La Comisión
Nacional de Informática y Libertades, CNIL, de Francia, ha propuesto en su
sitio web algunas Recomendaciones a tomar en cuenta por las instituciones y
empresas que estén considerando contratar servicios de computación en la nube.
Las Recomendaciones apuntan a la protección de los datos personales, en el
marco del Reglamento de Protección de Datos Personales, RGPD, de reciente
vigencia para su aplicación en los veintiocho países de la Unión Europea, y en
aquellos países en los cuales se realice el tratamiento de datos personales de
sus ciudadanos, clientes, proveedores, consumidores.
De estas
Recomendaciones solo hemos conservado el prefacio y el intitulado, exponiendo
luego algunos criterios que pensamos valiosos para su aplicación en el Perú. El
lector podrá profundizar en el contenido de cada una de estas Recomendaciones y
extraer sus propias conclusiones. El enlace es el siguiente: https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf ((La
traducción es del autor.)
Desde un punto de
vista legal, la CNIL constata que la computación en la nube plantea
una serie de dificultades con respecto al cumplimiento de la legislación sobre
protección de datos personales, especialmente en el caso de la nube pública.
Estas dificultades se amplifican en el caso de ofertas estandarizadas con
contratos de adhesión que no brindan a los clientes la oportunidad de
negociarlos. De manera general, se constata que los clientes sufren
de una falta de transparencia por parte de los proveedores de la nube cuanto a
las condiciones de ejecución de las prestaciones, particularmente sobre la
seguridad y sobre la cuestión de si los datos de los clientes son transferidos
al extranjero, y precisamente a qué países. Por lo tanto, es indispensable que
una compañía francesa que planea usar un servicio de computación en la nube
realice un análisis de riesgo y sea muy rigurosa en la elección de su
proveedor. En particular, la empresa deberá tener en cuenta las garantías
ofrecidas por un proveedor en materia de protección de datos personales y asegurarse
de que esta le proporcionará todas las garantías necesarias para el
cumplimiento de sus obligaciones conforme a la ley Informática y Libertades. en
particular en términos de información a los interesados, supervisión de
transferencias y seguridad de datos. Se debe tener en cuenta que en el caso de
la imposibilidad de negociar un contrato, es indispensable una comparación de
las condiciones contractuales propuestas por los diferentes proveedores de
servicios. Esto permite tomar una decisión teniendo en cuenta las
consideraciones económicas, legales y técnicas.
Recomendación N° 1: Identificar claramente los datos y los tratamientos en
la Cloud
Recomendación N° 2: Definir sus propios requisitos técnicos y legales de
seguridad.
Recomendación N° 3: Conducir un análisis de riesgos para identificar las
medidas de seguridad esenciales para la empresa
Recomendación N° 4: Identificar el tipo de Cloud pertinente para el tratamiento previsto
Recomendación N° 5: Elegir un proveedor con suficientes garantías.
Etapa 1: Determinar la calificación legal del proveedor de servicios.
Etapa 2: Evaluar el nivel de protección proporcionado por el proveedor a
los datos procesados.
Paralelamente a estas
Recomendaciones, es necesario reflexionar sobre algunos criterios a tener en cuenta
en el Modelo de Responsabilidad Compartida en el Cloud.
Actualmente, las opiniones difieren, el mercado deviene global y los desafíos también
sobre la colecta, conservación, tratamiento y gestión de los datos, información y conocimientos.
Algunas entidades, personas, no aceptan compartir responsabilidad, pero sí
atribuyen una mayor responsabilidad a los proveedores del servicio Cloud,
que a los clientes o los proveedores de telecomunicaciones e inclusive a los
creadores de programas que permiten administrar el Cloud.
Las sanciones se evalúan
en función de la responsabilidad individual, compartida, solidaria, sobre los
activos amenazados o vulnerados, incluyendo la reputación. Un ejemplo de ello es
la reputación de las entidades bancarias y financieras, basadas en la
confianza. Ninguna institución bancaria admitirá haber sido sujeto de malas
prácticas o delitos. La clave del establecimiento del tipo y magnitud de la
responsabilidad es la elaboración de un buen contrato de servicio Cloud, cuyo objeto principal debe ser el
de fijar claramente los derechos y obligaciones de las sujetos del contrato,
específicamente, las relativas al derecho a la información, el deber de
consejo, de confidencialidad, … Pero todo ello depende de la ponderación de
cada parte en el contrato, del domicilio de sedes administrativas o técnicas,
de la competencia legal por la nacionalidad, de estudios jurídicos
especializados .... Por ello, los servicios Cloud Públicos o
Híbridos: Público-Privado tienen una mayor aceptación, no solo por las
entidades públicas sino por las empresas Cloud establecidas en
sede nacional o sometidas a su competencia.
Carlos FERREYROS
cferreyros@ferreyros-ferreyros.com
Montpellier, Primavera 2019
