Jurisdicción aplicable en materia de datos personales en los contratos de cloud computing: análisis bajo la legislación colombiana
| Autor | Gonzalo Andrés Moreno Gómez |
| Cargo | Abogado, Pontificia Universidad Javeriana de Bogotá, Colombia y Universidad del País Vasco de San Sebastián, España |
| Páginas | 2-28 |
Page 5
El Cloud Computing (computación en la nube) representa una forma de prestar servicios a través de internet utilizando data centers que, en la mayoría de los casos, se encuentran en jurisdicciones diferentes a la del contratante, lo cual genera como consecuencia un dilema de aplicación espacial del derecho. Se trata de un fenómeno que revolucionó la forma de consumo de almacenamiento de datos, el desarrollo de aplicativos, el acceso a software en internet con un costo menor al reducir la capacidad instalada de las empresas1.
Las relaciones jurídicas que se originan a causa de este fenómeno están quedando en un limbo pues no se tiene claridad sobre el lugar donde tiene efectos el contrato, ya que no se conoce la ubicación física de los data centers, la sede del proveedor del servicio y/o la ubicación del usuario. Dado que la contratación se da en la web en la mayoría de los casos y los pagos se realizan por medios electrónicos, las partes no llegan a interactuar físicamente, razón por la cual la ubicación, para efectos legales, podría ser definida por el lugar donde se encuentren los data centers e, incluso, donde estén los consumidores finales.
Dentro de la problemática descrita anteriormente aparece el el objetivo fundamental del presente escrito que es analizar el vínculo contractual que surge de un contrato de computación en la nube y los problemas de jurisdicción que surgen de la relación contractual en la nube. Ahora bien, los problemas de jurisdicción en materia de cloud computing tendrán un tratamiento diferente dependiendo de la naturaleza del fenómeno jurídico que se estudie, pudiéndose presentar discrepancias en materia de: ley aplicable por actuaciones criminales, responsabilidad civil, relaciones contractuales, impuestos y protección de datos. El presente escrito pretende hacer un análisis particular de este último aspecto.
Para tal efecto analizaremos el concepto técnico de cloud computing, sus antecedentes, los tipos de computación en la nube y los esquemas comerciales utilizados en la actualidad, para luego estudiar la figura contractual, los problemas de ley y de jurisdicción en materia de protección de datos.
El análisis del computing debe partir del estudio del concepto como tal y para ello, partiremos en el presente escrito, de la definición para luego adentrarnos en sus particularidades.
Aunque normalmente la definición de cloud computing es de origen doctrinal y empresarial, la regulación extranjera reciente ha incursionado en esta cuestión. Este es el caso de los Estados Uni-
Page 6
dos Mexicanos en donde la computación en la nube o cómputo en la nube es definido como el: modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente(Es\.aóos Unidos Mexicanos, Presidencia de la República, 2011, Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Cursivas mías.).
Esta es la primera definición legal sobre la materia, la cual se encuentra consagrada en el artículo 52 del Reglamento de la Ley Federal de protección de datos personales en posesión de particulares publicada en diciembre de 2011 por el Estado Mexicano.
De las diversas acepciones2 sobre Cloud Compu-ting puede concluirse, entre otras, que se trata de un servicio mediante el cual el usuario (una persona, una empresa, una entidad pública o cualquier organización) terceriza la provisión de ciertos recursos tecnológicos, como puede ser la infraestructura para el desarrollo de un software, una plataforma para el desarrollo de aplicaciones web o simplemente una solución de software en una central de cómputo (denominado cloud service provider -CSP-) quien, a través de internet, permite que se utilicen sus data centers para guardar la información, albergar programas de computador que corran en sus servidores o permitir la utilización de su capacidad instalada para suplir necesidades de cómputo. Este servicio opera por demanda o solicitud del usuario, es flexible y se obtiene pagando sólo por el espacio efectivamente utilizado.
Una vez introducido el concepto de computación en la nube, entraremos a analizar las diversas clases de entornos que en la actualidad se están ofreciendo en internet.
