Una mirada legal al Cloud Computing

Posted by Encuentro Jurídico on 13:29 with No comments
Resumen

La computación en la nube es una modalidad de cómputo que parte de la idea de que los recursos que utilizaríamos normalmente en nuestro ordenador particular o cualquier otro dispositivo, ahora están a nuestra disposición por medio de internet, en cualquier momento y lugar. Cloud Computing, como es conocido, posee otras características particulares que se analizan, las cuales tienen repercusión en el derecho.  Se analiza la protección de los datos de carácter personal y su seguridad, así como la privacidad en la Nube. Aparte, se definen cuestiones básicas como son la contratación de los servicios, los daños que podrían ocasionarse y los conflictos de jurisdicción que pueden acarrear.

El cloud computing o computación en la nube es un modelo de computación que propone el aprovechamiento máximo de las ventajas que nos brinda el internet para acceder a diferentes recursos, con la particularidad de que estos no tienen que estar presentes en el equipo que se utiliza.[i] De esta sola definición se puede desligar la preocupación de las consecuencias de muchos aspectos jurídicos que toca esta modalidad de computación.

Es por eso que la finalidad de este trabajo de investigación es resaltar las ventajas y desventajas de este modelo de computación, destacando los aspectos jurídicos más relevantes del mismo, como son la seguridad, la protección de los datos de carácter personal y la privacidad.

Aparte de estos, analizaremos otros aspectos de cloud computing como lo es la contratación de los servicios y las cláusulas que deben asegurarse, la posibilidad de la existencia de una responsabilidad civil en caso de daños causados por servicios en la nube y por último, los posibles conflictos de jurisdicción al momento de llevar el cloud computing a la justicia.

I. Concepto y características de Cloud Computing

El Cloud Computing o simplemente The Cloud, parte de la premisa de que las aplicaciones y servicios que se utilizan en un equipo se ejecutan en algún servidor al cual tenemos acceso a través de la magia del internet, por lo que otorga la facilidad de aligerar la carga de nuestras computadoras creando una red como extensión de las mismas. Pero ¿cuándo hacemos uso de la nube? Cuando usamos los servicios como Hotmail, Gmail, o almacenamos información en servidores como Rapidshare o Megaupload.[ii]

De esta manera y para ser más concretos, cuando nos referimos a “la nube”, estamos haciendo referencia a dos elementos principales: un ordenador o aparato con conexión a internet y un servidor, red o sistema mediante el cual la información es transmitida, procesada y almacenada.

Así, Reese establece que “si bien Internet es un fundamento necesario, la nube es algo más que Internet. Es aquel lugar donde utilizar tecnología cuando se necesita, mientras se necesite, ni un minuto más”.[iii]

Pese a que esta tecnología se considera una novedad en el mundo de la informática, autores señalan que el concepto de Computación en la Nube es una versión avanzada de lo que fueron las oficinas  de Servicios de Proceso de Datos que existían hace años.[iv]  Pero, ¿Qué distingue el Cloud Computing de otras tecnologías de la información? ¿Qué lo hace particular?

En primer lugar, la Computación en la Nube es un servicio abstracto, lo cual implica que los recursos informáticos que se contratan con un proveedor se encuentran aislados con respecto de los equipos de los clientes, como la computadora, tablet, celular, etc.  Esto recae necesariamente en que los datos se encuentran fuera de nuestro control, tal como lo asegura El Consejo Europeo de Sociedades Profesionales de Informática (CEPIS) al afirmar que “existe una falta de transparencia para los clientes sobre cómo, cuándo, porqué y donde sus datos son procesados.  Esto está en oposición al requisito de protección de datos de que los clientes conozcan lo que ocurre con sus datos.”[v]

Por otra parte, los usuarios de Cloud Computing pueden tener acceso a sus informaciones en cualquier momento y desde diferentes dispositivos informáticos, siempre que tengan conexión a internet vía web.[vi] Así “los servicios de cloud computing o de computación en la nube proporcionan potencia de cálculo sin que el usuario tenga que tener hardware, software o contenido instalado en su lugar de trabajo local”.[vii]

Esto lleva a preguntarnos ¿siempre existe la disponibilidad de los datos? Esta es una preocupación mayor cuando hablamos de Cloud Computing en virtud de la dependencia del servidor. El CEPIS también se ha referido a este particular al aceptar que “si el proveedor de Cloud Computing fuera a la bancarrota y detuviese la provisión de servicios, el cliente podría  experimentar problemas en el acceso a datos”.[viii]

La Computación en la Nube abre las puertas al recurso de lo que se denomina el servicio multiusuario, lo que permite que varios usuarios estén en la posibilidad de utilizar de manera compartida los recursos informáticos. Es lo que, asimismo, se ha dado en llamar modelo de multiposesión o “multi-tenancy”.

