Temas legales al contratar servicios de computación en la nube

El cloud computing llegó para quedarse. Ahora bien, se torna necesario analizar la regulación aplicable al contrato. Un experto evalúa los puntos a considerar a la hora de cerrar un acuerdo de este tipo, para asegurar el cumplimiento de la normativa aplicable

0

Sin darnos cuenta, todos contratamos servicios de computación en la nube. Alcanza usar Dropbox, Hotmail o Gmail. Incluso al hacer una búsqueda simple en Google. Hay servicios dedicados como Amazon, MS Azure o Google, entre muchas otras empresas.

Hay distintos tipos de servicios que se ofrecen como computación en la nube. La versatilidad es mucha, y permite a las empresas tener flexibilidad a la hora de contar con infraestructura y poder de cómputo. Los servicios de cloud computing o computación en la nube pueden ser catalogados como:

-Infraestructura como Servicio (IaaS): hosting o alojamiento web ordinario. El usuario paga una tarifa periódica por los Gb. consumidos o almacenados. Ejemplo, Amazon Web Services. Se compra el acceso al servidor o almacenamiento.

-Software como Servicio (SaaS): Se compra el acceso a una aplicación o programa. Este programa se ejecuta en el sistema de otra empresa, por ejemplo, Google Docs.

-Plataforma como servicio (PaaS): significa poder desarrollar aplicaciones haciendo uso de herramientas basadas en la Web para que se ejecuten en sistemas de software y hardware proporcionado p

El objetivo del artículo es enlazar el punto de interés común de empresas, organizaciones y usuarios a la hora de resguardar sus datos personales e información en la nube. Como siempre, es de interés general y no implica asesoramiento legal para un caso. 

 

Aspectos regulatorios básicos y contractuales del almacenamiento en la nube o cloud

 

Por Mariano J. Peruzzotti *

 

Cuestiones legales que debería tener en cuenta una empresa que almacena datos críticos en la nube.

Los servicios cloud pueden involucrar un universo de características y modalidades que dificultan establecer reglas aplicables a todos ellos; las clarificaciones alcanzan a una gran cantidad de servicios, tales como software, plataforma o, infraestructura brindada como servicio en la nube (software as a service, platform as a service, infrastructure as a service) así como las variables en que se ofrece la solución -nubes privadas, públicas o híbridas, etc. 

Más allá de la complejidad y variedad de servicios en cuestión, podemos establecer que desde el punto de vista legal una empresa que decida “migrar a la nube” deberá tener en cuenta varias diversas cuestiones; y ello incluye desde las reglas generales de contratación hasta las normas específicas en materia de protección de datos.

Además, cierta normativa sectorial puede establecer condiciones y/o restricciones al uso de los servicios cloud que deben ser tenidas en cuenta previo a la implementación de estas soluciones. En tal sentido, y a modo de ejemplo, en Argentina el Banco Central de la República Argentina dispone requisitos específicos en materia de outsourcing y tercerización que puede tener impacto en los servicios cloud.

Por ende, una adecuada evaluación legal debe incorporar no sólo las normas generales sino las específicas de la industria en cuestión.

La protección de datos personales y su impacto en los servicios cloud

En el caso puntual de Argentina, la Ley de Protección de Datos Personales N° 25326 (“LPDP”) regula la recolección, tratamiento y transmisión de datos personales e impone, entre otras, las siguientes obligaciones en cabeza de las empresas.

  • Procesar los datos personales de acuerdo a los principios establecidos por la LPDP.
  • Registrar las bases de datos en el Registro Nacional de Base de Datos.
  • En los casos en que los datos personales sean transferidos a jurisdicciones que no sean consideradas adecuadas  por la autoridad de contralor de la LPDP (hoy, por ejemplo, los Estados Unidos), se deberá considerar algún mecanismo que valide dicha transmisión, como ser la firma de un acuerdo de transferencia internacional con el importador de los datos o adoptar normas corporativas vinculantes.
  • Implementar las medidas de seguridad establecidas en la LPDP y normas complementarias.
  • Garantizar la confidencialidad de los datos personales e implementar los acuerdos de confidencialidad relevantes con los miembros y colaboradores de la empresa.
  • Compartir o transferir los datos personales solo en los casos en que se satisfagan los requerimiento y condiciones establecidos por la LPDP.
  • Permitir el ejercicio de los derechos de acceso, actualización, rectificación y supresión a los titulares de los datos personales y establecer un mecanismo a tal efecto.
  • Eliminar los datos personales de la base de datos cuando no sean más necesarios para los fines para los cuales fueron recolectados.

