Читать книгу Cloud Computing. Régimen jurídico para empresarios - Francisca María Rosselló Rubert - Страница 23
2. RIESGOS DE LA IMPLEMENTACIÓN DEL «CLOUD COMPUTING» POR PARTE DE LAS EMPRESAS
ОглавлениеLa migración a la nube, que es como se denomina al traslado de la información del cliente a la infraestructura en red que suministra el proveedor, implica ciertos riesgos que cualquier empresa debe ponderar122). Aunque algunos de ellos son conocidos, la mayoría de pequeñas y medianas empresas no son plenamente conscientes de su potencial impacto económico y reputacional (ni tampoco los consumidores)123). A continuación, analizaremos los riesgos que implica la utilización de servicios de computación en la nube.
2.1. Riesgos organizativos
Como puede deducirse a primera vista, una de las principales desventajas que presenta la computación en nube es la dependencia del proveedor o proveedores que prestan todo o parte del servicio. Existen múltiples vicisitudes que pueden tener lugar durante el transcurso de la relación profesional entre el cliente y el proveedor, y que pueden afectar a los datos que el cliente ha migrado a la nube, a la prestación y disponibilidad del servicio y al prestigio de la compañía suscriptora de los servicios. Por ejemplo, la discontinuidad de la prestación o la aparición de eventuales contratiempos relacionados con la seguridad de los sistemas.
Como consecuencia de estos problemas, el cliente cloud que decida terminar el contrato y cambiar de proveedor puede encontrarse con serias dificultades para recuperar sus datos124), asegurarse de su borrado efectivo de los equipos del antiguo proveedor y gestionar la migración hacia la nueva nube125). La problemática de recuperación de la información migrada se agravaría en caso de que la empresa proveedora del servicio de computación en la nube se declarase en quiebra, fuera absorbida o adquirida por otra con diferentes políticas comerciales, o cerrada por las autoridades126).
Debe tenerse en cuenta que el grado de dependencia varía según el tipo de nube implementada y el servicio suscrito, así como las relaciones existentes entre proveedores de suministros subyacentes. Así, el proveedor puede haber contratado procesos con un tercero que no ofrezca las garantías o la confianza que el cliente desea, o que le sea desconocido. Recordemos que los servicios cloud en sí mismos son complejos y pueden unirse creando cadenas de suministros, dependiendo de distintos actores aspectos tan relevantes como la disponibilidad y la seguridad, y difuminándose las responsabilidades, las obligaciones de reparar y las garantías de rendimiento. De esta manera, debe prestarse especial atención a los roles y responsabilidades involucrados en la gestión de los datos y los riesgos de seguridad, y establecer una estrategia suficientemente flexible como para tratar con un entorno variable y en constante evolución.
Cuanto más inmersa esté la operativa de la empresa cliente en el entorno en la nube, mayor será su dependencia del proveedor. La pérdida de gobierno y de control sobre ciertas decisiones, como por ejemplo, aquellas decisiones sobre la destrucción de contenidos, son fruto de la cesión por parte del cliente al proveedor de cuestiones relacionadas con el tratamiento y la seguridad de los datos.
Así las cosas, el proveedor puede incumplir los acuerdos de nivel de servicio (ANS) u otros pactos inicialmente incluidos en el contrato, realizar políticas que puedan resultar perjudiciales para la estrategia empresarial y su consecución de objetivos, poner en riesgo la confidencialidad, integridad y disponibilidad de los contenidos; mermar el rendimiento informático y con ello la calidad del servicio que presta el cliente empresario, no cumplir con las obligaciones legales exigidas, etc. Además, según el tipo de servicio suscrito, el proveedor puede controlar el diseño, implementación, pruebas y monitorización del servicio distribuido por la empresa, como sucede, por ejemplo, con las plataformas como servicio (PaaS).
2.2. Riesgos técnicos
Un entorno de computación en la nube, como elemento complejo que es, está integrado por múltiples componentes físicos (hardware) y lógicos (software) que se crean y comunican entre sí mediante interfaces de programación. La seguridad global del entorno de la nube en su conjunto y de los servicios prestados a cliente dependerá, en buena parte, de la seguridad de cada uno de estos elementos individualmente considerados. Como los accesos se realizan a través de Internet, las medidas preventivas deberán extenderse a las conexiones a la propia red (por ejemplo, cortafuegos), a las implementadas por los navegadores y a las provistas en los sistemas de los dispositivos físicos (móviles o no). Todos estos elementos deberán someterse a una actualización sistemática, para que el cliente de computación en la nube disponga de las máximas garantías frente a eventuales amenazas externas. Por otro lado, la seguridad de los contenidos comprende tres aspectos esenciales: su confidencialidad127), su integridad128) y su disponibilidad129), aspectos que serán tratados con detalle en capítulos posteriores130).
Dentro de la nube existen diferentes grados de borrado, al igual que sucede en los ordenadores personales, y los datos pueden seguir disponibles más allá del plazo de duración del contrato, hasta que no se sobreescriban paulatinamente con datos más frescos por un cierto número de veces. Aunque la supresión total de los datos únicamente tiene lugar cuando se destruye el soporte físico que los almacena, este no es el mecanismo preferido por el proveedor de servicios cloud, puesto que supone un coste económico elevado (los datos se replican en múltiples dispositivos compartidos) y puede ser inviable económica y técnicamente llevarlo a la práctica en todos los centros de datos y para todos los clientes del proveedor131).
Asimismo, la arquitectura de la nube es más susceptible de interceptación de datos en tránsito que los sistemas tradicionales, simplemente porque sus operaciones implican más tráfico de datos que aquellas: deben sincronizarse, replicarse, distribuirse entre sus múltiples usuarios, etc. Sin embargo, el proveedor puede no ofrecer siempre las máximas garantías de seguridad para proteger información confidencial que circula en su entorno cloud.
La compartición de recursos caracteriza la computación en la nube de implementación pública, pero presenta riesgos. La mayoría de los componentes físicos subyacentes no están diseñados con sistemas que aseguren el aislamiento entre diferentes usuarios del mismo recurso, así que se instalan mecanismos técnicos encargados de realizar las segregaciones. Si estos sistemas están mal instalados, configurados o monitorizados, pueden producirse pérdidas de datos y accesos no autorizados, además de interrupciones del servicio mientras se reparan los componentes afectados. Asimismo, puesto que el hardware del proveedor contiene contenidos de múltiples clientes, la confiscación de dispositivos físicos por parte de las autoridades policiales o judiciales dentro de la investigación de un cliente de la nube puede suponer la retirada y/o puesta en compromiso de datos pertenecientes a otros usuarios o clientes no relacionados con tal investigación.
Los entornos de nube, como cualquier elemento informático conectado a la red, son potenciales objetivos de ataques maliciosos que podrían afectar a la seguridad de los datos, a la disponibilidad y a la integridad del sistema. Existe malware especialmente diseñado para detectar las vulnerabilidades y agredir los sistemas de computación en nube, sus capas de arquitectura o sus interfaces de control. En atención al tipo de datos custodiados, hay que tener en cuenta que algunos de ellos son mucho más propensos a sufrir intentos de sustracción o accesos no autorizados, como los datos bancarios o gubernamentales.
Por su parte, los proveedores se protegen del abuso y mal uso de los servicios por parte de los clientes o de los usuarios finales. En servicios de infraestructura y plataforma (IaaS y PaaS) con registros de acceso poco restrictivos, los delincuentes informáticos pueden instalar su centro de operaciones para desarrollar spams y demás códigos maliciosos. Los softwares como servicio (SaaS) pueden utilizarse igualmente por los usuarios de manera ilícita, aprovechándose de las funcionalidades facilitadas por el proveedor para atentar contra la intimidad, la reputación o la propiedad intelectual de terceros. Por estos motivos, en los contratos de servicios cloud se establecen las llamadas «políticas de uso adecuado» o PUAs, en las que los proveedores se eximen de aquellas responsabilidades derivadas del comportamiento de sus clientes o usuarios132).
No debemos olvidar la existencia de potencialesamenazas internas, donde son los propios usuarios de la organización suscriptora de servicios cloud (empleados o ex-empleados, empresas asociadas, asistentes técnicos, y otros actores con acceso a redes y datos) quienes actúan por error o desconocimiento, o con mala fe, pretenden perjudicar a la organización o beneficiarse de la información que se posee sobre datos empresariales y sus aplicaciones. En un entorno nube, se magnifica la capacidad de daño porque el acceso remoto a ciertas plataformas y archivos no monitorizados puede dificultar la identificación del infractor. Los proveedores de servicio deben facilitar a sus clientes los métodos de control de este tipo de amenazas, y es recomendable que los empleadores incluyan cláusulas de confidencialidad en los contratos laborales y establezcan procesos estrictos de notificación de altas y bajas en el sistema de acceso a las plataformas de computación en la nube.
