Reunión del 30-12-2012 - El Cloud Computing: la protección de la privacidad y de los datos personales




El MARTES 30 DE OCTUBRE DE 2012 tuvo lugar la reunión mensual de nuestro Forum en la biblioteca de la embajada argentina en París.

En esta reunión,

Raphael Milchberg



Jurista en nuevas tecnologías (STIME -filial informática del Grupo Les Mousquetaires-).
disertó sobre

“El cloud computing: la protección de la privacidad y de los datos personales”

Tema de actualidad y de creciente interés, el “cloud computing” -o “informática en la nube”, en castellano- es un término que suena cada vez más frecuentemente en el oído de los usuarios de Smartphone o de mensajerías de correo electrónico. El “cloud” es un servicio de computación y de almacenamiento de datos ofrecido a través de Internet que permite procesar y guardar informaciones en un servidor externo (no forzosamente localizable geográficamente) o sea en la “nube”. Entre otros temas, Raphael Milchberg abordó dos cuestiones de crucial importancia tanto para los usuarios como para las empresas que de una u otra manera están presentes en este rubro:


  • ¿Cuáles son los riesgos jurídicos que implica exteriorizar los datos de los usuarios en un servidor exterior?
  •  ¿De qué manera una empresa o un usuario pueden proteger su privacidad y sus datos personales?


A continuación, ofrecemos la síntesis de la presentación preparada por su autor. La misma puede también descargarse como fichero "pdf" cliqueando en este enlace.

El Cloud Computing: la protección de la privacidad y de los datos personales

Por Raphaël Ernesto Milchberg, jurista especializado en derecho de las telecomunicaciones y del espacio.

El “Cloud computing”  o "informática en la nube" es un servicio de computación y de almacenamiento de datos ofrecido a través de internet que permite procesar y guardar informaciones en un servidor externo (no forzosamente localizable geográficamente) o sea en la “nube”. Los clientes pueden acceder a sus datos a través de cualquier soporte que tenga acceso a internet (por ejemplo computadora, teléfono, tableta etc.).  
Existen varios tipos de nubes: 
a.) Nubes públicas: el servicio se comparte y se mutualiza entre una pluralidad de clientes.

b.) Nubes privadas: infraestructuras manejadas en favor de un sólo cliente, quien suele decidir los usuarios autorizados y controla las aplicaciones, los servidores, etc.

c.) Nubes híbridas: combinan elementos de los modelos de nubes públicas y privadas.

El modelo económico asociado se asemeja al arrendamiento de recursos informáticos con una facturación en función del consumo. Se paga únicamente el espacio y/o las aplicaciones utilizadas.

¿Cuáles son los riesgos jurídicos que implica exteriorizar los datos de los usuarios en un servidor exterior? ¿De qué manera una empresa o usuario pueden proteger su privacidad y sus datos personales? La problemática jurídica radica fundamentalmente en localizar los datos personales (I) y proteger estos datos (II).

I)                    La localización de los datos 

A)     El concepto jurídico de Cloud Computing

            Objeto del contrato de Cloud Computing: definir las condiciones en las que un prestatario se  encarga, a pedido de un cliente, de proveer recursos informáticos a distancia, de infraestructuras, plata-formas o programas de aplicación[1].

   El contrato puede estar asociado a prestaciones complementarias como alojamiento o mantenimiento de manera indivisible en el contrato.

         Utilizar un servicio de Cloud aún siendo privado, implica ciertos riesgos inevitables relacionados a la información que uno guarda allí (datos personales de los usuarios, información confidencial de la empresa o sensible).

B)     La determinación de la ley aplicable y de la jurisdicción competente

Los riesgos jurídicos ligados al Cloud provienen principalmente de la abstracción de la localización de los datos: ¿en qué servidor, en qué centro y sobretodo, en qué país se encuentran?

·         El contrato puede prever que la jurisdicción sea el lugar de ejecución de éste o el domicilio de una de las partes. El cliente prefiere elegir su derecho natural mientras que el prestatario suele proponer contratos estándares.
·         En la práctica, existen dos formas de discutir esta cláusula:
o   El cliente es suficientemente poderoso o importante para poder negociar directamente esta cláusula.
o   Si el contrato es ajeno a la actividad profesional del cliente, éste podría pedir ser calificado de consumidor o no-profesional[2], mediante la aplicación del derecho del consumo y el régimen de cláusulas abusivas (clausula que impone a un no-profesional defenderse en un tribunal de otro país[3]).