Las normas sobre protección de datos establecen otras obligaciones aplicables a los servicios cloud, como es el caso de la inclusión de cláusulas específicas que regulen el procesamiento de datos por encargo por parte del proveedor y que son exigidas por las regulaciones respectivas.

 

La superposición de normas en la nube

El almacenamiento físico de los datos en otro país puede implicar una posible superposición de normas. Esto requiere un análisis específico.

En materia de protección de datos, es importante destacar los distintos sistemas de regulación existentes en la materia para evaluar los eventuales conflictos que puedan derivarse de las diferentes normativas involucradas en el tratamiento de los datos. Hay dos modelos diferentes:

La Unión Europea ha implementado normativa comprehensiva en materia de protección de datos personales que aplica a todas las actividades y sectores (como es el actual Reglamento General de Protección de Datos Personales).

Por su parte, los Estados Unidos han adoptado un paradigma de regulación distinto, en tanto ciertas industrias han sancionado sus propias normas de privacidad pero no existe una única ley federal que reglamente este derecho. Algunos Estados han aprobado sus propias normas en materia de protección de datos y seguridad de la información, como es el caso de California.

 

Almacenamiento de datos en extraña jurisdicción y transferencias internacionales

El servicio de cloud computing implica en muchos casos que el procesamiento y almacenamiento de datos pueda realizarse en jurisdicciones distintas al país de recolección de los mismos. 

Esta situación debe ser tomada en consideración ya que puede dar lugar a la aplicación de leyes distintas a las existentes en los países de origen de los datos o de la residencia del titular de los mismos.

Es importante tener en cuenta que la autoridad local ha considerado el almacenamiento en la nube como una transferencia internacional de datos en los términos de la LPDP (Disposición N° 18/2015 de la anterior Dirección Nacional de Protección de Datos Personales). 

En lo referido a la transferencia internacional de datos, la LPDP establece una prohibición concreta cuando el destino de los mismos sean países u organismos internacionales o supranacionales que, a criterio de la autoridad de control, la Agencia de Acceso a la Información Pública, no proporcionen niveles de protección adecuados en materia de protección de datos personales. Esta restricción no será aplicable en los siguientes supuestos:

  1.     colaboración judicial internacional;
  2.     algunos supuestos relacionados con tratamientos médicos;
  3.     transferencias bancarias o bursátiles conforme la legislación aplicable;
  4.     transferencia se hubiera acordado en el marco de tratados internacionales; y
  5.     cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico

Adicionalmente, las transferencias a países que no cuenten con niveles adecuados de protección de datos personales se encuentran permitidas en aquellos casos en los que 

(i) se obtenga el consentimiento específico del titular, 

(ii) se celebre un acuerdo de transferencia internacional de datos personales entre el exportador y el importador de datos personales, o 

(iii) se implementen sistemas de autorregulación como el caso de normas corporativas vinculantes.

A través de la Disposición N° 60-E/2016 la Dirección Nacional de Protección de Datos Personales (anterior autoridad de control de la Ley de Protección de Datos Personales) reguló aspectos referidos a las transferencias de datos personales. 

Esa Disposición establece que los siguientes países poseen legislación adecuada en materia de protección de datos personales: Estados miembros de la Unión Europea y miembros del Espacio Económico Europeo, Suiza, Guernsey, Jersey, Isla de Man, Islas Feroe, Canadá únicamente en cuanto al sector privado, Nueva Zelanda, Andorra y Uruguay. Es decir, se ha considerado a tal efecto las declaraciones de adecuación emitidas por la Unión Europea. Posteriormente, se ha incorporado al listado al Reino Unido e Irlanda del Norte.

Esta misma Disposición aprobó dos modelos de contratos para ser empleados en transferencias internacionales de datos a países no incluidos en el listado anterior, tanto en caso de cesiones de datos como en los supuestos de prestación de servicios.

