CLOUD COMPUTING Y SUS IMPLICACIONES

03/13
CIRCULAR INFORMATIVA MERCANTIL
Abril de 2013
Pau Claris 194-196, 6ª planta
08037 Barcelona
Tel. 93 241 39 70
Fax 93 414 77 38
General Castaños 15, 5º izquierda
28004 Madrid
Tel. 91 319 71 31
Fax 91 308 65 06
[email protected]
CLOUD COMPUTING Y SUS IMPLICACIONES JURÍDICAS
“Cloud computing” ha sido definido por el National Institute of Standards and Technology como
aquel “modelo tecnológico que permite el acceso universal, adaptado y bajo demanda en red a
un conjunto compartido de recursos de computación configurables (por ej. Redes, servidores,
almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados
con un esfuerzo de gestión reducido o interacción mínima con el proveedor del servicio.”
A través de este sistema, los usuarios pueden almacenar todo tipo de información, datos y
ficheros, en servidores de terceros, logrando así ser accesibles desde cualquier dispositivo con
acceso a Internet, prescindiendo de la instalación de software adicional en sus equipos.
A continuación, pasamos a detallar las implicaciones jurídicas de estos sistemas de almacenamiento
que, desde nuestro punto de vista, en su mayoría son los relativos a la protección, seguridad y
confidencialidad de los datos de carácter personal.
CIRCULAR INFORMATIVA MERCANTIL
|
www.tgglegal.es
|
Abril 2013
1
1.- MARCO JURÍDICO DEL CLOUD COMPUTING
1.1.- PROTECCIÓN DE DATOS EN EL ÁMBITO EUROPEO Y NACIONAL.
El “cloud computing”, si bien goza de importantes ventajas, como la dinamización y libertad,
no está exento de ciertas vulnerabilidades en cuanto a la seguridad y privacidad de los datos
alojados. Los servicios de cloud computing deben proveer de ciertas garantías y es imprescindible
revisar el cumplimiento de los requisitos legales y técnicos mínimos que garanticen la seguridad y
la integridad de los datos que se almacenan. El cloud computing encuentra su fundamento en la
gestión remota de información, lo que conlleva numerosas implicaciones jurídicas, especialmente
cuando los datos se alojan en servidores de otro país.
Surge por lo tanto, la necesidad de determinar cuál sería la Ley aplicable, el tribunal competente
y si el traspaso de datos al servidor del proveedor de cloud se ajusta a lo establecido por la
autoridad nacional de protección de datos. 2
En el marco legal europeo, la protección de datos y la libre circulación de los mismos viene
regulada por la Directiva 95/46/CE. Coexisten con esta Directiva numerosas Decisiones de la
Comisión Europea y documentos adoptados por los principales actores a nivel europeo en la
materia, como es el caso de la Agencia Europea de Seguridad en las Redes y de la Información.
Para la efectiva implementación de la referida Directiva, ésta exige su transposición en los Estados
miembros, la cual, en España, fue realizada a través de la aprobación de la Ley Orgánica 15/1999
de 13 de diciembre de Protección de Datos, en adelante LOPD.
Para entender el ámbito de protección de la LOPD, hay que saber que “un dato personal es
cualquier información concerniente a personas físicas identificadas o identificables.” (Art.3 LOPD)
Si los datos con los que se va a trabajar en la nube son datos personales, la empresa que los
trate, como responsable del tratamiento, debe cumplir con carácter previo con el conjunto de
obligaciones previstas en la LOPD.
Si los datos con los que se va a trabajar en la nube no son datos personales, si no operaciones
matemáticas, formulas, cálculos físicos o químicos, etc., se puede proceder sin que la LOPD exija
requisito alguno.3
Es preciso revisar las condiciones del contrato con el prestador de servicios de cloud computing,
a fin de garantizar una adecuada previsión de las cuestiones relacionadas con la presencia de un
encargado del tratamiento y/o una transferencia de datos personales.
En la prestación de servicios de cloud computing por terceros ajenos al responsable del
tratamiento de los datos, se produce lo que la LOPD y su Reglamento, el Real Decreto 1720/2007,
de 21 de diciembre (RDLOPD), denominan “encargo del tratamiento”.
Es decir, que una persona física o jurídica contrata la prestación de un servicio de cloud computing,
en la que los datos son objeto de algún tipo de tratamiento por parte del prestador, quien pasa
a ser el encargado del tratamiento. A continuación, en el siguiente cuadro, vamos a sintetizar las
responsabilidades que deben asumir ambos:
En España, la autoridad nacional encargada de la protección de datos es la AEPD (Agencia Española de Protección
de Datos)
2
3
2
AEPD: Guía del responsable de fichero
CIRCULAR INFORMATIVA MERCANTIL
|
www.tgglegal.es
|
Abril 2013
Contrato
Persona física / Persona jurídica
Manejar los datos únicamente para los
fines contratados.
