Los CIOs preguntan sobre Cloud

Gracias por Compartir

RESPONDE:

Janette Colamarco, Directora de LegalTech, asesora legal, especialista en Legislación, Asuntos Regulatorios y Políticas Públicas en Telecomunicaciones y TICs.

1.- ¿Si bien la oferta de servicios en la nube sigue en aumento, (qué organismo) quién garantiza/avala que el servicio ofrecido cuenta con profesionales de TI aptos, la infraestructura y plataforma adecuadas para cumplir con los SLA (Acuerdo de Nivel de servicio) ofrecidos?

En la prestación de servicios de tratamiento de información de manera virtual también llamados Cloud Computing o Computación en la Nube, existen algunas modalidades de prestación de servicio, como son:

• Software como Servicio o Software as a Service (SaaS),
• Plataforma como Servicio o Platform as a Service (PaaS) e
• Infraestructura o Infrastructure as a Service (IaaS)

En cualquiera de estas modalidades, estamos ante una relación de carácter contractual, mediante el cual una persona ofrece y presta a otra un servicio, a cambio de una contraprestación.

Las relaciones contractuales pueden presentarse en el ámbito del derecho privado y del derecho público. En el caso de los servicios en la nube por regla general estamos antes una relación contractual de derecho privado, es decir entre particulares en los que prima la autonomía de la voluntad y que se encuentran en condición de igualdad. En este tipo de relaciones, el Estado puede participar también, ya sea, como proveedor de servicios o como usuario de los mismos, pero como un particular más, es decir sin ejercer una potestad pública.

Sin embargo, existen también casos en que estaremos ante una relación contractual de carácter público, cuando el Estado interviene ejerciendo su potestad pública para la consecución de algún interés público y por tanto estarán sujetas a ciertas condiciones especiales previstas en el ordenamiento jurídico.

Con éstos antecedentes, en la prestación de servicios en la nube, que por regla general se desarrollan en el campo del derecho privado, no existe un organismo o entidad que controle, garantice o avale el servicio ofrecido, pues las condiciones serán acordadas libremente entre las partes o aceptadas o no, por los usuarios en los casos de contratos de
adhesión.

En este sentido, una de los mecanismos para precautelar que el nivel de servicio ofrecido sea cumplido conforme lo pactado, son las cláusulas contractuales, en las que se establezca de manera precisa y clara, los siguientes puntos:

• Descripción del servicio.
• Parámetros de calidad a los que se ajustará el mismo.
• Derechos y las obligaciones de las partes.
• Cláusula penal o multa, en caso de incumplimientos o retrasos; y
• Resolución de Controversias, que determina el procedimiento y autoridad al que se someten las partes ante situaciones de conflicto relacionadas con las condiciones contractuales pactadas. Dentro de los procesos de resolución de controversias más escogidos son la mediación y/o el arbitraje, y la vía judicial.

En el ordenamiento jurídico ecuatoriano, la Ley Orgánica de Defensa del Consumidor es la norma general que protege de los derechos de los usuarios y consumidores de servicios ante el incumplimiento en la prestación, interrupción o mala calidad de los servicios prestados. De
acuerdo a la mencionada Ley, la entidad encargada de atender reclamos y quejas relativos a la prestación de servicios por parte de proveedores es la Defensoría del Pueblo.

2- ¿Cómo se manejan los temas legales que se deben cubrir en los servicios en la nube: acceso/confidencialidad de la información, cumplimientos técnicos, seguridad?

Los contratos de prestación de servicios usualmente constan de las siguientes cláusulas:

a) Comparecientes
b) Lugar y fecha de suscripción
c) Objeto
d) Derechos y Obligaciones de las partes
e) Precio y forma de pago
f) Duración
g) Resolución de Controversias

Sin embargo, al ser un contrato en el que la información adquiere gran relevancia, se precisa de cláusulas que precautelen de manera rigurosa,este activo estratégico para las empresas. En consecuencia, no deben faltar cláusulas de Confidencialidad y Privacidad de la Información, en las que se determine responsabilidades en caso de uso no autorizado o
mal uso de ésta; así como de existencia de estrictas medidas de seguridad para los empleados que tienen acceso a la información del cliente.

También se deberá analizar y plasmar en el contrato las Medidas Técnicas de Seguridad que ofrece el prestador del servicio para garantizar el resguardo de la información.  Paralelamente, el objeto del servicio, como se dijo anteriormente, deberá estar claramente detallado, así como la cláusula que determine los Parámetros de Calidad del Servicio, disponibilidad, redundancia, resiliencia y otros aspectos técnicos que comprenda el servicio.

Finalmente, a las cláusulas antes determinadas deberá incluirse una Cláusula Penal o Multa en la que se determine un valor a favor del cliente en caso de retrasos o incumplimiento en las condiciones acordadas. A través de esta cláusula se evita que el usuario deba probar
el perjuicio que le generó el incumplimiento.

En los contratos de adhesión, esto es, en los que el instrumento contractual es redactado unilateralmente por el contratista y el usuario se adhiere o no al mismo, es importante leer el contrato y optar por el prestador que ofrezca las mejores condiciones frente a la necesidad del cliente y cuyas cláusulas cumplan con el ordenamiento jurídico vigente.

3.- Confidencialidad, ¿qué sucede con los datos de los servidores en donde se almacena la información? ¿Por más acuerdos que se firmen, existen casos en los cuales las infraestructuras han sido vulneradas y las empresas que tenían cloud han sufrido algún tipo de perjuicio sobe todo relacionado con un servicio de calidad, qué se debería hacer en esos casos a nivel legal?

