La Agencia Española de Protección de Datos (AEPD) ha editado una Guía para clientes que contraten servicios de cloud computing (descarga gratis PDF al final de este artículo).

Además de las oportunas definiciones sobre qué es cloud computing, sus tipos, actores principales, modalidades de servicio, riesgos y por supuesto garantías contractuales, el documento aporta una interesante lista de puntos a repasar antes de contratar servicios en la nube.

Disponemos de otra guía enfocada al uso de cloud computing en despachos de abogados

¿Qué es el Cloud Computing?

El cloud computing o computación en nube es una nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular y, también, para la Administración Pública.

Una solución cloud computing permite al usuario optimizar la asignación y el coste de los recursos asociados a sus necesidades de tratamiento de información. El usuario no tiene necesidad de realizar inversiones en infraestructura sino que utiliza la que pone a su disposición el prestador del servicio. Así se garantiza que no se generan situaciones de falta o exceso de recursos, así como el sobrecoste asociado a dichas situaciones.

El cloud computing representa una nueva forma de utilizar las tecnologías de la información y las comunicaciones. Se basa en emplear técnicas ya existentes de una forma
innovadora y, sobre todo, a una nueva escala. Permite el uso de recursos de hardware, software, almacenamiento, servicios y comunicaciones que se encuentran distribuidos geográficamente y a los que se accede a través de redes públicas, de forma dinámica, cuando se necesita, mientras se necesita y abonando una tarifa sobre lo que se consume. Es decir, proporcionando a sus clientes un servicio de tecnologías de información bajo demanda.

Tipos

No todos los servicios y proveedores de cloud computing son iguales, ni lo son las posibles relaciones que se establecen entre clientes y proveedores. Las nubes se pueden clasificar de muchas formas atendiendo a varios criterios. Y lo que más interesa, desde el punto de vista de la normativa de Protección de datos es cómo afectan dichas modalidades de implementación al tratamiento de datos de carácter personal.

Nube pública

Hablamos de un servicio de Nube Pública cuando el proveedor de servicios de cloud proporciona sus recursos de forma abierta a entidades heterogéneas. No existe más relación entre sí que haber cerrado un contrato con el mismo proveedor de servicio.

Existen diversas y numerosas soluciones en Nube Pública y prestan sus servicios desde particulares a grandes corporaciones, ya que cualquiera puede contratar con ellos.

Nube privada

Nos encontramos con servicio de Nube Privada cuando una entidad realiza la gestión y administración de sus servicios en la nube para las partes que la forman, sin que en la misma puedan participar entidades externas y manteniendo el control sobre ella.

Una Nube Privada no necesariamente se implementa por la misma entidad que la utiliza, sino que puede contratarse a un tercero que actuará bajo su supervisión y en función de sus necesidades. Las entidades que optan por las Nubes Privadas son aquellas que son complejas y necesitan centralizar los recursos informáticos y, a la vez, ofrecer flexibilidad en la disponibilidad de los mismos.

¿Qué debo analizar y tener en cuenta antes de contratar servicios de cloud computing?

Se debe evaluar la tipología de datos que trata en función del nivel de seguridad exigido por el RGPD y decidir para qué datos personales contratará servicios en la nube y cuáles prefiere mantener en sus propios sistemas de información. Esta decisión es importante porque delimitará las finalidades para las que el proveedor puede tratar los datos, ya que debe garantizarse expresamente que no los utilizará para otra finalidad que no tenga relación con los servicios contratados.

Responsabilidad de cada parte

El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional la responsabilidad no se desplaza al prestador del servicio.

Por el otro lado, quien que ofrece la contratación de cloud computing es un prestador de servicios que en la LOPD se denomina encargado del tratamiento.

Legislación aplicable

Independientemente de la ubicación del proveedor y de los servidores donde almacene los datos, la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (LOPDGDD). También es aplicable el RGPD.

Este hecho no puede modificarse contractualmente ni se ve afectado por la disociación de la información.

Obligaciones como cliente

Se debe solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios. En caso afirmativo tiene que dar su conformidad a la participación de terceras empresas, tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web) y el proveedor debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.

Además el contrato a firmar debe incorporar cláusulas contractuales para la protección de los datos personales según se detalla en las siguientes puntos.

Ubicación de los datos personales

La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.

Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.

Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.

Garantías adecuadas para las transferencias internacionales de datos

Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la AEPD o por Decisión de la Comisión Europea (lista de países con nivel adecuado de protección). En ese caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la AEPD para su inscripción en el Registro General de Protección de Datos.

También se consideran garantías adecuadas las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro (lista de entidades adheridas). Al igual que en el caso anterior será suficiente con hacer constar la transferencia en la notificación del fichero a la AEPD.

En otro caso, la transferencia internacional de datos necesitará autorización del Director de la AEPD, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas (si quiere conocer qué instrumentos jurídicos pueden utilizarse para ofrecer estas garantías haga clic aquí).

Medidas de seguridad exigibles

El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales. Asimismo, el acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local.

