Los aspectos legales del cloud computing
-
Upload
cit-marbella -
Category
Documents
-
view
329 -
download
0
Transcript of Los aspectos legales del cloud computing
Cloud Computing Aspectos Legales
José A. Ruiz-‐Milanés Abogado Director
Ruiz-milanés Abogados
© Ruiz-‐Milanés Abogados 2012
Definición Cloud Computing
Cloud compunting o “nube”: Termino acuñado para englobar servicios cuya característica común es la virtualización de los recursos informáticos HW y SW necesarios para su empleo. Es decir, el usuario solo dispone del uso del servicio, que es prestado por un tercero (proveedor)
2 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Definición Cloud Computing
El desarrollo ha sido posible gracias al:
.-‐ Aumento de capacidad y rendimiento del HW
.-‐ Acceso a conexiones de alta velocidad a internet.
.-‐ Movilidad: portátiles, móviles, tablets…
3 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Definición Cloud Computing
El modelo de servicio Cloud tiene diferentes modalidades:
.-‐ SaaS: Software as a Service. Podemos usar un programa de ordenador a través del navegador por ejemplo.
.-‐ PaaS: Plattform as a Service. Nivel Intermedio. El cliente dispone de una plataforma de procesamiento para un fin concreto: HW y SW.
4 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Definición Cloud Computing
El modelo de servicio Cloud tiene diferentes modalidades:
.-‐ IaaS: Infrastucture as a Service. Virtualización completa del SI de la empresa
Es muy importante conocer el nivel de servicios que no prestan para delimitar las repercusiones legales.
5 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Definición Cloud Computing
Características y ventajas:
.-‐ Disponibilidad de acceso geográfico. .-‐ Escalabilidad y flexibilidad. .-‐ Reducción de costes. .-‐ Aumento de medidas de seguridad (evitamos que el servidor esté debajo de la cafetera…)
6 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Definición Cloud Computing
Como vemos el elemento común de estos servicios es su prestación por un tercero. Por tanto, en esencia y de forma simplificada para el Derecho, estamos ante una versión de una prestación de servicios.
7 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Definición Cloud Computing
Prestación de servicios donde se engloban tareas como:
.-‐ Almacenamiento .-‐ Procesamiento .-‐ Medidas de seguridad .-‐ Copias de seguridad .-‐ Acceso …..
8 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Definición Cloud Computing
En este sentido, todos los detalles de esa prestación de servicios deben quedar reflejados en un contrato con el proveedor. Establecerá el marco donde se desarrolla el servicio y las dos partes sabemos a que atenernos. …tal y como hacemos con nuestros contratos de telefonía…
9 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Tengamos en cuenta que toda nuestra información/datos va a estar en manos de terceros, y el acceso e integridad y confidencialidad de la misma dependen de ellos.
Los servicios descritos se encuentran regulados en nuestra normativa.
10 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Aspectos a tener en cuenta: .-‐ Normativa de Protección de Datos Personales. .-‐ Ley de Servicios de la Sociedad de la Información. .-‐ Normas Penales y Sancionadoras. .-‐ Aspectos Mercantiles.
11 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: Toda las empresas/profesionales y Administración Pública deben cumplir con la normativa. Este debe ser el paso previo e inicial antes de virtualizar nuestros SI, porque debe estar contemplado en nuestro Documento de Seguridad.
12 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: En mi empresa:
.-‐ Ficheros ante la Agencia Española de Protección de Datos. .-‐ Elaboración de Documento de Seguridad. .-‐ Información/consentimiento a los titulares de los datos.
13 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: En mi empresa:
.-‐ Conocer el tipo de datos que recogemos por las medidas de seguridad de aplicación. .-‐ Implantación de medidas de seguridad (RLOPD) .-‐ Regular las cesiones de datos a terceros.
14 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: En mi empresa:
.-‐ Conocer el tipo de datos que recogemos por las medidas de seguridad de aplicación. .-‐ Implantación de medidas de seguridad (RLOPD) .-‐ Regular las cesiones de datos a terceros.
