrece Aplicateca de Movistar porque basicamente nos ahorran tiempo y dinero y nos proporcionan soporte técnico.
Hay aplicaciones como esta http://budurl.com/vq2s que nos sirven además para formar a nuestros trabajadores. No se cómo hacíamos antes del cloud computing…