AspectosAspectos LegalesLegales de la de la ComputaciComputaciónón en la en la NubeNube

MtroMtro. Joel A. G. Joel A. Gómezómez TreviñoTreviñoAbogado especialista en Derecho InformáticoAbogado especialista en Derecho Informático

Gerente General Jurídico de NCR de MéxicoGerente General Jurídico de NCR de México

JoelG

omez.m

x

JoelG

omez.m

x

¿Qué es la Computación en Nube?¿Qué es la Computación en Nube?

Computo TradicionalComputo Tradicional Computo en la NubeComputo en la Nube

MediosMediostradicionalestradicionales dedealmacenamientoalmacenamientoy procesosy procesosinformáticosinformáticos

•• ArchivosArchivos•• Bases de DatosBases de Datos•• AplicacionesAplicaciones•• SoftwareSoftware

JoelG

omez.m

x

DefinicionesDefiniciones

�� En este tipo de computación todo lo que puede En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como ofrecer un sistema informático se ofrece como servicioservicio, de modo que los usuarios puedan acceder a , de modo que los usuarios puedan acceder a los servicios disponibles "los servicios disponibles "en la nube de Interneten la nube de Internet" sin " sin conocimientos (o, al menos sin ser expertos) en la conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan.gestión de los recursos que usan.

�� EEs un paradigma en el que s un paradigma en el que la información se almacena la información se almacena de manera permanente en de manera permanente en servidores en Internet servidores en Internet y y se envía a se envía a cachéscachés temporales de cliente, lo que incluye temporales de cliente, lo que incluye equipos de escritorio, centros de ocio, portátiles, etc.equipos de escritorio, centros de ocio, portátiles, etc.

JoelG

omez.m

x

Ejemplos de C. en NubeEjemplos de C. en Nube

�� La computación en nube es un concepto que incorpora el La computación en nube es un concepto que incorpora el software como serviciosoftware como servicio, como en la , como en la Web 2.0 Web 2.0 y otros y otros conceptos recientes, también conocidos como tendencias conceptos recientes, también conocidos como tendencias tecnológicas, que tienen en común el que confían en tecnológicas, que tienen en común el que confían en Internet para satisfacer las necesidades de cómputo de Internet para satisfacer las necesidades de cómputo de los usuarios.los usuarios.

�� Como ejemplos de computación en la nube se puede Como ejemplos de computación en la nube se puede destacar destacar Amazon EC2Amazon EC2, , Google Google AppsApps, eyeOS, , eyeOS, Windows Windows AzureAzure y Ubuntu y Ubuntu OneOne que que proveen proveen aplicaciones comunes de negocioaplicaciones comunes de negocio en línea accesibles en línea accesibles desde un desde un navegador webnavegador web, mientras el , mientras el softwaresoftware y los y los datosdatos se almacenan en los se almacenan en los servidoresservidores..

JoelG

omez.m

x

Ejemplos de C. en NubeEjemplos de C. en Nube

�� Las Las redes socialesredes sociales (Web (Web 2.0) representan un 2.0) representan un ejemplo sencillo y tangible ejemplo sencillo y tangible de de computación en nubecomputación en nube..

�� Los usuarios comparten Los usuarios comparten fotos, videos, archivos, fotos, videos, archivos, música y todo tipo de música y todo tipo de documentos a través de la documentos a través de la web. Dicha información web. Dicha información reside todo el tiempo en reside todo el tiempo en servidores de internet, servidores de internet, estando fuera del “control estando fuera del “control directo” del usuario.directo” del usuario.

�� YouTubeYouTube�� FacebookFacebook�� FlickrFlickr�� MySpaceMySpace

JoelG

omez.m

x

Beneficios / Ventajas del C.C.Beneficios / Ventajas del C.C.

�� Integración probada de servicios Web. Integración probada de servicios Web. Por su Por su naturaleza, la tecnología de CC se puede integrar con naturaleza, la tecnología de CC se puede integrar con mucha mayor facilidad y rapidez con el resto de sus mucha mayor facilidad y rapidez con el resto de sus aplicaciones empresariales, ya sean desarrolladas de aplicaciones empresariales, ya sean desarrolladas de manera interna o externa.manera interna o externa.