Igualmente, pueden tener lugar usurpaciones de las claves de identificación de los usuarios, perpetradas por terceros ajenos a la organización o por otros usuarios no legitimados. Los puntos más vulnerables tienen lugar en los procedimientos de alta y baja de usuarios, en el propio mecanismo de acceso a la interfaz, y en el protocolo del usuario de custodia y renovación de sus claves. El acceso a cuentas y datos no autorizados pueden usarse en beneficio propio o para perjudicar económicamente a la entidad, y puede afectar a activos de información, a la disponibilidad del sistema y a la reputación de la compañía.
Una de las características de la nube es la posibilidad del proveedor (y dependiendo del serviciocloud, también del cliente) de monitorizar el servicio, para calcular los recursos consumidos y para controlar potenciales usos no adecuados del servicio o la eficacia de las medidas de seguridad adoptadas. Aunque es un mecanismo necesario, no está exento de riesgo, porque los resultados recabados con estos exámenes pueden utilizarse para obtener información con intenciones desleales o ilegales, por ejemplo, para intentar el acceso a datos almacenados y demás información de la empresa cliente, así como para detectar vulnerabilidades del sistema informático o errores humanos en el protocolo de seguridad.
A sabiendas de todo lo anterior, el cliente debe tomar consciencia de su responsabilidad, también en beneficio de sus propios activos, y solicitar información y asesoramiento al proveedor. Este, por su parte, debe ser capaz de comunicar los procedimientos tecnológicos y de actuación adecuados que el cliente debe y/o puede suscribir para maximizar la protección del entorno cloud y, consiguientemente, de sus contenidos digitales, en la medida de lo posible y siempre que con ello no ponga de manifiesto vulnerabilidades de seguridad del entorno.
2.3. Riesgos legales y retos jurídicos
Como uno de los principales debates en torno a la computación en la nube, el tema de la protección de datos de carácter personal ha sido objeto de múltiples estudios, sobre todo dentro de los países de la Unión Europea.
En primer lugar, determinar a quién corresponden los roles que las leyes adjudican a responsables y encargados del tratamiento de datos personales puede resultar en algunos casos especialmente complicado, y, en otras ocasiones, los clientes no podrán asegurar el cumplimiento de las obligaciones por parte de los proveedores implicados. Una vez dentro de los sistemas del proveedor, el cliente pierde parte del control sobre los datos migrados y sobre el tratamiento al cual se someterán, viéndose limitado a exigir información y a dar instrucciones en su papel de responsable, de acuerdo con el contrato que suscribe con el proveedor, quien cumplirá la función de encargado del tratamiento133). Por su parte, el proveedor puede que no notifique al cliente puestas en compromiso de los datos o infracciones de la normativa que hayan tenido lugar bajo su responsabilidad. Por imperativo legal, el empresario cliente de la nube será el responsable del tratamiento (y, como tal, pueden imponérsele sanciones administrativas de elevada cuantía, reclamaciones civiles o imputársele delitos penales), aunque en la práctica lo realice un proveedor. El proveedor únicamente ostentará el papel de responsable cuando tenga relación directa con el titular de los datos personales, y sea este quien se los facilite.
Los problemas derivados de la preservación de la privacidad y del cumplimiento de la normativa sobre protección de datos personales se intensifican cuando tienen lugar transferencias internacionales de datos a centros de procesamiento ubicados en países que carecen de normativa en la materia o cuya regulación es mucho más laxa. Como hemos mencionado con anterioridad, al utilizar entornos de nube no siempre se conoce el país en el cual están alojados los datos, ni en cuántos lugares existen réplicas de esos datos. Por eso, es recomendable consultar a los proveedores sobre el régimen legal aplicado al tratamiento, almacenaje y procesamiento de los datos, y adecuarlo al marco jurídico europeo y nacional134).
La nube también suscita dudas relacionadas con la propiedad intelectual135). Las condiciones impuestas por las diferentes licencias de software no son fácilmente comprobables por los clientes de la nube, puesto que en ocasiones no son siempre transparentes, utilizan términos ambiguos y pueden no hacer mención a su utilización dentro de este tipo de entornos, en los que el número de actores se multiplica. Por otra parte, el proveedor puede tener instalado software no legal, o el cliente descargarlo dentro de entornos virtuales cloud sin tener autorización para ello del titular del software. En otros casos, los datos almacenados por el cliente pueden ser objeto de derechos de autor de terceros. El que sean obtenidos o descargados de forma legal o ilegal puede afectar indirectamente al proveedor que no restrinja estas descargas o que no establezca ningún tipo de cláusula de salvaguarda en el contrato con el cliente. En cuanto a la creación dentro de la nube de contenidos originales susceptibles de generar derechos de autor (por ejemplo, la creación de software mediante plataformas como servicio) u otros derechos de propiedad intelectual o industrial, estos trabajos pueden verse amenazados por cláusulas de cesión de derechos en favor del proveedor, camufladas en el contrato de suministro de servicios cloud. Por último, en cuanto a los contenidos migrados por el cliente que sean de su propiedad, encontramos cláusulas contractuales que esconden amplias cesiones por parte del cliente al proveedor, y que en ocasiones, exceden de los usos razonables que pueden esperarse de la prestación del concreto servicio cloud. En todo caso, deberá realizarse una pormenorizada clasificación de la categoría de los contenidos afectados, para poder determinar su titularidad y los cauces legales establecidos para su protección136).
Dentro de este contexto, las normas aplicables son numerosas por su contenido (protección de datos personales, propiedad intelectual e industrial, competencia, protección de consumidores, regulación contractual, etc.). Todo ello plantea distintas cuestiones jurídicas, algunas de las cuales pretendemos abordar a través del presente trabajo, en el cual realizaremos propuestas de solución a los problemas legales que suscita la computación en la nube, y aclararemos algunas dudas no siempre resueltas con acierto a través del clausulado contractual o la normativa aplicable.
La redacción del contrato suscrito entre las partes será decisiva para solventar muchas de estas incógnitas. El clausulado del contrato entre proveedor de los servicios y cliente receptor de las capacidades informáticas establecerá, entre otros extremos: los niveles mínimos de calidad del servicio prestado (parte del acuerdo que se denomina acuerdo de nivel de servicio); los usos permitidos y/o prohibidos del servicio (políticas de uso adecuado o PUAs); el devengo de las cuotas y la determinación de su importe, así como de los costes de eventuales servicios accesorios; la distribución de riesgos y responsabilidades entre las partes; y eventuales compensaciones a cargo de la parte que incumpla con sus obligaciones contractuales.
Estos contratos se presentan al pequeño empresario a modo de condiciones generales predispuestas, y su suscripción es requisito imprescindible para la acceder a las capacidades informáticas ofrecidas. Sin embargo, muchos aspectos de estos contratos presentan problemas jurídicos. Entre otros, la propia naturaleza jurídica del contrato, la legalidad de ciertas prácticas relacionadas con la distribución de los riesgos entre las partes y la transparencia de la información facilitada sobre el funcionamiento del servicio, las contraprestaciones que subyacen bajo servicios ofertados como gratuitos, o la titularidad o destino de los contenidos que una parte pone a disposición de la otra, entre otros.
Como hemos observado, en el contrato de servicios se efectúa la distribución de responsabilidades entre proveedor, cliente, usuario final137) y terceros138). En ocasiones, algunos proveedores abusarán de su poder de negociación, y en contratos con condiciones generales intentarán limitar y exonerar obligaciones que forman parte del cumplimiento de su deber de diligencia o lex artis. Por ello, las cláusulas potencialmente abusivas deberán analizarse dentro del marco de la normativa de protección a los consumidores y, en contratos suscritos entre empresas, en el marco de la legislación civil y mercantil aplicable, considerándose la posibilidad de la aplicación extensiva de la normativa de protección al consumidor en aquellos casos en los cuales el pequeño empresario se encuentre en una situación de indefensión similar139).
Tras esta aproximación inicial al Cloud Computing, en la que hemos analizado sus características técnicas, sus ventajas y riesgos, y algunas de sus definiciones técnicas y jurídicas, en los capítulos siguientes analizaremos las principales implicaciones jurídicas (y especialmente mercantiles) que supone la suscripción de servicios de computación en la nube por parte del pequeño empresario. Como se ha delimitado en distintos apartados de este capítulo introductorio, el objeto de esta investigación se centra en los aspectos jurídico-mercantiles de la suscripción de contratos de servicios de nube pública por pequeños empresarios, la cual generalmente corresponderá con servicios de software.
