Publicaciones

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Cloud computing: riesgos corporativos e implicaciones jurídicas

 | Actualidad Jurídica Aranzadi, Nº 863
José Ramón Morales

La adopción por empresas y administraciones de soluciones basadas en la computación en la nube (cloud computing), con previsiones de crecimiento espectaculares , transforma significativamente la gestión corporativa de la información. En este artículo abordaremos sumariamente (1) implicaciones jurídicas ligadas a riesgos corporativos relevantes exclusivamente desde la óptica del cliente corporativo privado (no del proveedor, ni del cliente consumidor), y (2) medidas tendentes a mitigar riesgos desde la óptica jurídica.

 

Simplificando mucho, «computación en nube» consiste en el almacenamiento, tratamiento y utilización de datos en ordenadores a distancia a través de Internet (representada gráficamente como una “nube”), lo que proporciona al usuario una capacidad informática casi ilimitada y a voluntad, que accede a sus datos de forma ubicua con una conexión a Internet y sin necesidad de inversiones significativas . A semejanza de la electricidad, en el entorno cloud los recursos de computación se consumen en el volumen exacto que solicita el usuario (bajo demanda) que se mide para que la facturación se ajuste según lo efectivamente consumido (pago por uso).

Presenta, para las organizaciones que lo implantan, ventajas como ahorros de costes (evita pagos por licencia e inversiones en servidores) y mayor agilidad, flexibilidad y escalabilidad, dándole acceso a mayores recursos de computación a menor precio. Los gobiernos promueven activamente la computación en la nube por su capacidad de potenciar la competitividad de empresas, administraciones y la economía en general .

Junto a ventajas, se apuntan preocupaciones y potenciales riesgos que el modelo plantea, sobre disponibilidad del servicio, seguridad y privacidad, y problemas de integración tecnológica o de dependencia del proveedor. La percepción de riesgo se acentúa por el impacto mediático de ciertos incidentes de seguridad o de indisponibilidad del servicio sufridos por conocidos proveedores de servicios cloud y que dejan a clientes sin capacidad temporal de utilizar determinados sistemas .

I. Modelos de servicio, modelos de implementación y particularidades

Las distinciones más frecuentes agrupan los distintos tipos de servicios cloud en modelos de servicio y modelos de implementación.

Los modelos de servicio atienden a la capa de arquitectura que controla el proveedor: en Infraestructura como Servicio (IaaS), se provee al cliente, como servicio, exclusivamente el uso de infraestructura informática (almacenamiento, procesamiento); en Plataforma como Servicio (PaaS), se pone además a disposición del cliente un conjunto de plataformas informáticas para desarrollo, testeo, despliegue, almacenamiento y mantenimiento de sistemas y aplicaciones del cliente; y en Software como Servicio (SaaS), se pone a su disposición una aplicación como servicio bajo demanda (solución completa, llave en mano, sin que el cliente necesite una solución instalada). Resulta esencial determinar en cada caso quién controla cada una de las capas de la arquitectura cloud, para poder analizar los riesgos que pueden generarse.

Los modelos de implementación atienden a la existencia o no de uso compartido de infraestructuras para proporcionar el servicio multiusuario. Aquéllos que se basan en compartir infraestructuras para dar servicio multiusuario (Cloud Público y Cloud de Comunidad) permiten al proveedor mayor optimización de recursos y ofrecer unos precios más reducidos, pero despiertan mayor desconfianza en clientes corporativos si no está debidamente garantizado el aislamiento de la información y aplicaciones. Por contra, las soluciones cloud que generan mayor confianza a clientes corporativos son aquéllas en que el grado de compartición de recursos con otros clientes es nulo (Cloud Privado) o limitado (Cloud Híbrido).

II. Apunte sobre el marco legal

No existe una regulación específica sobre computación en la nube, aunque debe tenerse en cuenta normas con importantes implicaciones en su despliegue, tanto de aplicación general (seguridad de la información y tratamiento de datos personales; custodia de determinados documentos, como las facturas), así como regulaciones sectoriales particulares (p.ej., outsourcing bancario).

Diversas autoridades regulatorias han tratado de dar respuesta a algunos de los retos que suscita el cloud computing. En relación con la privacidad de los datos de carácter personal en entornos cloud, destacan los emitidos por el Grupo de Protección de Datos del Artículo 29 y la AEPD .

