600 likes | 709 Views
“Aspectos legales del cloud computing ”. Andrés Pumarino M Abogado 17 noviembre 2010. Abogado, Univ. Adolfo Ibañez . Magíster en Gestión de Negocios Univ. Adolfo Ibañez .
E N D
“Aspectos legales del cloudcomputing”. Andrés Pumarino M Abogado 17 noviembre 2010
Abogado, Univ. Adolfo Ibañez. Magíster en Gestión de Negocios Univ. Adolfo Ibañez. Postitulo en Derecho informático en la Facultad de Derecho de la Univ. de Chile. Postitulo en Gestión de Negocios en la Univ. Adolfo Ibañez. Profesor del Magíster de TI y Gestión de la PUC y de la Univ. Oberta de Cataluña, España. Socio Director de Lega Luminance Asesor de empresas Miembro del Instituto Chileno de Derecho y Tecnología. Miembro del Comité Editorial de Diario Pyme, y la Revista Topcomm en Colombia. Director General Académico DuocUC. www.pumarino.cl
ASPECTOS LEGALES DEL CLOUD COMPUTING Introducción Clasificación Ventajas y desventajas Aspectos Legales y Contractuales relevantes
Regulación y Empresa Empresa (CIO - CEO) Norma Legal 4
Organización y Estructura Rentabilidad y Productividad Ventaja Competitiva Protección del activo y de la información en la empresa 6
Modelos de prestación de servicios a través de la nube (I) Infraestructura como servicio: Forma más simple de externalizar. (Outsourcing) Alquiler de almacenamiento y capacidad de computación. El Usuario instala y utiliza las aplicaciones de informáticas de su elección. Deslocalización de los servidores puestos a disposición del usuario. Puesta a disposición del Usuario de los recursos en función de sus necesidades. Cobro, según el consumo real de capacidad.
Modelos de prestación de servicios a través de la nube (II) Software como servicio : Software a través de internet El proveedor tecnológico se encarga de la instalación, mantenimiento y configuración de sistemas operativos y aplicaciones. El software podrá estar ubicado en cualquier parte y podrá ser utilizado por cualquier cliente. Suministrado, por regla general, a muy bajo costo.
Modelos de prestación de servicios a través de la nube (III) Plataformas como servicio: Plataforma para el desarrollo de aplicaciones informáticas utilizando una plataforma de programación en la nube. Abarca, generalmente, todo el ciclo completo de la vida de una aplicación, permitiendo que el programador diseñe, analice, desarrolle, teste, documente y ponga en marcha aplicaciones todo en un sólo proceso.
Clasificaciones de la Nube Pública Son gestionadas y pertenecen a terceros, se encuentran fuera de las instalaciones del usuario. Acceso por todo tipo de Usuarios
Clasificaciones de la Nube Privada: Se denominan también: Nube Interna o corporativa. Acceso restringidos a los miembros de una organización. Utilizadas por aquellas organizaciones que quieren tener un control mayor sobre su información. Puede estar gestionada por la propia organización o por un tercero. Puede estar ubicadas en las instalaciones de la organización o en la de un tercero Hibrida o mixta: Combinación de los anteriores. La que será utilizada con mayor frecuencia por las empresas.
Riesgos: Un uso y abuso del cloud computing pone en riesgo a la organización. Les Recomiendo revisar el documento de la Cloud Security Alliance www.cloudsecurityalliance.org
Ventajas y desventajas Conectividad: El acceso a los recursos en la nube depende de la conexión a Internet. Nivel de conexión a la nube del 100% es imposible. Falta de conexión puede dar lugar a la paralización de la empresa. Incremento de las necesidades de ancho de banda puede dar lugar a un aumento de los costos. Seguridad de la Información: Pérdida de control por el Usuario de la gestión de la seguridad de la información alojada en la nube. Acceso de terceros no autorizados. Pérdida o alteración de datos. Infracciones de propiedad intelectual por los usuarios.
Ventajas y desventajas Posible Incompatibilidad con otros Proveedores: Riesgo muy alto de cautividad respecto del proveedor de servicios. Iniciativas dirigidas a promover una nube abierta que permita a los distintos agentes actuar con plena libertad garantizándose un régimen de libre competencia. El Open Cloud Manifesto establece una serie de principios para garantizar una nube abierta. Colaboración abierta y un adecuado uso de los estándares para hacer frente a los retos que ofrecen la implantación de la nube. Los proveedores de servicios no deben retener a los usuarios en determinadas plataformas impidiendo la libertad de elección. Cuando sea pertinente los proveedores deben utilizar los estándares vigentes. Los nuevos estándares que se adopten deben promover la innovación y en ningún caso restringirla http://www.opencloudmanifesto.org http://www.opencloudmanifesto.org
Posibles colisiones con derechos de propiedad intelectual y su seguridad La nube puede ser un entorno poco seguro para poner contenidos sujetos a PI de consumo típicamente lineal (películas, música, e-books) a disposición de terceros ondemand o retransmitir linealmente (streaming), puesto que la captación “pirata” de la transmisión o puesta a disposición del contenido da lugar a una copia “pirata” que puede ser comercializada. No obstante, es un entorno seguro para ejecutar contenidos sujetos a PI de consumo típicamente interactivo (software, videojuegos) que vayan a ser usados o consumidos interactivamente en la nube de forma que sólo se puedan ejecutar en la nube, sin acceder al archivo que los contiene en el servidor y sin que se puedan copiar ni instalar en el terminal propio del usuario.