La particularidad del cómputo en la nube permite que se ofrezcan diversas posibilidades a los usuarios del servicio, creándose formas de acceso público, privado o mixto, las cuales tienen un tratamiento diferente en materia de seguridad y costos, como se evidencia a continuación:
Es aquel modelo que permite a los usuarios el acceso a recursos de cómputo compartidos, a través de internet, utilizando cualquier navegador del común no especializado (Mozilla Firefox, Internet Explorer, Safari, Google Chrome, entre
Page 7
otros). Está basado en un negocio de pago por utilización del servicio, similar a servicios públicos como la electricidad, lo cual posibilita la suficiente flexibilidad para ofrecer una asistencia adecuada en los momentos de alta demanda que permitie a los consumidores utilizar los recursos de acuerdo a los requerimientos de su propia demanda. Este servicio es menos seguro que otros modelos en la nube que consideraremos más adelante ya que, al permitir acceso al público en general, existe la posibilidad de que se presenten mayores de ataques maliciosos que en otros escenarios (Ramgovind, S, Eloff, M.M. & Smith, E., 2010, The management of se-curity in Cloud computing, Information Securíty for South África (ISSA)).
En la nube pública varios consumidores comparten los data centers, sin tener una asignación específica de equipos físicos, no obstante, el acceso a la información es exclusivo por parte de su titular y no pueden acceder otros a ésta. Un ejemplo es el sistema Amazon Simple Storage Service (Amazon S3), el cual proporciona una interfaz de servicios web sencilla que se puede utilizar para almacenar y recuperar datos sin importar el momento o el lugar en la web, con la particularidad que todos los archivos almacenados en línea se codifican y guardan en Amazon Simple Storage Service -S3- en varios centros de datos ubicados en los Estados Unidos (Where are my files stored?). Si bien esta información se encuentra codificada, se compartirán los recursos informáticos con otros usuarios del servicio al estar sujetos a los controles de seguridad de la información que imponga la proveedora del Data Center, en este caso, Amazon.
Es aquel servicio atado al centro de información interno de una organización o empresa, es decir, una compañía utiliza de forma exclusiva una infraestructura cloud; siendo mucho más fácil alinear la seguridad y el cumplimiento de los requerimientos regulatorios permitiendo un mayor control en su despliegue y utilización. En la nube privada los recursos son escalables y las aplicaciones virtuales ofrecidas por el proveedor cloud son utilizadas y compartidas de forma conjunta por los usuarios. Se diferencia de la nube pública en que todos los recursos web y aplicaciones son administrados única y exclusivamente por el organizador, asimilándose a un funcionamiento como el de una intranet3.
Un ejemplo de esta es el utilizado por las compañías para compartir archivos en carpetas comunes (que diferentes usuarios puedan acceder y modificar utilizando un log in). Estos se encuentran almacenados en servidores físicos, custodiados por la empresa, que pueden ser accedidos desde una página web. Esto permite mayores niveles de seguridad que cualquier otro tipo de Cloud Computing.
Es una nube privada atada a uno o más servicios cloud externos manejados centralizada-
Page 8
mente, provisionados como una sola unidad en conjunto y circunscritos por una red segura. Provee soluciones de tecnología virtual a partir de una mezcla de nubes públicas y privadas y, de esta forma, garantiza mecanismos de control más eficaces sobre la información y las aplicaciones permitiendo que varias partes accedan a la información por medio de internet. Este tipo de nube tiene como particularidad una arquitectura abierta que permite interfaces con otros sistemas de administración4 y habilita a varias empresas, con diferentes programas, para acceder y estructurar el software o la información de acuerdo con la necesidad particular; en este sentido se presenta como una posibilidad para que dos o más nubes (públicas o privadas) estén unidas, facilitando el intercambio de datos y/o aplicaciones entre ellas de una manera controlada.
Un ejemplo que implementa el modelo de nube híbrida es Domino's Pizza. Esta compañía recibe 50% más de pedidos en el domingo del Super Bowl que en una noche típica de viernes. En vez de comprar hardware adicional de TI para atender la demanda inusual de llamadas en el Super Bowlcapacidad que no usaría en el resto del año- Domino's Pizza ha utilizado la nube para manejar el incremento de sus necesidades en TI para ese día (Microsoft Corporation, Junio 28 de 2011, Microsoft Office 365: Identify For Enterprises, Service Description). De este modo, aumen-tan su...
Para continuar leyendo
Solicita tu prueba