Cloud Computing y Legislación

El pasado martes 13 de diciembre tuve la suerte de participar en un evento organizado por la Asociación Profesional Española de la Privacidad (APEP) sobre “La Privacidad en el Cloud Computing”.

El evento fue un desayuno tipo mesa redonda en un formato abierto de debate en el cual los asistentes nos hacían preguntas a los que constituíamos la mesa redonda. En él se generó una dinámica muy interesante de intercambio de puntos de vista en torno a la privacidad / confidencialidad.

A continuación me gustaría compartir con vosotros los temas y reflexiones del evento que suscitaron un mayor debate:

• La responsabilidad de garantizar la privacidad / confidencialidad de los datos: ¿Es de la organización que contrata el servicio cloud?¿Es de la empresa que ofrece el servicio cloud? ¿Es del dueño de dichos datos? A mi entender, la responsabilidad de garantizar dicha confidencialidad es de quien contrata el servicio cloud para con los dueños de esa información (pueden o no coincidir). La organización que va a contratar dicho servicio debe conocer en detalle el servicio cloud de la empresa a quien se lo contrata. Debe asegurarse de que ofrece las garantías que necesita de seguridad a nivel técnico y conocer dónde va a tener alojados los datos. El prestador del servicio cloud no sabe el tipo de información que aloja ni el tratamiento que se le va a dar, por lo que no es su responsabilidad saber a qué tipo de normativa está sometido (por ejemplo: LOPD, ENS). La responsabilidad del prestador del servicio cloud es cumplir con las garantías a las que se ha comprometido a nivel técnico de seguridad de los datos (no se van a perder ni corromper ni van a acceder a ellos personas no autorizadas); así como informar sobre todos aquellos aspectos que desee conocer la organización que va a contratar su servicio cloud – tales como legislación a la que está sujeta, ubicación de los datos del cliente, copias de seguridad, etc…

• Diversidad legislativa – “Patriot Act”: ¿Cómo garantizo el cumplimento legislativo? Cuando una organización está pensando en contratar un servicio cloud, debe tener claro el escenario legislativo que se le presenta al contratarlo con un proveedor u otro. O dicho de otra manera, el tipo de información implicada en los sistemas y datos a migrar a la nube y el marco legislativo del que van a ser objeto todos los actores. Es decir, la legislación a la que está sujeta la organización que va a contratar el servicio cloud, la legislación a la que está sujeta la organización a la que contrata ese servicio cloud, la legislación a la que están sujetos el/los país/es donde van a estar alojados sus datos (en algunos casos no permanecerán únicamente en un lugar) e incluso la legislación a la que está sujeta la organización y el país que haga uso de los sistemas y datos que haya llevado a la nube. Además de tener en cuenta posibles contradicciones entre dichas legislaciones. Un ejemplo de contradicción legislativa es una organización española que presta asistencia sanitaria que contrata a una empresa americana un servicio cloud que ésta a su vez gestiona en un país asiático.

• Futura Ley Europea: la futura publicación del borrador de una Ley Europea sobre protección de datos. Cuando dispongamos de dicha ley, los 27 miembros de la UE deberemos cumplir lo que marque y, por consiguiente, las organizaciones de los 27 países también deberán hacerlo. Algunos aspectos que se han filtrado de dicho borrador es que las compañías fuera de Europa seguirán estando sujetas a la legislación europea si tienen oficinas con sede en Europa o clientes europeos o que si una empresa sufre pérdidas o violación de los datos las personas afectadas deberán ser informadas en 24 horas desde que se conozca. Además de expresar sanciones que conlleva el no cumplimiento de esta ley. Esta ley pone de manifiesto la futura existencia de un marco regulatorio europeo que todos los que estamos implicados en el cloud computing deberemos tener muy presente.

Imagen: Free-Photos