Responsable del tratamiento de los
No proporcionar ninguno de los datos
almacenados, ni siquiera por razones de
conservación.
datos
- No subcontratar el servicio sin
autorización expresa del responsable.
Supervisar que el encargado cumpla con
lo dispuesto en la LOPD y su Reglamento.
- Destruir o devolver la información
al responsable una vez finalice el
contrato. Se cumple la obligación
si se migran los datos a un nuevo
proveedor.
- Establecer las medidas de seguridad
que el encargado del tratamiento debe
implantar.
- Incluir una descripción de las
instrucciones que el encargado aplica
en el tratamiento de datos.
- Adoptar las medidas necesarias para
garantizar la seguridad de los ficheros.
- Evitar pérdida de información o
tratamiento no autorizado del fichero.
- Prevención de riesgos, ya provengan
de la acción humana o del entorno
físico o natural.
ARTÍCULO 9 LOPD Y TÍTULO VII
RDLOPD
ARTÍCULO 12 LOPD Y 20, 21 Y 22
DEL RDLOPD
1.2.- TRANSFERENCIA INTERNACIONAL DE DATOS
Se entiende por transferencia internacional de datos, la “transmisión de los mismos fuera del
territorio del Espacio Económico Europeo (EEE), bien constituya una cesión o comunicación de
datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable
del fichero establecido en territorio español” (art. 5.1.s. RLOPD). Por consiguiente, si se realizan
transmisiones de datos a países ajenos al EEE, operará el régimen previsto en los artículos 33 y
34 de la LOPD, que veremos en el siguiente cuadro.
El artículo 33 y 34 de la LOPD responde al interrogante que se suscita cuando los datos
almacenados en la nube se encuentren en otros países.
CIRCULAR INFORMATIVA MERCANTIL
|
www.tgglegal.es
|
Abril 2013
3
No se pueden realizar transferencias de datos de carácter
personal a otros países que no brinden una protección
equiparable al de la LOPD. (Regla general)
TRANSFERENCIA
INTERNACIONAL DE DATOS
Sí se permiten esas transferencias, si así lo autoriza el
Director de la AEPD.
No será necesaria esa autorización en los supuestos
establecidos en el artículo 34.a-j4, ni en el caso de los
países de los que la Comisión Europea ha declarado que
es adecuado el nivel de protección de datos personales.
En el caso de que el encargado se encuentre establecido
dentro del Espacio Económico Europeo, el responsable
debe aplicar las obligaciones de seguridad establecidas
por la legislación del estado miembro del encargado.
Países con un nivel adecuado de protección:
Los países cuyo nivel de protección se considera equiparable por la Agencia Española de
Protección de Datos, son Suiza, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra,
Israel, Uruguay, Nueva Zelanda, las entidades Estadounidenses que estén adheridas a los
principios de “Puerto Seguro” (Safe Harbor: http://export.gov/safeharbor/) y Canadá respecto
de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos.
Por último, el artículo 70 del RDLOPD menciona que se “considerará que establecen las adecuadas
garantías los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisión”,
es decir, cuando el contrato de prestación de servicios de cloud, siga los criterios fijados en los
distintos modelos de cláusulas “tipo” marcadas por las Decisiones de la Comisión Europea5.
4 A) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España. B) Cuando la transferencia se haga a efectos de
prestar o solicitar auxilio judicial internacional. C) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o
la gestión de servicios sanitarios. D) Cuando se refiera a transferencias dinerarias conforme a su legislación específica. E) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia
prevista. F) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición
del afectado. G) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero. H)
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera
para el cumplimiento de sus competencias. I) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. J) Cuando la transferencia se
efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo. K) Cuando la transferencia tenga como destino un Estado miembro
de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado.
4
CIRCULAR INFORMATIVA MERCANTIL
|
www.tgglegal.es
|
Abril 2013
1.3.- NORMATIVA COMPLEMENTARIA
En nuestro ordenamiento jurídico, la Ley 34/2002, de Servicios de la Sociedad de la Información
y del Comercio Electrónico (LSSI), también es relevante porque establece requisitos que deben
cumplir los prestadores de servicios de la sociedad de la información, y por consiguiente, los
prestadores de servicios de cloud computing.
Medidas de seguridad que se aplican en
la provisión de servicios
Herramientas para restringir el acceso
a contenidos y servicios no deseados o
perjudiciales para menores
OBLIGACIONES PROVEEDORES
DE SERVICIOS SEGÚN LA LSSI
Informar al usuario de las
consecuencias por el uso ilícito de la
Red.