�� Prestación de servicios a nivel mundial. Prestación de servicios a nivel mundial. Las Las infraestructuras de CC proporcionan mayor capacidad infraestructuras de CC proporcionan mayor capacidad de adaptación, recuperación de desastres completa y de adaptación, recuperación de desastres completa y reducción al mínimo de los tiempos de inactividad.reducción al mínimo de los tiempos de inactividad.

�� Una infraestructura 100% de CC no necesita Una infraestructura 100% de CC no necesita instalar ningún tipo de hardware. instalar ningún tipo de hardware. La belleza de la La belleza de la tecnología de CC es su simplicidad, y además, requiere tecnología de CC es su simplicidad, y además, requiere mucha menor inversión para empezar a trabajar.mucha menor inversión para empezar a trabajar.

JoelG

omez.m

x

Beneficios / Ventajas del C.C.Beneficios / Ventajas del C.C.

�� Actualizaciones automáticas que no afectan Actualizaciones automáticas que no afectan negativamente a los recursos de TI. negativamente a los recursos de TI. La tecnología La tecnología de Cloud Computing no le obliga a decidir entre de Cloud Computing no le obliga a decidir entre actualizar y conservar su trabajo, porque esas actualizar y conservar su trabajo, porque esas personalizaciones e integraciones se conservan personalizaciones e integraciones se conservan automáticamente durante la actualización.automáticamente durante la actualización.

�� Independencia.Independencia. Existe una independencia del Existe una independencia del dispositivo y la ubicación, lo que permite que los dispositivo y la ubicación, lo que permite que los usuarios puedan acceder a los sistemas usando un usuarios puedan acceder a los sistemas usando un navegador de Internet independiente de su ubicación navegador de Internet independiente de su ubicación geográfica y del sistema operativo o computador. geográfica y del sistema operativo o computador. Dado que su infraestructura es otorgada por un Dado que su infraestructura es otorgada por un tercero, y se puede acceder vía Internet, los usuarios tercero, y se puede acceder vía Internet, los usuarios se pueden conectar de cualquier parte.se pueden conectar de cualquier parte.

JoelG

omez.m

x

Capas del C.C.Capas del C.C.

�� SoftwareSoftware como un como un ServicioServicio ((SaaSSaaS, sus siglas en inglés), sus siglas en inglés)�� SaaSSaaS se encuentra en la capa más alta y caracteriza una se encuentra en la capa más alta y caracteriza una aplicación completa ofrecida como un servicio, aplicación completa ofrecida como un servicio, enen--demandademanda, , vía vía multitenenciamultitenencia -- que significa una sola instancia del que significa una sola instancia del software que corre en la infraestructura del proveedor y sirve software que corre en la infraestructura del proveedor y sirve a múltiples organizaciones de clientes. El ejemplo de a múltiples organizaciones de clientes. El ejemplo de SaaSSaaSconocido más ampliamente es Salesforce.com, pero ahora ya conocido más ampliamente es Salesforce.com, pero ahora ya hay muchos más, incluyendo las hay muchos más, incluyendo las AppsApps Google.Google.

�� PlataformaPlataforma como un como un ServicioServicio ((PaaSPaaS))�� La capa del medio, o La capa del medio, o PaaSPaaS, es la encapsulación de una , es la encapsulación de una abstraciónabstración de un ambiente de desarrollo y el de un ambiente de desarrollo y el empaquetamiento de un carga de servicios. Las ofertas de empaquetamiento de un carga de servicios. Las ofertas de PaaSPaaS pueden dar servicio a todas las fases del ciclo de pueden dar servicio a todas las fases del ciclo de desarrollo y pruebas del software, o pueden estar desarrollo y pruebas del software, o pueden estar especializadas en cualquier área en particular, tal como la especializadas en cualquier área en particular, tal como la administración del contenido.administración del contenido.

JoelG

omez.m

x

Capas del C.C.Capas del C.C.

