viernes, 5 de octubre de 2012

CLÁUSULAS CONTRACTUALES EN ENTORNOS DE CLOUD COMPUTING


Resumen: Una parte importante del éxito de la migración hacia el modelo de CLOUD COMPUTING, es la formalización del contrato o contratos (prestación de servicios, acceso a datos personales, etc.) entre el CSP (Cloud Services Provider) y la empresa cliente.


Autor del artículo
Colaboración
JOSE LUIS COLOM PLANAS
Actualizado
6 de junio de 2015


ÍNDICE.


1. CLÁUSULAS CONTRACTUALES EN EL CLOUD.
1.1. INTRODUCCIÓN.
1.2. CSA (Cloud Security Alliance)
1.3. ENISA (European Network and Information Security Agency).
1.4. THOMAS TRAPPLER (En el libro: CONTRACTING FOR CLOUD SERVICES).
1.5. XAVIER RIBAS (En el Post: Cláusulas críticas en el contrato de CLOUD).
1.6. INCIBE (Instituto Nacional de Ciberseguridad).
1.7. CSA (Cloud Security Alliance) – Italy Chapter.
2. ANÁLISIS DE CADA CLÁUSULA CONTRACTUAL.
2.1. PROTECCIÓN DE DATOS.
2.2. SEGURIDAD DE LOS DATOS.
2.3. TRANSFERENCIA DE DATOS.
2.4. LEGISLACIÓN.
2.5. CONFIDENCIALIDAD.
2.6. PROPIEDAD INTELECTUAL.
2.7. LIMITACIÓN DE RESPONSABILIDAD.
2.8. TRANSFERENCIA DE CONTROL.
2.9. CADENAS DE SUBCONTRATACIÓN.
2.10. RESOLUCIÓN ANTICIPADA.
2.11. AUDITABILIDAD.
2.12. SLA/ANS (ACUERDO DE NIVEL DE SERVICIO).
2.13. NOTIFICACIÓN DE INCIDENCIAS.
3. CLÁUSULAS CONTRACTUALES TIPO PARA TRANSFERENCIAS DE DCPs A TERCEROS PAISES.
4. EQUIPO MULTIDISCIPLINAR DE CONTRATACIÓN.
4.1. INTRODUCCIÓN.
4.2. ACTORES QUE INTERVIENEN EN EL EQUIPO MULTIDISCIPLINAR.
4.3. VENTAJAS DEL EQUIPO MULTIDISCIPLINAR.
4.4. ¿CÓMO AYUDA EL EQUIPO MULTIDISCIPLINAR A LA EMPRESA?
5. BIBLIOGRAFÍA CONSULTADA.
6. DERECHOS DE AUTOR.


1. CLAUSULAS CONTRACTUALES EN EL CLOUD.

1.1. INTRODUCCIÓN.

El CLOUD COMPUTING representa un cambio respecto al modelo tradicional de entrega de servicios de TI. Una parte importante del éxito de la migración hacia él, es la formalización del contrato o contratos (prestación de servicios, acceso a datos personales, etc.) entre el CSP (Cloud Services Provider) y la empresa cliente.

Las principales asociaciones nacionales e internacionales hacen recomendaciones en base a experiencias conocidas en CLOUD COMPUTING (que no son muchas al tratarse de un modelo novedoso) y también basándose en otras formas de entregar servicios con alguna,  aunque pocas, similitudes (Housing, Hosting tradicional...).

Cualquier actividad empresarial, y la contratación de servicios de CLOUD COMPUTING no deja de serlo, debe regular mediante un contrato la relación entre el proveedor de servicios (en este caso el CSP) y el cliente (en este caso, el contratante). Distinguiremos:


·       Las cláusulas del contrato, que deben definir claramente la posición de cada una de las partes así como sus responsabilidades y obligaciones.

·       Los términos de uso, que se encargan de definir las especificaciones técnicas más importantes relacionadas con la entrega y la calidad del servicio. Suelen estar recogidas en documentos llamados SLA (Acuerdos de Nivel de Servicio) y entre otras cosas establecen los niveles de rendimiento y disponibilidad garantizados por el proveedor.


Si bien los contratos comerciales siempre se negocian, en el caso de los CSP (Cloud Services Provider) a menudo no suele existir tal acercamiento de posiciones. Estas empresas suelen mostrar claramente las condiciones en las que prestan su servicio y es el cliente el que debe adscribirse a ellas. Por tanto un buen consejo es negociar el contrato siempre que sea posible, o en su defecto estudiar cuidadosamente cada una de las cláusulas propuestas por los diferentes proveedores, hasta encontrar el contrato que mejor satisfaga las necesidades del cliente.

Los clientes de los proveedores de CLOUD COMPUTING pueden diferir en tipología (de entidades privadas a AAPPs-Administraciones Públicas) y tamaño (de PYMES a grandes empresas), lo que afectará a su capacidad de negociar. Este aspecto es muy relevante desde el punto de vista legal, ya que la futura relación entre los CSPs y sus clientes estará regulada por medio de un contrato. Debido a la falta de regulaciones específicas, las funciones y obligaciones recíprocas se establecerán en el pliego de condiciones generales estándar, elaboradas de manera unilateral por el proveedor en nube y bien aceptadas por los clientes sin modificación (comúnmente), o negociadas en acuerdos específicos.