Garantías sobre medidas de seguridad

Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable.

Asimismo debe ser informado diligentemente sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse.

Compromisos de confidencialidad

El proveedor del servicio debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados. Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.

Garantía de recuperación de los datos personales (portabilidad)

La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.

El proveedor debe destruir los datos personales si se extingue el contrato

Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor o por un tercero).

Garantizar el ejercicio de los derechos ARCO

El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos, y para ello, el proveedor debe garantizar su cooperación y las herramientas adecuadas.

Uso de cloud computing en despachos de abogados

El uso de la computación en la nube se está volviendo más común. Por ejemplo, casi el 50 por ciento de las firmas de abogados ha utilizado alguna forma de computación en la nube.

Pero, ¿cómo usan los abogados exactamente el cloud computing?

Los abogados usan plataformas en línea para crear y compartir documentos, para mensajería y comunicación, para facturación y pago de facturas, y para programación y calendario.

Otra estadística interesante: el 32% de los abogados ahora ofrecen a los clientes acceso a información relacionada con su caso a través de un portal en línea seguro.

Otra pregunta que debemos hacernos es ¿por qué los abogados usan la computación en la nube?

La razón principal por la que los abogados usan plataformas de computación en la nube es la conveniencia. A través de estos servicios tienen la capacidad de acceder a los datos desde cualquier lugar, las 24 horas, los 7 días de la semana. La simplicidad y la asequibilidad también son importantes razones para su uso. Otros motivos son el bajo coste, el tiempo de inicio rápido, la capacidad de eliminar el personal de TI y los requisitos de administración de software.

Obviamente, los abogados están comenzando a darse cuenta del potencial que tiene la computación en la nube para sus despachos. Pero, como abogado que quiere aprender más sobre el cloud computing, probablemente te estés preguntando qué es lo que realmente necesitas saber sobre la computación en la nube antes de decidir si usarlo tiene sentido para tu firma de abogados.

La computación en la nube te permite, a través de una conexión a Internet, acceder a software o datos almacenados y operados en los sistemas informáticos de otra persona. Luego, el proveedor de computación en la nube utiliza recursos informáticos compartidos, incluidos software y servidores, para entregarte información y servicios como usuario final.

Servicios de Cloud Computing

Probablemente ya estés usando la computación en la nube y ni siquiera lo sabes.

Durante años, los abogados han estado utilizando la computación en la nube en sus oficinas sin darse cuenta. Si usas Lexnet o LexisNexis para investigación legal, entonces has estado realizando investigación legal en la nube.

Del mismo modo, si alguna vez has utilizado una plataforma de correo electrónico basada en la web, como Gmail, Hotmail o Yahoo, entonces has utilizado un servicio de computación en la nube. E, incluso si no utilizas personalmente un servicio de correo electrónico basado en la web, si has intercambiado correos electrónicos con un cliente que usa una de estas plataformas de correo electrónico, los correos electrónicos que has enviado a tu cliente, que probablemente contengan información confidencial del cliente: ahora se almacenan en la nube.

Si has usado Wikipedia, has accedido a una enciclopedia basada completamente en la nube. Cuando interactúas con música o vídeos en línea, como ver vídeos de YouTube o transmitir una película desde Netflix, estás consumiendo medios almacenados en la nube.

Entonces, te guste o no, ya estás en la nube. El siguiente paso es asegurarte de que comprendes los riesgos y los problemas éticos que presenta el uso del cloud computing en tu práctica legal.

Seguridad

Una de las principales razones por las que los abogados son reacios a usar herramientas de computación en la nube en su práctica legal es la falta de familiaridad. Otras razones citadas incluyen problemas de confidencialidad y seguridad y la falta de control sobre los datos debido a la subcontratación a un tercero.

Antes de profundizar en los problemas de seguridad presentados por cloud computing, es importante reconocer que ningún tipo de sistema de almacenamiento de datos está libre de riesgos.

La verdad es que cada vez que confías datos a un tercero, corres un riesgo. Esto se aplica igualmente a cualquier tipo de externalización, ya sea la externalización de tareas administrativas o la externalización de la gestión de datos físicos o digitales.

Los abogados siempre han confiado datos confidenciales a terceros, incluidos servidores de procesos, empleados de los tribunales, equipos de limpieza de edificios, pasantes, compañías de procesamiento de documentos, centros de copia externos y servicios de entrega de documentos legales.

Nunca se ha requerido seguridad absoluta en estas situaciones porque la seguridad absoluta es imposible. Más bien, la diligencia debida requiere que tomes medidas razonables para garantizar que los datos confidenciales del cliente permanezcan seguros y protegidos. La computación en la nube no es diferente.

En consecuencia, independientemente de quién tenga acceso a tus datos o de qué formato toman los datos, los pasos que debes seguir son siempre los mismos: debes asegurarte de que los mismos estándares de confidencialidad que se aplican a los archivos físicos del cliente se aplican también a los datos generados por ordenador.