�� InfraestructuraInfraestructura como un como un ServicioServicio ((IaaSIaaS))�� IaaSIaaS se encuentra en la capa inferior y es un medio de se encuentra en la capa inferior y es un medio de entregar almacenamiento básico y capacidades de cómputo entregar almacenamiento básico y capacidades de cómputo como servicios estandarizados en la red. Servidores, sistemas como servicios estandarizados en la red. Servidores, sistemas de almacenamiento, conexiones, enrutadores, y otros de almacenamiento, conexiones, enrutadores, y otros sistemas se concentran (por ejemplo a través de la tecnología sistemas se concentran (por ejemplo a través de la tecnología de de virtualizaciónvirtualización) para manejar tipos específicos de cargas de ) para manejar tipos específicos de cargas de trabajo trabajo ——desde procesamiento en lotes (“desde procesamiento en lotes (“batchbatch”) hasta ”) hasta aumento de servidor/almacenamiento durante las cargas pico.aumento de servidor/almacenamiento durante las cargas pico.

JoelG

omez.m

x

Tipos de NubesTipos de Nubes

�� Las Las nubes públicasnubes públicas se manejan por terceras partes, y los se manejan por terceras partes, y los trabajos de muchos clientes diferentes pueden estar mezclados trabajos de muchos clientes diferentes pueden estar mezclados en los servidores, los sistemas de almacenamiento y otras en los servidores, los sistemas de almacenamiento y otras infraestructuras de la nube. Los usuarios finales no conocen qué infraestructuras de la nube. Los usuarios finales no conocen qué trabajos de otros clientes pueden estar corriendo en el mismo trabajos de otros clientes pueden estar corriendo en el mismo servidor, red, discos como los suyos propios.servidor, red, discos como los suyos propios.

�� Las Las nubes privadasnubes privadas son una buena opción para las compañías son una buena opción para las compañías que necesitan alta protección de datos y ediciones a nivel de que necesitan alta protección de datos y ediciones a nivel de servicio. Las nubes privadas están en una infraestructura enservicio. Las nubes privadas están en una infraestructura en--demanda manejada por un solo cliente que controla qué demanda manejada por un solo cliente que controla qué aplicaciones debe correr y dónde. Son propietarios del servidor, aplicaciones debe correr y dónde. Son propietarios del servidor, red, y disco y pueden decidir qué usuarios están autorizados a red, y disco y pueden decidir qué usuarios están autorizados a utilizar la infraestructura.utilizar la infraestructura.

�� Las Las nubes híbridasnubes híbridas combinan los modelos de nubes públicas y combinan los modelos de nubes públicas y privadas. Usted es propietario de unas partes y comparte otras, privadas. Usted es propietario de unas partes y comparte otras, aunque de una manera controlada.aunque de una manera controlada.

JoelG

omez.m

x

Aspectos Legales de la Aspectos Legales de la Computación en NubeComputación en Nube

�� Monopolios, duopolios Monopolios, duopolios u oligopolios del u oligopolios del mercado de la CN.mercado de la CN.

�� Confidencialidad y Confidencialidad y seguridad de la seguridad de la información.información.

�� Contratos unilaterales Contratos unilaterales (de adhesión) vs. (de adhesión) vs. contratos negociados.contratos negociados.

�� Riesgos en torno a la Riesgos en torno a la privacidad de la privacidad de la información.información.

�� Uso de la información Uso de la información en la nube para litigar en la nube para litigar o investigaciones o investigaciones gubernamentales.gubernamentales.

�� Protección de datos Protección de datos personales.personales.

�� Jurisdicción.Jurisdicción.

JoelG

omez.m

x

Aspectos ContractualesAspectos Contractuales

�� Ámbito de aplicación de procesamiento de Ámbito de aplicación de procesamiento de datos. Qué tipo de datos pueden ser datos. Qué tipo de datos pueden ser procesados? Para qué propósitos?procesados? Para qué propósitos?

�� Subcontrantes. Bajo qué condiciones el Subcontrantes. Bajo qué condiciones el proveedor puede subcontratar partes del proveedor puede subcontratar partes del servicio de computación en nube.servicio de computación en nube.

�� Borrado de la información.Borrado de la información.�� Problemas derivados de los respaldos.Problemas derivados de los respaldos.

JoelG

omez.m

x

Aspectos ContractualesAspectos Contractuales

�� Localización de la información.Localización de la información.�� El cliente debe saber en qué países se El cliente debe saber en qué países se encuentran los servidores en que la encuentran los servidores en que la información es procesada y almacenada.información es procesada y almacenada.

