La "nube" o cloud computing es un modelo de gestión tecnológica basado en diversos servicios informáticos. Sus posibilidades son amplísimas, tanto para utilizar programas, plataformas, infraestructura y otras funcionalidades. Basta ver como surgen, además de las ya clásicas tipologías de SaaS (software como servicio), IaaS (infraestructura como servicio) y PaaS (plataforma como servicio), otras variantes como servicios de big data, de comunicaciones unificadas, de contenedores, de seguridad, de gestión y de almacenamiento, y nada impide que aparezcan más.
Ejemplos cercanos hay muchos, como el almacenamiento de datos en Google Drive, Dropbox, iCloud, Onedrive, Amazon Web Services, entre otros; el hospedaje de sitios web; el back up de bases de datos; los site de contingencia para recuperación de desastres; el análisis de big data; la conexión de dispositivos de Internet de las cosas, por mencionar algunos servicios cloud.
Sin embargo, más allá de las innegables ventajas técnicas y de gestión que puede ofrecer la nube, el tema de la seguridad de la información es esencial y, dentro de éste, el de la protección de datos personales.
La seguridad en la nube se aplica a todo tipo de información, como datos estadísticos y transaccionales, y obviamente, también puede comprender datos personales, es decir, cualquier información concerniente a personas naturales, como la de nuestros clientes, proveedores, trabajadores o la de nosotros mismos. En este caso, debemos recordar que esos datos cuentan con regulaciones específicas, que ponen su énfasis en la seguridad (bueno, al menos así ocurre en el resto del mundo).
“El problema de fondo para la protección de datos personales en la nube radica en que el titular pierde control sobre ellos y los derechos que le reconoce la ley pueden volverse impracticables”.
Dada la frecuencia cada vez mayor de estos servicios, me parece útil explicar algunas ideas a tener en cuenta para proteger los datos personales en la nube. Sin embargo, en esta oportunidad revisaré el tema únicamente desde el punto de vista del titular de los datos personales, aunque también hay otras particularidades según se trate del responsable del registro o del proveedor del servicio en la nube.
El problema de control del titular de datos en la nube
Legalmente, los “titulares de datos” son personas naturales a quienes conciernen los datos, sea porque los identifican o porque se refieren a sus características o comportamientos.
Para los efectos de un servicio en la nube, lo relevante no es el hecho de que yo sea quien contrate directamente el servicio, sino el que los datos estén vinculados a mí. Dicho de otro modo, soy titular de los datos, sea que yo mismo los almacene en un servidor en la nube o también, cuando un tercero autorizado para utilizarlos, los entrega a un proveedor de servicios cloud.
El problema de fondo para la protección de datos personales en la nube radica en que el titular pierde control sobre ellos y los derechos que le reconoce la ley pueden volverse impracticables. Por ejemplo, para ejercer el derecho de acceso cuando el tratamiento se realiza fuera del país.
También el titular pierde control directo sobre los procesos tecnológicos que se realicen sobre sus datos, en especial sobre las medidas de seguridad que protegerán su información ante amenazas de pérdida, daño, accesos y revelaciones no autorizadas, o indisponibilidad.
Por último, el titular tampoco tiene mucho control a nivel contractual, ya que rara vez puede negociar las cláusulas que rigen el servicio cloud. Por el contrario, solo se le permite adherir o no a un contrato tipo, normalmente redactado de forma críptica, sin una posición de igualdad entre las partes. No en vano, es característico en los contratos en la nube, la dependencia del cliente hacia el proveedor (conocida como vendor lock in).
Por lo tanto, para el titular es fundamental contar con garantías de seguridad altas, para equilibrar esa falta de control sobre sus datos.
¿Cómo saber si sus datos están protegidos en la nube?
Como primera idea, tenga presente que en este punto nos movemos sobre la base de expectativas. No hay nada garantizado. Acá no podemos confiarnos en lo que diga una ley o un contrato, en las medidas de seguridad que declare el proveedor cloud ni en su prestigio como empresa.
Únicamente podemos evaluar que tan riesgoso para nuestros derechos será el exponer nuestros datos a un ambiente cloud y asumir que siempre existirán amenazas sobre la información.
Ninguna ley, contrato ni tecnología es capaz de eliminar por completo la posibilidad de un acceso no autorizado a la base que contiene nuestros datos. Tampoco harán desaparecer los ataques dirigidos a dañarlos o a impedir que podamos recuperarlos oportunamente.
En definitiva, como nada se puede garantizar hay que tener especial cuidado en exigir medidas de control apropiadas a los riesgos del tratamiento de datos en servicios en la nube.