Herramientas o medios técnicos que
se van a utilizar para salvaguardar la
información
Sumándose a esta regulación normativa, se encuentra la Ley 32/2003 General de
Telecomunicaciones, que también vigila el cumplimiento de las obligaciones en protección de
datos de carácter personal y el secreto de las comunicaciones, así como impone sanciones por
la contravención de los derechos y obligaciones públicas relacionadas con las comunicaciones
electrónicas. Y sucintamente subrayar la importancia del delito de estafa en el cloud computing,
ya que como hemos dicho la nube es una herramienta de gestión remota, que puede aprovecharse
por los “estafadores en la red”, para apropiarse de información personalísima del usuario, con el fin
de crearle algún perjuicio patrimonial. El Código Penal regula este delito de estafa, destacándose
a este respecto los apartados, a y b del punto 2º de su artículo 248.
5 Decisión 2001/497/CE de 15 de junio de 2001, Decisión 2002/16/CE de 27 de diciembre de 2001 y Decisión 2010/87/CE de 5 de febrero de 2010
CIRCULAR INFORMATIVA MERCANTIL
|
www.tgglegal.es
|
Abril 2013
5
2. RIESGOS, PRIVACIDAD E INTEGRIDAD DE LOS DATOS EN LA NUBE
A continuación, resumimos los principales riesgos que tiene esta infraestructura informática en lo
referente a seguridad y privacidad de los datos alojados en la nube.
Suplantación de identidad: Conocido en la Red como phishing, es un
riesgo presente tanto en los sistemas informáticos tradicionales, como
en el cloud computing, pero reviste especial importancia en este último,
por lo personalísimos y confidenciales que son los datos alojados en la
nube.
RIESGOS
DEL CLOUD
COMPUTING
Fugas de información: Es uno de los riesgos que más “asusta” al cliente,
ya que suele desconfiar de la recuperación de datos alojados en algo
“intangible”. Los datos pueden perderse por un error de la empresa
proveedora del servicio, o bien por error del cliente. Para evitar la
pérdida de confianza y las consecuencias legales que se deriven, las
empresas proveedoras de servicios de cloud computing lo solucionan
con estrictas políticas de seguridad que limitan la libertad del usuario
para borrar elementos del sistema, protección de los equipos frente a
amenazas, y a su vez, una firme política de copias de seguridad, que
permite la recuperación de los datos perdidos en cualquier momento.
(Se pueden programar copias de seguridad con la periodicidad deseada
por el cliente)
Inseguridad en las puertas de entrada (APIs): Las APIs son las puertas
de entrada hacia los servicios de cloud computing, por lo que se
configura como el “lugar” clave para la seguridad. Las empresas, a
través de políticas de seguridad muy estrictas evitan que los hackers
entren en el servicio y se apoderen de información confidencial.
Uso malintencionado: Los delincuentes cibernéticos contratan servicios
en la nube para almacenar datos robados o robar contraseñas, envíar
spam, impedir el acceso al usuario legítimo, etc., para así conseguir
información confidencial del usuario. Es por ello, que las empresas
son cada vez más estrictas a este respecto, pidiendo contraseñas
alfanuméricas y preguntas secretas.
Desconocimiento del riesgo: Los ataques a sistemas informáticos
tradicionales, han sido estudiados durante mucho tiempo. La novedad
de este tipo de servicio en la Red, supone menor experiencia en ataques.
Ello no quiere decir que sea menos seguro, sino que está expuesto a
nuevas amenazas.
6
CIRCULAR INFORMATIVA MERCANTIL
|
www.tgglegal.es
|
Abril 2013
Para garantizar la seguridad de los datos alojados, tanto el proveedor del servicio de cloud, como el
cliente, deben asumir responsabilidades conjuntamente. Este sistema híbrido de responsabilidad
será el que consiga un nivel adecuado de protección frente amenazas y conseguirá que el servicio
de cloud computing no tenga fisuras.
El prestador de servicios de cloud, se encarga de garantizar la seguridad física en sus centros de
procesos de datos, así como de mantener actualizado el software y el hardware para prevenir
ataques provenientes de la Red. El proveedor se ayuda de mecanismos de protección tales como
(i) la deslocalización de datos o (ii) la virtualización.
El primero de ellos, consiste en segmentar los datos en diferentes servidores o centros de datos. Y
el segundo consiste en que varias máquinas virtuales con un sistema operativo diferente, impiden
que los procesos interactúen entre ellos, siendo más difícil su vulnerabilidad.
