1. La Ley y el Desorden 2.0
Unidad de Víctimas del Cibercrimen
Cloud Computing… ¿una tormenta legal se
avecina?
Retos y paradigmas legales en este nuevo modelo de servicios informáticos.
Por Joel A. Gómez Treviño
En octubre de 2009 compré la revista “The Economist”, creo que es la primera vez que
compro esta revista (no se lo cuenten a nadie, pero una de las materias que más odié en
la carrera fue Economía!). La razón, muy sencilla, en portada alcancé a leer de lejos en los
estantes “The Battle Over Cloud Computing”. Como ilustración aparecían 5 “teledirigibles”,
que en lugar de estar sostenidos por un globo, estaban sostenidos por nubes. Cada
“vehículo” estaba disparándole a otro, y cada uno portaba un logotipo: Google, Microsoft,
Amazon, Apple y Yahoo. Antes de leer siquiera el artículo, ya me había caído el veinte…
tenía que ponerme a estudiar el fenómeno legal del Cloud Computing.
Voy a omitir toda la parte teórica-técnica, sobre qué es Cloud Computing, definiciones,
cuáles son sus beneficios, ejemplos y aplicaciones reales, sus capas (SaaS, PaaS, IaaS),
tipos de nubes y el amplio “etc.”, puesto que doy por hecho que la audiencia es técnica
por el segmento al que va dirigida esta revista, y además seguramente ya presenciaron
una excelente presentación de Adrián Palma sobre este tema en los pasados b:Secure
Conference de Distrito Federal y Monterrey.
A riesgo de no agotar el tema en una parte, me permito enlistar a continuación los
aspectos legales más relevantes sobre Cloud Computing: (1) Monopolios, duopolios u
oligopolios del mercado de la CN, (2) Confidencialidad y seguridad de la información, (3)
Contratos unilaterales (de adhesión) vs. contratos negociados, (4) Riesgos en torno a la
privacidad de la información, (5) Uso de la información en la nube para litigar o
investigaciones gubernamentales, (6) Protección de datos personales y (7) Problemas
Jurisdiccionales.
Dentro de los aspectos contractuales de la Computación en Nube, todo usuario
enfrentará, entre otros, los siguientes retos:
Ámbito de aplicación de procesamiento de datos. ¿Qué tipo de datos pueden
ser procesados? ¿Para qué propósitos? Su empresa tendrá que decidir si entra de
lleno al mundo de la computación en nube, o si solo le da una “probadita”
subiendo parte de su información a la nube. Si éste es el caso, ¿qué clase de
2. información estaría dispuesta su empresa a subir a la nube? Software,
aplicaciones, bases de datos, nómina, listas de clientes, contratos, “know-how”,
características, planos o fichas técnicas de tus productos, datos personales de
clientes y proveedores… en general, mucho de lo que usted mueve en su empresa
es sin duda información confidencial. ¡Hay que tomar las debidas precauciones
para preservarla!
Sub-contrantes (outsourcing en la nube). ¿Bajo qué condiciones el proveedor
puede subcontratar partes del servicio de computación en nube? Puede usted estar
negociando con “súper empresas”, con una extraordinaria reputación en el
mercado… de esas que usted no podría concebir una falla sustancial en el servicio.
¿Pero qué pasa si esas empresas sub-contratan parte de los servicios en la nube?
¿Los sub-contratistas se obligarán con el contratista en los mismos términos y
condiciones en que lo hizo con usted? ¿Tendrán los sub-contratistas los mismos
niveles de seguridad, confidencialidad y de servicio (SLA) que la empresa con
quien usted está contratando?
Transferencia y/o Borrado de la información. Durante el noviazgo todo es
color de rosa, pero… ¿qué pasa si te divorcias de tu proveedor de cómputo en la
nube? ¿Cómo operará la transferencia de tu información… en el plano físico,
electrónico o en ambos? ¿Estará tu proveedor actual obligado a colaborar en el
proceso de transferencia con otro proveedor? Sabemos que es práctica común en
la industria de IT el hacer respaldos de la información. Una vez que termines la
relación con tu proveedor, ¿qué garantías tienes de que realmente no se quedó
con una copia de tu información? ¿Presenciaste o auditaste el proceso de
eliminado electrónico (confiable) de tu información?
