El cloud computing permite eficientar diversos procesos dentro de las instituciones y otorga nuevas posibilidades en el manejo de la información, pero también representa retos en torno a diversos aspectos jurídicos, particularmente del régimen de tratamiento y de la efectiva protección de datos personales almacenados en este servicio.
Lo anterior, atendiendo a que el ciberespacio (lugar en donde transita la información hasta llegar a un servidor) resulta un ámbito ambiguo para determinar la jurisdicción, la extraterritorialidad de las normas y el marco jurídico aplicable, así como las autoridades competentes para resolver problemas derivados del uso indebido de la información almacenada.
Proporciona diversas ventajas, dentro de las que destaca la economía del almacenamiento, gracias a la cual las empresas ya no tienen que alojar sus datos y aplicaciones informáticas en equipos de su propiedad o de terceros, ya que ahora se tiene la posibilidad de subir todo tipo de información directamente a una plataforma conectada a internet, para así acceder a ella desde cualquier equipo, en cualquier momento y en cualquier lugar.
Naturaleza jurídica del cómputo en la nube
Es una institución ubicua y transfronteriza, toda vez que los servidores remotos del proveedor no necesariamente tienen que estar en el territorio en donde se contrató el servicio. El acceso a los datos y recursos informáticos, de igual forma, puede hacerse fuera del territorio donde se llevó a cabo la contratación y del lugar en que se encuentra el centro de datos de la empresa proveedora, pues basta que el usuario utilice un navegador web para acceder a ellos.
Es así que tiene elementos de licenciamiento de derechos, así como otros posibles mecanismos de adquisición, suscripción o adhesión a programas o servicios tecnológicos, cuyo común denominador es que son proveídos o prestados a distancia.
Desde el punto de vista jurídico concurren bienes y servicios, los cuales constituyen una suma de recursos que son puestos a disposición para el aprovechamiento directo del usuario o cliente. Aunado al tratamiento de datos personales, el servicio constituye un ambiente para el desarrollo y el aprovechamiento de aplicaciones, productos y contenidos. La contratación del mismo puede darse a través de un licenciamiento o de otro medio de adquisición, adhesión o suscripción.
De esta manera, la naturaleza jurídica del cloud computing representa una serie de desafíos para las legislaciones nacionales, mostrándose como un modelo con un alto grado de complejidad cuando de buscar soluciones legales se trata.
Confianza y buenas prácticas
Generar credibilidad en los servicios de cloud computing depende mayoritariamente del trato que el proveedor da al usuario y de la seguridad que pueda garantizar respecto a la protección de su información, sus aplicaciones informáticas y los datos alojados en sus servidores.
Así, las buenas prácticas por parte del proveedor parecen ser clave para la generación de confianza en el usuario, un aspecto que resulta esencial para que el cloud computing detone nuevas formas de negocio. En este sentido, también son importantes las buenas prácticas del responsable del tratamiento de datos, que contrata y supervisa servicios de nube.
9 elementos al contratar cloud computing
Como se ha visto, cada vez son mayores sus beneficios y, por lo tanto, su uso ha tenido un incremento notable. Sin embargo, se debe advertir que en esta etapa pueden evitarse muchos riesgos en torno al manejo de la información (especialmente de los datos personales) por parte de las empresas que prestan dicho servicio.
En términos generales, es recomendable prever los siguientes elementos jurídicos al momento de la contratación:
1. Tipo de información y evaluación de riesgos
No toda la información es susceptible de ser migrada a la nube, ya que podría tratarse de datos sensibles o de seguridad nacional, los cuales deben ser almacenados en las empresas o instituciones que los poseen.
2. Contratos negociados vs. contratos de adhesión
Hay que privilegiar los servicios que permitan negociar determinados aspectos de la contratación, tomando en cuenta las características de la información y las necesidades del cliente.
3. Esquemas de buenas prácticas
Conviene elegir proveedores que los contemplen como patrones de generación de confianza digital y de consolidación del modelo de negocio.
4. Identidad y reputación del proveedor
Para tener certeza de la empresa prestadora del servicio, es necesario investigar si ha tenido incidentes previos relacionados al uso de la información almacenada y, de ser así, cuáles fueron sus mecanismos de reacción, a fin de dar aviso a los clientes de su servicio, y qué acciones emprendieron con miras a reducir los riesgos inherentes.
5. Portabilidad de la información
Esto para asegurarse de que, al término del contrato, el cliente pueda obtener la totalidad de la información almacenada en el servicio; de ser así, en un formato legible previamente negociado.
6. Destrucción de la información al término del servicio
Debe salvaguardarse una cláusula contractual que garantice que, al término del contrato y una vez que se haya transmitido una copia al cliente, la información sea borrada de manera segura, de modo que no se haga uso indebido en el tratamiento de la información por ninguno de los involucrados en su momento.
7. Reportes de transparencia y auditorías realizadas por un tercero
Se sugiere privilegiar servicios que prevean la emisión de reportes que ayuden a conocer los incidentes de seguridad de la información que han tenido o, en su caso, la información que han transmitido a las autoridades derivadas de un mandato judicial. También es necesario planear la realización de auditorías externas que garanticen el debido tratamiento de la información.
8. Medidas de compensación
Es preferible una empresa proveedora que contemple medidas económicas compensatorias, en caso de incumplimiento en los términos del servicio o vulneraciones a la seguridad informática.
9. Medios alternativos de resolución de controversias
Atendiendo a las múltiples jurisdicciones aplicables en la prestación del servicio de cloud computing, resulta necesario establecer mecanismos no tradicionales de resolución de controversias, con el objetivo de mitigar costos de la resolución de conflictos en tribunales tradicionales.
Los pros y los “peros”
La incorporación de servicios de cloud computing trae consigo innumerables beneficios, siempre que se ponga atención a la negociación de cláusulas contractuales que, de manera preventiva, ayudan a resolver posibles conflictos derivados de la prestación del servicio, tales como la jurisdicción competente, los mecanismos alternativos de resolución de controversias y la portabilidad de la información, entre otros.
Un aspecto importante en la contratación de servicios de cloud computing tiene que ver con el cumplimiento a la normativa en materia de protección de datos personales, ya que esto, por sí mismo, salvaguarda el debido tratamiento de la información, sobre todo si se trata de la normativa europea en la materia.
Como todas las tecnologías, el cloud computing permite hacer más eficientes los procesos de las instituciones, siempre que se tenga especial cuidado en la garantía de los aspectos legales, principalmente de la información suministrada en la prestación del servicio.