La Real Academia de la Lengua Española ha añadido, al término «nube» que figura en su Diccionario, la acepción siguiente: «Espacio de almacenamiento y procesamiento de datos y archivos ubicado en Internet, al que puede acceder el usuario desde cualquier dispositivo». A nuestro parecer, esta definición adoptada por la Real Academia se refiere al espacio virtual sin localización física determinada. Sin embargo, en las fechas de redacción de este trabajo no se encuentra recogido en el diccionario de la RAE otro término que se refiera al modo de suministro de capacidades informáticas prestado por los proveedores de computación en la nube, y que es objeto de este trabajo.
Como veremos más adelante, los servicios comercializados de computación en la nube se organizan principalmente en tres categorías. En primer lugar, los servicios Infrastructure as a Service (IaaS), suministran al cliente recursos de computación (servidores, sistemas de almacenamiento, routers ...), generalmente mediante la técnica de la virtualización, y este se ahorra el tener que adquirirlos e instalarlos en su propio centro de datos. Algunos de los ejemplos comerciales más conocidos son los servicios EC2 y S3 de Amazon Web Services y el servicio SmartCloud Enterprise de la multinacional IBM. En segundo lugar, si lo que buscamos es un entorno de recursos para programar, desarrollar y testear aplicaciones y demás software, la nube nos ofrece la Platform as a Service (PaaS), como las proveídas por las compañías Microsoft (Windows Azure) o Google (Google Apps Engine). Para acabar, debemos tener en consideración que los servicios de la nube más comercializados son, sin duda, los pertenecientes a la categoría Software as a Service (SaaS), cuyo contenido puede ser tan dispar como pueden serlo los programas de ordenador. Entre las muchas aplicaciones destinadas al consumidor, las más populares son las redes sociales como Facebook o Twitter, los servicios de correo electrónico con almacenaje en la nube (como Gmail, Hotmail o YahooMail), o los servicios de almacenamiento remoto de información (como Dropbox, SkyDrive o Google Drive). En cuanto a los softwares como servicios destinados a las empresas, destacan las aplicaciones para administración de recursos humanos, de gestión de cartera de clientes, llevanza de la contabilidad y administración de recursos de la empresa, automatizaciones de procesos de venta, las interfaces para realizar proyectos de colaboración en línea, etc. Muchas de estas aplicaciones se ofertan como paquetes para empresas o como servicios que estas pueden suscribir «a la carta». El proveedor es quien se ocupa de mantener el software disponible y actualizado, y de gran parte de las cuestiones de seguridad. Ver apartado «Los modelos de servicio en la nube», en este mismo capítulo.
Así describió la impresión general que suscitaba en sus inicios la computación en la nube el informe de la Fundación de la Innovación Bankinter: «Cloud Computing.La tercera ola de las tecnologías de la información» [en línea]. 2010, pág. 12. Disponible en: <http://www.well-comm.es/wellcommunity/wp-content/uploads/CloudComputing.pdf>. [Fecha de consulta: 30 de marzo de 2017]. Muestra de esta falta de consenso es el artículo «Twenty-one Experts Define Cloud Computing», publicado en la revista Cloud Computing Journal y en el que se pretende delimitar en qué consiste, a ojos de expertos técnicos, el fenómeno cloud. GEELAN, Jeremy, «Twenty-one Experts Define Cloud Computing» [en línea], Cloud Computing Journal, 2009. Disponible en: <http://cloudcomputing.sys-con.com/node/612375>. [Fecha de consulta: 30 de marzo de 2017].
Aunque en general existe un consenso sobre lo que es el Cloud Computing, en ciertos aspectos la coincidencia sobre lo que abarca este término no es absoluta, especialmente en lo que se refiere al software como servicio, como veremos en el apartado «Qué no es Cloud Computing», en este mismo capítulo.
La empresa Compaq se atribuye el mérito de acuñar el término Cloud Computing, en 1996, posteriormente utilizado por otras compañías como Google o Amazon. En el siguiente enlace puede verse el documento que, según parece, menciona el término Cloud Computing por primera vez. <https://s3.amazonaws.com/files.technologyreview.com/p/pub/legacy/compaq_cst_1996_0.pdf>. [Fecha de consulta: 30 de marzo de 2017]. Para más información sobre el origen de este término, ver REGALADO, Antonio, «Who coined Cloud Computing?» [en línea],Technology Review, 2011. Disponible en: <http://www.technologyreview.com.br/printer_friendly_article.aspx?id=38987>. [Fecha de consulta: 30 de marzo de 2017].
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST;Special Publication 800-145. The NIST definition for Cloud Computing [en línea], 2011. Disponible en: <http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf>. [Fecha de consulta: 24 de junio de 2016]. Traducción propia del original: «Cloud Computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This Cloud model is composed of five essential characteristics, three service models, and four deployment models».
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST;Special Publication 800-145. The NIST Definition of ..., op. cit., págs. 2 a 3.
Traducción propia del original: «On-demand self-service. A consumer can unilaterally provision computing capabilities, such as server time and network storage, as needed automatically without requiring human interaction with each service provider». NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 2.
El informe ISO 1788:2014 reconoce las ventajas que proporciona esta característica de la computación en la nube. ISO/IEC; International Standard 1788:2014 Information technology - Cloud Computing - Overview and vocabulary [en línea], 2014, pág. 5. Disponible en: <http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html>. [Fecha de consulta: 28 de junio de 2016].
Traducción propia del original: «Broad network access. Capabilities are available over the network and accessed through standard mechanisms that promote use by heterogeneous thin or thick client platforms (e.g., mobile phones, tablets, laptops, and workstations)». NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST; Special Publication 800-145. The NIST Definition ..., op. cit., pág. 2. Pueden existir nubes que funcionen a través de redes internas privadas y no a través de Internet, como por ejemplo las nubes privadas o comunitarias on premise. Sin embargo, aunque posteriormente procederemos a su definición, quedan fuera del objeto de este trabajo, centrado en la contratación de servicios de nube pública.
Ver capítulo «Obligaciones y responsabilidades de las partes del contrato de Cloud Computing».
Como veremos más adelante, la nube privada se caracteriza por ser exclusiva de un único gran cliente, con lo cual carece de la multitenencia o compartición de los recursos con otros usuarios.
El NIST describe así la multitenencia:«The provider’s computing resources are pooled to serve multiple consumers using a multi-tenant model, with different physical and virtual resources dynamically assigned and reassigned according to consumer demand. There is a sense of location independence in that the customer generally has no control or knowledge over the exact location of the provided resources but may be able to specify location at a higher level of abstraction (e.g., country, state, or datacenter). Examples of resources include storage, processing, memory, and network bandwidth». NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 2.
En las nubes privadas, sin embargo, no se produce esta compartición de recursos, puesto que se crean para uso exclusivo de un único cliente. Ver apartado «Los modelos de implementación de la nube».
Integridad y confidencialidad son dos aspectos de la seguridad de los datos albergados en la nube, como se verá en el apartado «riesgos técnicos», en este mismo capítulo.
Ver capítulo «Objeto, naturaleza jurídica y características del contrato de servicios de Cloud Computing».
Traducción propia del original en inglés: «Rapid elasticity. Capabilities can be elastically provisioned and released, in some cases automatically, to scale rapidly outward and inward commensurate with demand. To the consumer, the capabilities available for provisioning often appear to be unlimited and can be appropriated in any quantity at any time». NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition..., op. cit., pág. 2.
El NIST describe así las monitorizaciones: «Measured service. Cloud systems automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service (e.g., storage, processing, bandwidth, and active user accounts). Resource usage can be monitored, controlled, and reported, providing transparency for both the provider and consumer of the utilized service». NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 2.
El Grupo de Trabajo del Artículo 29 es un órgano consultivo independiente formado por representantes de las Autoridades de Protección de Datos de cada uno de los Estados miembros. Sus principales funciones incluyen el estudio de cuestiones relacionadas con la aplicación de las disposiciones de la Directiva, emitir dictámenes sobre el nivel de protección existente en los Estados miembros y en terceros países, asesorar a la Comisión Europea y realizar recomendaciones en materia de protección de datos. Sirva de ejemplo de la adopción de la definición de computación en la nube el Dictamen 5/2012 sobre la computación en la nube del Grupo de Trabajo del Artículo 29 (WP 196) de 1 de julio de 2012 (págs. 4 a 5). Disponible en: <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf>. [Fecha de consulta: 30 de marzo de 2017].
