Cloud Computing: Gestión de riesgos y data protección; ¿Cómo evitar pagar los platos rotos?
- Lorena P. Campillo
Si hablamos del contrato en cloud computing, de las cláusulas recomendadas y del problema de desequilibrio contractual del pequeño cliente cloud en materia de protección de datos personales (pymes), el cliente de cloud es responsable, incluso, del incumplimiento del encargado de tratamiento de los datos personales.
Eso significa que, si no se le dan herramientas para vigilar y controlar, tendrá que “pagar los platos rotos”. O, al menos, es lo que establece la ley.
Nos encontramos en un escenario donde la mayoría de los proveedores cloud son extranjeros; por tanto, los regímenes jurídicos serán diferentes, y, con ello, los niveles de protección de datos personales. Tengamos en cuenta que el régimen aplicable será aquel del país donde se encuentren ubicados los datos o el centro de datos. Así, mientras que en España o en Alemania contamos con niveles muy altos, en EEUU o en China no ocurre lo mismo. Además, por si parecía poco, en el proceso de homologación se ha de tener en cuenta también a los subcontratistas que los proveedores pueden contratar. Tengamos presente que la ley de protección de datos personales (LOPD) establece la obligación de:
- El “contrato de accesos de datos” entre, ejemplo hipotético 1, Cliente (empresa farmacéutica) y proveedor SaaS (Ofiice 365).
- El “acuerdo de encargo de tratamiento” entre, ejemplo hipotético 2, Proveedor y encargado (Office 365) y el sub-proveedor PaaS (Java) e IaaS (Amazon Web Services).
Y, además, la LOPD exige adoptar medidas adicionales, ratificadas por la Sentencia del Tribunal Supremo a fecha de 15 Julio 2010 FDTO 10, tales como las siguientes:
- Se deberá confirmar al cliente de los subcontratistas, sus servicios, ubicación.... si bien, también si existen transferencias internacionales.
- El cliente podrá tomar decisiones como consecuencia de la intervención de subcontratistas.
- La celebración de un contrato entre el prestador de servicios de Cloud y los subcontratistas con garantías equivalentes a las incluidas en el contrato con el cliente.
El regulador español lo tiene todo previsto, pero en un escenario global donde juegos actores de cada punta del mundo, resultará difícil hacer cumplir la ley, a pesar del excelente papel de la AEPD. Los recursos que cuenta ésta son escasos. Ahora bien, ¿el nuevo reglamento europeo de protección de datos (GRPD) va a cambiar la situación? Pacece que sí.
A partir del 2018, la tendencia irá en la línea de acabar con las cargas excesivamente burocrácticas (ej. incripción de ficheros) y promover medidas más proactivas como el uso de códigos de conducta, best practices o la autorregulación sectorial.
Llegados hasta este punto, tanto “David” (cliente) como “Goliat” (proveedor) deberían fomentar más medidas de gestión de riesgos. ¿Por qué no hacerlo desde la “Due Diligence” o diligencia debida?
Según el CSA (Cloud Security Alliance), existen dos tipos de diligencia debida del cliente cloud:
- Internamente: Se identificarán qué datos van a migrar a cloud, se revisarán las políticas de privacidad internas, las guidelines y best practices en el sector, se evaluarán riesgos, identificarán certificaciones necesarias, y se definirán las responsabilidades y controles del cliente y del proveedor. Según Thomas Trappler, la empresa para mitigar los riesgos a través de la negociación y la gestión de proveedores utilizará elementos como:
o Acuerdos SLA
o Data protección (acceso y ubicación)
o Relación de proveedores
o Infraestructura/Seguridad
- Externamente: Se evaluará si –efectivamente- el proveedor cumple los requisitos del esquema del SLA (o PLA), se comprobará si -efectivamente- cuenta con alguna certificación relevante…
Por otro lado, el cumplimiento de este deber de diligencia ha de tener como contrapartida por parte del proveedor una correlativa diligencia a la hora de facilitar información al cliente.
Lorena P. Campillo. Abogada especialista en Derecho de las Nuevas Tecnologías