Profundizando Aspectos Legales: Protección de datos Supuesto La puesta disposición de la información al Proveedor de Servicios constituye un tratamientos de datos por un tercero, lo que puede dar lugar a una cesión sin consentimiento de datos (tema regulado débilmente en Chile por la ley 19.628) Soluciones jurídicas Redacción de un Contrato de encargado de tratamiento con proveedor que regule el tratamiento de Datos.
Protección de Datos Supuesto La deslocalización de los servidores puede dar lugar a transferencias internacionales de datos, no autorizadas. En Chile la Ley de Protección de la vida Privada 19.628 no se pronuncia sobre la transferencia internacional de dato, tenemos una debilidad como usuarios. Si se traslada la información a servidores ubicados en el extranjero. Si se produce acceso a la información desde un país extranjero. Soluciones jurídicas: Posibilidad de transferencia a países con nivel de protección adecuado. Formalizar el Contrato para realización de transferencias internacionales de datos.
Protección de Datos Supuesto: La gestión de servicios en la nube provoca que el Usuario pierda el control sobre la gestión de la seguridad siendo necesario la implantación por el Proveedor y por el Usuario de las medidas dirigidas a proteger la integridad y confidencialidad de los datos y de la información. Soluciones jurídicas: Garantía de la implantación de las medidas de seguridad por el Proveedor a nivel contractual. Redacción del documento de seguridad en función de los compromiso adquiridos en el contrato por cada parte. Recomendable que acredite certificaciones de cumplimiento de normativa (ISO).
Protección de Datos Control de acceso El carácter multi-tenancy de los servicios a través de la nube provoca que varios usuarios estén utilizando los mismos recursos de un modo simultaneo lo que puede dar lugar a que se produzcan accesos no autorizados a la información y que no se segregue la misma adecuadamente. Soluciones jurídicas: Regular en el contrato de encargado de tratamiento la obligatoriedad de compartimentalizar la información al objeto de evitar que se mezcle con la de otros usuarios. Inclusión de las medidas correspondientes en el Documento de Seguridad.
Protección de Datos Supuesto El Usuario está obligado por el contrato a realizar copias de seguridad de determinada información al objeto de impedir su perdida. En la medida en que dicha información está gestionada a través de la nube se pierde el control por parte del Usuario respecto de la ejecución de las mismas. Soluciones jurídicas: Necesario regular en el contrato de Encargado de Tratamiento a quien corresponde la obligación de llevar a cabo las mismas. Inclusión el Documento de seguridad dicha obligación en función de los compromisos adquiridos por las partes.
Protección de Datos Supuesto La pérdida de gestión de control de los sistemas de información por parte del Usuario dificultan el conocimiento de aquellas quiebres de seguridad que pudiesen producirse en las infraestructuras del Proveedor. Soluciones jurídicas: Regulación por vía contractual de los mecanismos para la notificación de incidencias por parte del Proveedor al Usuario, así como la redacción de un Protocolo para la gestión de las mismas. Inclusión del procedimiento en el Documento de Seguridad del Proveedor.
Aspectos laborales Supuestos: En cuanto que la gestión de los sistemas utilizados por los Usuarios se realiza por un tercero el cumplimiento del deber de vigilancia de la actividad de los empleados por parte del Usuario se ve limitada. Por otro lado, el Proveedor debe comprobar el adecuado uso de los servicios por parte de los empleados del Usuario. Riesgo de intromisión en los derechos a la intimidad del trabajador La posibilidad de acceder desde cualquier punto de conexión puede dar lugar: Uso fraudulento de la identidad de los usuarios finales. Extracción de la información y violación de las obligaciones de confidencialidad.
Aspectos Laborales Soluciones jurídicas Implantación de un protocolo uso de herramientas informáticas dirigido a los trabajadores en los que se informe: Del uso que deben hacer de las aplicaciones ubicadas en la nube, tanto profesional como privado que dependerá de las características de la aplicación. De la gestión de los nombres de usuario y contraseña. De las consecuencias, sanciones, por un uso inadecuado. De quien va a hacer el seguimiento y control de la actividad en la nube De la obligación de secreto por parte de los Usuarios.