Cloud computing llegó para asegurarnos de que la seguridad de las tecnologías de la información y comunicación no se reduce a cuestiones técnicas, sino que trae implicaciones entre todos los que formamos parte de la sociedad, en especial de nuestro interés, en aspectos jurídicos que analizaremos en lo adelante. 

II. Problemática jurídica en torno a la Com­putación en la Nube: Seguridad, Protección de Datos y Privacidad

En el mundo de la computación en general la seguridad es uno de los problemas que trae más preocupaciones cuando de información y datos de carácter personal se trata; y si a eso le agregamos el uso de una tecnología mediante la cual esos elementos se encuentran en servidores ajenos a los del usuario el panorama resultaría pavoroso.

Los principios por los cuales se rige el aseguramiento de un sistema de información en la nube resultan similares a los definidos para las tecnologías de la información, añadiendo características propias de la nube como lo son la confidencialidad, integridad y disponibilidad y siendo los principios complementarios la autenticación, autorización, auditoría, responsabilidad y privacidad.[ix]

Cuando se utiliza el término de confidencialidad en materia de computación en la nube se hace referencia a la prevención de la divulgación o revelación de la información de manera no autorizada. De esta manera entra en conflicto con la confidencialidad cuando se vulnera derechos de propiedad intelectual, no injerencia, así como cuando se recurre al control de acceso, cifrado, canales de cobertura y análisis de tráfico.[x]

Asi lo asegura el CEPIS al afirmar que “la línea de comunicación entre el proveedor de Cloud Computing y el cliente debe estar adecuadamente protegida para asegurar la confidencialidad, integridad, control de autenticidad  y para minimizar el riesgo de ataques de denegación de servicio”.[xi]

La Constitución dominicana protege los datos de carácter personal, y garantiza el destino y uso que se haga de los mismos. Lo importante, en este caso, es la protección integral de estos derechos en armonía con los principios de calidad, licitud, lealtad, seguridad y finalidad.

Es así como garantiza el derecho a la autodeterminación informativa, término que nació del Tribunal Federal de Alemania y donde estableció que es “la facultad del individuo, derivada de la idea de autodeterminación, de decidir por sí mismo cuando y dentro de qué límites procede revelación situaciones referentes a la propia vida”. [xii]

De manera conexa, la privacidad de los datos que subimos a la nube es uno de los aspectos más importantes en la medida en que avanza la tecnología debido a los ataques a que somos vulnerables: la pérdida de nuestro derecho a lo íntimo, a nuestra esfera personal. Y es que de solo pensar en lo difícil que es mantener nuestra información personal aun cuando la tenemos “bajo control”, imaginar utilizar servicios prestados por terceros desde la nube puede sonar aterrador.[xiii]

Así las cosas, resulta fundamental que en quien se confía la información personal garantice políticas de privacidad que lleven a un adecuado manejo de la información. Por el contrario, de no existir una garantía eficiente podría existir la posibilidad de que información personal y privada termine por ser divulgada o difundida sin previa autorización.[xiv]

A los fines de procurar cumplir con la privacidad de la información en la nube se han aportado algunas recomendaciones, entre ellas, informar al usuario de la localización geográfica de la información, especificar que puede y que no puede hacer el proveedor con la información del usuario, garantizar la destrucción de la información cuando el usuario la solicite, en todas las localizaciones tanto físicas como lógicas. Sin embargo, no todo corre de parte del proveedor de los servicios en la nube. De parte del usuario deben existir ciertas obligaciones, como considerar las leyes y las directivas del país donde la información se ubica físicamente, realizar una evaluación acerca de la información que se pretende trasladar a la red, determinar quién debe tener acceso a la información y bajo qué condiciones otorga el acceso.[xv]

III. Otras cuestiones jurídicas con relación a Cloud Computing

Los servicios de computación en la nube se manejan por medio de contratos, los cuales deben hacer mención expresa de diversas cuestiones fundamentales. En primer lugar, el detalle de la prestación a realizar y su finalidad, su remuneración y duración. Pero aparte de esto, el contrato debe asegurar que el tratamiento de los datos solo se llevara a cabo bajo la responsabilidad del fichero, así como el fin de los mismos el cual no podrá ser otro que el que figure en el contrato.

