Fecha de publicación: 19/05/2016
Etiquetas:
¿Qué es “la nube”?
En la “nube” el proveedor pone a disposición del usuario un servicio informático, que puede ser de almacenamiento de datos, ejecución de aplicaciones o directamente de aplicaciones, al que el usuario puede acceder vía internet. El usuario no almacena programas en su servidor, sino que usa los de su proveedor: puede usar un software o una plataforma diseñada, mantenida y mejorada por el proveedor, a su exclusivo costo.
En muchos casos también se almacena data que no le pertenece al usuario sino a terceros, como ocurre con los abogados y sus clientes. El proveedor del servicio de almacenamiento está a cargo de su mantenimiento, su seguridad y de contar con todos los adelantos e innovaciones.
No todas son ventajas
A pesar de todas las ventajas que la nube ofrece, en caso de pérdida o publicación no autorizada de la información, el cliente del servicio es el responsable frente a terceros damnificados por estas pérdidas, desde la estrellita de Hollywood en ascenso, hasta el banco cliente del abogado que envió su data a la nube. La responsabilidad legal no se delega. Sólo la seguridad y el control de la data.
El cliente del servicio cargará siempre, en caso de fallas, con la responsabilidad civil y penal, las cuales podrían recaer sobre los miembros del directorio y los gerentes. Y la normativa, dependiendo del país, podría determinar responsabilidad por mal desempeño del cargo. Penalmente, además, la figura del garante puede resultar problemática si no se prueba que actuó con la diligencia de un buen padre de familia —en cualquier régimen jurídico de Latinoamérica.
El contrato: un muro de contención
Para probar que prestaron la debida atención a los asuntos societarios, los directores y gerentes de las empresas clientes deberían firmar un contrato de servicios que proteja la seguridad de la data de terceros. Esta es la mejor manera de trazar un límite a la responsabilidad que los titulares de los datos perdidos le reclamarán.
En términos generales:
Con más detenimiento, el contrato debería incluir entre sus cláusulas las siguientes, en particular:
En este punto, hay que tener en cuenta que la data no le pertenece al cliente en todos los casos, puede ser de un tercero, respecto del cual será civilmente responsable. Antes de avanzar con este tema, no está de más recordar que en materia de seguridad, los protocolos de los proveedores con experiencia y buen nombre son más avanzados que los que su cliente pueda seguir fuera de la nube.
Precisamente, para distinguirlos de los improvisados, es que habrá que determinar qué recaudos toma el proveedor y si ellos cumplen con la normativa nacional e internacional, en materia de seguridad, que regula la migración de data de determinado nivel de seguridad. Esta mirada incluye a los procedimientos de control de acceso a la información y al lenguaje de seguridad aplicable.
En este sentido, es aconsejable consignar en el contrato, o en un anexo, el protocolo de procedimiento, en caso de violación de la seguridad, para que siga el proveedor del servicio en la nube y quienes sean autorizados por él a acceder a la información.
Hay dos períodos en los que la data migra hacia y desde la nube: Al comienzo y al final de un contrato de SaaS. Es importante prever la seguridad y el control de esa información en estos períodos potencialmente vulnerables a un siniestro. No estaría de más convenir el destino de la data en caso de incumplimiento contractual, o, más interesante aún, de falencia de una u otra de las partes.
Debe convenirse que el proveedor garantice mantener la confidencialidad de la información bajo su custodia y la transparencia respecto de las políticas de seguridad. También deben explicitar los procedimientos adecuados para asegurar su integridad y accesibilidad. La cuestión de la integridad es importante, en mi criterio. El proveedor debe informar dónde está almacenada la data, quien tiene acceso a ella y la fecha de cada modificación de la metadata del file.
Los períodos de retención de la data a veces son variados. En algunos casos, se prevé el “bucket”, o sea el fraccionamiento de la data, según algún requerimiento especial. Como el plazo único suele ser exagerado, no está de más tratar este tema antes de la firma.
La incidencia en el proceso de la prueba digital es realmente importante. Cuando el Juez ordena su producción y el documento digital no se encuentra en el sistema del cliente requerido, sino en la nube, pueden plantearse consecuencias graves.
Es fundamental plantear en la etapa de la negociación del contrato, y plasmar en cláusulas explícitas, cómo cuida el proveedor la cadena de custodia. De esta forma se preserva la integridad de la pieza requerida, incluyendo su data y metadata. Es el momento para asegurarse que el plazo en el que el proveedor se obliga a “bajar” el documento requerido coincida con aquellos establecidos por el procedimiento judicial.