La vía para saber qué tan seguros estarán nuestros datos se basa fundamentalmente en la información que proporcione el proveedor del servicio cloud, en lo que declare y, sobre todo, en lo que comprometa a nivel contractual.
Reconozco que resulta poco auspicioso basar nuestra tranquilidad solo en una cláusula, más aún si la redacta quien se auto-obliga a respetarla. Lo ideal sería que el titular de datos tuviera herramientas más eficaces, por ejemplo, visitas previas a las instalaciones en donde se alojarán o procesarán sus datos o la posibilidad de auditar al proveedor a través de un ente externo, para verificar la veracidad de lo que ha declarado en el contrato y para comprobar que las medidas de seguridad que dice tener el proveedor de servicios cloud se encuentran realmente implementadas y funcionando correctamente.
Pero ello es muy poco frecuente, de modo que es fundamental conocer el contrato que rige ese servicio en la nube. Hay que cerciorarse de que el proveedor incluya obligaciones de seguridad bien definidas, que luego el cliente pueda exigir que se respeten, incluso judicialmente.
¿Qué aspectos de los contratos cloud son especialmente riesgosos?
Dentro de esa revisión previa del contrato cloud que debería hacer como titular de los datos que se almacenarán o utilizarán, es importante poner especial cuidado en algunas cláusulas, ya que pueden ser determinantes sobre qué tan equilibrada será la relación. Solo por mencionar algunas, recomiendo revisar:
1. SLA o acuerdos de nivel de servicio.
Esta cláusula incluye los compromisos de cumplimiento contractual del proveedor cloud. Por lo tanto, es importante que resulten razonables y permitan satisfacer las expectativas del cliente.
Por ejemplo, si el contrato admite que el servicio esté indisponible por largo tiempo, se pueda interrumpir frecuentemente, se reaccione con lentitud en la recuperación de los datos o no exista ninguna consecuencia en caso de infracción al SLA, el titular aceptó unas pésimas condiciones y, sin duda, tendrá más de un dolor cabeza con ese contrato.
2. Subcontratación.
Se recomienda averiguar si el servicio en la nube lo prestará directamente la empresa con la que se suscribe el contrato o si ésta lo subcontratará con otra.
Desde el punto de vista del cliente que es titular de los datos, es mejor la primera situación, más aún si el proveedor cloud llega a subcontratar con una empresa localizada en otro país o que no reúna el mismo grado de seguridad.
3. Limitaciones de responsabilidad.
Vaya directamente a esta cláusula y, por favor, léala hasta comprenderla. En los contratos de adhesión suelen existir casos en donde el proveedor morigera tanto su responsabilidad, que termina siendo muy difícil exigir que responda ante incidentes o incumplimientos.
4. Devolución y eliminación de los datos.
Los contratos terminan tarde o temprano, bien o mal. Por lo tanto, es necesario que se pacte el procedimiento bajo el cual el proveedor devolverá los datos del cliente y, sobre todo, debe estipular la forma en que eliminará efectivamente esa información de sus sistemas y de qué modo entregará evidencia de ello.
5. Procedimientos para ejercer derechos
Un buen contrato de servicios en la nube en donde se realice tratamiento de datos personales debe incluir información clara sobre los derechos que puede ejercer (reconocidos en la ley de datos personales) y los procedimientos para hacerlos efectivos ante dichas empresas.
¿En qué dirección puedo pedir acceso a mis datos? ¿A quién contacto para ello? ¿En cuánto tiempo recibiré respuesta? ¿Cómo puedo pedir la eliminación o la rectificación de datos? ¿Cómo pido la portabilidad de mis datos? ¿Ante quien se puede reclamar si no hay respuesta oportuna y correcta?
Si el contrato no lo indica, lamentablemente le anticipo problemas.
“La vía para saber qué tan seguros estarán nuestros datos se basa fundamentalmente en la información que proporcione el proveedor del servicio cloud, en lo que declare y, sobre todo, en lo que comprometa a nivel contractual”.
En síntesis, para el titular de los datos, es esencial revisar el contrato de servicios en la nube. Así podrá evaluar su riesgo y decidir la conveniencia o no de entregar su información a esas empresas.
Sin embargo, nunca olvide el sentido común. Si tiene una información muy importante para usted, con datos que no quisiera que conocieran terceros o si la empresa a quien se los pretende entregar no le da garantías claras de que los cuidará, tal vez el ambiente cloud no sea el mejor camino para usted, pese a las ventajas de gestión que ofrezca.
Nuestro estudio ofrece servicios de asesoría en la elaboración y revisión de contratos cloud.
Si requiere apoyo, no dude en contactarnos aquí.