Efectivamente, existen casos de conocimiento público, en el que las empresas que prestan servicios de tratamiento de datos han sido objeto de delitos informáticos. Partamos de la idea de que todo avance tecnológico trae consigo ventajas y riesgos, dentro de éstos últimos, están os ataques informáticos, que ofrecen a los delincuentes un nuevo campo
de acción.

Ante esta realidad, las empresas que prestan éstos servicios están en constante búsqueda y desarrollo de nuevas tecnologías que precautelen la seguridad de sus sistemas o plataformas, pues de ello depende el crecimiento y prestigio de sus negocios.

Desde el punto de vista legal, los usuarios deben informarse adecuadamente de las medidas de seguridad y estándares de calidad que aplican las empresas contratadas; así como la política de la empresa respecto al manejo de la información por parte de terceros, ejm:
empleados. Es vital también que en el contrato se determine la posibilidad o no de transferencia de la información a terceros, tercerización o subcontratación de los servicios y de existir dicha opción, los mecanismos para autorizarla.

Adicionalmente, el Código Orgánico Integral Penal tipifica delitos contra la protección de los datos y la confidencialidad de la información, frente a los cuales, los perjudicados, que podrían ser en el caso de los servicios en la nube, los clientes, tendrían la potestad de iniciar acciones penales en contra de la empresa prestadora del servicio y/o contra terceros en caso
de cometimiento de ilícitos, como los tipificados en los artículos:

Art.178.- Violación a la Intimidad.
Art. 180.- Difusión de Información de Circulación Restringida.
Arts. 229.- Revelación Ilegal de Bases de Datos.

4.- ¿Qué requisitos legales son necesarios para asegurarnos ( los CIO, gerentes de Tecnología) que la información esté totalmente privada?

En relación a este punto, como ya se anotó, el contrato debe contener una estricta cláusula de confidencialidad que establezca la obligación de reserva de la información por parte de la Empresa que presta el servicio, así como de los terceros que tengan acceso a la información por cuenta de la empresa. Al respecto, la prestadora del servicio deberá tener suscritos
contratos de confidencialidad con sus dependientes o empleados u otras personas naturales o jurídicas que intervengan en la relación contractual.

Es fundamental también, que el proveedor cuente con estrictas medidas de seguridad para la protección de sus sistemas e infraestructuras, tales como cifrado de datos, encriptación de los mismos u otros mecanismos técnicos que brinden confianza al usuario.

Ecuador no cuenta con una ley de protección de datos personales pero sí tenemos en nuestra Constitución normativa relativa a la confidencialidad de la información y protección de la información de carácter personal; así como normativa sobre este derecho en varios cuerpos legales.

• Constitución de la República del Ecuador

Art. 66 numerales:
#19 Derecho a la Protección de Datos de Carácter Personal.
#20 Derecho a la Intimidad Personal y Familiar.
#21 Derecho a la Inviolabilidad y al Secreto de la Correspondencia.

Este derecho protege cualquier otro tipo o forma de comunicación.

• Ley de Comercio Electrónico, Firmas y Mensajes de Datos:

Art.5 Confidencialidad y Reserva de Mensajes de Datos
Art.9 Protección de Bases de Datos para su elaboración o utilización se requiere consentimiento.
Art.49 Consentimiento para el uso de Medios Electrónicos, para promocionar, o permitir el acceso a la información.

• Ley Orgánica de Comunicación

Art. 30.- Información de circulación restringida.
Art. 31.- Derecho a la protección de las comunicaciones personales.

• Ley Orgánica de Telecomunicaciones

Art. 24 #14 Obliagciones de los Prestadores de Servicios de Telecomunciaciones.
Art. 78 Derecho a la Intimidad
Artículo 82.- Uso comercial de datos personales.

5.- ¿Cloud en el exterior. Si existe algún litigio. ¿Cómo garantizo la confiabilidad de la información y que no va a ser pasada a un tercero o un gobierno?

Muchas empresas que prestan servicios en la nube subcontratan con terceros el tratamiento de los datos, en actividades tales como: gestión, almacenamiento, infraestructura, etc. en el exterior, a fin de abaratar costos o para enfocarse en el corazón de sus negocios, lo cual no debe ser visto como una práctica indebida o ilegal.

La garantía de confiabilidad respecto a la privacidad y manejo de la información de los clientes está dada por la transparencia en la información que brinde el proveedor del servicio, en la facultad del cliente de conocer dónde están sus datos y quién los maneja, así como el
borrado de los mismos en los casos en que así lo requiera.

Por otro lado, el cliente debe conocer la política de confidencialidad y seguridad del proveedor del servicio y las normas de protección de datos en el país en donde tiene sede la compañía, pues existen países que ofrecen mayor garantías de protección que otros. En muchas legislaciones como la de la Comunidad Europea y en muchos países en latinoamérica existe normativa que precautela que los datos personales no puedan ser transferidos a terceros sin autorización. En Estados Unidos no existe una ley tipo de protección de datos, las controversias se resuelven caso por caso.

Finalmente, ante un evento de litigio entre un cliente ecuatoriano y un proveedor extranjero se aplicarán las normas de derecho internacional privado, dando preponderancia al principio de autonomía de la libertad que rige para esta esfera del derecho, es decir prima la ley aplicable que hayan acordado las partes en el contrato, siempre y cuando no contravenga normas internas expresas de los Estados involucrados.

Gracias por Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *