El desarrollo y evolución de las nuevas tecnologías han supuesto desafíos para la gestión y protección de datos, especialmente el denominado cloud computing, por las implicaciones que conlleva tener subidos en la Red los datos personales de los usuarios y clientes de diversas empresas. Pero esto cobra todavía una mayor relevancia cuando quien usa los servicios del cloud computing son los despachos de abogados, puesto que hablamos de datos especialmente sensibles, donde también entra en juego el secreto y la confidencialidad.

En esta entrada vamos explicar no solo qué es el cloud comptuing, sino qué consideraciones deben tener en cuenta los despachos que usen estos servicios con respecto a la Ley de Protección de Datos (LOPD).

¿Qué es el cloud computing?

El cloud computing (que podemos traducir por computación en la nube) es un modelo de prestación de servicios tecnológicos, mediante el cual un proveedor ofrece servicios informáticos bajo demanda a través de Internet: redes, servidores, almacenamiento, aplicaciones y servicios. Es decir, que el cliente va solicitando servicios a medida que los va necesitando y accede a ellos a través de la Red. Estos recursos compartidos pueden ser asignados y liberados por parte del proveedor con una mínima gestión y de forma rápida.

Por lo tanto las características esenciales del cloud computing son:

  • Autoservicio bajo demanda
  • Múltiples formas de acceder a la red
  • Recursos compartidos entre los usuarios del proveedor
  • Flexibilidad en la asignación y liberación de recursos
  • Es un servicio medido y supervisado

¿En qué consiste para los despachos de abogados?

Aplicado a los despachos de abogados, el cloud computing permite a estos acceder a toda una serie de servicios y recursos que van desde el correo electrónico hasta el almacenamiento, pasando por diferentes tipos de aplicaciones de gestión del despacho, contabilidad, bases de datos, tanto de jurisprudencia como de legislación, o la posibilidad de compartir documentación e información con clientes y otros despachos.

Todo esto sin la necesidad de contar con la infraestructura necesaria instalada en el despacho; no hay necesidad de gastar dinero en software o mantenimiento, necesitando únicamente invertir en dispositivos para poder acceder a estos servicios: ordenador, smartphones o tablets, así como conexión a Internet. Todo lo demás lo gestionará el proveedor de servicios de cloud computing.

Al contratar un proveedor de servicios de cloud computing, los desapachos de abogados, ya sean grandes o pequeños, pueden “olvidarse” de las tareas de mantenimiento de los servidores y las aplicaciones, así como de la realización de copias de seguridad y de preocuparse por su integridad o seguridad, puesto que todo estará subido al servidor del proveedor.

Evidentemente, esto último entraña dudas y consideraciones respecto a la protección de datos de los clientes, el secreto y la confidencialidad propias que deben observar los despachos de abogados, tal y como veremos más adelante.

Imagen conceptual de cloud computing despachos de abogados

Pasos para dar el salto a la nube

Dadas las posibilidades que ofrece el modelo de cloud computing para externalizar las necesidades tecnológicas de los despachos de abogados, es normal considerar dar el salto a la nube para abaratar costes, ahorrar tiempo y poder trabajar básicamente desde cualquier punto.

Para realizar ese salto, estos son los pasos que los despachos de abogados deberían seguir:

Necesidades del negocio

El primer paso es considerar las necesidades de nuestro despacho de abogados, si estas pueden realizarse a través de la nube y se si suponen un ahorro frente a otras opciones. Por ejemplo, podemos necesitar implantar software ofimático, crear una página web, implementar un sistema ERP o contar con una red social interna. Podemos valor si estos servicios podemos obtenerlos a través de un proveedor de cloud comptuing o nos compensa comprar un programa o una licencia.

También hay otras consideraciones para plantearnos el uso de la nube, como por ejemplo prever grandes fluctuaciones de usuarios o si nuestros socios o empleados se encuentras dispersos geográficamente.