El artículo 9 de la LOPD[xvi] establece la obligación de guardar secreto con relación a los datos que se tratan, y una vez que finalice el contrato ser devueltos. Las medidas de seguridad también deben ser estipuladas mediante contrato para garantizar la confidencialidad, integridad y disponibilidad de los datos que subimos a la nube.[xvii]

El flujo internacional de información así como la facilidad con que los datos se pueden trasladar de un lugar a otro puede ocasionar problemáticas en materia de jurisdicción. Y es que la situación de que las infraestructuras pueden gestionar los datos en múltiples países puede generar conflictos en cuanto al marco legal en que son tratados y las fugas de datos.[xviii] Determinar la ley aplicable a un problema originado con la información entregada a una entidad prestadora de servicios de computación en la nube puede ser una tarea difícil cuando usuario, proveedor y ubicación de los datos, estén en jurisdicciones diferentes.[xix]

Es por eso que en cuanto a la contratación de los servicios de tecnología cloud computing, siempre se deben  de revisar primero las leyes locales sobre temas relacionados a la contratación de los servicios de tecnología, y adicionalmente las leyes sobre la jurisdicción competente del proveedor de los servicios de la computación en la nube.[xx]

En cuanto a este tema se ha aceptado que se deben tener en cuenta las leyes de por lo menos 4 países, siendo estos: la sede del proveedor de servicios, del cliente, del país del individuo cuya información se almacena, y las del país donde la nube pasa a residir físicamente en un momento dado.[xxi]

A los fines de operar en la nube, la protección de los datos y la seguridad de la privacidad son los aspectos claves. De esta manera, las leyes nacionales e internacionales deben primar sobre cualquier otra consideración en los contratos acordados con los proveedores.[xxii]

Anexo a esto, autores recomiendan examinar con detenimiento las cláusulas de limitación de responsabilidad de los proveedores de los servicios por incumplimiento de las obligaciones esenciales que surgen de la relación de servicios con los usuarios, en virtud de que las mismas podrían afectar de manera adversa a los usuarios que trasladen información reservada o confidencial a la nube y a aquellos que puedan experimentar daños resultantes de incumplimientos en los términos de prestación de los servicios.

En cuanto a este último aspecto y sobre el fundamento de la existencia de una relación jurídica entre el causante del daño y el afectado, se podrá determinar la exigencia de responsabilidad civil contractual o extracontractual, terminando en indemnización como consecuencia de los daños y perjuicios en virtud de la violación del derecho a la protección de los datos personales por el servicio de computación en la nube.[xxiii]

Podemos considerar la computación en la nube como una tecnología que permite llevar las tares típicas de procesamiento de datos así como su almacenamiento a los servidores de internet. Su ventaja principal es evidente: permite el acceso a nuestros datos en cualquier momento y desde cualquier dispositivo que posea una conexión a internet. Si a eso le agregamos la despreocupación de mantener un sistema local en buenas y optimas condiciones, parecería que estamos frente a una tecnología perfecta.

Sin embargo existen graves preocupaciones con respecto a la integridad de los datos que son almacenados en la nube, la perdida de información por falta de seguridad del sistema es uno de ellos, junto con el problema de la confidencialidad y la privacidad de los datos de carácter personal, todos temas con repercusiones evidentes en materia legal.[xxiv]

En la computación en la nube los datos se sitúan en un lugar indeterminado, es decir, en un servidor cuya ubicación física es desconocida por parte del usuario. Esto, como vimos, resulta significativo en virtud de que, teniendo en cuenta que los datos se situaran en un servidor en alguna parte del mundo,  las consideraciones que se plantean a propósito de la protección de datos de carácter personal y a la resolución de posibles conflictos variará.[xxv]

La protección de los datos de carácter personal es pieza clave del derecho a la autodeterminación informativa. Es así como este concepto se entiende relacionado de manera directa con el derecho a la intimidad, por lo que ya no solo se reconoce como prerrogativa sino como un derecho fundamental protegido por los medios idóneos para esto.

La posibilidad de acceder a la información en la nube debe garantizarse en todo momento. Los proveedores deben brindar a los usuarios acuerdos de niveles de servicio que garanticen un acceso permanente a la información, con tiempos de respuesta acordes con las expectativas de los usuarios.