�� El proveedor debe obligarse aEl proveedor debe obligarse ano transferir la información a no transferir la información a otros países sin el previo otros países sin el previo consentimiento expreso consentimiento expreso del cliente.del cliente.

JoelG

omez.m

x

Aspectos ContractualesAspectos Contractuales

�� Acuerdo de Niveles de Servicio (SLA) que Acuerdo de Niveles de Servicio (SLA) que incluya disponibilidad y recuperación de incluya disponibilidad y recuperación de información.información.

�� Entrega de información al termino del Entrega de información al termino del contrato. En qué forma va a entregarse al contrato. En qué forma va a entregarse al usuario? Proceso de transferencia y eliminado.usuario? Proceso de transferencia y eliminado.

�� Auditorias. El usuario podrá verificar que el Auditorias. El usuario podrá verificar que el proveedor CN está cumpliendo con lo pactado. proveedor CN está cumpliendo con lo pactado. Pudiere haber auditorias gubernamentales.Pudiere haber auditorias gubernamentales.

JoelG

omez.m

x

Aspectos ContractualesAspectos Contractuales

�� ¿Qué pasa si se pierde mi información?¿Qué pasa si se pierde mi información?�� Remedios legales: ¿penas convencionales, daños y Remedios legales: ¿penas convencionales, daños y perjuicios?perjuicios?

�� Medidas de seguridad de la informaciónMedidas de seguridad de la información�� ¿Está encriptada? ¿Libre de virus / spyware?¿Está encriptada? ¿Libre de virus / spyware?�� ¿Es segura la transferencia o solo el almacenamiento?¿Es segura la transferencia o solo el almacenamiento?�� ¿Plan de Recuperación en caso de Desastre? (DRP)¿Plan de Recuperación en caso de Desastre? (DRP)

�� Segregación de la informaciónSegregación de la información�� ¿Están mis datos separados de los de otros clientes?¿Están mis datos separados de los de otros clientes?

JoelG

omez.m

x

PrivacidadPrivacidad

JoelG

omez.m

x

Riesgos en la PrivacidadRiesgos en la Privacidad

�� La CN tiene implicaciones importantes en la La CN tiene implicaciones importantes en la privacidad de informaciprivacidad de información personal así como ón personal así como en la confidencialidad de información de en la confidencialidad de información de negocios y gobierno.negocios y gobierno.

�� Los riesgos de la privacidad y confidencialidad Los riesgos de la privacidad y confidencialidad de los usuarios varían significativamente con de los usuarios varían significativamente con los términos de servicio y política de privacidad los términos de servicio y política de privacidad establecida por el proveedor de CN.establecida por el proveedor de CN.

JoelG

omez.m

x

Riesgos en la PrivacidadRiesgos en la Privacidad

�� Para algunos tipos de información y ciertas Para algunos tipos de información y ciertas categorías de usuarios de CN, los derechos y categorías de usuarios de CN, los derechos y obligaciones de privacidad y confidencialidad obligaciones de privacidad y confidencialidad pueden cambiar cuando un usuario revela pueden cambiar cuando un usuario revela información a un proveedor de CN.información a un proveedor de CN.�� Modelo sectorial de protección de D.P. en EUA.Modelo sectorial de protección de D.P. en EUA.

�� Archivos médicos, financieros, profesionales (doctores, abogados)Archivos médicos, financieros, profesionales (doctores, abogados)

�� Compartir información con un proveedor CN Compartir información con un proveedor CN puede puede socavar privilegios probatorios legalmente socavar privilegios probatorios legalmente reconocidos.reconocidos.