El equivalente español del American National Standard Institute es la Asociación Española de Normalización y Certificación (AENOR), una entidad privada sin ánimo de lucro creada en 1986, con presencia en todas las Comunidades Autónomas y en otros países. La norma ISO 17788:2014 tiene en España una norma muy similar, denominada UNE 71380/2014. Hemos destacado la organización americana y no la española porque el grupo de trabajo que se encarga específicamente de desarrollar estándares en el campo de distribución de plataformas y servicios de aplicaciones (dentro del cual se integra la tecnología de computación remota) depende del secretariado americano ANSI.
La IEC es otra organización destinada a preparar y publicar estándares internacionales para cualquier tecnología eléctrica, electrónica o relacionada con estas. Se creó en 1906 y tiene divisiones en diferentes países. Suele trabajar en cooperación con expertos del ISO y la ITU (International Telecomunication Union) para asegurarse de que los estándares elaborados son compatibles y se complementan adecuadamente. Los grupos de trabajo mixtos entre estas organizaciones aseguran que los estándares internacionales combinan los conocimientos principales que convergen entre las áreas tecnológica, electrónica y de telecomunicaciones. Además de estas, existen otras asociaciones que desarrollan sus estándares, como la IEEE Standards Association, que dedica dos grupos de trabajo a desarrollar estándares de perfiles de nube e interconexión entre nubes. Dentro del Joint Technical Comitee (JTC) de la ISO y la International Electrotechnical Commission (IEC) se formaron tres grupos de trabajo en octubre de 2009, cuyo objetivo era la «Standardization for Interoperable Distributed Application Platforms and Services». Para alcanzar este objetivo resultó necesario proporcionar la definición, terminología y requisitos de estandarización del Cloud Computing, de cuyo desarrollo se encargó el Grupo de Trabajo 3, denominado ISO/IEC JTC 1/SC 38/WG3. La norma ISO/IEC 17788:2014, uno de los resultados del trabajo de este grupo, define el concepto de Cloud Computing y de otros vocablos relacionados con esta tecnología informática. Otra norma ISO relevante es la ISO 27018:2014, que establece criterios orientadores para proveedores de servicioscloudrespecto de controles adecuados de seguridad de la información de carácter personal.
Traducción propia del original en inglés: «Paradigm for enabling network access to scalable and elastic pool of shareable physical or virtual resources with self-service provisioning and administration on-demand». CLOUD SECURITY ALLIANCE,Security Guidance for Critical Areas of Focus in «Cloud Computing», V2.1 [en línea], 2009. Disponible en: <https://cloudsecurityalliance.org/csaguide.pdf>. [Fecha de consulta: 30 de marzo de 2017].
Traducción propia del original: «Cloud Computing is an evolving term that describes the development of many existing technologies and approaches to computing into something different. Cloud separates application and information resources from the underlying infrastructure, and the mechanisms used to deliver them. (...) Cloud describes the use of a collection of services, applications, information, and infrastructure comprised of pools of compute, network, information, and storage resources. These components can be rapidly orchestrated, provisioned, implemented and decommissioned, and scaled up or down; providing for an on-demand utility-like model of allocation and consumption». CLOUD SECURITY ALLIANCE,Security Guidance for Critical Areas of Focus in Cloud Computing, V2.1 [en línea], 2009. Disponible en: <https://cloudsecurityalliance.org/csaguide.pdf>. [Fecha de consulta: 30 de marzo de 2017].
Cloud Security Alliance,Security Guidance for ..., op. cit., pág. 14.
Cloud Security Alliance,Security Guidance for ..., op. cit., pág. 14.
Queremos remarcar que únicamente hemos aportado aquellas definiciones técnicas que, a nuestro parecer, consideramos de mayor relevancia, con el fin de ayudar a delimitar en qué consiste esta tecnología. Sin embargo, ello no significa que no existan otras aportaciones conceptuales igualmente válidas, aunque no se hayan aportado en este trabajo por motivos de extensión.
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf; «Cloud Computing: State-of-the-art and Research Challenges» [en línea], Brazilian Computer Society, 2010, pág. 8. Disponible en: <http://link.springer.com/article/10.1007%2Fs13174-010-0007-6>. [Fecha de consulta: 30 de marzo de 2017].
Un ejemplo de utilización de Grid Computing es el SETI Home Project. Esta institución sin ánimo de lucro (Search for Extra-Terrestrial Intelligence), fundada en 1984 y que realiza distintos proyectos científicos para la búsqueda de vida extraterrestre inteligente, diseñó un programa que se ejecuta en el ordenador del usuario conectado a Internet y facilita tareas de procesamiento de datos obtenidos por radiotelescopios. Más información en su sitio web, disponible en: <http://setiathome.ssl.berkeley.edu/>. [Fecha de consulta: 30 de marzo de 2017].
MYERSON, Judith; Cloud Computing versus Grid Computing [en línea], 2009, pág. 3. Disponible en: <http://www.ibm.com/developerworks/library/wa-cloudgrid/>. [Fecha de consulta: 30 de marzo de 2017].
«In fact, the Cloud Computing is built on top of several other technologies, for example Distributed Computing, Grid Computing, and Utility Computing». SCHAWISH, Ahmed; SALAMA, Maria; «Cloud Computing. Paradigms and Technologies», Springer Studies in Computational Intelligence 495, Berlín, 2014, pág. 40.
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf, op. cit., pág. 8.
BROBERG, James; VENUGOPAL, Srikumar; BUYYA, Rajkumar; «Market-oriented Grids and Utility Computing: The State-of-the-art and Future Directions», Journal of Grid Computing, 2008, Vol. 6, núm. 3, págs. 255 a 276. ARMBRUST, Michael; FOX, Armando [et al.]; Above the Clouds: a Berckeley View of Cloud Computing [en línea], 2009, pág. 4. Disponible en: <http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.html>. [Fecha de consulta: 30 de marzo de 2017].
BISWAS, Sourya; Cloud Computing vs. Utility Computing vs. Grid Computing. Sorting the diferences [en línea], 2011. Disponible en: <http://cloudtweaks.com/2011/02/cloud-computing-vs-utility-computing-vs-grid-computing-sorting-the-differences/>. [Fecha de consulta: 30 de marzo de 2017].
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf,op. cit., pág. 9.
La virtualización de servidores consigue que las cargas de trabajo se consoliden en un número más reducido de servidores plenamente utilizados. La virtualización de almacenamiento permite albergar volúmenes de datos a gran escala, fragmentándolos, y posteriormente se reagrupan y se entregan al cliente cuando los reclama. La virtualización de red permite crear redes más elásticas y con mayor capacidad, así como redes virtuales privadas independientes y seguras. La virtualización de sistemas operativos permite alojar en un mismo dispositivo sistemas operativos independientes sin interferencias. La virtualización de aplicaciones permite trabajar con aplicaciones que no se instalan (al menos, completamente) en el sistema del cliente, sino que se acceden en línea. HON, W. Kuan; MILLARD, C, «Cloud Technologies and Services», Cloud Computing Law, (Coord. Christopher Millard), 1.ª edición, Oxford, 2013, págs. 6 a 8.
HON, W. Kuan; MILLARD, C, «Control, Security, and Risk in the Cloud», Cloud Computing Law, Oxford, 2013, pág. 29.
APARICIO VAQUERO, Juan Pablo; La nueva contratación informática. Introducción al Outsourcing de los sistemas de información, 1.ª edición, Granada, 2002, pág. 23. Según la sentencia del Tribunal Supremo de 24 de octubre de 1994, en la que se dirime un conflicto entre la multinacional IBM y su filial IBM ISS, el Outsourcing informático consiste en la prestación por un tercero (en este caso, la filial) de «servicios de configuración, desarrollo, gestión y explotación de sistemas de información basados en las técnicas de la información».
APARICIO VAQUERO, Juan Pablo; La nueva contratación informática..., op. cit., pág. 33.
Ver apartado «Figuras afines al contrato de computación en la nube», en el capítulo «Objeto, naturaleza jurídica y características del contrato de servicios de Cloud Computing».
De hecho, existen los llamados servicios de Cloud Hosting, una especie de Hosting compartido entre diferentes clientes aunque con las características de escalabilidad y tarifa por consumo de recursos más propias de entornos cloud, servicios que nosotros nos inclinamos por calificar como servicios deCloud Computing, sin perjuicio de un análisis detallado en cada caso del contenido contractual concreto. Pueden pertenecer a las categorías de infraestructura como servicio (IaaS) o plataforma como servicio (PaaS). En el primer caso, se proporciona el servidor a modo de máquina virtual, sobre el cual poder instalar el software que el cliente escoja. Con la plataforma como servicio, el cliente recibe la plataforma software como un paquete completo que soporta el desarrollo de aplicaciones web.
