Marco mínimo en las relaciones Cloud Computing
Marco mínimo en las relaciones Cloud Computing
Constantemente aparecen nuevos términos de servicios a través de Internet y todos tienen un gran impacto en la sociedad y, por ello, gran repercusión o interés para el mundo del derecho, más aún cuando hablamos de datos de carácter personal. Dichos servicios prometen ventajas atractivas para empresas y usuarios finales.
El Cloud Computing es una nueva forma de prestación de servicios donde el usuario no tiene necesidad de realizar inversión en infraestructuras, sino que utiliza las que pone a su disposición el prestador del servicio. En estos entornos, la gestión de la información está, de forma virtual, en manos del cliente que contrata los servicios cloud, quien la trata a través del acceso a soluciones tipo bases de datos, correo electrónico o cualquier otra aplicación que cubra sus necesidades.
«La contratación de servicios cloud computing debe realizarse siempre mediante un contrato de prestación de servicios que incorpore las garantías que contempla el propio art. 28 RGPD».
El cloud computing permite consumir recursos (igual que la electricidad) de software, almacenamiento, hardware e incluso servicios y comunicaciones distribuidos geográficamente a los que se accede a través de redes de forma dinámica.
Por cuanto al modelo de negocio, hablamos de un modelo basado en servicios prestados mientras existe una necesidad para el cliente y por el cual, éste, abona una tarifa sobre lo que consume. Más adelante veremos las diferentes modalidades en que se prestan los servicios cloud.
Uno de los principales puntos a considerar es que, en función del modelo cloud utilizado, los datos pueden no estar en manos del contratista, sino en manos de terceros. El contratista puede desconocer la localización precisa de sus datos y no disponer del control directo de acceso a ellos, de su borrado y de su portabilidad. No obstante, si dicha información contiene datos de carácter personal, sí será responsable desde el punto de vista del Reglamento 2016/679, General de Protección de Datos.
Tipos
No todos los servicios y proveedores de cloud computing son iguales, como tampoco lo son las relaciones que se establecen cliente-proveedor. Por lo tanto, se antoja necesario analizar los tipos de cloud computing de manera previa a hablar sobre las modalidades de servicios que se ofertan hasta la fecha.
Los tipos de cloud pueden clasificarse de diferentes maneras, en función del criterio al que se atienda, pero desde el punto de vista del RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, el criterio de categorización o clasificación de los sistemas en la nube es el de afección de la implementación al tratamiento de datos de carácter personal. Por ello hablaremos siempre de nube pública, nube privada y nubes híbridas.
«No todos los servicios y proveedores de cloud computing son iguales, como tampoco lo son las relaciones que se establecen cliente-proveedor».
De manera muy escueta podríamos calificar las nubes públicas como aquellas en las que el proveedor proporciona sus recursos de forma abierta a entidades heterogéneas, sin más relación entre sí que la suscripción de un contrato. Definimos la nube privada como aquella en la que una entidad que realiza la gestión y administración de sus servicios, manteniendo el control sobre la misma y sin que en la misma puedan participar entidades externas. No obstante, lo anterior, no necesariamente debe implementarse o está implementada por la entidad que la utiliza, sino que puede ser contratada a un tercero, quien actúa bajo su supervisión y en función de las necesidades definidas. Por último, las soluciones intermedias o nubes híbridas son aquellas que combinan el ofrecimiento de algunos servicios de forma pública y otros de forma privada. Dentro de esta última categoría encontramos nubes comunitarias y nubes privadas virtuales, implementadas sobre nubes públicas, pero con garantías de seguridad adicionales.
Recapitulando lo expuesto hasta ahora, los proveedores de cloud computing proporcionan acceso a recursos informáticos y ofrecen una serie de soluciones o servicios adicionales de valor añadido. Veamos entonces los tipos de modelos de negocio entorno a los sistemas en la nube.
Un factor determinante para la elección de la solución es el valor añadido que se aporte con ella a los clientes por parte de los proveedores. Así podemos tener una solución PaaS, IaaS o SaaS. Desarrollo, sin mayor complicación, cada una de ellas.
Hablaremos de un modelo de servicio SaaS (Software as a Service) cuando el usuario pueda encontrar en la nube herramientas finales con las que implementar procesos de su empresa. Un ejemplo serían los servicios, orientados a consumidores, de Google Docs o Microsoft Office 365.
Hablaremos de un modelo de servicio con un valor añadido nulo donde el proveedor proporciona capacidades de almacenamiento y proceso en bruto sobre las que el usuario ha de construir las aplicaciones que necesita su empresa desde cero. Este sería el modelo de servicio IaaS (Infrastructure as a Service) y puede decirse que es el modelo de nube más primitivo. Un ejemplo sería App Engine, de Google, Azure de Microsoft o Cloud de IBM.
Hablaremos de un modelo de servicio, intermedio a los dos anteriores, PaaS (Platform as a Service) cuando el proveedor proporciona utilidades para construir aplicaciones o entornos de programación sobre las que el usuario puede desarrollar sus propias soluciones. Un ejemplo de este modelo sería Amazon Web Services.
Riesgos
Como apuntábamos al inicio de este artículo, existen riesgos inherentes a la computación cloud que deben afrontarse mediante la correcta elección del proveedor. Podemos agrupar los riesgos asociados al cloud computing en dos categorías: falta de transparencia y falta de control.
