martes, 11 de junio de 2019

RECOMENDACIONES PARA CONTRATACIÓN DE SERVICIOS DE COMPUTACIÓN EN LA NUBE.





La Comisión Nacional de Informática y Libertades, CNIL, de Francia, ha propuesto en su sitio web algunas Recomendaciones a tomar en cuenta por las instituciones y empresas que estén considerando contratar servicios de computación en la nube. Las Recomendaciones apuntan a la protección de los datos personales, en el marco del Reglamento de Protección de Datos Personales, RGPD, de reciente vigencia para su aplicación en los veintiocho países de la Unión Europea, y en aquellos países en los cuales se realice el tratamiento de datos personales de sus ciudadanos, clientes, proveedores, consumidores.

De estas Recomendaciones solo hemos conservado el prefacio y el intitulado, exponiendo luego algunos criterios que pensamos valiosos para su aplicación en el Perú. El lector podrá profundizar en el contenido de cada una de estas Recomendaciones y extraer sus propias conclusiones.  El enlace es el siguiente: https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf ((La traducción es del autor.)

Desde un punto de vista legal, la CNIL constata  que la computación en la nube plantea una serie de dificultades con respecto al cumplimiento de la legislación sobre protección de datos personales, especialmente en el caso de la nube pública. Estas dificultades se amplifican en el caso de ofertas estandarizadas con contratos de adhesión que no brindan a los clientes la oportunidad de negociarlos. De manera general, se constata  que los clientes sufren de una falta de transparencia por parte de los proveedores de la nube cuanto a las condiciones de ejecución de las prestaciones, particularmente sobre la seguridad y sobre la cuestión de si los datos de los clientes son transferidos al extranjero, y precisamente a qué países. Por lo tanto, es indispensable que una compañía francesa que planea usar un servicio de computación en la nube realice un análisis de riesgo y sea muy rigurosa en la elección de su proveedor. En particular, la empresa deberá tener en cuenta las garantías ofrecidas por un proveedor en materia de protección de datos personales y asegurarse de que esta le proporcionará todas las garantías necesarias para el cumplimiento de sus obligaciones conforme a la ley Informática y Libertades. en particular en términos de información a los interesados, supervisión de transferencias y seguridad de datos. Se debe tener en cuenta que en el caso de la imposibilidad de negociar un contrato, es indispensable una comparación de las condiciones contractuales propuestas por los diferentes proveedores de servicios. Esto permite tomar una decisión teniendo en cuenta las consideraciones económicas, legales y técnicas.

Recomendación N° 1: Identificar claramente los datos y los tratamientos en la Cloud

Recomendación N° 2: Definir sus propios requisitos técnicos y legales de seguridad.

Recomendación N° 3: Conducir un análisis de riesgos para identificar las medidas de seguridad esenciales para la empresa

Recomendación N° 4: Identificar el tipo de Cloud pertinente para el tratamiento previsto

Recomendación N° 5: Elegir un proveedor con suficientes garantías.
Etapa 1: Determinar la calificación legal del proveedor de servicios.
Etapa 2: Evaluar el nivel de protección proporcionado por el proveedor a los datos procesados.


Paralelamente a estas Recomendaciones, es necesario reflexionar sobre algunos criterios a tener en cuenta en el Modelo de Responsabilidad Compartida en el Cloud. Actualmente, las opiniones difieren, el mercado deviene global y los desafíos también sobre la colecta, conservación, tratamiento y gestión  de los datos, información y conocimientos. Algunas entidades, personas, no aceptan compartir responsabilidad, pero sí atribuyen una mayor responsabilidad a los proveedores del servicio Cloud, que a los clientes o los proveedores de telecomunicaciones e inclusive a los creadores de programas que permiten administrar el Cloud.

Las sanciones se evalúan en función de la responsabilidad individual, compartida, solidaria, sobre los activos amenazados o vulnerados, incluyendo la reputación. Un ejemplo de ello es la reputación de las entidades bancarias y financieras, basadas en la confianza. Ninguna institución bancaria admitirá haber sido sujeto de malas prácticas o delitos. La clave del establecimiento del tipo y magnitud de la responsabilidad es la elaboración de un buen contrato de servicio Cloud, cuyo objeto principal debe ser el de fijar claramente los derechos y obligaciones de las sujetos del contrato, específicamente, las relativas al derecho a la información, el deber de consejo, de confidencialidad, … Pero todo ello depende de la ponderación de cada parte en el contrato, del domicilio de sedes administrativas o técnicas, de la competencia legal por la nacionalidad, de estudios jurídicos especializados .... Por ello, los servicios Cloud Públicos o Híbridos: Público-Privado tienen una mayor aceptación, no solo por las entidades públicas sino por las empresas Cloud establecidas en sede nacional o sometidas a su competencia. Keynes de retorno?

Carlos FERREYROS
cferreyros@ferreyros-ferreyros.com

Montpellier, Primavera 2019

No hay comentarios:

Publicar un comentario