Ver apartado «Figuras afines al contrato de computación en la nube», en el capítulo «Objeto, naturaleza jurídica y características del contrato de servicios de Cloud Computing».
Ejemplos conocidos del concepto de Web 2.0 previo a la aparición de la computación en la nube podrían ser Wikipedia o TripAdvisor.
O'REILLY, Tom; «What is Web 2.0: Design Patterns and Business Models for the next generation of Software», Communications & Strategies, núm. 65, 2007, pág. 37.
Por ejemplo, autores como Simon Bradshaw, Ian Walden y Christopher Millard, de la Queen Mary University of London, o Michael Gordon y Kathreen Marchesini, de la University of North Carolina, consideran a las redes sociales y al correo electrónico como software como servicio, y, por tanto, servicios de computación en la nube. Del mismo modo, la norma ISO-IEC 17788:2014 considera las comunicaciones como servicio (es decir, correo electrónico y redes sociales) una «categoría de serviciocloud en la cual la capacidad provista al cliente es interacción y colaboración en tiempo real» (traducción propia). Sin embargo, Michael Armbrust y Armando Fox, de la Universidad de Berkeley, consideran que las redes sociales son servicios diferentes a la computación en la nube, aunque se sirven de ella como tecnología de soporte. BRADSHAW, Simon; MILLARD, Christopher; WALDEN, IAN; «Standard contracts for Cloud Computing Services», Cloud Computing Law, 1.ª edición, Oxford, 2013, pág. 41. GORDON, Michael; MARCHESINI, Kathryn; Examples of Cloud Computing Services [en línea], 2010. Disponible en: <https://www.unc.edu/courses/2010spring/law/357c/001/cloudcomputing/examples.html>. [Fecha de consulta: 30 de marzo de 2017]. ARMBRUST, Michael; FOX, Armando [et al.],op. cit., pág. 8.
«We can track the roots of clouds computing by observing the advancement of several technologies, especially in hardware (virtualization, multi-core chips), Internet technologies (Web services, service-oriented architectures, Web 2.0), distributed computing (clusters, grids), and systems management (autonomic computing, data center automation)». VOORSLUYS, William; BROBERG, James; BUYYA, Rajkumar, «Introduction to Cloud Computing», Cloud Computing Principles and Paradigms (Coord. Rajkumar Buyya, James Broberg, Andrzej Goscinski), 1.ª edición, New Jersey, 2011, pág. 5.
Los contratos de computación en la nube jugaron un papel particularmente importante en la identificación de los problemas contractuales relevantes para la mencionada Propuesta de Directiva. Estas cuestiones, que fueron debatidas en profundidad por el Grupo de Expertos en Contratos de la Cloud Computing Strategy (del cual hablaremos más adelante), estaban relacionadas con la calidad, la responsabilidad o la modificación de los contratos. Así se reconoce en los documentos de trabajo de la propia Propuesta de Directiva, concretamente al explicarse la obtención de asesoramiento técnico para su redacción. Por otra parte, cabe destacar que el texto inicial de esta Propuesta de Directiva, presentado por la Comisión en 2015, ha sufrido distintas modificaciones, y que se prevé la aprobación definitiva de la Directiva en fechas próximas al cierre de esta edición.
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf, op. cit., pág. 8.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 2.
La opinión extendida es que la nube únicamente consta de las tres capas lógicas, aunque según algunos autores, con los que coincidimos, no puede obviarse la capa hardware, puesto que sirve de sustento físico a éstas. ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf, op. cit., pág. 9.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 2.
De acuerdo con las características esenciales de la tecnología de la computación en la nube descritas por la definición del NIST.
HON, W. Kuan; MILLARD, C,Cloud Technologies..., op. cit., págs. 13 a 16.
Ver capítulo «Obligaciones y responsabilidades de las partes del contrato de Cloud Computing».
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf, op. cit., págs. 9 y 10.
Por ejemplo, la virtualización de servidores, de redes, de sistemas operativos, etc.
Es el caso de laHybrid Cloud de la empresaiWeb, o la Elastic Compute Cloud (EC2) de Amazon.
Algunas nubes implican lo contrario, y acoplan varios centros de datos para que trabajen de forma conjunta mediante operaciones de procesado. Las usan organizaciones que manejan gran cantidad de datos, como Facebook o eBay.
HON, W. Kuan; MILLARD, C., Cloud Technologies ..., op. cit., pág. 12.
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf,op. cit., pág. 9. Por ejemplo, la plataforma como servicio Google App Engine opera en esta capa para implementar almacenaje, bases de datos y aspectos lógicos utilizados para el desarrollo de aplicaciones web.
Cuando el usuario ya ha desarrollado el código dentro de esta plataforma, la aplicación resultante puede ejecutarse vía Internet, por ejemplo, como software como servicio (SaaS). KUAN HON, W.; MILLARD, C., Cloud Technologies ..., op. cit., pág. 12. Ver apartado «La arquitectura en capas de la computación en la nube y sus modelos de negocio: SaaS o Software como Servicio», en este mismo capítulo.
La denominación como capa de software, aunque es la más extendida, a nuestro modo de ver, no es la más precisa. El término «software» engloba no solo aplicaciones, sino también sistemas operativos, programas informáticos y otras herramientas lógicas, algunas de las cuales no son comercializables a gran escala, entre otras razones, por su complejidad técnica, por estar configuradas para funcionar con equipos hardware concretos o por estar diseñadas para realizar tareas de mantenimiento. Para nosotros, coincidiendo con otros autores, la denominación más apropiada sería «capa de aplicaciones», puesto que una aplicación informática se caracteriza por ser un programa informático diseñado como herramienta y que permite al usuario realizar una o varias tareas de forma automatizada (como procesadores de textos o suites de correo electrónico). Lo mismo sucede con la denominación del modelo de servicio Software as a Service o software como servicio, donde además de lo mencionado anteriormente, resulta que todos los servicios de la nube incluyen, de una u otra forma, la entrega de software como parte del servicio, ya sea para monitorizar rendimientos, desarrollar programas o implementar medidas de seguridad. No obstante, para evitar confusión al lector, utilizaremos las expresiones más generalizadas, es decir, «software como servicio», al hacer referencia a estos conceptos. HURWITZ, Judith; KAUFMAN, Marcia; HALPER, Fern, Cloud Services for Dummies. IBM Limited Edition, 1.ª edición, New Jersey, 2012, pág. 14.
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf, op. cit., pág. 9. Ver apartado «Definición y características técnicas según el National institute of Standards and Technology», en este mismo capítulo.
HON, W. Kuan; MILLARD, C., Cloud Technologies and Services, op. cit., pág. 4.
Figura n.º 1. Fuente: ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf, op. cit., pág. 9.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 6.
El documento del NIST define así la infraestructura como servicio: «The capability provided to the consumer is to provision processing, storage, networks, and other fundamental computing resources where the consumer is able to deploy and run arbitrary software, which can include operating systems and applications. The consumer does not manage or control the underlying cloud infrastructure but has control over operating systems, storage, and deployed applications; and possibly limited control of select networking components (e.g., host firewalls)» (traducción propia). NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 6.
Entendiendo la seguridad como protección de activos tangibles (hardware, bases de datos...) e intangibles (contenido de la información almacenada o en tránsito, propiedad intelectual e industrial, etc.).
Como hemos mencionado, el proveedor puede, a su vez, haber subcontratado con un tercero propietario del hardware o que se encargue de su mantenimiento.
KUAN HON, W.; MILLARD, C., «Control, Security, ...», op. cit., pág. 27.
Como proveedores de infraestructura como servicio (IaaS), podemos mencionar Rackspace, los servicios EC2 de Amazon Web Services, GoGrid o el servicio Compute Engine de Google.
El documento del NIST define así la plataforma como servicio: «The capability provided to the consumer is to deploy onto the cloud infrastructure consumer-created or acquired applications created using programming languages, libraries, services, and tools supported by the provider. The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, or storage, but has control over the deployed applications and possibly configuration settings for the application-hosting environment» (traducción propia). NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 6.
Como ejemplos de plataformas como servicio, podemos mencionar: App Engine de Google, Windows Azure de Microsoft o Force.com de Salesforce.com.
