Aspectos legales y normativos luis vinatea

CLOUD COMPUTING: ASPECTOS

LEGALES Y/O NORMATIVOS

Luis Vinatea Recoba

Socio de Miranda & Amado Abogados

Profesor de la Pontificia Universidad Católica del

Perú

Cloud Computing

Definición

Sistema que permite el acceso por red bajo demanda a un conjunto

compartido de recursos informáticos configurables (redes, servidores,

almacenamiento, aplicaciones y servicios) que pueden proporcionarse y

servirse rápidamente con un esfuerzo mínimo de gestión o interacción por

parte del proveedor del servicio (definición del US National Institute of

Standards and Technology).

Cloud Computing

Tipos de Nube

Nubes públicas: Gestionadas por terceras personas ajenas al Cliente.

Accesibles para todo tipo de Clientes y Usuarios.

Nubes privadas: Puede ser gestionada por el mismo Cliente o por un

tercero. El acceso es restringido al Cliente y a quiénes este designe. Es

utilizada por las organizaciones que desean tener mayor control sobre su

información.

Nubes híbridas: Combinan los dos tipos anteriores. El Cliente es

propietario de una parte de la nube y comparte otra. Es necesario

determinar la distribución de las aplicaciones.

Cloud Computing

Participantes

Proveedor: Persona física o jurídica que presta el servicio en un sistema

de computación en nube.

Cliente: Persona física o jurídica que suscribe un contrato con el

Proveedor de servicios de computación en nube.

Usuario (final): Persona física que usa realmente los servicios de

computación en nube en un contexto específico. Puede coincidir o no con

el Cliente.

Cloud Computing

Funcionalidad

Acceso a través de Internet.

Pago por consumo.

Escalabilidad.

Puede ser utilizado por varios Usuarios a la vez (Multitenancy).

Deslocalización.

Cloud Computing

Modelos de prestación de servicios

Infraestructura como Servicio (“IaaS”, por sus siglas en inglés): Permite

que el Cliente ejecute cualquier software, sistema operativo y equipos

incluidos en los equipos del Proveedor.

Plataforma como Servicio (“PaaS”, por sus siglas en inglés): El

Proveedor ofrece una plataforma para que el Cliente pueda desarrollar sus

propias aplicaciones o servicios.

Software como servicio (“SaaS”, por sus siglas en ingles): El Cliente y/o

el Usuario usan una aplicación proporcionada por el Proveedor.

Cloud Computing

Implicancias Legales y/o Normativas

1. Prestaciones involucradas

Proveedor Cliente

Provee acceso a, provee la plataforma o gestiona los recursos informáticos objeto del servicio (propios, del cliente o de terceros)

Paga por el servicio

Conserva la información proporcionada por el Cliente en virtud del servicio contratado

Cloud Computing


2. Naturaleza jurídica

Cloud Computing no es un servicio de telecomunicaciones regulado.

El Proveedor y el Cliente establecen una relación jurídica de tipo civil.

Las partes deben regular dicha relación jurídica mediante la suscripción

de un contrato privado.

Cloud Computing


3. El Contrato

Contratos por adhesión

Para servicios Cloud Computing estandarizados.

El Cliente acepta o rechaza íntegramente las condiciones del servicio fijadas por el Proveedor.

Contratos negociados

Cuando el Cliente necesita servicios Cloud Computing personalizados, adecuados a sus necesidades particulares.

El Cliente y el Proveedor fijan conjuntamente las condiciones de la prestación del servicio.

Cloud Computing


El Contrato debe prever todas las condiciones de la prestación del servicio

Cloud Computing:

a) Modelo de servicio contratado;

b) Precio del servicio;

c) Deber del Proveedor de guardar confidencialidad respecto de la información entregada;

d) Responsabilidad del Proveedor sobre la información entregada por el Cliente (pérdidas, intromisiones, deterioro, etc.);

e) Periodo de tiempo en el cual se prestará el servicio;

f) Qué hacer con la información entregada al culminar la relación.

Cloud Computing


Cláusulas recomendadas:

a) Servicios objeto de prestación por parte del Proveedor;

b) Autorización del Proveedor para el uso del servicio;

c) Consentimiento del Cliente para que el servicio sea prestado por terceros subcontratados por el Proveedor (de ser el caso);

d) Cesión de posición contractual (de ambas partes);

e) Responsabilidades respecto de la gestión de la información alojada en la Nube;

f) Prohibición del Cliente y/o Usuarios de alterar el servicio prestado;

g) Posibilidad o no de revender o sublicenciar el servicio;

h) Términos de cumplimiento de las prestaciones;

Cloud Computing


i) Facultad del Cliente de monitorear el funcionamiento del servicio

(medidas de seguridad, controles y políticas dirigidas a garantizar la

integridad de la información, etc.);

j) SLA (Service Level Agreement);

k) Mecanismos de compensación ante incumplimientos del SLA

(penalización, créditos, abonos de servicio, etc.);

l) Causales de suspensión del servicio (uso indebido, falta de pago,

emergencias en materia de seguridad, interrupciones programadas,

etc.);

m) Condiciones de la suspensión y del levantamiento de la suspensión;

n) Causales de resolución / Consecuencias de la resolución del Contrato.

Cloud Computing


4. Protección de Datos Personales

El servicio Cloud Computing puede implicar el tratamiento (recopilación,

registro, almacenamiento, comunicación por transferencia o por difusión,

conservación, etc.) de datos personales.