Si la transferencia de datos a países considerados no adecuados se realiza al amparo de cláusulas que difieren de los modelos aprobados o no contengan los principios, garantías y contenidos relativos a la protección de datos personales previstos en aquellos modelos, entonces se deberá presentar el contrato a la autoridad a los efectos de su análisis y aprobación en el plazo de 30 días corridos desde su firma.

Por su parte, la Agencia de Acceso a la Información Pública implementó a través de la Resolución N° 159/2018 una regulación que dispone el contenido mínimo que deben presentar los sistemas de autorregulación, como es el caso de las normas vinculantes corporativas (Binding Corporate Rules), para validar las transferencias internacionales a países que no proporcionen un nivel adecuado en materia de protección de datos personales.

Cabe señalar que diversas normas en el mundo disponen de restricciones similares a las existentes en Argentina en materia de protección de datos personales. 

Por ende, es recomendable encarar una evaluación del marco legal vigente en el país de destino de los datos para conocer si la transferencia internacional está sujeta al cumplimiento de alguna condición específica.

 

La ubicación física del centro de datos donde se almacena la información

En rigor, no existe una obligación específica de informar la ubicación precisa de los servidores. No obstante, algunas normas en materia de transferencia internacional de datos pueden exigir que se informe a las autoridades nacionales en materia de protección de datos el país de destino de la información y, por ende, la localización de los servidores. 

En el caso de Argentina, al momento de registrar las bases de datos los formularios respectivos contemplan la necesidad de informar las transferencias internacionales, en particular, el país al cual se envían los datos.

Adicionalmente, las regulaciones en materia de protección de datos pueden prever el deber de informar al titular del dato el país al cual se transfiere la información de carácter personal a través de las políticas de privacidad o documentos similares.

 

La seguridad informática en servicios cloud

La seguridad de la información almacenada en la nube constituye una de las cuestiones fundamentales a considerar al momento de contratar un servicio cloud. En tal sentido, quienes intervengan en el tratamiento de los datos personales deberán asegurar el cumplimiento de las medidas exigidas por la legislación argentina como así también alcanzar los estándares de mercado, como las normas internacionales que rigen en la materia.

La LPDP establece en cabeza del responsable o usuario de la base de datos, la obligación de adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos personales, con el objetivo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado y de poder detectar desviaciones, intencionales o no, de dichos datos, independientemente de la fuente de la provengan los riesgos.

En esa línea, la Agencia de Acceso a la Información Pública ha dictado la Resolución N° 47/2018 mediante la cual estableció un listado de medidas técnicas y organizativas que apuntan a garantizar la seguridad de los datos personales. 

La implementación de estas medidas no es de carácter obligatorio sino que constituyen recomendaciones para la administración, planificación, control y mejora continua de la seguridad de la información.

Adicionalmente, se debe considerar como parámetros de servicio el cumplimiento de los requerimientos establecidos por los estándares ISO 27001 y 27018. 

Dichas normas detallan los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información. 

Específicamente, la norma ISO 27018 apunta a proteger aquellos datos que se almacenan en servidores cloud. En este sentido, proporciona a los consumidores de servicios cloud una herramienta para verificar y auditar los niveles de complimiento de las regulaciones por parte del proveedor. 

Es altamente recomendable que el contrato de servicios cloud prevea un mecanismo de reporte de incidentes de seguridad que pueda afectar los activos de la empresa contratante. 

En tal sentido, el proveedor debe obligarse a informar a la empresa todo suceso que pueda comprometer las bases de datos a la mayor brevedad posible de haber tomado conocimiento del incidente.

El proveedor también debería asistir a la empresa en la investigación y durante el plan de remediación respectivo así como en la preparación de los reportes a las autoridades en los casos que corresponda, entre otras tareas.

 

Otros elementos que debe considerar el contrato con el proveedor cloud

Más allá de las cláusulas contractuales habituales, tales como objeto, duración del contrato, obligaciones de las partes, cláusulas de salida, entre otras, los contratos de servicios cloud deben considerar cuestiones adicionales vinculadas a las características de la prestación.

Estas cláusulas deben prever, en forma ideal, el establecimiento de un mecanismo claro de colaboración conjunta entre las partes para atender cuestiones relativas al cumplimiento de las normas en materia de protección de datos personales, en especial, en lo relativo a los derechos de los titulares de datos y a la seguridad de la información.

