Cloud computing: ¿qué consideraciones debemos tener?
Por: David Chong, Director de Privacidad de la Sociedad de Derecho y Empresas Digitales.
Cada vez el uso de tecnologías de la información se hace más frecuente en todos los ámbitos de nuestras vidas. En buena cuenta, la coyuntura sanitaria que estamos viviendo en los últimos años nos ha obligado a familiarizarnos en la utilización de nuevas herramientas tecnológicas que facilitan la forma en cómo trabajamos, estudiamos, interactuamos y procesamos información.
Por otro lado, específicamente en el aspecto laboral, apreciamos que las empresas han iniciado o, en algunos casos, han acelerado sus procesos de transformación digital y cultural. Ello, en vista de la necesidad de mantenerse conectados con todos sus stakeholders, pero principalmente con sus clientes.
Siendo ello así, una de las tecnologías que más se escucha en los procesos de transformación digital empresarial es el Cloud Computing o Computación en la Nube. Definido en términos sencillos el Cloud Computing es el conjunto de herramientas tecnológicas (servidores, infraestructura, aplicaciones, etc) que, a través del internet, son puestos a disposición de las empresas que contratan esta tecnología.
Dentro de los usos más comunes del Cloud Computing podemos encontrar el correo electrónico, plataformas de procesamiento de información (SAP, Salesforce, Oracle, One Drive, etc), páginas web, aplicaciones, entre otros similares.
Ahora bien, según el Instituto Nacional de Estándares y Tecnología¹ del Departamento de Comercio de los Estados Unidos de América los servicios de Cloud Computing se clasifican en cuatro categorías:
- Nube Privada: La infraestructura en la nube es provisionada exclusivamente para la empresa contratante. La utilización de esta infraestructura puede ser realizada por la propia empresa o por terceros, pero bajo el control de la empresa contratante. Usualmente, este tipo de nube es contratada por las grandes empresas que cuentan con la capacidad de contratar una nube exclusiva para su organización.
- Nube Pública: La infraestructura en la nube que se encuentra disponible para el público en general. Sin embargo, eso no significa que la información puede ser accesible por todos. Antes bien, el almacenamiento es compartido con varias organizaciones o personas. Por ejemplo, este tipo de nube es ofrecida por Google, Dropox, One Drive de Microsoft, etc.
- Nube Comunitaria: Es aquella infraestructura en la nube utilizada exclusivamente para una comunidad específica de consumidores provenientes de varias organizaciones que comparten un fin común. El acceso puede ser efectuado por la misma comunidad o por terceros designado por esta.
- Nube Híbrida: Infraestructura en la nube compuesta por la mixtura de las infraestructuras señaladas en los puntos anteriores. La principal característica es que el enlace de las nubes se realiza a través de tecnologías que permiten la compartición de datos para compensar los almacenamientos en las nubes.
Si bien esta herramienta tecnológica es de mucha utilidad para las empresas al momento de buscar eficiencias en el procesamiento de datos, se deben tener en cuenta los aspectos legales que conlleva la carga de información en la nube. Para ello, resulta de suma importancia establecer el marco normativo aplicable, así como las obligaciones del proveedor para el cumplimiento de las medidas de seguridad que garanticen las disponibilidad, integridad y confidencialidad de la información.
En el Perú, los dispositivos legales que regulan de forma general el procesamiento de información de carácter personal es la Ley de Protección de Datos Personales — Ley N°29733 y su reglamento aprobado mediante Decreto Supremo N°003–2013-JUS. Estas normas establecen las medidas de seguridad técnicas, organizativas y legales que deben implementar las empresas que sean titular de un banco de datos. Sin embargo, dependiendo del sector de la empresa se pueden encontrar otros dispositivos normativos que se deben tomar en cuenta. Por ejemplo, las entidades financieras se encuentran obligadas de cumplir con el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado mediante la Resolución SBS N°504–2021 que exige, en el caso de servicios en la nube, que los proveedores cuenten con las certificaciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018 vinculadas a la seguridad de la información.
Sin perjuicio de las normas especiales, a continuación, precisamos las acciones que deben ejecutar las empresas que contratan un proveedor de Cloud Computing:
- Acuerdo de Transferencia de Información: Tomando en consideración que los proveedores de servicios más importantes no se encuentran ubicados en Perú, resulta necesario exigir que se cumpla con las disposiciones previstas en la normativa local. En tal sentido, todas estas disposiciones se deben plasmar en un acuerdo de transferencia de datos que, principalmente, regule: (i) la confidencialidad de la información; (ii) las medidas de seguridad técnicas y organizativas que se deben implementar; y, (iii) la responsabilidad por incumplimiento.
- Informar a los titulares de los datos personales: En cumplimiento con el deber de información, las empresas deberán comunicar a los titulares de los datos personales de la contratación del proveedor de Cloud Computing. Esta obligación se puede cumplir remitiendo un correo electrónico señalando la información de este proveedor o incluyendo esta información en la política de privacidad de la empresa.
- Comunicar el flujo transfronterizo de datos ante la Autoridad Nacional de Protección de Datos Personales: En los casos que los servidores se encuentren alojado fuera del país se estaría configurando lo que se conoce como flujo transfronterizo² de información. Esto conlleva a que se debe presentar un formulario a la Autoridad, señalando: (i) razón social del proveedor; (ii) identificación del proveedor (RUC, Tax ID, Employer Identification Number, etc); y, (iii) país en donde se encuentran los servidores.
Los servicios de Cloud Computing son cada vez el must de toda empresa, puesto que les otorga flexibilidad y disponibilidad al momento para implementar sus iniciativas tecnológicas y, finalmente, seguridad debido a que pueden trasladar la responsabilidad en la implementación de las exigencias normativas de seguridad de la información.
No obstante, no se debe olvidar que los datos son el nuevo petróleo de las empresas y por consiguiente su activo más valioso. Por ello, es recomendable realizar auditorías constantes para verificar el cumplimiento de las medidas de seguridad de los proveedores de Cloud Computing. Ello, con la finalidad de evitar esperar a que suceda una filtración de información masiva que perjudique drásticamente a la empresa. Hay casos muy sonados como el de Cambridge Analytica, que tuvieron un gran impacto generando un daño reputacional irreversible.
¹ Revisar: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf
² Según el numeral 10 del artículo 2° de la Ley de Protección de Datos Personales, se define al flujo transfronterizo como la: “Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.”