Un requerimiento judicial sobre el cliente conlleva para el proveedor tiempo, esfuerzo y compromiso de sus operaciones. Aquí, la cuestión de la accesibilidad se sobrepone a la de la recolección de data, tan importante en el modelo de producción de prueba digital.
Es por ello que debe convenirse en el contrato de SaaS que la infraestructura del proveedor sea compatible con la de IT del cliente y que será posible acceder y recolectar la data en cualquier momento, incluso en plazo de una notificación legal.
La clave es tener siempre presente que en caso de requerimiento judicial de algún documento digital, el cliente no podrá recurrir a su personal de IT, deberá hacerlo con el proveedor del servicio en la nube.
Si en el contrato no se especifica lo contrario, es difícil responsabilizar al proveedor del servicio si estos percances ocurren. De hecho, la mayoría de acuerdos tienden a minimizar la responsabilidad del proveedor. Lo cierto es que el usuario pierde el control de la data que sube a la nube, que queda en manos del proveedor. Es posible que el Juez, a la hora de asignar responsabilidades por daño a la data, tenga presente este punto.
En conclusión
La prestación de servicios de software en la nube es cada vez más frecuente. Lo es por las ventajas económicas y técnicas que resultan de acceder a un nivel más sofisticado de servicios sin realizar una inversión inicial considerable.
Su contratación no debe verse, en mi entender, como una de adhesión. La negociación precedente al convenio deberá comprender todas o algunas de las cuestiones aquí abordadas. Sólo así es posible limitar o, incluso, evitar la responsabilidad del directorio, o los gerentes, frente a terceros en caso de fallas, revelaciones o pérdida de la data.
En la “nube” el proveedor pone a disposición del usuario un servicio informático, que puede ser de almacenamiento de datos, ejecución de aplicaciones o directamente de aplicaciones, al que el usuario puede acceder vía internet. El usuario no almacena programas en su servidor, sino que usa los de su proveedor: puede usar un software o una plataforma diseñada, mantenida y mejorada por el proveedor, a su exclusivo costo.
En muchos casos también se almacena data que no le pertenece al usuario sino a terceros, como ocurre con los abogados y sus clientes. El proveedor del servicio de almacenamiento está a cargo de su mantenimiento, su seguridad y de contar con todos los adelantos e innovaciones.
No todas son ventajas
A pesar de todas las ventajas que la nube ofrece, en caso de pérdida o publicación no autorizada de la información, el cliente del servicio es el responsable frente a terceros damnificados por estas pérdidas, desde la estrellita de Hollywood en ascenso, hasta el banco cliente del abogado que envió su data a la nube. La responsabilidad legal no se delega. Sólo la seguridad y el control de la data.
El cliente del servicio cargará siempre, en caso de fallas, con la responsabilidad civil y penal, las cuales podrían recaer sobre los miembros del directorio y los gerentes. Y la normativa, dependiendo del país, podría determinar responsabilidad por mal desempeño del cargo. Penalmente, además, la figura del garante puede resultar problemática si no se prueba que actuó con la diligencia de un buen padre de familia —en cualquier régimen jurídico de Latinoamérica.
El contrato: un muro de contención
Para probar que prestaron la debida atención a los asuntos societarios, los directores y gerentes de las empresas clientes deberían firmar un contrato de servicios que proteja la seguridad de la data de terceros. Esta es la mejor manera de trazar un límite a la responsabilidad que los titulares de los datos perdidos le reclamarán.
En términos generales:
- Como la información cruza fronteras, se debe establecer cómo se la conservará, identificando a los terceros que tengan acceso, y determinando cómo fluye la información, su uso y su ubicación. Debe pactarse entonces la accesibilidad —y también su monitoreo.
- El proveedor debe garantizar al cliente que los terceros (y sus aplicaciones) que accedan a la data almacenada, por ejemplo, para cumplir servicios de mantenimiento o actualización, deben seguir las mismas normas de protección de seguridad y privacidad de los datos almacenados que regula al cliente.
- Habría que estudiar los protocolos de seguridad del proveedor para saber cómo reacciona en caso de incidentes, en qué plazos lo hará y cuál es el plan de notificaciones qué seguirá. Respecto del encriptamiento, cuando la data del cliente está sujeta a un control o a una normativa especial por la Ley local, es necesario instrumentarlo.