Cabe señalar que no es posible establecer una regla general en materia de negociación contractual que aplique a todos los servicios cloud considerando las distintas variables en cuanto a las prestaciones ofrecidas, las características del proveedor, etc. En ciertos casos, las posibilidades de negociación son escasas en virtud de las condiciones establecidas por el oferente; en otros casos el proveedor puede tener una posición más abierta a la discusión de los términos del servicio.

Más allá de esta cuestión se debe procurar incluir en el contrato la garantía por parte del proveedor de cumplir con los niveles de servicio comprometidos y los plazos de respuesta para el canal de atención ante reclamos o pedidos de asistencia o mantenimiento.

Además, será necesario incluir la obligación explícita del proveedor de garantizar la seguridad y confidencialidad de la información que el responsable de la base de datos almacenará en su servidor. 

Tal como se indicó precedentemente, también se debe incluir en el contrato las cláusulas sobre procesamiento de datos personales exigidas por las normativas respectivas.

A continuación se enumeran algunas otras cuestiones que deben ser consideradas al momento de redactar o negociar el contrato con un proveedor cloud

La seguridad de la información

La empresa contratante del servicio de nube deberá asegurarse que su proveedor de servicios cloud cuenta con las herramientas de seguridad necesarias para impedir potenciales incidentes de seguridad. Para esto, el proveedor deberá contar con un plan de medidas de seguridad tanto preventivo como reactivo, protocolos y políticas

Garantías de responsabilidad

La empresa debe constatar que el proveedor del servidor cuente con las medidas técnicas y organizativas necesarias para garantizar el correcto funcionamiento de la solución contratada así como la adopción de toda otra medida necesaria para llevar adelante el servicio de manera adecuada y conforme a las obligaciones contractuales y legales respectivas. 

En este sentido, la empresa podría eventualmente exigir al proveedor la contratación de un seguro de caución con la finalidad de respaldar su indemnidad en casos de violaciones o incumplimientos legales o contractuales, aunque en Argentina esta no es una práctica tan difundida.

Solvencia del proveedor

Considerando el riesgo que implica la contratación de soluciones cloud, el análisis de la solvencia patrimonial y financiera del proveedor no puede pasar por alto. 

La empresa debe asegurarse de que el proveedor cuente con respaldo suficiente para brindar el servicio de manera efectiva, evitando potenciales perjuicios.

Acceso a los datos almacenados una vez concluído el contrato

Las cláusulas de salida del contrato deben ser claras y brindar a la empresa contratante herramientas ágiles para poder recuperar y disponer de la información en forma rápida y eficiente concluido el vínculo contractual, independientemente de la causa que la motive.  

 

 

Algunos casos que se plantearon sobre el uso de cloud computing

Entre los casos jurisprudenciales más relevantes sobre el almacenamiento de datos en la nube, encontramos los siguientes:

  •       Caso Google Spain

Otro de los casos más relevantes en cuanto a protección de los datos personales y, en particular, respecto a la extraterritorialidad de las normas de privacidad de datos, es el caso Google Spain en el cual un usuario solicitó ante la Agencia Española de Protección de Datos que se suprimieran enlaces que aparecían al establecer su nombre en el buscador.

Frente a dicha solicitud, Google se limitó a suprimir los vínculos en las búsquedas efectuadas desde su buscador en la Unión Europea y propuso un bloqueo geográfico que eliminaba la posibilidad de consultar la información problemática desde dispositivos del país de residencia de la persona afectada, para dar así mayores garantías de que nadie de su entorno próximo pudiera tener acceso a la misma.

No considerando esto suficiente, la entidad francesa multó a Google en 100.000 euros, decisión que fue recurrida por el buscador.

El Tribunal de Justicia de la Unión Europea en la sentencia consagró el “derecho al olvido” de los usuarios. Así, estableció que los motores de búsqueda como Google deberán respetar las normas de protección de datos de las Unión Europea, en el sentido que los usuarios tengan acceso a reclamar la supresión de aquellos enlaces que se vinculen con su nombre y contengan sus datos personales.

En conclusión, en este caso se entendió que la directiva europea aplicaría a las empresas locales como también a las extranjeras, siempre y cuando hubiese una relación.

  •        Caso Schrems c/ Facebook

Maximilian Schrems, usuario de la red social Facebook, inició acciones contra Facebook Irlanda ante el Tribunal de Justicia Civil en Viena, por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook.