III. Rasgos específicos que plantea la adopción de soluciones cloud

La arquitectura organizativa y tecnológica de los servicios cloud presenta particularidades relevantes frente al modelo tradicional de gestión, entre las que cabe destacar: menor grado de control por parte de la organización cliente (menor capacidad de influir directamente en el rendimiento de aplicaciones o infraestructuras, y pérdida de control directo sobre datos); mayor movilidad de datos y menor transparencia para el cliente sobre la localización de servidores y sobre subcontratistas; y uso intensivo de recursos compartidos, lo que acrecienta determinados riesgos relacionados con el aislamiento lógico y jurídico de la información.

La intensidad de estos factores varía según el modelo de servicio o de implantación que se adopte, y de la arquitectura de servicio específica. Además, en la práctica la exigencia de analizar y mitigar los riesgos cobra mayor protagonismo dependiendo del perfil de la organización cliente (dimensión, presión regulatoria, aversión al riesgo), existiendo perfiles de cliente que otorgan mayor peso a las ventajas del modelo cloud relativizando la evaluación de riesgos.

IV. Principales riesgos identificados en el ámbito jurídico

1.Riesgos relacionados con la calidad y disponibilidad del servicio

La falta de control directo del cliente sobre los recursos necesarios para el funcionamiento de los sistemas en un entorno cloud, le expone en mayor medida a las incidencias que se produzcan fuera de su propia esfera organizativa (problemas de conectividad con los sistemas del proveedor, e incidencias en el entorno organizativo del proveedor y subcontratistas). El cliente queda también más expuesto a situaciones jurídicas o de facto que afecten al proveedor .

Esto puede traducirse en problemas de disponibilidad (interrupciones, que por severidad pueden comprometer la continuidad del negocio) o de calidad del servicio, con posible impacto en los negocios del cliente: actividad comercial, proceso productivo, relaciones con clientes, empleados o colaboradores, puntual cumplimiento de sus obligaciones legales o contractuales, e imagen en el mercado. Con las consecuencias negativas que puede representar para el cliente, en forma de ventas dejadas de realizar y oportunidades de negocio perdidas, costes para atender o minimizar el impacto de interrupciones, indemnizaciones a terceros (incumplimiento legal o contractual), sanciones administrativas o penales, pérdida de ventaja competitiva, o impacto reputacional negativo.

2.Riesgos relacionados con la gestión y control de la información

Estos riesgos son una de las principales preocupaciones que las empresas citan en relación con el uso de soluciones cloud. En este sentido se identifican algunos factores específicos que pueden generar un riesgo incremental respecto de otros modelos de gestión, entre otros: mayor exposición de los puntos de acceso; problemas con la segregación y aislamiento de datos; más elementos fuera del perímetro de seguridad del cliente; alto grado de concentración de información en una ubicación (atractivo de los servidores cloud como objetivo de amenazas a la seguridad) .

Esto podría llegar a incrementar el riesgo de incidentes y brechas de seguridad de datos, de mal uso de los datos, o de fallos en la migración, retorno o destrucción de datos. Adicionalmente, cabe destacar como un riesgo específico el de incumplimiento de obligaciones sobre protección de datos de carácter personal; el Grupo de Protección de Datos del Artículo 29 ha advertido que el despliegue de los servicios de computación en la nube puede provocar riesgos para la protección de datos de carácter personal derivados de la falta de control sobre los datos o la insuficiente información sobre el tratamiento (transparencia sobre el cómo, dónde y por quién los datos son tratados o subtratados, con el riesgo de que acaben siendo tratados en jurisdicciones que no proporcionan un nivel de protección de datos equivalente sin cumplir las debidas garantías legales) .

Las consecuencias negativas para el cliente incluyen, entre otras, costes internos o externos para remediar y notificar a los afectados las brechas de seguridad o minimizar su impacto, indemnizaciones a terceros (incumplimiento legal o contractual), sanciones administrativas o penales, pérdida de ventaja competitiva, o impacto reputacional negativo.

3. Riesgo de excesiva dependencia del proveedor

La preocupación por la excesiva dependencia del proveedor (común en escenarios de externalización), se puede agravar en entornos cloud por el mayor número de elementos ajenos a la organización del cliente, que pierde el control directo sobre la infraestructuras, aplicaciones y datos.