Ubicación de la información. Una de las características principales de los
servicios de cómputo en la nube, es la flexibilidad con que se pueden brindar
(“bajo demanda”), diseñando casi un traje a la medida para cada cliente. Parte de
esa flexibilidad implica que el proveedor podrá decidir en cualquier momento
dónde o en qué servidores podrá estar tratando y almacenando su información.
¿Qué sucede si su proveedor hoy tiene su información en servidores mexicanos,
pero mañana decide moverlos a un servidor estadounidense, europeo o asiático?
En el terreno legal, un lugar físico significa jurisdicción. Si su información está en
un servidor Alemán, probablemente estará sujeta a las leyes alemanas.
Autoridades extranjeras podrían no solo auditar, sino eventualmente “confiscar” su
información, ante un incumplimiento de leyes locales. El proveedor debe obligarse
a no transferir la información a otros países, sin el previo consentimiento expreso
del cliente.
Protección de datos personales. Este es un tema íntimamente ligado al
anterior. Solo como ejemplo, la Unión Europea tiene los más altos estándares en
materia de protección de datos personales, mientras los Estados Unidos tiene un
modelo sectorial flexible y poco riguroso (comparado con el estándar europeo). El
pasado 27 de abril la Cámara de Senadores, actuando como cámara revisora,
3. aprobó finalmente el proyecto de Ley Federal de Protección de Datos Personales
en Posesión de Particulares, al cual solo le falta la sanción Presidencial para
publicarse en el Diario Oficial de la Federación. El tratamiento de datos personales
en bases de datos es cada vez más sensible y está tremendamente fiscalizado en
muchos países. Si usted no adopta las medidas contractuales necesarias, podría
toparse con un serio problema no deseado.
Acuerdo de Niveles de Servicio (SLA). Es importante pactar obligaciones
relacionadas con la disponibilidad y recuperación de información, particularmente si
el proveedor sub-contratará parte de los servicios a otros proveedores en la nube.
Auditorias. El usuario debe poder verificar que el proveedor está cumpliendo con
lo pactado. Pudiere haber auditorias gubernamentales, en las que ambas partes
deberán cooperar para salir bien librados de ellas.
Pérdida de la información. Ante un escenario trágico de pérdida de su
información por negligencia, culpa o dolo de su proveedor, ¿cuáles son los recursos
legales que usted dispone? ¿Hay penas convencionales o pago daños y perjuicios?
¿Existe en el contrato algún límite de responsabilidad para el proveedor?
Medidas de seguridad de la información. ¿Está encriptada? ¿Libre de virus /
spyware? ¿Es segura la transferencia o solo el almacenamiento? ¿Tiene su
proveedor un Plan de Recuperación en Caso de Desastre (DRP) o BCP? No olvide
obligar a su proveedor a revelarle cualquier incidente de seguridad que involucre
sus datos, particularmente aquellos en que su información haya podido ser
vulnerada, copiada o alterada por terceros no autorizados.
Segregación de la información. ¿Están mis datos separados de los de otros
clientes? Eventualmente cierto tipo de empresas podrían estar interesadas en que
sus datos o información este segmentada o separada del resto de los clientes,
sobre todo si el proveedor pudiera brindarle servicios a empresas competidoras.
Para concluir solo me resta agregar que a la fecha no hay ninguna ley –ni a nivel nacional
ni internacional- que regule al Cloud Computing, ni las habrá en muchos años
seguramente. Esto significa que la única manera de regular este fenómeno es por la vía
contractual. Lea bien los contratos de sus proveedores, y asegúrese de que su abogado
entienda el tema.
Joel Gómez (abogado@joelgomez.com) es Abogado egresado del ITESM, con Maestría en Derecho Comercial
Internacional de la Universidad de Arizona. Especialista en Derecho Informático y Propiedad Intelectual desde 1996.
Profesor de Derecho Informático en La Salle, la Universidad Panamericana Campus Guadalajara y el INACIPE.