La cuestión fue sometida a decisión (en cuanto a la interpretación del derecho aplicable) del Tribunal de Justicia de la Unión Europea, el cual declaró inválidas las transferencias internacionales a los Estados Unidos de América con base en el puerto seguro o Safe Harbor.

El Safe Harbor constituía un sistema de autorregulación que las empresas norteamericanas podían suscribir y adherirse para validar las transferencias internacionales desde la Unión Europea a los Estados Unidos, país que es considerado como no adecuado para la transferencia internacional de datos. Por ende, la anulación del Safe Harbor derivó en la necesidad de tener que acordar un nuevo mecanismo para legitimar las transferencias internacionales de datos. 

Las tratativas concluyeron en la aprobación del “Privacy Shield”, el cual fortalecía ciertos principios generales incorporados en el Safe Harbor y dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos.

Posteriormente, Max Schrems presentó una nueva reclamación cuestionando la validez de los mecanismos de transferencia de datos, tales como el Privacy Shield y las cláusulas contractuales estándar aprobadas por la Unión Europea.

Recientemente, el Tribunal de Justicia de la Unión Europea declaró invalido el Privacy Shield mientras que legitimó el uso de las cláusulas contractuales estándar en la medida que se realice un análisis sobre el grado de cumplimiento de sus disposiciones.

  

  •     Caso  “P.A.E. c/ Facebook Argentina S.R.L. s/ Medida autosatisfactiva”

El actor, en representación de sus hijos menores de edad, solicita el dictado de una medida autosatisfactiva contra de la red social Facebook Argentina S.R.L., para que elimine las publicaciones en las que se hace uso de imágenes o del nombre de sus hijos.

También pidió que se ordene a determinados perfiles de esa red abstenerse de habilitar el uso de enlaces, blogs, foros, grupos, sitios de fans o cualquier otro espacio web dentro de ella, en las que se ofenda, agreda, vulnere, menoscabe o afecte de cualquier manera el nombre, honor imagen, intimidad y/o integridad de los mismos.

La Cámara concede parcialmente la medida y ordena la baja de ciertos contenidos. El tribunal entiende que aun cuando el procesamiento de los datos es realizado por una entidad extranjera (Facebook Inc.), la conexión existente con la filial local, constituida bajo la ley argentina y sometida a ella, que realiza una actividad comercial vinculada con el servicio de la primera, deriva en la aplicación de la norma local.

 

  •       G. c/ Google Argentina SRL y Google LLC

La controversia surge, según la persona afectada, a raíz del ingreso indebido de un tercero a su cuenta de Gmail, modificando su contraseña y eliminando el historial de acceso a todos los dispositivos que se encontraban vinculados. Como consecuencia de ello, según su relato, la reclamante había perdido el acceso a un conjunto de información valiosa que obraba en el correo electrónico y en otras aplicaciones relacionadas (Google Drive, Google Fotos, YouTube). Al no recibir una respuesta positiva a los pedidos de acceso a sus cuentas, la damnificada presenta una denuncia ante la Agencia de Acceso a la Información Pública.

La Agencia de Acceso a la Información Pública, luego de investigar el caso decide aplicar una sanción a Google Argentina SRL y Google LLC por incumplimiento de la obligación de otorgar el derecho de acceso al titular afectado. 

Para así resolver la autoridad local toma las consideraciones del fallo Google Spain del Tribunal Superior de Justicia de la Unión Europea del que diéramos cuenta arriba y determina que Google Argentina es corresponsable por la administración del servicio de Gmail que presta su matriz, Google LLC, en virtud de la interdependencia económica que existe entre las empresas mencionadas.

 


 

* El autor es abogado graduado por la Universidad de Buenos Aires. Ha cursado la maestría en derecho empresarial en la Universidad de San Andrés. Es especialista en derecho tecnológico, privacidad y propiedad intelectual. Ha obtenido la certificación como profesional de la privacidad otorgada por la International Association of Privacy Professionals (CIPP/E). Se desempeña laboralmente en el Estudio Marval O’Farrell & Mairal.

 

foto

foto

Deja una respuesta

Enviar comentarios sobre la nota. Su dirección de correo electrónico no será publicada. Esta sección no es para realizar consultas ni asesoramiento legal, que debe procurarse abogado/a.