Los retos legales de las empresas en el camino a la nube híbrida

Cloud Computing Business Value Exchange España
El cloud computing se ha configurado durante los últimos años como un modelo de negocio a través del cual se ofrece a los usuarios una serie de servicios TIC estandarizados dirigidos a dar una respuesta a las necesidades tecnológicas de los individuos y de las empresas de una forma flexible y adaptativa.

El sistema de cloud computing se caracteriza por facilitar u otorgar a los usuarios el acceso a determinados servicios que se encuentran almacenados de forma permanente en servidores remotos de manera que, cuando un cliente así lo solicita, se pone inmediatamente a su disposición en sus equipos de escritorio, dispositivos portátiles o móviles, según las necesidades requeridas en cada momento. De este modo, el cloud computing se ha constituido como un auténtico “modelo a la carta” para la prestación de servicios relacionados con el software, las aplicaciones y las infraestructuras tecnológicas.

Se consideran nubes o cloud híbridas aquellas que combinan elementos definitorios de los modelos de nubes públicas, comunitarias y privadas, por lo que los clientes pueden ser usuarios únicos de un servidor y compartir partes de otro servidor con otros clientes aunque de una manera controlada. En este caso, la infraestructura de nube suele basarse en tecnología estandarizada o propietaria que permite la portabilidad de datos y de aplicaciones. Este tipo de nubes suelen ser las utilizadas en el caso de empresas que necesiten una infraestructura tecnológica simple, que no requiera un alto grado de sofisticación, pero que a su vez pueda ser escalable en capacidad en un corto espacio de tiempo.

Este tipo de nubes posibilitan a los usuarios mayor flexibilidad, puesto que les brinda la oportunidad de obtener un mejor servicio y aprovechamiento de los recursos al permitir diferenciar entre el tipo de almacenamiento (privado o público) de contenidos en función de las implicaciones que estos contenidos puedan conllevar en materia de confidencialidad o sensibilidad de los datos que vayan a ser almacenados.

Existen distintos modos de estructurar los modelos de cloud híbrida:

  • Mediante la colaboración entre distintos prestadores del servicio que combinen características de cloud pública y privada como un servicio integrado en su oferta.

 

  • A través de la oferta de un paquete híbrido completo proporcionado por un único proveedor de servicios cloud.

 

  • Entidades que gestionan sus propias nubes o clouds privadas que contraten a su vez un servicio de cloud pública y lo integren posteriormente en sus infraestructuras.

En la práctica, los contratos de cloud no suelen limitarse al almacenamiento de datos e información (que es en lo que realmente consistiría el Cloud en sentido estricto) sino que también incluyen la gestión de esa misma información mediante aplicaciones tecnológicas concretas y/o servicios accesorios –en ocasiones es el propio servicio de almacenamiento el que se ofrece como servicio accesorio– por lo que el objeto de estos contratos supera el mero almacenamiento de información.

Así, de manera adicional al ahorro de espacio y a las facilidades de organización de los datos de una empresa, las compañías beneficiarias de los servicios de cloud buscan una reducción significativa de costes a través de la externalización, no solo de los contenidos, sino de la gestión de los mismos, con la pretensión final tanto de reducir costes estructurales como de optimizar los recursos de la propia empresa.

En un plano legal, estos servicios deben acordarse y estructurarse en base a un contrato formalizado entre el cliente y el prestador de los servicios en el que las partes regulen los aspectos principales del servicio a prestar. Debe tenerse en cuenta que estos servicios suelen contratarse mediante documentos de adhesión en los que los proveedores del servicio determinan unilateralmente sus condiciones.

 

Implicaciones legales

La prestación de este tipo de servicios conlleva importantes implicaciones legales que se configuran como uno de los principales aspectos a tener en cuenta a la hora de contratar este tipo de servicios. A este respecto, cabe mencionar que aquellos contratos en los que la prestación de este servicio vaya a realizarse mediante un sistema híbrido conllevarán una mayor complejidad debido a la necesidad de regular más exhaustivamente los servicios.

