Códigos de conducta y best practices en Cloud Computing: lo que está por llegar
- Lorena P. Campillo
Es de sobra conocida la dificultad de conciliar el avance tecnológico con la legislación. El escenario en el que nos encontramos se evidencian dos problemas: la lentitud de la máquina legisladora y la dificultad para el legislador de entender la complejidad tecnológica. Es por ello que la autorregulación sectorial se antoja adecuada, al menos, inicialmente. Los que forman parte del mercado conocen mejor que nadie las fortalezas y debilidades, incluso en materia legal.
Para comenzar, hablaremos en primer lugar, de los códigos de conducta (en materia de protección de datos), sin olvidarnos de mencionar las novedades que trae el nuevo reglamento europeo, y, por otro lado, abordaremos los best practices como instrumentos autorregulatorios corporativos dentro de la organización.
Los códigos de conducta
La autorregulación de las empresas cloud puede ser más beneficiosa que la “heterorregulación”. Para los gobiernos y administraciones públicas crear legislación (tanto softlaw como hardlaw) puede ser toda una aventura y no sólo presupuestaria, ya que correrían el peligro de que no fueran del todo eficientes al desconocer muchos aspectos técnicos de la tecnología en cuestión.
Por tanto, no resulta rentable ni efectivo que se regule desde el sector público, sino dese el sector privado o del mercado cloud.
Pero, es aquí, en el campo de la privacidad y en el sector tecnológico donde adquiere su máxima razón de ser. Así, la ley de protección de datos los divide en tres tipos: (i) de carácter sectorial, debiendo ser formulados por organizaciones representativas del mismo (ej. sanidad privada o gestión inmobiliaria); (ii) de empresa, en cuyo caso deberán referirse a la totalidad de los tratamientos que lleve a cabo; (iii) de las AAPP y corporaciones de derecho público (ej. Universidad Castilla la Mancha). ¿Qué incluirán en los mismos? Pues que se determinarán unos estándares homogéneos para los derechos ARCO, se determinarán cómo proceder ante transferencias internacionales, mecanismos y órgano de supervisión, acciones formativas, sanciones… por poner ejemplos.
Desde mi punto de vista, no han alcanzado el éxito que deberían ya que únicamente se han registrado 15 códigos tipo en España. Pero ahora la cosa cambiará. La llegada del nuevo reglamento europeo de protección de datos los incentivará, ya que se les exigirá a los Estados que “inciten” (así lo denominan) a las asociaciones y responsables del tratamiento de datos.
¿Qué efectos tendrán la adhesión a los códigos de conducta con el nuevo reglamento? Se tendrán en cuenta en las evaluaciones de impacto (incidentes de violación de seguridad de datos personales) y se considerarán como elemento acreditativo de que se están cumpliendo con las medidas de seguridad, demostrando que el encargado o subencargado contratado cumple.
Además, la asociación Eurocloud prevé contar próximamente con un marco de buenas prácticas y posibilitar la homologación a través de su sello de calidad.
Best Practices o buenas prácticas corporativas
Ahora bien, entremos si os parece en la parte “íntima” de las organizaciones y extendamos el contenido de esos códigos de conducta o éticos a cada una de las empresas cloud (tanto clientes como proveedores). ¿Difícil? No tanto.
De hecho, empresas proveedoras de cloud como Microsoft cuenta con ello:
Los Proveedores y sus empleados, agentes y subcontratistas (denominados de forma genérica “Proveedores”) deben suscribir este Código de conducta para Proveedores siempre que realicen negocios con Microsoft o en nombre de nuestra empresa. Los Proveedores deben informar sin dilación a sus contactos de Microsoft (o a un miembro de administración de Microsoft) cuando se produzca una situación en la que no se cumpla el Código de conducta. Se espera que los Proveedores de Microsoft supervisen ellos mismos si cumplen este Código de conducta para Proveedores y den prueba de ello. Es posible que Microsoft realice auditorías a los Proveedores o examine sus instalaciones para comprobar el cumplimiento. Microsoft puede solicitar la retirada inmediata de la actividad de cualquier representante o personal del Proveedor que con su comportamiento incumpla las leyes o no respete el Código de conducta o cualquier política de Microsoft. Es obligatorio el cumplimiento de este Código de conducta y la asistencia a cursos de formación sobre este Código de conducta que pueda ofrecer Microsoft, así como el cumplimiento de cualquier otra obligación incluida en cualquier contrato que tenga el Proveedor con Microsoft.
En dicho código de conducta, por ejemplo, se podría señalar como hace Microsoft vías de contacto (teléfono, correo electrónico, correo postal y fax) como un canal de denuncias ante comportamientos dudosos.
Por tanto, ya hemos visto, de una manera o de otra, que la tendencia inevitable del futuro será la autorregulación tanto de clientes cloud como de proveedores y subproveedores cloud. Veremos hasta qué punto la nueva regulación en protección de datos cambia el pulso de los departamentos de compliance de las organizaciones. Por el momento, tenemos buenas sensaciones.
Lorena P. Campillo. Abogada especialista en Derecho de las Nuevas Tecnologías