15 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: A regular: . -‐Proveedor es considerado Encargado de Tratamiento. “…persona física o jurídica, pública o privada, que trate datos personales de un tercero como consecuencia de una relación jurídica entre los mismos…”
Por ejemplo, la prestación de un servicio Cloud.
16 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: A regular: .-‐ Proveedor es considerado Encargado de Tratamiento. La normativa nos exige “comprobar” que el proveedor cumple sus obligaciones y que todo este regulado en un contrato entre ambas partes.
17 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: A regular: .-‐ Proveedor es considerado Encargado de Tratamiento.
.-‐ motivo de la cesión de datos y finalidad. .-‐ identificación. .-‐ medidas de seguridad aplicables de acuerdo al nivel de los datos. (datos especialmente protegidos) .-‐ concretar los datos tratados.
18 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: A regular: .-‐ Proveedor es considerado Encargado de Tratamiento.
.-‐ Igualmente debemos exigir al proveedor la destrucción o entrega de la información a la que ha tenido acceso. .-‐ Comprobar los servicios que nos presta: backup.
19 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: A regular: .-‐ Proveedor es considerado Encargado de Tratamiento.
En caso contrario, podríamos ser responsables de pérdidas de datos del proveedor… De hecho, solo el hecho de no disponer de contrato se considera una sanción.
20 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Protección de Datos Personales: A regular: .-‐ Transferencia Internacional de Datos.
-‐ Posible en el EEE o UE. -‐ Países con nivel de protección similar. -‐ Permiso de la AEPD.
21 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Ley de Servicios de la Sociedad de la Información .-‐ Proveedor debe identificar de forma clara a la mercantil que presta el servicio y contacto. .-‐ Medios de Seguridad aplicables en el proceso: antivirus… .-‐ Descripción de la prestación del servicio.
22 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Aspectos Penales y sancionadores. . -‐ Debemos con t ro l a r que i n fo rmac ión almacenamos, donde y de que forma para evitar y controlar posibles revelaciones de secretos y vulneración de información confidencial. .-‐ Igualmente somos responsables de todo lo que hagan nuestros empleados: Códigos de Conducta Internos.
23 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Aspectos Mercantiles. Términos de Uso Debemos revisar pormenorizadamente los términos en virtud de los cuales nos prestan los servicios Cloud.
.-‐ Concretar aspectos técnicos de prestación y rendimiento de la misma: ancho de banda, procesamiento, velocidad de acceso… .-‐ Disponibilidad que se obliga el proveedor a mantener: plazo que podemos estar sin servicio = pérdidas o responsabilidades…
24 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
Aspectos Mercantiles. Términos de Uso
.-‐ Medidas de Seguridad (LOPD) y procesamiento. .-‐ Detallar el servicio concreto. .-‐ Inclusión de sistemas de copias de seguridad. .-‐ Planes de contingencia: SGSI – ISO 27001 .-‐ Servicio de Soporte y atención. .-‐ Importe. .-‐ Modificación de condiciones. .-‐ Normativa aplicable al servicio.
25 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
Marco Legal
En definitiva podemos concretar que el uso de servicios Cloud nos redunda en un beneficio económico, flexibilidad, deslocalización y capacidad de acceso, así como nos dota de importantes medidas de seguridad. Todo ello debemos comprobarlo y que quede reflejado mediante contrato.
26 DERECHO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y TELECOMUNICACIONES
© Ruiz-‐Milanés Abogados 2012
27
Muchas gracias.
info@ruiz-‐milanes.es
Málaga Madrid Parque Tecnológico de Andalucía -‐ PTA C/ Bueso de Pineda, 24, 3ª Pl. C/ Severo Ochoa, 27, Ofic. 15 28043
Edificio Centro de Empresas 29590 -‐ Campanillas
Derecho de las TECNOLOGÍAS DE LA INFORMACIÓN Y
Telecomunicaciones
© Ruiz-‐Milanés Abogados 2011