Con más detenimiento, el contrato debería incluir entre sus cláusulas las siguientes, en particular:
- Seguridad de la data:
En este punto, hay que tener en cuenta que la data no le pertenece al cliente en todos los casos, puede ser de un tercero, respecto del cual será civilmente responsable. Antes de avanzar con este tema, no está de más recordar que en materia de seguridad, los protocolos de los proveedores con experiencia y buen nombre son más avanzados que los que su cliente pueda seguir fuera de la nube.
Precisamente, para distinguirlos de los improvisados, es que habrá que determinar qué recaudos toma el proveedor y si ellos cumplen con la normativa nacional e internacional, en materia de seguridad, que regula la migración de data de determinado nivel de seguridad. Esta mirada incluye a los procedimientos de control de acceso a la información y al lenguaje de seguridad aplicable.
En este sentido, es aconsejable consignar en el contrato, o en un anexo, el protocolo de procedimiento, en caso de violación de la seguridad, para que siga el proveedor del servicio en la nube y quienes sean autorizados por él a acceder a la información.
- Migración de la data, propiedad:
Hay dos períodos en los que la data migra hacia y desde la nube: Al comienzo y al final de un contrato de SaaS. Es importante prever la seguridad y el control de esa información en estos períodos potencialmente vulnerables a un siniestro. No estaría de más convenir el destino de la data en caso de incumplimiento contractual, o, más interesante aún, de falencia de una u otra de las partes.
- Confidencialidad e integridad:
Debe convenirse que el proveedor garantice mantener la confidencialidad de la información bajo su custodia y la transparencia respecto de las políticas de seguridad. También deben explicitar los procedimientos adecuados para asegurar su integridad y accesibilidad. La cuestión de la integridad es importante, en mi criterio. El proveedor debe informar dónde está almacenada la data, quien tiene acceso a ella y la fecha de cada modificación de la metadata del file.
- Retención de la data:
Los períodos de retención de la data a veces son variados. En algunos casos, se prevé el “bucket”, o sea el fraccionamiento de la data, según algún requerimiento especial. Como el plazo único suele ser exagerado, no está de más tratar este tema antes de la firma.
- Prueba digital:
La incidencia en el proceso de la prueba digital es realmente importante. Cuando el Juez ordena su producción y el documento digital no se encuentra en el sistema del cliente requerido, sino en la nube, pueden plantearse consecuencias graves.
Es fundamental plantear en la etapa de la negociación del contrato, y plasmar en cláusulas explícitas, cómo cuida el proveedor la cadena de custodia. De esta forma se preserva la integridad de la pieza requerida, incluyendo su data y metadata. Es el momento para asegurarse que el plazo en el que el proveedor se obliga a “bajar” el documento requerido coincida con aquellos establecidos por el procedimiento judicial.
Un requerimiento judicial sobre el cliente conlleva para el proveedor tiempo, esfuerzo y compromiso de sus operaciones. Aquí, la cuestión de la accesibilidad se sobrepone a la de la recolección de data, tan importante en el modelo de producción de prueba digital.
Es por ello que debe convenirse en el contrato de SaaS que la infraestructura del proveedor sea compatible con la de IT del cliente y que será posible acceder y recolectar la data en cualquier momento, incluso en plazo de una notificación legal.
La clave es tener siempre presente que en caso de requerimiento judicial de algún documento digital, el cliente no podrá recurrir a su personal de IT, deberá hacerlo con el proveedor del servicio en la nube.
- Pérdida de información:
Si en el contrato no se especifica lo contrario, es difícil responsabilizar al proveedor del servicio si estos percances ocurren. De hecho, la mayoría de acuerdos tienden a minimizar la responsabilidad del proveedor. Lo cierto es que el usuario pierde el control de la data que sube a la nube, que queda en manos del proveedor. Es posible que el Juez, a la hora de asignar responsabilidades por daño a la data, tenga presente este punto.
En conclusión
La prestación de servicios de software en la nube es cada vez más frecuente. Lo es por las ventajas económicas y técnicas que resultan de acceder a un nivel más sofisticado de servicios sin realizar una inversión inicial considerable.
Su contratación no debe verse, en mi entender, como una de adhesión. La negociación precedente al convenio deberá comprender todas o algunas de las cuestiones aquí abordadas. Sólo así es posible limitar o, incluso, evitar la responsabilidad del directorio, o los gerentes, frente a terceros en caso de fallas, revelaciones o pérdida de la data.
WordPress ID
5945
}
Add new comment