JoelG

omez.m

x

Riesgos en la PrivacidadRiesgos en la Privacidad

�� La revelación y almacenamiento remoto La revelación y almacenamiento remoto pueden traer consecuencias adversas para el pueden traer consecuencias adversas para el estatus de protección legal de información estatus de protección legal de información personal o de negocios.personal o de negocios.�� Artículo 82 de la Artículo 82 de la Ley de Propiedad Industrial (México)Ley de Propiedad Industrial (México)..-- Se considera Se considera

secreto industrialsecreto industrial a toda información de aplicación industrial o a toda información de aplicación industrial o comercial comercial que guarde una persona física o moral que guarde una persona física o moral con carácter con carácter confidencialconfidencial, que le signifique obtener o mantener , que le signifique obtener o mantener una ventaja una ventaja competitiva o económica frente a terceros en la realización de competitiva o económica frente a terceros en la realización de actividades económicas actividades económicas y respecto de la cual haya adoptado los y respecto de la cual haya adoptado los medios o sistemas suficientes para preservar su medios o sistemas suficientes para preservar su confidencialidad y el acceso restringido a la mismaconfidencialidad y el acceso restringido a la misma..

JoelG

omez.m

x

Riesgos en la PrivacidadRiesgos en la Privacidad

�� La información en la nube puede tener un La información en la nube puede tener un efecto significativo en las protecciones de efecto significativo en las protecciones de privacidad y confidencialidad de aquellos privacidad y confidencialidad de aquellos quienes procesan o almacenan la información.quienes procesan o almacenan la información.�� La información puede estar sujeta a las La información puede estar sujeta a las leyes del país donde el servidor físico esta leyes del país donde el servidor físico esta ubicado.ubicado.�� EUA: Modelo sectorial de protección de D.P.EUA: Modelo sectorial de protección de D.P.��UE: Modelo regulatorio de protección de D.P.UE: Modelo regulatorio de protección de D.P.

JoelG

omez.m

x

Riesgos en la PrivacidadRiesgos en la Privacidad

�� La información en la nube puede tener más de La información en la nube puede tener más de un “domicilio legal” al mismo tiempo, con un “domicilio legal” al mismo tiempo, con diferentes consecuencias legales.diferentes consecuencias legales.�� El proveedor de CN puede mover la El proveedor de CN puede mover la información del usuario (sin que éste lo información del usuario (sin que éste lo sepa) de jurisdicción en jurisdicción, o de sepa) de jurisdicción en jurisdicción, o de proveedor en proveedor, o de computadora proveedor en proveedor, o de computadora a computadora.a computadora.

JoelG

omez.m

x

Riesgos en la PrivacidadRiesgos en la Privacidad

�� Las leyes o tribunales de determinado país Las leyes o tribunales de determinado país podrían obligar a un proveedor de CN a podrían obligar a un proveedor de CN a revelar archivos de usuarios para buscar revelar archivos de usuarios para buscar pruebas de actividad criminal u otros asuntos.pruebas de actividad criminal u otros asuntos.�� Inclusive, las autoridades podrían pedirle al Inclusive, las autoridades podrían pedirle al proveedor CN que monitoree continuamente proveedor CN que monitoree continuamente las actividades de cierto tipo de usuarios.las actividades de cierto tipo de usuarios.

JoelG

omez.m

x

Riesgos en la PrivacidadRiesgos en la Privacidad

�� Incertidumbre legal puede hacer difícil Incertidumbre legal puede hacer difícil evaluar evaluar la situación de la información en la nube, así la situación de la información en la nube, así como las protecciones de privacidad y como las protecciones de privacidad y confidencialidad disponibles para los usuarios.confidencialidad disponibles para los usuarios.�� La ley sigue de lejos a la tecnología; la La ley sigue de lejos a la tecnología; la aplicación de ley antigua a nueva tecnología aplicación de ley antigua a nueva tecnología puede ser impredecible.puede ser impredecible.

JoelG

omez.m

x

Riesgos en la PrivacidadRiesgos en la Privacidad

�� Para poder enfrentar mejor los riesgos de la Para poder enfrentar mejor los riesgos de la privacidad y confidencialidad en la privacidad y confidencialidad en la computación en nube es necesario:computación en nube es necesario:�� Que los proveedores de CN tengan mejores Que los proveedores de CN tengan mejores políticas y prácticas de negocios;políticas y prácticas de negocios;

�� Cambios a las leyes vigentes;Cambios a las leyes vigentes;�� Más vigilancia de los usuarios;Más vigilancia de los usuarios;�� Contratos justos y equitativos, no de adhesión.Contratos justos y equitativos, no de adhesión.