Previo a hacer uso de las posibilidades que nos brinda Cloud Computing debemos asegurarnos que se cumpla con lo que hemos estudiado en este breve trabajo para garantizarnos una seguridad en la protección de nuestros datos, ya que no existe activo más importante que nuestra información personal, privacidad y autodeterminación informativa.

Por Antonella Alvigini. Licenciada en Derecho. Pasante de Investigación de Encuentro Jurídico.

Notas:



[i] Flantrmsky, Henry. “La Computación en Nube y el cambio del Universo Informático”. Pensamiento y Cultura, vol. 15, núm. 1, junio, 2012. P. 4. Universidad de La Sabana Cundinamarca, Colombia. Disponible en: http://www.redalyc.org/articulo.oa?id=70124535007
[ii] Ibídem
[iii] Joyanes Aguilar, Luis. “Computación en la Nube. Notas para una estrategia española en cloud computing”. P. 4 Disponible en: http://revista.ieee.es/index.php/ieee/article/view/10/49
[iv] Privacidad y computación en Nube. Disponible en:  http://dentrodelacocina.blogspot.com/2011/10/privacidad-y-computacion-en-nube.html
[v] Declaración de CEPIS sobre seguridad y privacidad en Cloud Computing. Disponible en:
http://www.revistacloudcomputing.com/2011/10/cepis-emite-una-declaracion-sobre-los-problemas-de-seguridad-y-privacidad-que-plantea-la-computacion-en-la-nube/#sthash.6yhMuiHw.glffzGjL.dpuf
[vi] López Jiménez, David. “La “computación en la nube” o “cloud computing” examinada desde el ordenamiento jurídico español”. Revista de Derecho de la Pontificia Universidad Católica de Valparaíso XL (Valparaíso, Chile, 2013, 1er Semestre) P. 9-10. Disponible en: http://www.scielo.cl/scielo.php?pid=S0718-68512013000100021&script=sci_arttext
[vii] Oppenheim, Charles. “Cloud law and contract negotiation”. El profesional de la información, 2012, septiembre-octubre, v. 21, n. 5, P. 1
[viii] Ibídem.
[ix] Joyanes Aguilar, Luis. Op. Cit. P. 11
[x] Ibidem
[xi] Declaración de CEPIS sobre seguridad y privacidad en Cloud Computing. Op. Cit.
[xii] Rosario García, N. “La protección de datos personales” (2009) Memoria final para Optar por el
Título de Licenciada en Derecho. PUCMM. P. 17
[xiii] Eduardo Rosales, Edgar. Manzano, John. Nova, Maria et Fonseca, Christian. “cloud computing: una perspectiva para Colombia. P. 33 http://cintel.org.co/wp content/uploads/2013/05/16.clud_computing_Cloud-Computing-Mesa-sectorial.pdf
[xiv] Eduardo Rosales, Edgar. Manzano, John. Nova, Maria et Fonseca, Christian. Op. Cit. P. 33
[xv] García Vizcaíno, Julio et Cruz Valencia, Galvy. “Privacidad de la Información en la Nube”. Disponible en: http://revista.seguridad.unam.mx/numero-08/privacidad-de-la-informaci%C3%B3n-en-la-nube
[xvi] Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
[xvii] Ivars, Jose. “Protección de datos ante la contratación de servicios cloud computing”. Disponible en: http://www.diariojuridico.com/opinion/proteccion-de-datos-ante-la-contratacion-de-servicios-cloud-computing.html
[xviii] Joyanes Aguilar, Luis. Op. Cit. P. 18
[xix] Eduardo Rosales, Edgar. Manzano, John. Nova, Maria et Fonseca, Christian. Op. Cit. P. 35
[xx] Jara Collahuazo, Jairo Alexander. “Guía para el análisis de factibilidad en la implantación de tecnologías de cloud computing en empresas del ecuador”. Quito, Mayo 2012. P. 98 Disponible en: http://bibdigital.epn.edu.ec/bitstream/15000/4649/1/CD-4281.pdf
[xxi] Oppenheim, Charles. Op. Cit.  P. 3
[xxii] Joyanes Aguilar, Luis. Op. Cit. P.14
[xxiii] López Jiménez, David. Op. Cit P. 22
[xxv] López Jiménez, David. Op. Cit. P.16

