El MARTES 30 DE OCTUBRE DE 2012 tuvo lugar la reunión mensual de
nuestro Forum en la biblioteca de la embajada argentina en París.
En esta reunión,
Raphael Milchberg
Jurista en nuevas tecnologías (STIME -filial
informática del Grupo Les Mousquetaires-).
disertó sobre
“El cloud computing: la protección de la
privacidad y de los datos personales”
Tema de actualidad y de creciente interés, el “cloud
computing” -o “informática en la nube”, en castellano- es un término que
suena cada vez más frecuentemente en el oído de los usuarios de Smartphone o de
mensajerías de correo electrónico. El “cloud” es un servicio de
computación y de almacenamiento de datos ofrecido a través de Internet que
permite procesar y guardar informaciones en un servidor externo (no
forzosamente localizable geográficamente) o sea en la “nube”. Entre otros temas,
Raphael Milchberg abordó dos cuestiones de crucial importancia tanto para los
usuarios como para las empresas que de una u otra manera están presentes en
este rubro:
- ¿Cuáles son los riesgos jurídicos que implica
exteriorizar los datos de los usuarios en un servidor exterior?
- ¿De qué manera una empresa o un usuario pueden
proteger su privacidad y sus datos personales?
A
continuación, ofrecemos la síntesis de la presentación preparada por su autor. La misma puede también
descargarse como fichero "pdf" cliqueando en este enlace.
Por Raphaël Ernesto Milchberg, jurista
especializado en derecho de las telecomunicaciones y del espacio.
El “Cloud
computing” o "informática en la nube" es un servicio
de computación y de almacenamiento de datos ofrecido a través de internet
que permite procesar y guardar informaciones en un servidor externo (no
forzosamente localizable geográficamente) o sea en la “nube”. Los clientes
pueden acceder a sus datos a través de cualquier soporte que tenga acceso a
internet (por ejemplo computadora, teléfono, tableta etc.).
Existen varios tipos de nubes:
a.) Nubes públicas: el
servicio se comparte y se mutualiza entre una pluralidad de clientes.
b.) Nubes privadas:
infraestructuras manejadas en favor de un sólo cliente, quien suele decidir los
usuarios autorizados y controla las aplicaciones, los servidores, etc.
c.) Nubes híbridas:
combinan elementos de los modelos de nubes públicas y privadas.
El modelo económico asociado se asemeja al
arrendamiento de recursos informáticos con una facturación en función del
consumo. Se paga únicamente el espacio y/o las aplicaciones utilizadas.
¿Cuáles son los riesgos jurídicos que implica
exteriorizar los datos de los usuarios en un servidor exterior? ¿De qué manera
una empresa o usuario pueden proteger su privacidad y sus datos personales? La
problemática jurídica radica fundamentalmente en localizar los datos personales
(I) y proteger estos datos (II).
I)
La
localización de los datos
A) El concepto jurídico de Cloud
Computing
Objeto del contrato de Cloud Computing: definir las condiciones en las que un prestatario se encarga, a pedido de un cliente, de proveer recursos informáticos a
distancia, de infraestructuras, plata-formas o programas de aplicación.
El contrato puede estar asociado a prestaciones
complementarias como alojamiento o mantenimiento de manera indivisible en el
contrato.
Utilizar un servicio de Cloud aún siendo privado, implica ciertos riesgos inevitables
relacionados a la información que uno guarda allí (datos personales de los
usuarios, información confidencial de la empresa o sensible).
B)
La determinación de la ley
aplicable y de la jurisdicción competente
Los riesgos
jurídicos ligados al Cloud provienen
principalmente de la abstracción de la localización de los datos: ¿en qué
servidor, en qué centro y sobretodo, en qué país se encuentran?
·
El contrato puede prever que la jurisdicción sea el lugar
de ejecución de éste o el domicilio de una de las partes. El cliente prefiere
elegir su derecho natural mientras que el prestatario suele proponer contratos
estándares.
·
En la práctica, existen dos formas de discutir esta
cláusula:
o
El cliente es suficientemente poderoso o importante para
poder negociar directamente esta cláusula.
o
Si el contrato es ajeno a la actividad profesional del
cliente, éste podría pedir ser calificado de consumidor o no-profesional,
mediante la aplicación del derecho del consumo y el régimen de cláusulas
abusivas (clausula que impone a un no-profesional defenderse en un tribunal de
otro país).
·
La Ley Informática y Libertades
sólo se aplica a los responsables de tratamiento de datos residentes en el
territorio francés o cuyo tratamiento se realice en Francia. Quién
es el responsable: ¿el cliente, el prestatario o según el caso sus
subcontratantes?
·
Definición del responsable del tratamiento: persona,
autoridad pública, servicio u organismo que determina las finalidades y los
medios del tratamiento. En
un servicio de Cloud privado, se admite
que el prestatario de servicios será el subcontratista del cliente.
II) La protección de los datos personales
A) La responsabilidad del prestatario sobre el contenido de los datos
·
La legislación vigente en Francia se aplica
únicamente a los datos personales y a las personas físicas y no a los datos
sensibles o confidenciales de la empresa.[7]
·
La Comisión Nacional de Informática y Libertades (CNIL) puede controlar y
sancionar todo responsable de tratamiento que no haya cumplido con sus
obligaciones legales.
·
Autorización por parte del organismo competente (CNIL), para
transferir datos personales fuera de la UE. La Comisión Europea definió una lista
de países con nivel adecuado de protección de
datos personales a los cuales no se aplican restricciones o autorizaciones para
transferencia de datos personales. Argentina forma parte desde el 2003 de dicha lista.
·
Estados Unidos: varias leyes permiten el libre control del
Estado sobre todo fichero localizado en los EE.UU. o detenido por una empresa
estadounidense fuera de los EE.UU, si existen sospechas de actividades
terroristas
o información a carácter militar. Sólo
se podrán transferir libremente datos a las empresas de EE.UU que hayan firmado
el Código de Conducta, Safe Harbour.
B)
Las precauciones necesarias
al concluir un contrato de Cloud Computing
La CNIL emitió
recientemente recomendaciones relativas a la protección de los datos personales
en los contratos de Cloud,
las cuales podrán ser tomadas en cuenta al negociar el contrato.
·
Recuperación de la información y de los datos personales
que son responsabilidad del cliente una vez extinguida la relación contractual
y Cláusula de Reversibilidad para asegurar la transferencia de los servicios.
·
Localización de los datos en la UE y medios de control de
esta obligación mediante una auditoría.
·
Condiciones relativas al acuerdo de nivel de servicio[15], acompañada o no de
penalidades.
·
Replicación de los
datos en varios sitios o una obligación de resultado en cuanto a la
restauración de éstos y los plazos requeridos.
·
Clausula de Propiedad Intelectual y/o Industrial.
·
Obligación de Confidencialidad relativa a la información en
la nube.
Para evitar que las nubes
se transformen en tormenta industrial o comercial para las empresas, es
primordial que éstas enmarquen las
relaciones jurídicas de manera adecuada afín de controlar eficazmente un
servicio cada vez más importante y frecuente.
Más información: Raphaël Ernesto Milchberg (rafael.milchberg@gmail.com)
