El ritmo de trabajo del abogado como profesional que necesita "todos los datos", "siempre", impone el uso de este recurso de inmensa versatilidad. El informe presentado en el CGAE adelanta el criterio adoptado por el Grupo de los 29 en su dictamen sobre la implicación de ‘la nube' en la protección de datos.
El presidente del Consejo General de la Abogacía Española (CGAE), Carlos Carnicer, y el director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez, presentaron ayer el informe “Utilización del ‘cloud computing’ por los despachos de abogados y protección de datos de carácter personal”. El fin del informe es clarificar conceptos para que los despachos de abogados puedan elegir el servicio de ‘cloud computing’ con los criterios de seguridad y confidencialidad necesarios que garanticen el secreto profesional y la protección de los datos.
Los servicios "en la nube", o Cloud Computing, "un modelo de prestación de servicios tecnológicos que permite el acceso bajo demanda y a través de la red a un conjunto de recursos compartidos y configurables (como redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) que pueden ser rápidamente asignados y liberados con una mínima gestión por parte del proveedor de servicios" -tal y como lo define el informe de ayer- se están imponiendo pero a la vez están preocupando a los profesionales, tal y como ya hemos comentado hace dos semanas en Legal Today.
El ‘cloud computing' permite el acceso a correo electrónico, almacenamiento de documentos, aplicaciones de contabilidad o gestión del despacho, bases de datos de jurisprudencia, etc. – sin necesidad de disponer de servidores o de software en el propio despacho. Los datos y las aplicaciones se encuentran en algún lugar de Internet, que se representa como una nube.
Protección de Datos y Privacidad salen del control del profesional y ello puede traicionar el espíritu de la profesión. Según comentó Carlos Carnicer ayer, "si no estuviera garantizado el secreto profesional, pocas veces ocurriría el milagro que a diario se produce en los despachos de abogados: una persona desvela sus problemas a un desconocido por imperiosa necesidad. Por eso el estado de Derecho reconoce el secreto profesional. El abogado sólo conoce determinadas informaciones en la medida que benefician a su cliente" Este secreto debe garantizarse también cuando el abogado utiliza las nuevas tecnologías de la información, sobre todo los servicios conocidos como ‘la nube'.
"La comisión jurídica del CGAE advirtió de los peligros que puede esconder el contrato de servicios de tecnologías de la información y acudimos a quien mejor nos podía atender: la Agencia Española de Protección de Datos", aseguró el Presidente del Consejo General de la Abogacía Española.
Ventajas y riesgos
Las ventajas para los despachos de abogados, incluso para los más pequeños, son evidentes, ya que permite acceder a todos estos servicios desde cualquier lugar que tenga internet, pagar sólo por los realmente utilizados y ahorrar en la infraestructura de hardware.
El despacho, en su calidad de responsable del tratamiento de los datos, debe elegir a un proveedor de servicio que cubra las exigencias legales que a nivel nacional o europeo se establecen en materia de protección de datos, así como acceder y conocer el tratamiento que el proveedor del servicio va a realizar sobre los mismos.
Se ha impuesto un derecho-deber para los despachos de verificar que la información que manejan sobre los clientes está cubierta por todas las garantías legales de seguridad, privacidad y confidencialidad.
Para Carmen Alberca asociada de Governance, Risk & Compliance de ECIJA, "Lo más importante es identificar cuáles son los riesgos que implica tener un servicio en la nube, a partir de ahí, se deberán identificar, en base a la selección de la metodología de gestión del riesgo seleccionada, cuáles son las medidas a adoptar. Teniendo en cuenta que estamos pensando en la relación entre cliente y proveedor de servicios en la nube, es imprescindible preparar los Acuerdos de Nivel de Servicio (ANS), que serán los que proveerán al cliente de la capacidad suficiente para poder cumplir con sus objetivos de seguridad, siendo la herramienta mediante la que se definirán los controles que deberá cumplir el proveedor del servicio".
Sigue comentando la asociada de ECIJA que "los controles que relacionan al cliente con el proveedor de servicio y sirven de herramienta para poder cumplir con los objetivos de seguridad de la organización son fundamentalmente los recogidos del anexo A de la norma ISO/IEC 27001 (aunque no son exhaustivos y podrían seleccionarse de otras normas): A.6.2.1 Identificación de riesgos por el acceso a terceros, A.6.2.3 Tratamiento de la seguridad en contratos con terceros, A.10.2.1 Prestación de Servicios, A10.2.2 Supervisión y revisión de los servicios prestados por terceros, A10.2.3 Gestión de cambios en los servicios prestados por servicios".
Garantía de requisitos legales
A la hora de contratar, el letrado debe asegurarse de que el proveedor de servicios garantiza también que los documentos allí depositados no tienen riesgo de pérdida y estarán siempre disponibles para su uso sólo por quien lo ha contratado. De forma específica, el informe presentado ayer propone los siguientes puntos de control a la hora de contratar el servicios de "cloud computing"
- Disponibilidad permanente del servicio y portabilidad de la información
- Cumplimiento de la legislación nacional e internacional aplicable en función de la territorialidad y específicamente en materia de protección de datos. El proveedor debe asumir su papel como encargado de tratamiento de ficheros.