Por otro lado, el contratante de los servicios de cloud, debe encargarse de que el equipo cumpla
los requisitos mínimos y adoptar medidas de seguridad tales como control de usuarios, borrado
de cuentas que no se utilizan, revisar que el software esté actualizado, instalar un firewall
(cortafuegos) y subsidiariamente un IDS (Sistema de detección de intrusiones).
La protección de la información es primordial para los contratantes de servicios de cloud
computing, sobre todo para las empresas, ya que albergan multitud de datos confidenciales.
El curso habitual que siguen los datos a la hora de procesarse en la nube es el siguiente:
1. Los datos que van a alojarse en la nube adaptan su formato para adecuarse a ella.
2. Los datos se desplazan a la nube a través de una conexión a Internet.
3. Se procesan los datos en la nube y quedan almacenados.
4. Los datos se desplazan de vuelta al usuario, que puede descargarlos a su dispositivo, y
optar por mantenerlo residente en la nube o borrarlo.
Por otro lado, la integridad de los datos almacenados en la nube es primordial, ya que debido
a errores en la manipulación de los archivos contenedores de información, pueden dejarlos
inservibles para la próxima vez que se acceda al servicio. Para evitar estos problemas, el proveedor
de servicios de cloud computing ofrece tres alternativas: (i) las copias de seguridad, (ii) el control
de cambios y (iii) el control de integridad.
(i). Las copias de seguridad, son la ultima herramienta para salvaguardar la integridad de los
datos alojados en la nube. Se puede programar para que se hagan copias de seguridad con la
periodicidad deseada. Cuanto más frecuentes sean las copias, más protección habrá, ya que
podremos recuperar los datos restaurando a una versión inmediatamente anterior.
(ii). El control de cambios, supone que cada modificación que se haga, lleve aparejada una fecha
y usuario que la produjo. Así, si varios usuarios han modificado un archivo al mismo tiempo, se
puede controlar que versión tiene validez. A su vez, los prestadores de cloud, alertan de que el
archivo está siendo modificado por otro usuario.
(iii). El control de integridad, es un proceso con fórmulas matemáticas consistente en verificar que
los datos no sufren modificaciones durante su traslado. Así, cuando se da traslado del archivo, esa
función matemática (llamada hash) da un resultado, que tiene que coincidir con otro resultado
que se obtiene al depositarse en la nube. Si no coinciden, la transferencia de los datos a la nube
tiene que repetirse.
CIRCULAR INFORMATIVA MERCANTIL
|
www.tgglegal.es
|
Abril 2013
7
3. CONCLUSIONES
Cuando hablamos de cloud computing, hablamos de un novedoso sistema de almacenamiento
de datos, con una serie de aspectos relativos a la protección, seguridad y confidencialidad de los
datos personales, que hay que tener en cuenta.
• La Red es un medio excesivamente cambiante, y la inmensa mayoría de actuaciones
que se suscitan son muy recientes para el Derecho, por lo que éste tiene que adaptarse
continuamente a esa realidad, y el cloud computing no es una excepción. Aunque su
regulación cada vez es más completa, resulta difícil en ocasiones encajar jurídicamente y
con rapidez las situaciones del tratamiento de los datos por parte de terceros.
• Conviene tener en consideración los posibles problemas que emanen del movimiento
internacional de datos, sobre todo si el nivel de protección que ofrece el país destinatario
de la migración de los mismos no es el adecuado. Esto puede ralentizar en exceso la
transmisión de datos y por lo tanto aminorar las grandes ventajas del cloud computing,
que son la libertad y el dinamismo.
• Hay que tener en cuenta las consecuencias que se puedan derivar de la pérdida del control
sobre el tratamiento de la información, tanto por parte del responsable del tratamiento
como por parte del encargado del mismo.
• Por último, se deben atender a la complejidad de los problemas que se pueden suscitar en
torno a la resolución de conflictos derivados de la vulneración del derecho fundamental
de la protección de los datos personales, cuando aquellos se producen en distintos
territorios.
Para cualquier duda o comentario, o si desea concertar una visita personal para analizar cómo le afecta
lo mencionado en la presente Newsletter, o para plantear cualquier otra cuestión,
puede dirigirse a [email protected] o bien contactarnos telefonicamente en el 93 241 39 70 donde
le atenderemos y le podremos asesorar adecuadamente.
Disclaimer:
La presente Newsletter, ha sido confeccionada como documento meramente informativo, basado en los textos legales a que hace referencia. En ningún
caso debe tomarse como base para la toma de decisiones y no sustituye ni complementa nuestro asesoramiento profesional.
8
CIRCULAR INFORMATIVA MERCANTIL
|
www.tgglegal.es
|
Abril 2013