Entre otras, las principales implicaciones legales que resultan aplicables a este tipo de contratos son las relativas a la protección de datos, servicios de la sociedad de la información y de comercio electrónico y derechos de propiedad industrial e intelectual. La prestación de este tipo de servicios implica, en la inmensa mayoría de los casos, un flujo constante de información (entre la que se encuentran datos de carácter personal) a través de canales y medios sometidos a la legislación sobre servicios de la sociedad de la información.

Estos aspectos deberán quedar convenientemente cubiertos desde el punto de vista contractual según lo previsto en la normativa española o aquella otra que resulte de aplicación, en función de donde va a realizarse el almacenamiento y tratamiento de los datos. De esta manera, los prestadores de los servicios quedarán configurados, normalmente, como encargados del tratamiento, por lo que se deberán incluir las menciones obligatorias que establece la normativa española de protección de datos, siempre que se lleven a cabo tratamientos de datos con medios situados en territorio español.

En relación con la protección de los datos de carácter personal, el hecho de que, en muchos casos, los servidores se encuentren en terceros países, fuera del Espacio Económico Europeo, determina que el acceso por los prestadores de servicios cloud a los datos personales se hagan en el marco de transferencias internacionales de datos.

En este sentido, se debe tener en cuenta la reciente anulación de la Decisión 2000/520/CE de la Comisión Europea de 26 de julio de 2000, que establecía la posibilidad de que se realizaran transferencias internacionales a una serie de entidades que cumplían con los principios de Puerto Seguro, sin necesidad de que las mismas fueran autorizadas por la Agencia Española de Protección de Datos. El escenario actual precisaría que la transferencia internacional de datos sea consentida expresamente por los interesados, requisito el cual deberá ser cumplido por los responsables de los datos, es decir, los clientes de los servicios cloud (cuando éstos sean personas jurídicas).

Por otro lado, se debe tener en cuenta que el uso de estos servicios cloud puede conllevar una serie de implicaciones en cuanto a derechos de propiedad intelectual. En particular, los servicios que sean prestados a través de un software por parte de los prestadores deberán ser regulados a través de una licencia de uso para usuarios finales, en el que se establezcan las limitaciones de uso del software. Así mismo, los clientes de estos servicios deben tener en cuenta que el almacenamiento de contenidos protegidos mediante derechos de propiedad intelectual podría llegar a implicar un acto de comunicación pública de los mismos (particularmente en los servicios de cloud pública), en la medida en que los mismos puedan llegar a ser descargados y utilizados por terceros.

En este sentido se deberán leer cuidadosamente los términos del servicio cloud y realizar un análisis previo de la situación jurídica del cliente respecto de los contenidos protegidos mediante derechos de propiedad intelectual (i.e. licenciatario o titular de los derechos). En el mismo sentido, se deberá prestar también particular atención a que la carga de contenidos protegidos no otorgue derechos al prestador de los servicios cloud sobre los mismos (normalmente una licencia, en el caso de cloud públicas).

Por último, es conveniente mencionar que la prestación de este tipo de servicios puede conllevar consecuencias de carácter penal, principalmente para la empresa prestadora de los servicios de cloud. Puesto que estos servicios son aquellos que recaen sobre los activos de información de los que es responsable el cliente (revelación de secretos, violación del secreto de las comunicaciones, delitos contra la propiedad intelectual e industrial, etc.) y entre ellos, los que recaen sobre los datos de carácter personal, en los que además de responder penalmente, habrá cometido una infracción administrativa (además de su respectiva responsabilidad civil, frente al responsable del fichero y frente al afectado, respectivamente).

 

El autor de este artículo es Rafael García del Poyo, abogado y socio del Departamento de Derecho de los Negocios Digitales de Osborne Clarke.