Temas procesales Supuesto La utilización de la nube puede producir una deslocalización de la información y de la custodia de los datos o de la información, pudiendo ser custodiado por diferentes entidades. Soluciones jurídicas Necesario preparar un procedimiento para gestionar la creación de evidencias electrónicas validas en juicio y un protocolo de actuación que regule las solicitud de las mismas bien por parte de la administración o bien por parte del cliente. Creación de una base de datos central de conocimiento en el uso de la nube identificando quién custodia los datos, que tipo de datos son, y el uso que se realiza de los mismos. El objetivo es poder tener una idea de la ubicación de los datos para cubrir las necesidades de acceso a los mismos en supuestos de litigios o aportación de los mismos a juicio.
Aspectos Procesales (II) Los contratos de la nube que supongan una creación, uso o almacenamiento de datos en un tercero deberán incluir las siguiente previsiones: Aclarar la propiedad de los datos. Acceso a los datos: quien, cuando, donde y como. Costos para la identificación o búsqueda de la información. Retención de datos: mínimo y máximo de retención, formato. Destrucción y/o procedimiento de devolución de los datos y verificación. Almacenamiento de datos, segregación y requisitos de seguridad. Descubrimiento y/o reunión y concesión de participación. Capacidad de conservación: identificación, ubicación, recuperación, grabación. Auditoría de cumplimiento de los extremos anteriores. Penas por incumplimiento. (Cláusulas penales)
Propiedad Intelectual Supuesto Los usuarios querrán acceder y usar la nube en sus propios términos, beneficiándose del acceso y uso a los servicios, contenidos y software que proporciona el proveedor en la nube y de su deslocalización, pero también querrán que su propia propiedad intelectual sobre sus contenidos y software creados en la nube y/o almacenados en ella sea protegida. Soluciones jurídicas Incluir en el contrato y en la política de uso de acceso a la nube las condiciones para establecer ese equilibrio entre la responsabilidad debida por los usuarios al ejecutar y usar los contenidos, servicios y software ajenos desde la nube, y las medidas de seguridad y protectoras de la PI de los usuarios a garantizar por el proveedor.
Propiedad Intelectual (II) Supuesto La utilización de las aplicaciones alojadas en la nube puede dar lugar a la generación de creaciones intelectuales merecedoras de protección en materia de propiedad intelectual. Indefinición respecto a la titularidad de dichas creaciones intelectuales. Soluciones jurídicas Incluir en el contrato el régimen de titularidad de derecho sobre las creaciones intelectuales que se incluyen en la nube.
Propiedad intelectual (III) Supuesto La deslocalización, propia de la nube, puede dar lugar a la utilización del contenido ajeno, software ajeno o de los servicios que se prestan a través de ésta desde jurisdicciones donde está prohibido su uso o no se encuentra autorizado. Soluciones jurídicas Necesario incluir en el contrato las restricciones de uso de la nube respecto de aquellos territorios desde donde no resulta viable, y establecer los mecanismos de control electrónico para que ese contenido o software ajeno no se puede ejecutar en tales territorios. O bien renegociar y ampliar las licencias existentes entre los terceros proveedores de software, contenidos o servicios y el proveedor de servicios en la nube, para que sus usuarios puedan desde cualquier jurisdicción.
Propiedad Intelectual (IV) Supuesto La posibilidad que el usuario utilice: El servidor en la nube para poner contenidos y software ajenos a disposición de terceros El servicios de almacenamiento remoto para almacenar una copia de contenidos y software, desde la que hacer reproducciones. Así, los usuarios ponen al proveedor de estos servicios en la nube en riesgo de responsabilidad legal por las infracciones de propiedad intelectual que con ello comentan. Soluciones jurídicas Necesario incluir en el contrato las asunción expresa e inequívoca por parte de los usuarios de toda responsabilidad por estos actos potencialmente ilícitos Establecer en el contrato y en la política de uso de los servicios en la nube que su proveedor se reserva la facultad de monitorizar y eliminar los contenidos y software ajenos que los usuarios suban a la nube, en atención a criterios que afecten a derechos de terceros, intereses públicos, etc.