Estudio de las ofertas de proveedores de cloud computing

Si hemos determinado que nuestro despacho de abogados necesita una solución basada en el cloud computing, el siguiente paso es estudiar las diferentes ofertas y opciones que existen en el mercado, siempre de acuerdo a nuestras necesidades; por ejemplo, si solo necesitamos un servicio de almacenamiento, contratar alguno de los paquetes de servicios de Dropbox puede ser suficiente.

Existen muchos y muy diversos servicios de cloud computing y cloud hosting, incluidos los de nombres reconocidos como Microsoft o Google, que ofrecen diferentes soluciones y servicios para las empresas.

Estudio de las cláusulas legales y términos de uso del proveedor

Cuando estemos estudiando las diferentes ofertas que nos ofrecen los proveedores de cloud computing, tendremos estudiar la calidad de los servicios ofrecidos y mirar con detenimiento las cláusulas legales y los términos de uso de este, que deben quedar estipulados claramente en el contrato.

Además, debemos comprobar que el proveedor ofrece la seguridad necesaria para este tipo de servicios y que se encarga de cumplir las regulaciones legales establecidas, tanto en España como en la UE.

Los mecanismos de migración

Un aspecto importante a tener en cuenta la hora de contratar servicios de cloud computing es la migración de los datos y procesos a la nube. Aparte de determinar previamente qué activos informáticos vamos a migrar a la nube, no está de más empezar la migración por las aplicaciones más pesadas y comprobar cómo funciona, mientras mantenemos los datos más sensibles bajo nuestro control. De esta forma nos aseguraremos de que todo funciona como debe antes de hacer la migración total a la nube.

Todos los proveedores de servicios cloud computing cuentan con mecanismos para llevar a cabo este tipo de migraciones, por lo que tampoco está de más estudiar cuáles facilitan más la tarea.

Comprobar la continuidad del negocio

Finalmente, antes de elegir el proveedor de cloud computing, debemos revisar su plan de continuidad en caso de que produzcan fallos o problemas en el servicio, para asegurarnos de que podemos seguir operando. En ese sentido, el proveedor debe permitir que:

  • Verifiquemos de forma automática la integridad de los datos en cualquier momento.
  • Configuremos los puntos objetivo de recuperación en sus copias de seguridad.
  • Acceder a un portal personalizado para la recuperación de ficheros, discos, sistemas o el sitio completo.

Así mismo, en el contrato deberemos verificar:

  • La documentación y el alcance de las certificaciones que el proveedor pueda tener sobre continuidad de negocio (ISO 22301).
  • Los compromisos adquiridos para asegurar la continuidad del servicio externalizado, especialmente si se tratan datos de carácter personal que conlleven tratamientos específicos según la LOPD).
  • Que se cuenta con las herramientas para restaurar los sistemas.

Imagen de las fases del salto al cloud computing despachos de abogados

Consideraciones sobre los servicios de cloud computing y la LOPD

Cuando un despacho de abogados decide contratar los servicios de un proveedor de cloud computing, deben tener en cuenta ciertas consideraciones respecto al cumplimiento de la LOPD.

En ese sentido, la Agencia Española de Protección de Datos (AEPD) y el Consejo General de la Abogacía Española (CGAE) elaboraron el informe Utilización del cloud computing por los despachos de abogados y protección de datos de carácter personal, donde se establecen orientaciones y se aclaran conceptos para que los despachos de abogados puedan elegir y contratar un servicio de cloud computing, teniendo en cuenta la normativa vigente en protección de datos.

¿Quién es el encargado del tratamiento de los datos?

Cuando un despacho de abogados contrata un servicio de cloud computing, cabe preguntarse quién es el encargado del tratamiento de los datos y quién el responsable de los ficheros.

