Blog

informe-cloud-computing-abogados

La AEPD y CGAE crean un informe sobre el uso del cloud computing por los despachos de abogados

El pasado mes de junio, la Agencia Española de Protección de datos (AEPD), y el Consejo General de la Abogacía Española (CGAE), lanzaban un informe para la utilización de la computación en la nube (Cloud Computing) por los despachos de abogados.

Tras los escándalos sucedidos con el caso Megaupload, que hizo saltar las alarmas en cuanto a la seguridad, confidencialidad y disponibilidad de la información en infraestructuras cloud, la AEPD junto con la CGAE lanzan este informe, pionero en Europa, muy interesante y que queremos compartir con vosotros.

El informe, que cuenta con 19 páginas, aporta luz y resuelve dudas en cuanto a esta forma de trabajar, en concreto en cuanto a confidencialidad, seguridad, legislación aplicable e implicaciones con la normativa de protección de datos.

A continuación os mostramos el contenido del díptico cloud en formato pregunta-respuesta, y el enlace para la descarga del informe de utilización de Cloud Computing por los despachos de abogados.

¿Qué es el Cloud Computing?

Es un modelo de prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de la red a un conjunto de servicios -correo electrónico, almacenamiento de documentos, aplicaciones de contabilidad o gestión del despacho, bases de datos de jurisprudencia o legislación, compartir documentación e información con clientes y/o con otros despachos, etc.- sin necesidad de disponer de servidores o de software en el propio despacho. Los datos y las aplicaciones se encuentran en algún lugar de Internet, que se representa frecuentemente como una nube. De ahí el término Cloud Computing.

 ¿Qué ventajas tiene para mi despacho?

Entre otras cosas, permite acceder a todos estos servicios desde cualquier lugar que tenga internet –despacho, hogar, un hotel, etc.-, pagar sólo por los servicios realmente utilizados y ahorrar en la infraestructura de hardware.

¿Qué debo tener en cuenta al utilizarlo?

Como abogados, el secreto profesional es uno de nuestros principios esenciales, y la protección y seguridad de los datos una exigencia legal que debemos cumplir y garantizar. Este derecho-deber impone a los despachos de abogados verificar que la información que manejamos de nuestros clientes está cubierta por todas las garantías legales de seguridad, privacidad y confidencialidad.

A la hora de contratar un servicio bajo el modelo Cloud Computing debemos asegurarnos de que el proveedor de servicios cubre todos los requisitos de confidencialidad, seguridad e integridad de los datos de nuestro despacho que hemos depositado allí; que garantiza que no se pueden perder y que estarán siempre disponibles para su uso sólo por quien lo ha contratado, así como que cumple la legislación aplicable a nivel nacional y europeo.

La naturaleza del modelo Cloud Computing hace posible que los datos almacenados “en la nube” se encuentren físicamente en un servidor ubicado en cualquier punto del planeta. Esta circunstancia es muy relevante en materia de protección de datos de carácter personal, y también desde el punto de vista de la resolución de posibles conflictos.

¿Existe algún riesgo en materia de protección de datos?

Cuando contrata estos servicios mantiene esa consideración como responsable del tratamiento de los datos y de la obligación de cumplir con la LOPD.

Por su parte el prestador de servicios de cloud computing tendrá la condición de encargado del tratamiento. Esta relación, regulada en la LOPD, convierte al despacho de abogados en responsable de seleccionar como encargado del tratamiento de sus datos a alguien que verifique los requisitos legalmente establecidos. Esta responsabilidad se extiende a la subcontratación de servicios.

Así, cuando el encargado del tratamiento subcontrate alguna actividad, para la prestación del servicio, dicha subcontratación se recogerá en el contrato de prestación de servicios.

Una fórmula que puede utilizarse cuando intervengan las entidades subcontratadas, es que el despacho autorice los servicios susceptibles de subcontratación (p.ej. servicios de “hosting”) y tenga permanentemente a su disposición una relación actualizada de las entidades subcontratadas y, en el caso de que actúen en terceros países en los que no exista un nivel de protección equivalente al europeo, de los países donde operan, (por ejemplo en una página web a la que tenga acceso o a través de otras alternativas que le permitan estar informado).

¿Qué garantías debo exigir que se adopten por el prestador de Cloud?

A la hora de elegir un proveedor de servicios Cloud Computing para un despacho profesional o Colegio de abogados y para evitar sorpresas se debe revisar si cumple los requisitos mínimos jurídicos y técnicos que garantizan la seguridad y la integridad de los datos. De forma específica se debe revisar que existan las siguientes cláusulas:

  • Disponibilidad permanente del servicio y portabilidad de la información.
  • Cumplimiento de la legislación nacional e internacional aplicable en función de la territorialidad y específicamente en materia de protección de datos. El proveedor debe asumir su papel como encargado de tratamiento de ficheros.
  • Gestión de las subcontrataciones para el tratamiento de la información.
  • Garantía en el acceso a los datos: la información solo puede ser accesible para el despacho de abogados que lo ha contratado.
  • Integridad y conservación de los datos; gestión de copias de seguridad, recuperación ante desastres, continuidad del servicio.
  • Consecuencias por incumplimiento de las obligaciones contraídas.

¿Qué legislación es aplicable?

La contratación de un servicio Cloud Computing por un despacho de abogados, siempre que trate datos de carácter personal, debe observar el cumplimiento de todos los requerimientos establecidos tanto en la LOPD como en el RDLOPD.

El despacho profesional en su calidad de Responsable del tratamiento de los datos debe elegir al proveedor de servicio que cubra las exigencias legales que a nivel nacional o europeo se establecen en materia de protección de datos, así como acceder y conocer el tratamiento que el proveedor del servicio va a realizar sobre los mismos.

Hay que revisar la jurisdicción y legislación a la que se somete el proveedor del servicio porque puede afectar de forma directa a la resolución de futuros conflictos y a la responsabilidad del Despacho frente a nuestros clientes, teniendo en cuenta, que no se podrá pactar la aplicación de una normativa distinta a la nacional o Europea, ni excluir las competencias que en materia de protección de datos se establecen legalmente.

¿Qué aspectos esenciales ha de tener el prestador del servicio de Cloud Computing para que mi despacho esté seguro?

Un servicio Cloud Computing es un modelo muy aconsejable desde el punto de vista operativo y financiero, pero es necesario revisar de forma previa a contratarlo que el proveedor del servicio cumpla las garantías que se enuncian en la pregunta 5 con el objetivo de que cumpla las características técnicas y legales y que garantice con el pleno respeto al derecho a la protección de datos de carácter personal.

Fuente: agpd.es | Imagen de portada propiedad de Shutterstock