El uso de servicios de cloud computing por los abogados

Los abogados, cada vez más virtuales, estamos abriendo nuevas vías de negocio a través de Internet, y ello implica tener que llegar al cliente aunque el servicio se preste a distancia. Ahí es donde entran los servicios de cloud computing, o cómputo en la nube, que permiten a los despachos de abogados prestar un servicio y gestionar la comunicación con el cliente y la información proporcionada por este de forma más eficaz. Cuando nos referimos a cloud computing hablamos de una plataforma que se utiliza para subir archivos que pueden ser compartidos y están accesibles desde cualquier sitio a través de Internet, pero además, los abogados podemos encontrarle otras utilidades que van desde el almacenamiento de documentos hasta la gestión del propio despacho.

Aunque hasta aquí todo suena bien porque se reducen, y mucho, los costes, el problema legal que presenta el cloud se basa en dos sub-problemas principales:

1. El prestador de servicios de cloud debe cumplir con la normativa de protección de datos, pues va a ser el encargo del tratamiento de los mismos, aunque el abogado será el responsable del tratamiento frente a la AEPD y el que tiene la obligación de inscribir el fichero.

El abogado es el responsable ante la Agencia Española de Protección de Datos, que es dónde se sitúa su marco de actuación profesional. A ella tendrá que informar sobre la finalidad del fichero, el soporte en que se guardan los datos y si se ceden o no a terceros, entre otras cosas. Por su parte, el encargado del tratamiento puede tener el servidor alojado en cualquier país del mundo pero debe cumplir con la normativa española de protección de datos y aplicar las medidas de seguridad que exigen la LOPD y su Reglamento. Otra cuestión relevante surge cuando el servidor de la nube está alojado en un tercer país y no en España, debiendo entonces realizar la siguiente distinción:

• Que el país en el que esté alojado el servidor esté fuera de la Unión Europea, produciéndose una transferencia internacional de datos, para lo que se necesitará autorización previa del Director de la Agencia Española de Protección de Datos, salvo que el país en cuestión tenga un nivel adecuado de protección o pueda acogerse a alguna excepción del artículo 34 de la LOPD.
• Que el servidor esté situado dentro del Espacio Económico Europeo. En este caso hay que observar las garantías de protección y seguridad establecidas en la normativa, pero no se exige autorización puesto que no se considera que haya una transferencia internacional de datos.

2. La seguridad en la nube. Cuando se comparten archivos y se trata información relevante, personal y privada es necesario que se estructure un plan de seguridad que evite los ciberataques. Y esta, según la LOPD, es una obligación que comparten el responsable (el despacho de abogados) y el encargado (el prestador del servicio de cloud) del fichero.

Ambos deben adoptar medidas técnicas suficientes para garantizar que los datos van a estar seguros y no se va a poder proceder a su alteración, pérdida o a un tratamiento o acceso no autorizado. Entre estas medidas pueden encontrarse, por ejemplo, la realización de copias de seguridad, el cifrado de los datos, o mecanismos de autenticación seguros para los clientes y el despacho cuando quieran acceder a los datos almacenados. También debe tenerse en cuenta a la hora de implementar las medidas si estamos ante datos personales especialmente protegidos, que gozarán de un plus de protección (nivel alto), pero además, los abogados suelen tratar datos que necesitan un nivel de seguridad medio como, por ejemplo, los relativos a la comisión de infracciones administrativas o penales. Esto quiere decir que no es suficiente aplicar un nivel básico de seguridad, sino que las medidas a adoptar dependerán del tipo de datos que se almacenen.

Aunque el encargado es quien tiene que llevar a cabo estas medidas de seguridad, deberá hacerlo siguiendo las instrucciones del responsable del tratamiento, sin poder salirse en ningún momento de lo acordado en el contrato establecido entre las partes, que es obligatorio de acuerdo con el artículo 12 de la LOPD.

Si el encargado incumple lo establecido en el contrato vulnerando la protección de los datos, cediéndolos o utilizándolos de modo distinto a lo pactado, será responsable de las infracciones cometidas respondiendo como si fuera responsable del tratamiento, pues esa ha sido su actitud al disponer de los datos. En cambio, si la relación contractual sigue vigente hasta su término porque ambas partes respetan las cláusulas establecidas,llegada la fecha de fin de contrato y cumplida la prestación, los datos deberán destruirse o devolverse al despacho de abogados, sin que el prestador de cloud pueda conservarlos por ningún motivo.

Esto implica que, tanto si se destruyen los datos como si se devuelven, el encargado no puede conservar ningún soporte en el que se almacenen los datos, ni las copias de seguridad que haya hecho ni el registro de los diferentes accesos a los datos.

Raquel Attard Porras,

Abogada en Attard Abogados

LinkedIn: https://es.linkedin.com/pub/raquel-attard-porras/2b/895/4a2/en

Twitter @attardabogados