El documento del NIST define así el software como servicio: «The capability provided to the consumer is to use the provider’s applications running on a cloud infrastructure. The applications are accessible from various client devices through either a thin client interface, such as a web browser (e.g., web-based email), or a program interface. The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, storage, or even individual application capabilities, with the possible exception of limited user-specific application configuration settings» (traducción propia). NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 6.
Ello no significa que sean servicios gratuitos, en el sentido jurídico del término, sino que la contraprestación es de contenido no dinerario. Ver apartado sobre onerosidad en el capítulo «Objeto, naturaleza jurídica y características del contrato de servicios de Cloud Computing».
INSTITUTO NACIONAL DE CIBERSEGURIDAD INCIBE (antes INTECO), Riesgos y Amenazas en Cloud Computing [en línea], 2011. Disponible en: <http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf>. [Fecha de consulta: 27 de junio de 2016].
En ocasiones, como se ha dicho, algunos proveedores de software como servicio basan sus servicios en los servicios de infraestructura o plataforma de otros proveedores. Ver capítulo «Elementos subjetivos del contrato de servicios de Cloud Computing».
KUAN HON, W.; MILLARD, C.,Cloud Technologies and ..., op. cit., pág. 13.
HURWITZ, Judith; BLOOR, Robin; KAUFMAN, Marcia, op. cit., pág. 14.
Por ejemplo, existen suites de escritorio en la nube, que en vez de instalarse en el ordenador de cada usuario permiten procesar los datos a través de Internet, como es el caso de Microsoft Office 365. Otros de los softwares como servicio con más éxito son los servicios de correo electrónico, como Yahoo!Mail oGmail, que permiten liberar al usuario de almacenar los mensajes en su equipo, además de estar permanentemente actualizados; o las redes sociales como Facebook o Twitter, ampliamente suscritas por consumidores y empresas, que las utilizan a modo de herramientas de información y comunicación.
A diferencia del suministro de almacenaje de la infraestructura como servicio, en el Storage as a Service es el mismo usuario quien gestiona el recurso, que se presenta para una moderada cantidad de datos y se promociona para atender las necesidades del consumidor o de pequeñas empresas. En cambio, el servicio de infraestructura es más adecuado para macrocantidades de datos, o datos que requieran de procesamiento especial, muy alta velocidad de transmisión, actualización y sincronización en tiempo real o unas extraordinarias medidas de seguridad. Como ejemplos, Dropbox, Google Drive o Box.
Como Insightly, oSales Cloud deSaleforce.com.
Como Google G-suite, Trello o Hangouts.
Es habitual ver como empresas utilizan aplicaciones como Facebook a modo de Intranet gratuita, o para comunicarse con sus clientes. No obstante, la propia empresa es quien debe valorar los riesgos que puede suponer en relación a los datos que se transmiten y publican, y del uso que terceros puedan hacer de esos datos.
Fuente de la figura: YUNG SHOW, Cloud Computing for IT Pros (2/6): What Is Cloud [en línea], 2010. Disponible en: <https://blogs.technet.microsoft.com/yungchou/2010/12/17/cloud-computing-for-it-pros-26-what-is-cloud/>. [Fecha de consulta: 8 de julio de 2016].
ALAMILLO DOMINGO, Ignacio. «El control de localización de los datos e informaciones en el Cloud», Derecho y Cloud Computing. (Coord. Ricard Martínez), 1.ª edición, Navarra, 2012, pág. 66.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 6.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ...,op. cit., pág. 6.
ISO/IEC International Standard 1788:2014 Information technology - Cloud computing - Overview and vocabulary [en línea], 2014. Disponible en: <http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html>. [Fecha de consulta: 30 de marzo de 2017].
Así define el NIST la nube privada:«the cloud infrastructure is provisioned for exclusive use by a single organization comprising multiple consumers (e.g., business units). It may be owned, managed, and operated by the organization, a third party, or some combination of them, and it may exist on or off premises» (traducción propia). NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, «Special Publication 800-145. The NIST Definition ...», op. cit., pág. 7.
Como ejemplos de servicios de nube privada, podemos citar: Amazon Virtual Play Cloud (ofrece una red virtual privada 100% controlable por el usuario),Eucalyptus Cloud Platform (ofrece un software de código abierto implementable en infraestructuras hardware del cliente y crear así una nube privada), IBM Smart Cloud Foundation (conjunto de soluciones que automatizan las operaciones del centro de datos del cliente) o Microsoft Private Cloud (ofrece virtualización y sistema operativo implementables en los recursos propios del cliente para dotar a estos de elasticidad y escalabilidad).
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf, op. cit., pág. 10.
El modelo de nube privada es el que ofrece mayores garantías de seguridad, así que es el modelo ideal para el manejo de ciertos datos considerados críticos (critical data) que requieren extraordinaria protección. En estas nubes se instalan herramientas de seguridad de alto nivel, como cortafuegos especiales que salvaguarden el sistema de accesos no autorizados, hackeado, malware y demás acciones maliciosas.
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf,op. cit., pág. 10.
Así define el NIST la nube comunitaria:«The cloud infrastructure is provisioned for exclusive use by a specific community of consumers from organizations that have shared concerns (e.g., mission, security requirements, policy, and compliance considerations). It may be owned, managed, and operated by one or more of the organizations in the community, a third party, or some combination of them, and it may exist on or off premises» (traducción propia). NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 7.
INTECO, Riesgos y Amenazas en Cloud Computing [en línea], 2011. Disponible en <http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf>. [Fecha de consulta: 27 de junio de 2016]
A modo de ejemplo, algunos departamentos gubernamentales americanos comparten una nube comunitaria suministrada por Microsoft. La multinacional de servicios financieros NYSE Euronext acaba de extender a Europa su nube comunitaria: la Capitol Markets Community Platform, creada en 2011 con la colaboración de los proveedores líderes VMWare y EMC, juntamente con la división tecnológica de la propia NYSE: NYSE Technologies. Desde 2012, la asociación alemana de aseguradoras Gesamtverbandes der Deutschen Versicherungswirtschaft (o GDV) comparte el proyecto de nube comunitaria Trusted German Insurance Cloud.
En palabras del NIST, la nube pública es aquella en la cual: «The cloud infrastructure is provisioned for open use by the general public. It may be owned, managed, and operated by a business, academic, or government organization, or some combination of them. It exists on the premises of the cloud provider» (traducción propia). NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition ..., op. cit., pág. 7.
Para facilitar la comprensión de este trabajo, nos referiremos a «proveedor de servicios en la nube» o «proveedor cloud» para aludir al titular de la nube que pone los recursos a disposición del suscriptor de los servicios. Sin embargo, debe tenerse en cuenta que entre el prestador final del servicio cloud y el proveedor de la capa de software pueden existir subcontrataciones.
Ver apartado «Obligaciones del suscriptor», en el capítulo «Obligaciones y responsabilidades de las partes del contrato de Cloud Computing».
Original en inglés del NIST: «The cloud infrastructure is a composition of two or more distinct cloud infrastructures (private, community, or public) that remain unique entities, but are bound together by standardized or proprietary technology that enables data and application portability (e.g., cloud bursting for load balancing between clouds)» (traducción propia). NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY NIST, Special Publication 800-145. The NIST Definition..., op. cit., pág. 7.
A modo de ejemplo de nubes híbridas: Microsoft Azure Stack, o HP Helion Cloud. Como ejemplos de nubes híbridas especialmente dirigidos a pequeñas empresas, VM Cloud Air Hybrid Service, del proveedor VMWare, o AppUpp, de Intel.
Definición extractada de la página web oficial de la compañía tecnológica Techtarget, [en línea]. Disponible en <http://searchcloudcomputing.techtarget.com/definition/cloud-bursting>. [Fecha de consulta: 27 de junio de 2016].
ZHANG, Qi; CHENG, Lu; BOUTABA, Raouf, op. cit., pág. 10.
INTECO, Riesgos y Amenazas en Cloud Computing [en línea], 2011. Disponible en <http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf>. [Fecha de consulta: 3 de abril de 2017].
KALPANA, P.; LAHARIKA, M. «A comparative Study of Different Deployment Models in a Cloud», International Journal of Advanced Research in Computer Science and Software Engineering, Vol. 3, 2013, pág. 514.
AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Guía para clientes que contraten servicios de Cloud Computing 2013 [en línea]. Disponible en: <http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_Cloud.pdf>. [Fecha de consulta: 3 de abril de 2017].
Todo ello para conseguir, en 2020 y según las previsiones, 2,5 millones de puestos de trabajo en Europa y unos beneficios de 160 billones de euros, lo que implicaría un aumento del producto interior bruto de un 1%. Disponible en: <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:EN:PDF>. Sitio web oficial de la European Cloud Computing Strategy de la Comisión Europea disponible en: <https://ec.europa.eu/digital-single-market/en/european-cloud-computing-strategy>. [Fecha de consulta: 3 de abril de 2017].