Esta dependencia puede conducir a situaciones indeseables para el cliente de deficiencias de interoperabilidad con otras plataformas y proveedores integrados en los sistemas del cliente, o de portabilidad de las aplicaciones o datos que dificulten la transición a otro proveedor.

4.- Incertidumbre sobre marco jurídico aplicable

Puede ocurrir que, por falta de transparencia de la oferta, el cliente no conozca de antemano la ubicación de su información, lo que podría dejarle inadvertidamente expuesto (o al menos su datos y aplicaciones) a legislaciones de otros países, y que se produzcan accesos a dicha información por investigaciones judiciales o gubernamentales ajenas a su propia jurisdicción.

Adicionalmente, puede plantear dificultades la determinación de la ley aplicable en ciertos casos, con la complejidad de ubicar los puntos de conexión en entornos cloud (p.ej lugar de prestación de los servicios, lugar de producción del daño) .

V. Mecanismos de prevención y protección para la organización cliente

1. Establecer una política corporativa con las condiciones que deban aplicarse al contratar entornos cloud , para contrastar cada proyecto con un marco de referencia global y adoptar decisiones informadas gestionando adecuadamente los riesgos asociados. Los aspectos objeto de esta política corporativa incluirían los objetivos estratégicos, el procedimiento de aprobación de iniciativas cloud (incluyendo la valoración del proyecto y sus riesgos, la selección del proveedor), requisitos técnicos (seguridad y privacidad, portabilidad, interoperabilidad), tratamiento específico que requieran determinadas aplicaciones, infraestructuras o datos; y los requisitos mínimos para su contratación.

2. Realizar una valoración previa rigurosa de los riesgos asociados al proyecto por los departamentos corporativos relevantes. Debería examinarse la adecuación del modelo de servicio y de implementación; posibles restricciones legales o contractuales que le afecten; riesgos detectados y medidas para gestionarlos y mitigarlos; y otros aspectos relevantes (impacto sobre las coberturas de seguro). Particular atención deberá prestarse a los riesgos relacionados con el tratamiento de datos personales .

3. Realizar un proceso de revisión para seleccionar proveedor , que proporcione al cliente un adecuado conocimiento sobre aspectos críticos en la evaluación del riesgo, como la calidad del servicio y continuidad del negocio (calidad, experiencia/capacitación y estabilidad del proveedor, su planes de continuidad de negocio); el control y la gestión de datos (forma de almacenamiento y medidas de aislamiento, localización de servidores); subcontratistas que intervendrán; capacidad de cumplir con exigencias en materia de datos personales; medidas de seguridad implantadas; historial de seguridad; sistemas de gestión de incidentes de seguridad; y factores que puedan generar dependencia respecto del proveedor (interoperabilidad, portabilidad).

4. Negociar la inclusión en el contrato que se formalice con el proveedor de previsiones para mitigar determinados riesgos.

Son importantes a estos efectos las cláusulas sobre alcance del servicio; niveles de servicio y disponibilidad comprometidos; localizaciones desde las que se podrán prestar; obligaciones del proveedor en materia de seguridad y de protección de datos; responsabilidad del proveedor (interrupciones, incumplimiento de SLAs, pérdida o daño de datos, o incidentes de seguridad o ruptura de confidencialidad); facultades de terminación anticipada del contrato; colaboración del proveedor en la migración; y extracción y devolución de aplicaciones y datos.

La pretensión del cliente de mitigar determinados riesgos asociados al entorno cloud mediante la inclusión de cláusulas en el contrato puede encontrarse con una posición poco receptiva del proveedor a alejarse de sus términos contractuales estándar, máxime cuando se trate de servicios con un alto componente de industrialización y a precios muy reducidos respecto de soluciones tradicionales, cuando ello puede representarles asumir costes o responsabilidades adicionales .

En todo caso, sin perjuicio de la capacidad de negociación de que en cada caso dispongan las partes, los límites y obligaciones que en materia de gestión de riesgos vengan impuestos sobre la organización cliente por razón de exigencias regulatorias o corporativas, condicionarán también el margen de que dispone el cliente en la negociación del contrato.