«Existen riesgos inherentes a la computación cloud que deben afrontarse mediante la correcta elección del proveedor».
Por cuanto a falta de transparencia podría señalar la necesidad de articular en la relación contractual entre las partes, qué, quién, cómo y dónde se lleva a cabo el tratamiento de datos que se proporcionan al proveedor mientras dure la prestación de servicios. Ello cobra mayor relevancia si entendemos que la decisión adoptada por el responsable no podrá ser adecuada ni diligente si el proveedor no suministra información básica como la ubicación exacta de los datos, la existencia de subencargados, los controles de acceso a la información o el nivel de medidas de seguridad y ello no es sino consecuencia de la necesidad de evaluar previamente los riesgos en la prestación de servicios.
Atendiendo al segundo de los riesgos, la falta de control, ésta se manifiesta, por ejemplo, ante las dificultades para conocer la ubicación de los datos, disponer de ellos, o poder obtenerlos en un formato válido e interoperable. En definitiva, la falta de control se asocia al establecimiento de obstáculos para una gestión efectiva o la ausencia de control efectivo en la definición de los elementos sustantivos del tratamiento.
Derivado de lo expuesto podemos encontrar otros problemas asociados a las soluciones cloud, como son la portabilidad de los datos, la existencia de subcontratas y la localización y transferencia de los mismos.
Las soluciones de proveedores cloud pueden clasificarse como abiertas a la portabilidad o cerradas a la misma. Las primeras, es decir, abiertas a la portabilidad, facilitan al usuario o cliente la transferencia de todos sus datos y aplicaciones desde un proveedor cloud a otro garantizando la disponibilidad de los datos y la continuidad del servicio. No atender a esta peculiaridad puede suponer al final de la relación contractual una mayor dificultad para la transferencia de los datos y la continuidad de los servicios o, incluso, una imposibilidad de poder realizar la transferencia a un coste razonable haciendo, de facto, el que cliente esté cautivo del proveedor.
Debe el responsable observar también la existencia de subcontratas dentro del marco contractual que articule la relación pues, puede no tratarse de un prestador final si el servicio ofrecido al usuario se construye sobre la subcontratación a terceros de elementos para la implementación. Asimismo deberá observarse la posibilidad de subcontratación de los propios subcontratistas pues, si bien es cierto que el modelo de cadena de subcontrataciones tiene por objeto redimensionar continuamente los recursos en la nube y aumentar la competitividad en el mercado, también puede suponer una pérdida de la trazabilidad en el manejo de los datos.
En otro orden de cosas, un aspecto, en mi opinión, de suma importancia es identificar qué proveedores cloud están localizados en el Espacio Económico Europeo o en países que garanticen un nivel adecuado en la protección de datos. A tener en cuenta, además de la sede del proveedor, la localización física de los recursos empleados de forma directa o subcontratados.
Antes de atender a determinadas garantías contractuales, es importante preguntar al proveedor de servicios cloud si existirán transferencias de datos internacionales y las garantías de las mismas pues es obligación ex art. 30 RGPD incluirlas en el registro de actividades de tratamiento.
Garantías
Pasemos a ver, como os vengo prometiendo en todo el artículo, las garantías contractuales mínimas de toda relación entre clientes y proveedores cloud.
No resulta ajeno señalar que la contratación de servicios cloud computing debe realizarse siempre mediante un contrato de prestación de servicios que incorpore las garantías que contempla el propio art. 28 RGPD pues, tal como señala el primer apartado del citado artículo, el cliente que contrata a un prestador de servicios Cloud Computing tiene una obligación legal de diligencia para elegir “únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado”. Aspecto de suma importancia es que las opciones sobre la diligencia en la elección del encargado del tratamiento deben documentarse para poder acreditarla.
Este deber de diligencia se traduce, considerando las características de estos servicios, en un elenco de requerimientos de información al proveedor dirigidos a conocer las garantías que ofrece para la protección de los datos personales de los que, el cliente, sigue siendo responsable.
Por lo tanto, el contrato de prestación de servicios debe contemplar, al menos, los siguientes aspectos básicos:
- Instrucciones del responsable del tratamiento;
- Deber de confidencialidad;
- Medidas de seguridad;
- Régimen de subcontratación;
- Derechos de los interesados;
- Colaboración en el cumplimiento de las obligaciones de las partes;
- Destinos de los datos al finalizarse la prestación de servicios;
- Colaboración con el responsable para demostrar el cumplimiento.
Para finalizar, si atendemos a la relación contractual establecida entre el cliente y el proveedor de la nube, este contrato se puede clasificar como negociado o de adhesión.
Podremos decir que el contrato entre el cliente y el proveedor es negociado si el primero tiene, o se le ofrece, la capacidad para fijar las condiciones de contratación en función del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratación, la localización de los datos, la portabilidad de los mismos y cualquier otro aspecto de adecuación a la normativa de protección de datos y a las restricciones que esta regulación implica.
No obstante, lo anterior, en la mayoría de los casos, sin embargo, lo que se oferta son contratos de adhesión, constituidos por cláusulas contractuales cerradas en las que el proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos.
Este último caso es el más común, sobre todo cuando se encuentra el cliente en una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor), aunque hay que tener en cuenta que esto no eximirá, a ninguno de los dos, de las responsabilidades que determina la normativa de protección de datos.