Pese a la naturaleza civil de la relación contractual, las partes deberán

observar la Ley 29733, Ley de Protección de Datos Personales, que regula

el adecuado tratamiento de datos personales incluidos en bases de datos.

* Solo algunas partes de la Ley están vigentes (sección Tratamiento de Datos Personales), la

vigencia total está condicionada a la emisión del Reglamento.

Cloud Computing


A efectos del tratamiento, el Titular del Banco de Datos (el Cliente)

requiere obtener el consentimiento del Titular de los Datos Personales

(personas cuyos datos personales forman parte de la información

entregada al Proveedor).

El tratamiento de los datos personales puede ser encargado a un tercero

denominado el “Encargado del Banco de Datos Personales” (en el caso del

Cloud Computing, el Proveedor).

El Titular del Banco de Datos –el Cliente-, debe verificar que el Encargado

del Banco de Datos –el Proveedor- cumpla las obligaciones normativas

sobre tratamiento de datos personales.

Cloud Computing


La prestación del servicio Cloud Computing podría implicar que los datos personales sean mantenidos en servidores ubicados en el extranjero.

Conforme a la Ley de Protección de Datos Personales (Artículo 15), la transferencia internacional de datos personales está permitida solo si el país destinatario de los mismos (donde están ubicados los servidores) mantiene niveles de protección adecuados, similares a los previstos en dicha norma.

Lo señalado anteriormente no se aplica cuando el Titular de los Datos Personales haya otorgado su consentimiento previo, expreso e informado, para la transferencia internacional de su información personal.

Cloud Computing


5. Propiedad Intelectual

El Contrato deberá contener previsiones sobre derechos de propiedad

intelectual del Proveedor respecto de las aplicaciones creadas y puestas a

disposición del Cliente.

En el caso de los modelos Plataforma como Servicio (PaaS) e

Infraestructura como Servicio (IaaS), el Contrato deberá incluir protección

a los derechos de propiedad intelectual de las aplicaciones creadas por el

Cliente.

Cloud Computing


6. Seguridad de la Información

El Cliente pierde el control de la Información alojada en la Nube.

El Contrato debería incluir la obligación del Proveedor de resguardar la

información entregada. Además, debería incluir el detalle de las medidas

de seguridad adoptadas por el Proveedor, y la ubicación de los servidores

en los que estará alojada la información del Cliente.

El Contrato también debería incluir los supuestos de responsabilidad por la

pérdida o deterioro de la información del Cliente, por causas atribuibles al

Proveedor.

Cloud Computing


7. Asuntos de implicancia laboral

Dado que la gestión de los sistemas está a cargo de un tercero, el

cumplimiento del deber de vigilancia de las actividades de los empleados

del Cliente se ve limitada.

El Cliente deberá elaborar un protocolo de uso de las herramientas

informáticas, dirigido a sus trabajadores (carácterísticas del sistema,

gestión de nombre de usuario y contraseña, obligación de guardar secreto

de la información proporcionada, etc.).

Cloud Computing


8. Incumplimiento de obligaciones

Obligación Instrumento normativo Consecuencia jurídica

Cumplir con las condiciones de prestación del servicio

Contrato Código Civil

Penalidades por incumplimiento previstas en el Contrato

Protección de Datos Personales

Contrato Ley No. 29733 (Ley de Protección de Datos Personales)

(i) Penalidades contractuales; (ii) Sanciones previstas en la Ley No. 29733 [aplicables al Cliente (Titular del Banco de Datos) y al Proveedor (encargado del Banco de Datos)]

Propiedad Intelectual

Contrato Decreto Legislativo No. 822 (Ley sobre Derechos de Autor)

Sanciones legales aplicables al infractor (Cliente o Proveedor)

Seguridad de la Información

Contrato

Penalidades contractuales previstas en caso de pérdida o deterioro de la información confiada al Proveedor

Cloud Computing

Tratamiento Jurídico Internacional

La principal preocupación a nivel internacional es la protección de los datos

personales involucrados en la prestación de servicios Cloud Computing. Ejemplo: Directiva 95/46/CE, “Directiva de protección de las personas físicas en lo que respecta al trata miento de datos personales y a la libre circulación de estos”.

Grupo de Trabajo del Artículo 29 (creado por el Artículo 29 de la Directiva 95/46/CE), integrado por las Autoridades de Protección de Datos de los Estados miembros de la Comunidad Europea, encargado de analizar los asuntos que afectan o puedan afectar la protección de datos personales.

Cloud Computing

Tratamiento Jurídico Internacional

En el Foro Económico Mundial 2012 realizado en Davos, la vicepresidenta de la Comisión Europea, Neelie Kroes, anunció la creación de la European Cloud Partnership (Autoridades públicas, proveedores y consumidores de servicios en Nube), cuya misión es lograr que la Unión Europea pase de ser un entorno “amigo” del Cloud Computing a un entorno “activo” en Cloud Computing.

Objetivo: Aprovechar la capacidad compradora de las Administraciones Públicas para, a través de sus requisitos de contratación de servicios Cloud Computing, armonizar e integrar el servicio. Se busca estandarizar el servicio, obtener nuevas y mejores ofertas, precios más bajos, etc.

Gracias

[email protected]

Aspectos legales y normativos luis vinatea

Documents

Transcript of Aspectos legales y normativos luis vinatea