En otras palabras, es tu deber asegurarte de que los terceros a quienes confías tus datos y que tienen acceso a los servidores informáticos que albergan esos datos cumplan con las mismas obligaciones de seguridad que cualquier otro tercero a quien confíes los archivos confidenciales del cliente.

Problemas éticos

La computación en la nube, por su naturaleza, implica riesgos únicos. Estos incluyen riesgos de seguridad, éticos y de privacidad y la posibilidad de perder temporal o permanentemente el acceso a sus datos.

La mejor manera de asegurarte de que comprendes estos riesgos es hacer las preguntas correctas. Asegúrate de que las respuestas de tu proveedor de cloud computing sean satisfactorias. Negocia un acuerdo que proteja tanto tus intereses como los datos de tus clientes.

Parte de tu obligación ética como abogado es evaluar cuidadosamente estos riesgos. Los pasos que deberás seguir para cumplir con este estándar variarán según las reglas éticas aplicables en tu jurisdicción y las formas en que buscas utilizar la computación en la nube en tu práctica legal.

Las preguntas que debes hacerte antes de contratar un proveedor de servicios de cloud computing se centran en determinar qué tan accesibles y seguros serán los datos:

  • ¿Tendré acceso ilimitado a los datos almacenados?
  • ¿He almacenado los datos en otro lugar para que si se deniega el acceso a mis datos pueda adquirirlos a través de otra fuente?
  • ¿He realizado una «diligencia debida» con respecto a la empresa que almacenará mis datos?
  • ¿Son una compañía sólida con un buen historial operativo y otros servicios en el campo recomiendan su servicio?
  • ¿En qué país y estado se encuentran y hacen negocios?
  • ¿Cuál es el costo del servicio, cómo se paga y qué sucede en caso de falta de pago?
  • En caso de incumplimiento financiero, ¿perderé acceso a los datos, se convierte en propiedad de la empresa SaaS o se destruyen los datos?
  • ¿Cómo termino la relación con la empresa SaaS?
  • ¿Cómo recupero mis datos y la empresa SaaS retiene copias?
  • ¿Se requieren contraseñas para acceder al programa que contiene mis datos?
  • ¿Quién tiene acceso a las contraseñas?
  • ¿El público tendrá acceso a mis datos?
  • Si permito el acceso de los no clientes a una parte de los datos, ¿tendrán acceso a otros datos que deseo proteger?
  • Reconociendo que algunos datos requerirán un mayor grado de protección que otros, ¿tendré la capacidad de cifrar ciertos datos utilizando las herramientas de cifrado de nivel superior que yo elija?

Plataformas de cloud computing para abogados

Hay una variedad de plataformas de software de computación en la nube desarrolladas específicamente para abogados.

Dentro de estas, podemos destacar las siguientes:

  • Select Legal Systems: fue uno de los primeros proveedores de software legal en ofrecer una solución en la nube para el mercado legal. Su producto estrella, LAWFUSION, está completamente integrado y ofrece todo lo que esperaría de una solución líder, incluida la gestión de la práctica, las cuentas, el registro de tiempos y la gestión de casos.
  • Osprey Legal Cloud: es un sistema de gestión de práctica basado en la web para bufetes de abogados de Pracctice Ltd. con alrededor de 600 clientes que van desde instalaciones de un solo usuario hasta firmas con más de 500 empleados. El software incluye software de cuentas legales, gestión de casos y gestión de prácticas.
  • LEAP: es una solución integrada de contabilidad y gestión de casos legales basada en la nube para pequeñas firmas de abogados (1-80 personas) que se especializan en áreas comunes del derecho, como el transporte residencial, la planificación patrimonial y el derecho de sucesión y familiar. La producción y las tareas automatizadas de documentos se combinan con todo el mantenimiento de registros necesario, incluida la grabación de tiempo (móvil y de escritorio) y facturación, custodia segura y contabilidad legal y de clientes. También hay formularios legales y cartas precedentes, todos los cuales se mantienen actualizados y altamente automatizados para mayor precisión y facilidad de producción.
  • IurisCloud: plataforma de servicios en la nube de fácil acceso, con máxima seguridad para los datos y un equipo a tu servicio. Se basa en una cadena de servidores en cascada exclusivos para el cliente y cabinas de almacenamiento para copias de seguridad. La información almacenada se redunda en otro servidor, que transmite las modificaciones entre ambos y de forma sincronizada.
  • Lexdigo: es una plataforma legaltech basada en blockchain que funciona como un despacho online para abogados. Reduce a un único sistema los diferentes programas que las firmas legales tienen para cada tarea y permite a sus profesionales estar en contacto con sus clientes sin necesidad de desplazarse.
  • AbogadosKa: solución para administrar tu trabajo cuándo y dónde quieras. Es un programa on-line que no requiere ninguna instalación y con el que puedes gestionar y administrar tus contactos, crear expedientes y casos, subir archivos a la nube, descargarlos cuándo quieras, anotar tus citas y reuniones en la agenda, realizar facturas, enviar SMS personalizados y con la misma validez legal que un burofax.

Descarga PDF

 

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.