El Grupo de Expertos en contratos de Cloud Computing se creó mediante la Decisión de 18 de junio de 2013 2013/C 174/04. Disponible en: <http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2013:174:0006:0008:EN:PDF>. Los informes elaborados por el Grupo de Expertos están disponibles en el sitio web oficial de la Comisión Europea. <http://ec.europa.eu/justice/contract/cloud-computing/expert-group/index_en.htm>. [Fecha de consulta: 3 de abril de 2017]. Algunas de estas materias, si bien han sido objeto de discusión e informes preparatorios por parte del Grupo de Expertos, no se han visto reflejadas todavía en un código de conducta que proteja a pequeños empresarios y consumidores de servicios cloud de eventuales prácticas abusivas por parte de proveedores. Más información sobre la European Cloud Computing Strategy disponible en: <https://ec.europa.eu/digital-single-market/en/european-cloud-computing-strategy>. [Fecha de consulta: 3 de abril de 2017].
Traducción propia del original en inglés: «Cloud Computing' in simplified terms can be understood as the storing, processing and use of data on remotely located computers accessed over the Internet. This means that users can command almost unlimited computing power on demand, that they do not have to make major capital investments to fulfil their needs and that they can get to their data from anywhere with an Internet connection. Cloud Computing has the potential to slash users' IT expenditure and to enable many new services to be developed. Using the cloud, even the smallest firms can reach out to ever larger markets while governments can make their services more attractive and efficient even while reining in spending».
En su Dictamen 05/2012 sobre la computación en la nube (WP 196) [en línea], el Grupo de Trabajo del Artículo 29 recoge los principales riesgos que supone el Cloud Computing para la protección de los datos personales, y los roles de cada uno de los actores que intervienen en el tratamiento, así como las cuestiones relacionadas con la transferencia internacional de datos. Disponible en: <http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf>. [Fecha de consulta: 3 de abril de 2017].
Traducción propia del original en inglés: «Cloud Computing consists of a set of technologies and service models that focus on the Internet-based use and delivery of IT applications, processing capability, storage and memory space. Cloud Computing can generate important economic benefits, because on-demand resources can be configured, expanded and accessed on the Internet quite easily. Next to economic benefits, cloud computing may also bring security benefits; enterprises, especially small-to-medium sized ones, may acquire, at a marginal cost, top-class technologies, which would otherwise be out of their budget range».
Para ello se creó la iniciativa Cloud for Europe (C4E), dentro de la European Cloud Partnership, para identificar obstáculos y generar confianza en la tecnologíaCloud mediante la colaboración entre el sector público y la industria del sector Cloud. información disponible en: <http://www.cloudforeurope.eu>. [Fecha de consulta: 3 de abril de 2017].
GARCÍA SÁNCHEZ, Manuel, «Retos de la computación en la nube» , Derecho y Cloud Computing. (Coord. Ricard Martínez), 1.ª edición, Navarra, 2012, págs. 39 a 40, 45.
IDC,Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake [en línea], 2012. [Fecha de consulta: 27 de junio de 2016] Disponible en: <http://ec.europa.eu/digital-agenda/en/news/quantitative-estimates-demand-cloud-computing-europe-and-likely-barriers-take-final-report>. Se ha llevado a cabo un seguimiento del anterior informe, cuyos resultados se publican en otro informe final para la Comisión Europea:IDC, SMART 2013/0043 - Uptake of Cloud in Europe. Follow-up of IDC Study on Quantitative estimates of the demand for Cloud Computing in Europe and the likely barriers to take-up [en línea], 2015. Disponible en: <https://ec.europa.eu/digital-agenda/en/news/final-report-study-smart-20130043-uptake-cloud-europe>. [Fecha de consulta: 27 de junio de 2016].
Según los datos del Retrato de la PYME - DIRCE a 1 de enero de 2016, publicado en febrero de 2017 y elaborado por el Instituto Nacional de Estadística (INE) y publicado en enero de 2016, a 1 de enero de 2016 existían en España 3.232.706 empresas, de las cuales el 99,8% son PYMEs (es decir, tienen entre 0 y 249 asalariados). Así, el conjunto de empresas formado por microempresas y pequeñas y medianas empresas (englobadas como PYMEs), representan el 99,9 % del tejido empresarial español, mientras que las grandes compañías (de 250 o más empleados) únicamente suponen el 0,1% del total de empresas españolas. INSTITUTO NACIONAL DE ESTADÍSTICA INE, Retrato de la PYME- DIRCE a 1 de enero 2016 [en línea], 2016. Disponible en: <http://www.ipyme.org/publicaciones/retrato-pyme-dirce-1-enero-2016.pdf>. [Fecha de consulta: 23 de marzo de 2017].
A todos ellos nos referiremos en este trabajo como «pequeños empresarios».
Datos según los informes Análisis sectorial de la implementación de las TIC en la PYME española, elaborado porla Fundación para el Desarrollo Infotecnológico de Empresas y Sociedad (FUNDETEC) y el Observatorio Nacional de las Telecomunicaciones y la Sociedad de la Información (ONTSI). FUNDETEC; ONTSI; Informes ePYME 2014 y e-PYME 2015. Análisis sectorial de la implementación de las TIC en la PYME española, [en línea], 2014 y 2015. Disponibles respectivamente en: <http://www.ontsi.red.es/ontsi/sites/default/files/informe_epyme14_analisis_sectorial_de_implantacion_de_las_tic_en_la_pyme_espanola_0.pdf> y <http://www.ontsi.red.es/ontsi/sites/ontsi/files/e-pyme_15_analisis_sectorial_de_implantacion_de_las_tic_en_la_pyme_espanola.pdf>. [Fecha de consulta: 29 de marzo de 2017]
Estos datos se desprenden de la Encuesta sobre el Uso de las Tecnologías de la Información y las Comunicaciones (TIC) y del comercio electrónico en las empresas. Año 2015- 1er Trimestre 2016 [en línea], realizada por el Instituto Nacional de Estadística, y cuyos resultados se publicaron en junio de 2016. Disponible en: <http://www.ine.es/prensa/np978.pdf>. [Fecha de consulta: 29 de marzo de 2017].
Así lo afirma el informe del Observatorio Nacional de las Telecomunicaciones y los Sistemas de Información ONTSI titulado La sociedad en Red. Informe Anual 2015. Edición 2016, [en línea] publicado en septiembre de 2016, págs. 17, 23, 129. Disponible en: <http://www.ontsi.red.es/ontsi/es/content/informe-anual-la-sociedad-en-red-2015-edici%C3%B3n-2016>. [Fecha de consulta: 29 de marzo de 2017].
En mayo de 2016, el Ministerio de Energía, Turismo y Agenda Digital destinó más de 40 millones de euros en ayudas a PYME de cualquier sector, con menos de 250 empleados, para que adoptasen soluciones basadas en tecnología Cloud Computing, mediante la campaña «Súbete a la nube. Programa de Fomento de soluciones de Cloud Computing dirigido a PYMEs». Nota de prensa oficial del Ministerio disponible en: <http://www.red.es/redes/es/sala-prensa/notas-prensa/el-ministerio-de-industria-energia-y-turismo-destina-40-millones-de-eu>. En 2017, se destinan 18,3 millones de euros para que 360 PYME (en este caso, empresas proveedoras del sector TIC) generen nuevas soluciones de Cloud Computing. Nota de prensa oficial del Ministerio de Energía, Turismo y Agenda Digital disponible en: <http://www.red.es/redes/sala-de-prensa/noticia/mas-de-360-pymes-del-sector-tic-se-repartiran-183-millones-para-generar-nueva>. [Fecha de consulta: 29 de marzo de 2017].
El quinto informe anual CISCO Cloud Global Index, Forecast and Methodology, publicado en octubre de 2015, estima un crecimiento de la nube pública a un ritmo interanual del 44% entre 2014 y 2019, mientras que para la nube privada se augura un crecimiento del 16% interanual durante el mismo período. Predice que el tráfico cloud global se cuadruplicará. En cuanto a los modelos de servicio, se prevé que, de la implementación de servicios cloud en entornos públicos y privados, un 59% corresponderá a software como servicio, y un 30% a infraestructura como servicio, y únicamente un 11% corresponderá a plataforma como servicio. CISCO Cloud Global Index, Forecast and Methodology [en línea], 2015. Disponible en: <http://www.cisco.com/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/Cloud_Index_White_Paper.pdf> y <https://newsroom.cisco.com/press-release-content?type=webcontent&articleId=1724918>. [Fecha de consulta: 24 de junio de 2016].
