Informe AEPD y CGAE sobre el cloud computing en los despachos de abogados.

por Jorge Campanillas Ciaurriz

publicado el 19 junio 2012

Categorías: Abogado / Abogado TIC / Abogados / Abogados internet / Abogados nuevas tecnologías / Abogados TICs / Cloud Computing / Derechos Fundamentales / LOPD / Privacidad / Protección de Datos / Tecnología

Ayer, en la sede del Consejo General de la Abogacía Española se presentó el primer informe relacionado con los «servicios de cloud computing» y la protección de datos de carácter personal en los despachos de abogados. El informe (pdf) sirve de base para que todos aquellos despachos de abogados que quieran lanzarse (si no lo han hecho ya) a la «nube«, lo puedan hacer con todas las garantías necesarias para ello, o por lo menos tomen conciencia, en cuanto a protección de datos se refiere de los riesgos y problemas que plantea.

Priemramente diremos que es muy positivo que entidades como el CGAE y la AEPD desarrollen conjuntamente este tipo de informes, para que un colectivo tan amplio y con una especificidad muy importante a la hora del desarrollo de su profesión tengan referencias para poder contratar servicios tecnológicos, que ayudan y mejoran a la competitividad de los despachos, de una forma segura y sin depender en ocasiones de las ofertas de las empresas que no siempre se ajustan a las necesidades reales y jurídicas de las empresas.

También hemos de indicar que si bien el informe es específico para los despachos de abogados puede servir de referente para aquellas otras profesiones que requieran la contratación de estos servicios para niveles de seguridad medio o alto (según los propios niveles establecidos en la normativa de protección de datos de carácter personal:

Es imprescindible tener en cuenta que los despachos de abogados llevan a cabo tratamientos de datos que con cierta frecuencia requieren la adopción de medidas de nivel medio o alto (los despachos, en efecto, suelen tratar datos de los que se enumeran en los apartados 2 y 3 del artículo 81 del RLOPD).

O donde el grado de confidencialidad y seguridad de los datos debe ser una diligencia cualificada:

Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica de salvaguardar la información de los clientes. Este derecho-deber impone a los despachos de Abogados una diligencia cualificada sobre la observancia por el proveedor de servicios de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos, documentos y actuaciones amparadas por el secreto profesional.

Las medidas que debemos exigir a un proveedor de este tipo de servicios son:

• Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturalezade los datos para establecer un nivel de seguridad apropiado.
• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.
• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los abogados del despacho así como por parte de los clientes, enlos términos que el despacho determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial de otros clientes o de otros abogados.
• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al despacho el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas.
• Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el despacho y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al despacho o al nuevo proveedor designado por éste.
• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.
• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.
• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.

Por supuesto una de las figuras clave para la contratación de los servicios «cloud computing» es la inclusión, junto con otras previsiones establecidas a tal efecto, del contrato de encargado de tratamiento:

La LOPD establece en su art. 12.2 que “La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”. Por tanto, el contrato de prestación de servicios entre el despacho y su proveedor de servicios Cloud ha de incorporar las previsiones necesarias para garantizar el adecuado cumplimiento de la normativa relativa a la protección de datos. En este sentido, el encargado está obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos.

Quizá tras la lectura del informe comprobaremos cómo los servicios en la «nube» más utilizados y que cuentan con mayor penetración en los despachos de abogados sean los que menos se adecuán a las obligaciones que debe cumplir un profesional de la abogacía. Esperemos que estos servicios se vayan adecuando y dotando mayor nivel de seguridad, tanto técnica como jurídica a los despachos de abogados (y empresas) que así lo contraten.

El informe se basa sobre todo en la normativa de protección de datos y la confidencialidad de la información, por ello será interesante que otras entidades y asociaciones puedan redactar o desarrollar otros informes con cuestiones también importantes sobre este tipo de infraestructuras para conocer realmente jurídicamente qué estamos contratando (servicio u obra), en su caso que nivel de servicio es el contratado, jurisdicción aplicable, etc.