·         La Ley Informática y Libertades[4] sólo se aplica a los responsables de tratamiento de datos residentes en el territorio francés o cuyo tratamiento se realice en Francia[5]. Quién es el responsable: ¿el cliente, el prestatario o según el caso sus subcontratantes?  
·         Definición del responsable del tratamiento: persona, autoridad pública, servicio u organismo que determina las finalidades y los medios del tratamiento.[6] En un servicio de Cloud privado, se admite que el prestatario de servicios será el subcontratista del cliente.

II) La protección de los datos personales

A)     La responsabilidad del prestatario sobre el contenido de los datos

·         La legislación vigente en Francia se aplica únicamente a los datos personales y a las personas físicas y no a los datos sensibles o confidenciales de la empresa.[7]

·    La Comisión Nacional de Informática y Libertades (CNIL) puede controlar y sancionar todo responsable de tratamiento que no haya cumplido con sus obligaciones legales. [8]
·      Autorización por parte del organismo competente (CNIL), para transferir datos personales fuera de la UE. La Comisión Europea definió una lista de países con nivel adecuado de protección de datos personales a los cuales no se aplican restricciones o autorizaciones para transferencia de datos personales.[9] Argentina forma parte desde el 2003 de dicha lista.[10]
 
·         Estados Unidos: varias leyes permiten el libre control del Estado sobre todo fichero localizado en los EE.UU. o detenido por una empresa estadounidense fuera de los EE.UU, si existen sospechas de actividades terroristas[11] o información a carácter militar[12]. Sólo se podrán transferir libremente datos a las empresas de EE.UU que hayan firmado el Código de Conducta, Safe Harbour[13].

B)     Las precauciones necesarias al concluir un contrato de Cloud Computing

La CNIL emitió recientemente recomendaciones relativas a la protección de los datos personales en los contratos de Cloud[14], las cuales podrán ser tomadas en cuenta al negociar el contrato.

·         Recuperación de la información y de los datos personales que son responsabilidad del cliente una vez extinguida la relación contractual y Cláusula de Reversibilidad para asegurar la transferencia de los servicios.
·       Localización de los datos en la UE y medios de control de esta obligación mediante una auditoría.
·         Condiciones relativas al acuerdo de nivel de servicio[15], acompañada o no de penalidades.
·         Replicación de los datos en varios sitios o una obligación de resultado en cuanto a la restauración de éstos y los plazos requeridos.
·         Clausula de Propiedad Intelectual y/o Industrial.
·         Obligación de Confidencialidad relativa a la información en la nube.
Para evitar que las nubes se transformen en tormenta industrial o comercial para las empresas, es primordial que  éstas enmarquen las relaciones jurídicas de manera adecuada afín de controlar eficazmente un servicio cada vez más importante y frecuente.

Más información: Raphaël Ernesto Milchberg  (
rafael.milchberg@gmail.com)




[1] En inglés : Platform as a Service (Pas), Infrastructure as a Service (IaaS), Software as a Service (SaaS).
[2] Art. L 132-1 Code de la Consommation se aplica igual si se trata de una persona moral o no (Cass. Civ. 1, 15 mars 2005).
[3] Fallos del 27 junio 2009 n°240/98 y del 4 junio 2009 n°243/08 del Tribunal de Justicia de la Unión Europea.
[4] Loi 78-17 Informatique et Libertés du 6 janvier 1978
[5] Art. 5-1 Loi 78-17 Informatique et Libertés du 6 janvier 1978
[6] Art. 2 de la Directive 95/46/CE de 1995 y Art.3 Loi 78-17 Informatique et Libertés du 6 janvier 1978
[7] Art.2 Loi 78-17 Informatique et Libertés du 6 janvier 1978
[8] Art.34 y 35 Ley 78-17 del 6 enero 1978 (legalidad y seguridad de los datos, información de las personas, respeto del derecho de acceso, rectificación y oposición).
[9] Andorra, Argentina, Canadá, Islas Feroés, Israel,  Suiza, y Uruguay mas los países miembros del Espacio Económico Europeo Noruega, Islandia y Liechtenstein.
[10] La normativa Argentina en materia de datos personales es: la Constitución, Ley 25 326 sobre protección de datos personales y el Decreto Reglamentario nº 1558/2001
[11] USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act)
[12] International Traffic in Arms Regulations (ITAR)
[14] Ver las recomendaciones de la CNIL de junio 2012.
[15] Service Level Agreement en inglés

No hay comentarios.:

Publicar un comentario

Nota: sólo los miembros de este blog pueden publicar comentarios.