Para esta clasificación de riesgos, hemos tomado como referentes los trabajos al respecto elaborados por diferentes entidades: la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI), la European Network and Information Security Agency (ENISA); el Instituto Nacional de Tecnologías de la Información INCIBE (antes INTECO), el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la información (ONTSI), la Cloud Security Alliance (CSA) y el capítulo de Kuan Hon y Christopher Millard. Todos ellos se citan a continuación. GRUPO DE TRABAJO IV, CNUDMI, Aspectos contractuales de la computación en la nube A/CN.9/WG.IV/WP.142 [en línea], pág. 17, disponible en: <http://www.uncitral.org/uncitral/es/commission/working_groups/4Electronic_Commerce.html>. ENISA, Computación en nube. Beneficios, riesgos y recomendaciones para la seguridad de la información [en línea], 2009; y Cloud Security Guide for SMEs. Cloud security Risks and Oportunities for SMEs [en línea], 2015. Disponibles respectivamente en: <https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/files/deliverables/cloud-computing-risk-assessment-spanish> y <https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes>. INCIBE (antes INTECO), Riesgos y Amenazas en Cloud Computing [en línea], 2011. Disponible en: <http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf>. INCIBE (antes INTECO), Guía para empresas: seguridad y privacidad del Cloud Computing [en línea], 2011. Disponible en: <http://www.inteco.es/CERT/guias_estudios/guias/Guia_Cloud>. ONTSI, Cloud Computing. Retos y oportunidades [en línea], 2012. Disponible en: <http://www.ontsi.red.es/ontsi/es/estudios-informes/cloud-computing-retos-y-oportunidades>. Cloud Security Alliance CSA,Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 [en línea], 2009. Disponible en <https://cloudsecurityalliance.org/research/security-guidance/>. HON, W. Kuan; MILLARD, Christopher, «Control, Security and Risk in the Cloud», Cloud Computing Law (Coord. Christopher Millard), 1.ª edición, Oxford, 2013, págs. 18 a 35. [Fecha de consulta: 30 de mayo de 2017].
Según el informe Más allá de las buenas intenciones. La necesidad de pasar de las intenciones a la acción con el fin de controlar el riesgo de la información en las medianas empresas, elaborado por la consultora PwC en colaboración con la empresa de gestión de activos de información Iron Mountain y presentado en julio de 2014, «apenas un 37% de las medianas empresas europeas y un 47% de las norteamericanas cuentan con una estrategia de riesgo de la información totalmente supervisada». Según afirma el estudio, «esta debería ser la base sobre la que apoyen las medidas de protección adecuadas, aunque más de la mitad de las medianas empresas no lo está haciendo». En palabras del responsable de riesgo de la información de Iron Mountain, Christian Toon, para este mismo informe, «desde la más grande y consolidada hasta la mediana de reciente creación, las empresas se ven incapaces de salvar las distancias entre contar con un plan o una política bienintencionados y asegurarse de que realmente funciona». IRON MOUNTAIN; PwC; Más allá de las buenas intenciones. La necesidad de pasar de las intenciones a la acción con el fin de controlar el riesgo de la información en las medianas empresas [en línea]. Disponible en: <http://www.ironmountain.es/riesgo-informacion/~/media/94CCAD64A20F408EB2BF44F2AFCA8710.pdf>. [Fecha de consulta: 27 de junio de 2016].
Si los contenidos comparten los estándares de la industria de la computación en la nube, o si tienen un formato libre (es decir, un formato abierto, sin restricciones de uso legales o económicas), es más fácil y rápido migrar los datos hacia otro entorno en caso de contingencia o terminación contractual, y que esos datos sean interoperables. En caso contrario, si el proveedor o un tercero son (o pretenden ser) los titulares del formato de los datos, aplicaciones o interfaces, puede ser caro o dificultoso exportarlos a un formato que permita su reutilización en otros entornos. Actualmente se están llevando a cabo tareas de promoción de estandarización por diferentes organizaciones, como la DMTF (Distributed Management Task Force, Inc), el European Telecomunications Standard Institute (ETSI), elGlobal Inter-Cloud Technology Forum (GICTF) o el Open Grid Forum. Todos ellos cuentan con miembros de las principales empresas del sector para crear desarrollar especificaciones y estándares de los elementos software que integran el entorno de la computación en nube. Más información en la página Cloud Standards Wiki. Disponible en: <http://cloud-standards.org/wiki/index.php?title=Main_Page>. [Fecha de consulta: 6 de julio de 2016].
Ver ROSSELLÓ RUBERT, Francisca M.ª, «La recuperación de los contenidos alojados y su portabilidad; en especial, su previsión por el Reglamento 2016/679 General de Protección de Datos de la UE», Hacia una justicia 2.0, Actas del XX Congreso Iberoamericano de Derecho e Informática (Dir. Federico Bueno de Mata), Salamanca, 2016, págs. 283 a 298. Asimismo, ver capítulo «Modificación, suspensión y extinción del contrato de servicios de Cloud Computing».
Recordemos el caso Megaupload, en el año 2012. Las autoridades americanas decretaron el cierre de esta nube de descarga y almacenaje por infracción de derechos de propiedad intelectual por parte de ciertos usuarios, e implicó para muchos clientes la imposibilidad de recuperar sus datos o acceder a ellos, aun sin haber infringido, por su parte, normativa de copyright alguna. Actualmente, el software como servicio de almacenamiento de archivos Mega, sucesor de Megaupload y similar a Dropbox o Box, utiliza un sistema de cifrado que, según afirma el proveedor, imposibilita conocer la información que almacenan los clientes en sus servidores, y por tanto, le exime de responsabilidad en relación a esos contenidos. Sus condiciones del servicio están accesibles en línea: <https://mega.nz/#terms>. [Fecha de consulta: 27 de junio de 2016].
«Confidencialidad». Propiedad de la información que garantiza que únicamente la conocen o tienen acceso a su contenido las personas autorizadas. (Definición propia).
«Integridad». Propiedad de la información que garantiza su corrección y completitud durante todo el ciclo de procesamiento de la información, es decir, que no han sido destruidos, alterados o modificados por personal no autorizado o de forma accidental desde que se migran a la nube o se crean en ella, hasta que finaliza la obligación contractual del proveedor de preservarlos en el sistema (los haya recuperado el cliente o no, según sea el caso), y puede procederse a su borrado progresivo o definitivo. (Definición propia).
«Disponibilidad». Propiedad de los datos que garantiza el acceso ininterrumpido a su contenido por parte del personal autorizado. (Definición propia).
Ver capítulo «Aspectos jurídicos de los contenidos alojados en la nube».
Ver capítulo «Suspensión, modificación y extinción del contrato de servicios de Cloud Computing».
Ver apartado «Legalidad y adecuación de los contenidos alojados por el cliente. Las Políticas de Uso Adecuado y su control por el proveedor», en el capítulo «Aspectos jurídicos de los contenidos alojados en la nube».
En otras ocasiones, el proveedor podrá ser considerado responsable del tratamiento, como sucede en aquellos casos en los que se exceda de sus facultades como encargado o incumpla las instrucciones facilitadas por el cliente en su calidad de responsable, o cuando trate datos de carácter personal que le haya facilitado directamente el titular de esos datos.
Por cuestiones de extensión, en este trabajo no nos detendremos en el estudio de las cuestiones relacionadas con la protección de datos personales y su relación con los contratos de computación en la nube.
Ver capítulo «Aspectos jurídicos de los contenidos alojados en la nube».
Para un análisis más detallado de estas cuestiones, ver capítulo «Aspectos jurídicos de los contenidos alojados en la nube».
Usuario final y cliente del proveedor pueden no coincidir. El usuario final será el eslabón último de una cadena de contratos de suministros de computación en nube más o menos larga, como un empleado de la organización suscriptora del contrato de servicios cloud o un consumidor de los bienes y servicios ofrecidos por esta. Ver capítulo «Elementos subjetivos del contrato de servicios de Cloud Computing».
Estos terceros pueden ser otros proveedores, sujetos de derechos de propiedad intelectual o autoridades.
Ver apartado «Breve reflexión sobre la aplicación extensiva de las normas y criterios de las cláusulas abusivas al pequeño empresario. Extensión al ámbito de la contratación de servicios de Cloud Computing», en el capítulo «Obligaciones y responsabilidades de las partes del contrato de servicios de Cloud Computing».