Aspectos Contractuales Cláusulas más habituales: Modelo Contractual Condiciones Generales: Contrato de adhesión El receptor de los servicios deberá equilibrar: Los riesgos que supone la utilización del servicio El ahorro financiero La usabilidad del servicio Contratos negociados En la medida en que los servicios se vayan haciendo más complejos las partes podrán negociar un contrato a medida Las partes deberán asegurarse de que el contenido del contrato se ajusta a sus necesidades: Durante la vigencia del contrato En el momento de la resolución Deberá contar con los mecanismos correspondientes que permitan la minoración de los riesgos
Aspectos Contractuales: Cláusulas más habituales Alcance de los Servicios Autorización para el Uso del Servicio En muchas ocasiones se cede el servicio en su conjunto, no las aplicaciones que forman parte del mismo. En función del Proveedor ¿Fin de la licencia de software, tal y como la conocemos? Identificación del prestador del servicio, es decir si van a ser prestados directamente por el proveedor o si van a ser prestados por terceros. En ese caso habría que determinar que parte de los servicios van a ser prestados por esos terceros. Cesión a terceros del Contrato.
Aspectos Contractuales: Cláusulas más habituales Usuarios Tipos: Usuarios Principales. Usuarios Finales: Pertenecientes a la organización del Usuario Principal y dependientes del mismo. Requisitos: Titularidad de la Cuenta. Nombre de Usuario. Contraseña. No tener la condición de competidor. No pertenencia a jurisdicciones donde los servicios se encuentren prohibidos
Aspectos Contractuales: Cláusulas más habituales Condiciones de Uso del Servicio Finalidades a la que va a destinarse la información alojada en la nube Responsabilidades respecto de la gestión de la Información alojada en la nube Prohibición del Usuario de alterar el Servicio Uso de la información que pudiera suministrar el proveedor Confidencialidad Finalidades autorizadas Posibilidad de revender y sublicenciar el Servicio Cesiones a terceros Condiciones relativas a la exportación de servicios y productos
Aspectos Contractuales: Cláusulas más habituales Monitorización Dadas las características de la prestación del servicio, fuera del control del cliente, y su forma de pago, en función del uso, es muy importante reflejar de un modo claro los términos del cumplimiento Es necesario reflejar, la facultad del Usuario para poder monitorizar el funcionamiento del servicio y de este modo poder comprobar lo siguiente: Las medidas de seguridad necesarias, los controles y las políticas dirigidas a garantizar la integridad de los datos. Que el nivel de prestación del servicio es el pactado por las partes. Contar con un SLA es vital para poder garantizar el control del funcionamiento del Contrato El SLA es la base para base para determinar los niveles de cumplimiento perseguidos por las partes con motivo de la celebración del Contrato.
Aspectos Contractuales: Cláusulas más habituales Contenido: Los procedimientos de gestión ante posibles incumplimientos del SLA y las sanciones a imponer en caso de incumplimiento: Personas de contacto Plazos Modo de descripción de los incidentes Criterios de validación de las incidencias. Los mecanismos de compensación establecidos para los casos de incumplimiento: Cláusulas penales Créditos, abonos de servicio. Actuaciones dirigidas a la subsanación de los incumplimientos
Aspectos Contractuales: Cláusulas más habituales SLA Los servicios objeto de prestación por parte del proveedor. Instrumentos a emplear para poder medir el cumplimiento del servicio y los recursos utilizados por el usuario. El nivel de disponibilidad y las circunstancias controladas o no que pueden dar lugar a la falta de cumplimiento de los niveles de servicio pactadas. Exclusiones del ámbito de aplicación del SLA: Servicios no comprendidos Situaciones fuera del control del prestador de servicios: Casos de Fuerza Mayor Problemas relacionados con las redes de telecomunicaciones Paradas programadas En tanto que se va a producir cierta escalabilidad en la asignación de recursos y que durante los procesos de escalado se producen incumplimientos del SLA es preciso determinar cuales son los parámetros que se van a tener cuenta durante esas fases a la hora de valorar si se ha producido la efectiva prestación de los servicios.
Aspectos Contractuales: Cláusulas más habitualesResolución Causas: Finalización Plazo de vigencia Resolución Amistosa Requisitos Notificación Cierre cuenta del Usuario Impagos Violación de las condiciones del servicio Usos fraudulentos de la cuenta Daños al sistema Quiebras, situación de concurso: Recomendable establecer mecanismos contractuales que permitan al Usuario poder recuperar la información
Aspectos Contractuales: Cláusulas más habitualesResolución El cumplimiento con todas las obligaciones legales y normativas que resulten de aplicación. Es habitual cierto relajamiento en cuanto al cumplimiento de las mismas durante estos periodos de transición.
Aspectos Contractuales: Cláusulas más habitualesConsecuencias de la Resolución Cese de los derechos otorgados Devolución de la información Plazo Modo Formato Condiciones económicas Destrucción de la Información Si solicitado por el Usuario Si se dan determinadas circunstancias
Aspectos Contractuales: Cláusulas más habitualesConsecuencias de la Resolución Conservación de la Información por el Prestador de Servicios: Con carácter previo a la devolución: Condiciones económicas Una vez devuelta la misma al Usuario Requisitos: Técnicos Cumplimiento de obligaciones legales por parte del Prestador de Servicios