Los servicios de almacenamiento de documentos en la nube son una opción muy atractiva para los despachos de abogados, puesto que nos permiten poder acceder a todos los archivos de nuestro ordenador desde cualquier lugar, compartir documentos al instante y tener un respaldo de seguridad en caso de fallos en nuestro pc.
Sin embargo, debemos tener en cuenta una serie de consideraciones a la hora de usar este servicio.
En primer lugar hay que tener presente, que aunque el encargado del tratamiento de los datos es el prestador del servicio de cloud computing, el responsable de los ficheros es la persona que contrata los servicios. En los despachos de abogados esta persona será el titular del despacho o la persona que contrate los servicios para sí misma, por lo que se deben extremar las precauciones a la hora de contratar uno u otro servicio de hospedaje de archivos.
Así se establece en los arts. 3.d de la LOPD y art. 5.1.q del RLOPD, que dictan que la posición jurídica de los despachos de abogados que contraten servicios de Cloud Computing es la de responsables del tratamiento, pues a ellos les corresponde la decisión sobre la finalidad, el contenido y el uso del tratamiento, así como la decisión sobre optar por la computación en la nube y sobre su modalidad.
También deberá respetar el abogado el artículo 9.1de la LOPD referente al secreto profesional y la confidencialidad. Artículo que dispone:
“El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural”.
Por la otra parte, el prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento art. 3.g de la LOPD y art. 5.1.i del RLOPD, pues en definitiva trata datos personales por cuenta del responsable.
El CGAE teniendo presente el auge que están teniendo los sistema de almacenamiento de datos en la nube, ha elaborado un informe denominado:Utilización del cloud computing en los despachos de abogados y el derecho a la protección de los datos de carácter personal, con el objeto de informar y asesorar a los despachos y a las empresas de «clouding», de los requisitos que deben cumplir para ceñirse a la normativa legal española y europea.
Según consta en el informe, a la hora de contratar un servicio de cloud hosting, debemos asegurarnos que el proveedor cuente con los siguientes requisitos:
• Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.
• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los abogados del despacho así como por parte de los clientes, en los términos que el despacho determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial de otros clientes o de otros abogados.
• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al despacho el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas.
• Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el despacho y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al despacho o al nuevo proveedor designado por éste.
• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.
• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.
• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.
En el mercado existen multitud de servidores de cloud hosting como:
-Google drive de Google
-Onedrive de Microsoft, antes Skydrive
-Icloud de Apple
-Dropbox
-Nubbius
-SugarSync
-etc..
El servidor nubbius cumple todos los requisitos anteriormente mencionados y además ha lanzado un software específico para despachos de abogados que cuenta con multitud de opciones aplicadas para los despachos.
En función del informe desarrollado por el CGAE, analizadas las características de los demás, creo que también pueden ser competentes Google Drive y Onedrive. Si bien Google drive no encripta los datos cuando los transmite mediante SSL, puedes habilitar una opción para encriptarlos también en el servidor.
Ambos servidores realizan copias de seguridad periódicas si los configuras o si se lo solicitas y cuentan con un servicio de migración y borrado de datos.
El único requisito que no cumple ni Google drive ni Onedrive y por extensión tampoco Google ni Microsoft, es el soporte técnico rápido en caso de incidencia. Por regla general cualquier tipo de soporte es mediante e-mail y puede ser un proceso bastante lento.
En resumen
Cualquier nube no es válida para almacenar y gestionar los archivos de nuestro despacho.
Deberemos contratar el servicio con empresas que tengan certificaciones, garantías o certificaciones ISO que acrediten que están en condiciones de responder a las exigencias de seguridad.
Debemos tener presente la reciente intervención y cierre de la web Megaupload que ha supuesto la pérdida de billones de archivos de personas y que se ha tragado los ficheros de varios despachos de abogados españoles.
Un servicio de ‘cloud computing’ es un modelo muy aconsejable desde el punto de vista operativo y financiero, pero es necesario revisar que el proveedor cumple todos estos requisitos.
Excelente el repaso que habéis realizado de los requisitos para contratar un servidor en cloud. Excelente trabajo, gracias compañeros!!!