De acuerdo con la LOPD, la posición jurídica de los despachos de abogados que contraten servicios de cloud computing es la de responsable del tratamiento, puesto que es a ellos a quienes les corresponde la decisión sobre la finalidad, el contenido y el uso del tratamiento, así como la decisión sobre optar por los servicios del cloud comptuing y sobre su modalidad. Si bien, esto no exime al proveedor del servicio de cumplir con sus obligaciones legales respecto al tratamiento de los datos, siendo el proveedor el encargado del tratamiento de los datos.

Respecto al secreto profesional y la confidencialidad que deben contemplar los abogados, el artículo 9.1 de la LOPD dice:

“El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural”.

Requisitos que deben cumplir los servicios de cloud computing de acuerdo a la LOPD

Cuando un despacho de abogados va a contratar uno o varios servicios de cloud computing, debe asegurarse de que el proveedor cumple con los siguientes requisitos de acuerdo a la LOPD:

  • De manera previa, tanto el responsable de datos que contrata como cliente estos servicios como el propio prestador de los mismos deben solicitar y ofrecer una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. Para ello, intercambiarán información sobre la naturaleza de los datos para establecer el nivel de seguridad apropiado.
  • El proveedor de servicios de cloud computing debe asegurar y garantizar la conservación de los datos a través de la realización de copias de seguridad periódicas, así como dotar a su infraestructura de los niveles más altos de seguridad física y lógica.
  • El proveedor debe establecer mecanismos seguros de autenticación para el acceso a la información tanto por parte de los abogados del despacho como por parte de los clientes, en los términos que el despacho determine. Estos mecanismos han de permitir la compartición e intercambio de información, pero sin que ello suponga el acceso de personas no autorizadas a información reservada o confidencial de otros clientes o de otros abogados.
  • El proveedor debe contar con técnicas de cifrado de la información aplicadas en sus sistemas, especificando al despacho de abogados el nivel de seguridad que estas ofrecen.
  • Se debe acordar el procedimiento de recuperación migración de los datos a la terminación de la relación entre el despacho y el proveedor. También se debe acordar el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al despacho.
  • Dado que en muchos casos, los ficheros contendrán datos especialmente protegidos, será necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.
  • Si no fuese posible verificar directamente las medidas de seguridad del prestador de servicios, deberá hacerse mediante otros mecanismos alternativos, como auditorías por parte de terceros.
  • En caso de producirse incidencias de seguridad que afecten a los datos personales de los que es responsable el despacho de abogados, el proveedor deberá ponerlas en conocimiento de este, junto con las medidas adoptadas para corregir los daños producidos y evitar que vuelvan a producirse incidentes similares.

Ventajas del uso del cloud computing en despachos de abogados

Finalmente, veamos algunas de las ventajas que puede traer al despacho de abogados contratar cloud computing con un proveedor:

  • Ahorra costes en infraestructura y su mantenimiento, no tener que comprar licencias de uso, no hace falta contratar personal especializado en informática, etc. El despacho pagará por el uso de un recurso o un servicio.
  • Optimización en el uso de recursos, puesto solo los utilizaremos cuando sea necesario, momento en el que se pagará por dicho uso. De esta manera, si hay picos de actividad, pagaremos más, pero en el momento en que se vuelva a la normalidad, se reducirá el gasto.
  • Recuperación de la información y las aplicaciones en caso de desastres o incidentes graves, puesto que están almacenadas en la nube y en distintas ubicaciones, de manera que seguirían siendo accesibles.
  • Tecnología actualizada y segura. Además, el proveedor del servicio en la nube es el encargado de realizar las tareas de mantenimiento, que serán completamente transparentes para el cliente.
  • Dedicación a la gestión de nuestro despacho de abogados, ya que se reduce la carga de trabajo para la administración de los sistemas TIC.

Conclusión

Actualmente existen numerosos servicios de cloud computing, por lo que es fundamental que los despachos de abogados que deseen contratar este tipo de servicios se aseguren de que el proveedor cuenta con las certificaciones, garantías o certificaciones ISO que acrediten que cuenta con las condiciones necesarias para responder ante las exigencias de seguridad y del cumplimiento con la LOPD.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.