Referencia bibliográfica

1. Campanillas, Jorge. “Seguridad jurídica en la nube. Aspectos Jurídicos del Cloud Computing”.
2. Chacón Hurtado, Andrés et Maya Sudupe, Juan. “Definición de un modelo de seguridad de la información para computación en nubes privadas y comunitarias”. Proyecto de Grado para la Maestría en Gestión Informática y Telecomunicaciones. Facultad de Ingeniería, Universidad ICESI. Santiago de Cali, 2012.  Disponible en: http://bibliotecadigital.icesi.edu.co/biblioteca_digital/bitstream/10906/68436/1/definicion_modelo_seguridad.pdf
3. Declaración de CEPIS sobre seguridad y privacidad en Cloud Computing. Disponible en:
4. Eduardo Rosales, Edgar. Manzano, John. Nova, María et Fonseca, Christian. “Cloud Computing: una perspectiva para Colombia”. Disponible en: http://cintel.org.co/wp-content/uploads/2013/05/16.clud_computing_Cloud-Computing-Mesa-sectorial.pdf
5. Flantrmsky, Henry. “La Computación en Nube y el cambio del Universo Informático”. Pensamiento y Culturavol. 15, núm. 1, junio, 2012, pp. 88-93. Universidad de La Sabana Cundinamarca, Colombia. Disponible en: http://www.redalyc.org/articulo.oa?id=70124535007
6. García Vizcaíno, Julio et Cruz Valencia, Galvy. “Privacidad de la Información en la Nube”. Disponible en: http://revista.seguridad.unam.mx/numero-08/privacidad-de-la-informaci%C3%B3n-en-la-nube
7.       Ivars, Jose. “Protección de datos ante la contratación de servicios cloud computing”. Disponible en: http://www.diariojuridico.com/opinion/proteccion-de-datos-ante-la-contratacion-de-servicios-cloud-computing.html
8. Jara Collahuazo, Jairo Alexander. “Guía para el análisis de factibilidad en la implantación de tecnologías de cloud computing en empresas del ecuador”. Quito, Mayo 2012. Disponible en: http://bibdigital.epn.edu.ec/bitstream/15000/4649/1/CD-4281.pdf
9. Jimenez Hidalgo, Erika et Taborda, Ferney de Jesús. “Legal aspects of cloud computing” Disponible en: http://bibliotecadigital.usbcali.edu.co/jspui/bitstream/10819/1054/1/Aspectos_Legales_Computacion_Jimenez_2012.pdf
10. Joyanes Aguilar, Luis. “Computación en la Nube. Notas para una estrategia española en cloud computing”. Disponible en: http://revista.ieee.es/index.php/ieee/article/view/10/49
11. Joyanes Aguilar, Luis. “Computación en la Nube e innovaciones tecnológicas. El nuevo paradigma de la Sociedad del Conocimiento”. Disponible en: http://gissic.files.wordpress.com/2011/07/computacion_en_nube_revista_paraguay_luis_joyanes.pdf
12. López Jiménez, David. “La “computación en la nube” o “cloud computing” examinada desde el ordenamiento jurídico español”. Revista de Derecho de la Pontificia Universidad Católica de Valparaíso XL (Valparaíso, Chile, 2013, 1er Semestre) [pp. 689 - 709]. Disponible en: http://www.scielo.cl/scielo.php?pid=S0718-68512013000100021&script=sci_arttext
13. Marrugo Jimenez, Ivan Dario. “Seguridad Jurídica para la Nube”. Disponible en: http://marrugoriveraabogados.com/articulos/Seguridad_Juridica_para_la_Nube.pdf
14. Oppenheim, Charles. “Cloud law and contract negotiation”. El profesional de la información, 2012, septiembre-octubre, v. 21, n. 5, pp. 453-457. Disponible en: http://www.elprofesionaldelainformacion.com/contenidos/2012/septiembre/02_esp.pdf
15. Privacidad y computación en Nube.  Disponible en: http://dentrodelacocina.blogspot.com/2011/10/privacidad-y-computacion-en-nube.html
16. Rosario García, N. “La protección de datos personales” (2009) Memoria final para Optar por el Título de Licenciada en Derecho. PUCMM. P. 17
18. Constitución Dominicana proclamada el 26 de enero 2010.
19. Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.
20. Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Forma de citación sugerida: Alvigini, Antonella. Una mirada legal al Cloud Computing, 02 de marzo de 2014. Disponible en: www.encuentrojuridico.com
- - -
Encuentro Jurídico no se hace responsable de los conceptos emitidos por sus colaboradores. Así mismo, se reserva el derecho de edición y publicación de los escritos recibidos. Queda prohibido reproducir total o parcialmente su contenido sin autorización previa, expresa y por escrito del Consejo Directivo o la persona de su Director. Derechos Reservados © 2014.
Reacciones: