cloud computing: aspectos - foros level 3 · cloud computing tipos de nube nubes públicas:...
TRANSCRIPT
CLOUD COMPUTING: ASPECTOS
LEGALES Y/O NORMATIVOS
Luis Vinatea Recoba
Socio de Miranda & Amado Abogados
Profesor de la Pontificia Universidad Católica del
Perú
Cloud Computing
Definición
Sistema que permite el acceso por red bajo demanda a un conjunto
compartido de recursos informáticos configurables (redes, servidores,
almacenamiento, aplicaciones y servicios) que pueden proporcionarse y
servirse rápidamente con un esfuerzo mínimo de gestión o interacción por
parte del proveedor del servicio (definición del US National Institute of
Standards and Technology).
Cloud Computing
Tipos de Nube
Nubes públicas: Gestionadas por terceras personas ajenas al Cliente.
Accesibles para todo tipo de Clientes y Usuarios.
Nubes privadas: Puede ser gestionada por el mismo Cliente o por un
tercero. El acceso es restringido al Cliente y a quiénes este designe. Es
utilizada por las organizaciones que desean tener mayor control sobre su
información.
Nubes híbridas: Combinan los dos tipos anteriores. El Cliente es
propietario de una parte de la nube y comparte otra. Es necesario
determinar la distribución de las aplicaciones.
Cloud Computing
Participantes
Proveedor: Persona física o jurídica que presta el servicio en un sistema
de computación en nube.
Cliente: Persona física o jurídica que suscribe un contrato con el
Proveedor de servicios de computación en nube.
Usuario (final): Persona física que usa realmente los servicios de
computación en nube en un contexto específico. Puede coincidir o no con
el Cliente.
Cloud Computing
Funcionalidad
Acceso a través de Internet.
Pago por consumo.
Escalabilidad.
Puede ser utilizado por varios Usuarios a la vez (Multitenancy).
Deslocalización.
Cloud Computing
Modelos de prestación de servicios
Infraestructura como Servicio (“IaaS”, por sus siglas en inglés): Permite
que el Cliente ejecute cualquier software, sistema operativo y equipos
incluidos en los equipos del Proveedor.
Plataforma como Servicio (“PaaS”, por sus siglas en inglés): El
Proveedor ofrece una plataforma para que el Cliente pueda desarrollar sus
propias aplicaciones o servicios.
Software como servicio (“SaaS”, por sus siglas en ingles): El Cliente y/o
el Usuario usan una aplicación proporcionada por el Proveedor.
Cloud Computing
Implicancias Legales y/o Normativas
1. Prestaciones involucradas
Proveedor Cliente
Provee acceso a, provee la plataforma o gestiona los recursos informáticos objeto del servicio (propios, del cliente o de terceros)
Paga por el servicio
Conserva la información proporcionada por el Cliente en virtud del servicio contratado
Cloud Computing
Implicancias Legales y/o Normativas
2. Naturaleza jurídica
Cloud Computing no es un servicio de telecomunicaciones regulado.
El Proveedor y el Cliente establecen una relación jurídica de tipo civil.
Las partes deben regular dicha relación jurídica mediante la suscripción
de un contrato privado.
Cloud Computing
Implicancias Legales y/o Normativas
3. El Contrato
Contratos por adhesión
Para servicios Cloud Computing estandarizados.
El Cliente acepta o rechaza íntegramente las condiciones del servicio fijadas por el Proveedor.
Contratos negociados
Cuando el Cliente necesita servicios Cloud Computing personalizados, adecuados a sus necesidades particulares.
El Cliente y el Proveedor fijan conjuntamente las condiciones de la prestación del servicio.
Cloud Computing
Implicancias Legales y/o Normativas
El Contrato debe prever todas las condiciones de la prestación del servicio
Cloud Computing:
a) Modelo de servicio contratado;
b) Precio del servicio;
c) Deber del Proveedor de guardar confidencialidad respecto de la información entregada;
d) Responsabilidad del Proveedor sobre la información entregada por el Cliente (pérdidas, intromisiones, deterioro, etc.);
e) Periodo de tiempo en el cual se prestará el servicio;
f) Qué hacer con la información entregada al culminar la relación.
Cloud Computing
Implicancias Legales y/o Normativas
Cláusulas recomendadas:
a) Servicios objeto de prestación por parte del Proveedor;
b) Autorización del Proveedor para el uso del servicio;
c) Consentimiento del Cliente para que el servicio sea prestado por terceros subcontratados por el Proveedor (de ser el caso);
d) Cesión de posición contractual (de ambas partes);
e) Responsabilidades respecto de la gestión de la información alojada en la Nube;
f) Prohibición del Cliente y/o Usuarios de alterar el servicio prestado;
g) Posibilidad o no de revender o sublicenciar el servicio;
h) Términos de cumplimiento de las prestaciones;
Cloud Computing
Implicancias Legales y/o Normativas
i) Facultad del Cliente de monitorear el funcionamiento del servicio
(medidas de seguridad, controles y políticas dirigidas a garantizar la
integridad de la información, etc.);
j) SLA (Service Level Agreement);
k) Mecanismos de compensación ante incumplimientos del SLA
(penalización, créditos, abonos de servicio, etc.);
l) Causales de suspensión del servicio (uso indebido, falta de pago,
emergencias en materia de seguridad, interrupciones programadas,
etc.);
m) Condiciones de la suspensión y del levantamiento de la suspensión;
n) Causales de resolución / Consecuencias de la resolución del Contrato.
Cloud Computing
Implicancias Legales y/o Normativas
4. Protección de Datos Personales
El servicio Cloud Computing puede implicar el tratamiento (recopilación,
registro, almacenamiento, comunicación por transferencia o por difusión,
conservación, etc.) de datos personales.
Pese a la naturaleza civil de la relación contractual, las partes deberán
observar la Ley 29733, Ley de Protección de Datos Personales, que regula
el adecuado tratamiento de datos personales incluidos en bases de datos.
* Solo algunas partes de la Ley están vigentes (sección Tratamiento de Datos Personales), la
vigencia total está condicionada a la emisión del Reglamento.
Cloud Computing
Implicancias Legales y/o Normativas
A efectos del tratamiento, el Titular del Banco de Datos (el Cliente)
requiere obtener el consentimiento del Titular de los Datos Personales
(personas cuyos datos personales forman parte de la información
entregada al Proveedor).
El tratamiento de los datos personales puede ser encargado a un tercero
denominado el “Encargado del Banco de Datos Personales” (en el caso del
Cloud Computing, el Proveedor).
El Titular del Banco de Datos –el Cliente-, debe verificar que el Encargado
del Banco de Datos –el Proveedor- cumpla las obligaciones normativas
sobre tratamiento de datos personales.
Cloud Computing
Implicancias Legales y/o Normativas
La prestación del servicio Cloud Computing podría implicar que los datos personales sean mantenidos en servidores ubicados en el extranjero.
Conforme a la Ley de Protección de Datos Personales (Artículo 15), la transferencia internacional de datos personales está permitida solo si el país destinatario de los mismos (donde están ubicados los servidores) mantiene niveles de protección adecuados, similares a los previstos en dicha norma.
Lo señalado anteriormente no se aplica cuando el Titular de los Datos Personales haya otorgado su consentimiento previo, expreso e informado, para la transferencia internacional de su información personal.
Cloud Computing
Implicancias Legales y/o Normativas
5. Propiedad Intelectual
El Contrato deberá contener previsiones sobre derechos de propiedad
intelectual del Proveedor respecto de las aplicaciones creadas y puestas a
disposición del Cliente.
En el caso de los modelos Plataforma como Servicio (PaaS) e
Infraestructura como Servicio (IaaS), el Contrato deberá incluir protección
a los derechos de propiedad intelectual de las aplicaciones creadas por el
Cliente.
Cloud Computing
Implicancias Legales y/o Normativas
6. Seguridad de la Información
El Cliente pierde el control de la Información alojada en la Nube.
El Contrato debería incluir la obligación del Proveedor de resguardar la
información entregada. Además, debería incluir el detalle de las medidas
de seguridad adoptadas por el Proveedor, y la ubicación de los servidores
en los que estará alojada la información del Cliente.
El Contrato también debería incluir los supuestos de responsabilidad por la
pérdida o deterioro de la información del Cliente, por causas atribuibles al
Proveedor.
Cloud Computing
Implicancias Legales y/o Normativas
7. Asuntos de implicancia laboral
Dado que la gestión de los sistemas está a cargo de un tercero, el
cumplimiento del deber de vigilancia de las actividades de los empleados
del Cliente se ve limitada.
El Cliente deberá elaborar un protocolo de uso de las herramientas
informáticas, dirigido a sus trabajadores (carácterísticas del sistema,
gestión de nombre de usuario y contraseña, obligación de guardar secreto
de la información proporcionada, etc.).
Cloud Computing
Implicancias Legales y/o Normativas
8. Incumplimiento de obligaciones
Obligación Instrumento normativo Consecuencia jurídica
Cumplir con las condiciones de prestación del servicio
Contrato Código Civil
Penalidades por incumplimiento previstas en el Contrato
Protección de Datos Personales
Contrato Ley No. 29733 (Ley de Protección de Datos Personales)
(i) Penalidades contractuales; (ii) Sanciones previstas en la Ley No. 29733 [aplicables al Cliente (Titular del Banco de Datos) y al Proveedor (encargado del Banco de Datos)]
Propiedad Intelectual
Contrato Decreto Legislativo No. 822 (Ley sobre Derechos de Autor)
Sanciones legales aplicables al infractor (Cliente o Proveedor)
Seguridad de la Información
Contrato
Penalidades contractuales previstas en caso de pérdida o deterioro de la información confiada al Proveedor
Cloud Computing
Tratamiento Jurídico Internacional
La principal preocupación a nivel internacional es la protección de los datos
personales involucrados en la prestación de servicios Cloud Computing. Ejemplo: Directiva 95/46/CE, “Directiva de protección de las personas físicas en lo que respecta al trata miento de datos personales y a la libre circulación de estos”.
Grupo de Trabajo del Artículo 29 (creado por el Artículo 29 de la Directiva 95/46/CE), integrado por las Autoridades de Protección de Datos de los Estados miembros de la Comunidad Europea, encargado de analizar los asuntos que afectan o puedan afectar la protección de datos personales.
Cloud Computing
Tratamiento Jurídico Internacional
En el Foro Económico Mundial 2012 realizado en Davos, la vicepresidenta de la Comisión Europea, Neelie Kroes, anunció la creación de la European Cloud Partnership (Autoridades públicas, proveedores y consumidores de servicios en Nube), cuya misión es lograr que la Unión Europea pase de ser un entorno “amigo” del Cloud Computing a un entorno “activo” en Cloud Computing.
Objetivo: Aprovechar la capacidad compradora de las Administraciones Públicas para, a través de sus requisitos de contratación de servicios Cloud Computing, armonizar e integrar el servicio. Se busca estandarizar el servicio, obtener nuevas y mejores ofertas, precios más bajos, etc.
Gracias