Es importante diferenciar entre el caso de una pequeña o mediana organización, que elegirá entre los diferentes contratos ofrecidos en el mercado, y una gran organización, que estará en  situación de negociar las cláusulas. Se prevé con el tiempo una normalización de los servicios ofrecidos por todos los proveedores en el CLOUD y por tanto de las condiciones legales que amparan su contratación. Cuando los servicios de CLOUD son requeridos por grandes clientes, es decir, grandes empresas y AAPPs la negociación está garantizada, implicando el redactado de contratos específicos y adaptados.

Igualmente, conviene destacar que incluso cuando un cliente no puede negociar diferentes condiciones de un contrato con un proveedor específico, el cliente todavía es libre de elegir entre las diferentes ofertas del mercado. Por tanto, en el caso de una PYME o micro-PYME las recomendaciones para cláusulas contractuales específicas deben entenderse como preferencias entre ofertas del mercado.


1.2. CSA (Cloud Security Alliance).

La Cloud Security Alliance (CSA) es una organización no lucrativa, con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad y proporcionar educación sobre los usos del CLOUD COMPUTING. La Cloud Security Alliance está dirigida por una amplia coalición constituida por profesionales de la industria, corporaciones, asociaciones y otros actores clave. Nació en el Foro de la AISS CISO en Las Vegas, en noviembre de 2008, empezando a publicar en 2009.

Según dicha organización, deben contemplarse al menos 9 apartados o cláusulas, al redactar un contrato de CLOUD COMPUTING.

·       CONFIDENCIALIDAD

·       PROPIEDAD INTELECTUAL

·       RESPONSABILIDAD

·       RESOLUCIÓN ANTICIPADA

·       PRIVACIDAD Y PROTECCIÓN DE DATOS

·       LEY APLICABLE Y JURISDICCIÓN

·       AUDITABILIDAD

·       SEGURIDAD

·       ACUERDO DE NIVEL DE SERVICIO (SLA)


1.3. ENISA (European Network and Information Security Agency).

ENISA fue creada para mejorar la capacidad de la Unión Europea, sus estados miembros y la comunidad empresarial para prevenir, tratar y dar respuesta a los problemas de seguridad de las redes y la información.

Para lograr este objetivo, ENISA es un Centro de Excelencia en Seguridad de Redes y de la Información y está estimulando la cooperación entre los sectores público y privado. Se trata de un centro de conocimientos especializados que marca el ritmo para la Seguridad de la Información en la UE.

Según dicha organización, existen al menos 5 cuestiones legales clave en la contratación del CLOUD COMPUTING:

·       PROTECCIÓN DE DATOS

·       CONFIDENCIALIDAD

·       PROPIEDAD INTELECTUAL

·       NEGLIGENCIA PROFESIONAL

·       CADENAS DE SUBCONTRATACIÓN


1.4. THOMAS TRAPPLER (En el libro: CONTRACTING FOR CLOUD SERVICES).

En dicho libro, Thomas que es experto en contratación en entornos de CLOUD, relaciona 8 áreas a las que debe prestarse especial atención, al evaluar documentos que recojan acuerdos para contratación de servicios bajo el modelo de CLOUD COMPUTING:

·       PROTECCIÓN DE DATOS (Data Protection)

·       SEGURIDAD DE LOS DATOS (Data Security)

·       TRANSFERENCIAS DE DATOS (Data Transfer)

·       LEGISLACIÓN APLICABLE (Law Enforcement Access)

·       CONFIDENCIALIDAD Y NO DIVULGACIÓN (Confidentiality and Non-disclosure)

·       PROPIEDAD INTELECTUAL (Intellectual Property)

·       LIMITACIÓN DE RESPONSABILIDAD (Risk Allocation and Limitation of Liability)

·       TRANSFERENCIA DE CONTROL (Change of Control)


1.5. XAVIER RIBAS (En el Post: Cláusulas críticas en el contrato de CLOUD).

Xavier Ribas es presidente de ARBITEC (Asociación Española de Arbitraje Tecnológico) y vicepresidente 1º de ENATIC (Asociación de Expertos Nacionales de Abogacía TIC). En su Blog personal ha publicado un artículo referido a las cláusulas críticas en el contrato que regula el CLOUD COMPUTING. La preocupación por el tema se basa en el desplazamiento de datos, información y servicios críticos al exterior de la empresa, convirtiendo a algunos proveedores en una extensión de los recursos corporativos. Concretamente enumera 17 aspectos a tener en cuenta:

·       Propiedad intelectual.

·       Propiedad de la información.

·       Confidencialidad de la información.

·       Ubicación de los datos.

·       Posibles transferencias internacionales de datos.

·       Medidas de seguridad proporcionales al tipo de datos.

·       Control de acceso y gestión de identidades.

·       Copias de seguridad de los datos.

·       Estándares e indicadores de calidad del servicio.

·       Auditorías periódicas.

·       Niveles de respuesta.

·       Continuidad del servicio.

·       Régimen de responsabilidades.

·       Inclusión del proveedor en el plan de continuidad del negocio.

·       Arbitraje tecnológico.

·       Legislación y jurisdicción aplicables en el caso de proveedores extranjeros.

·       Garantías post-contractuales: retorno ordenado de la información.




1.6. INCIBE (Instituto Nacional de Ciberseguridad)

La actividad de INCIBE [antes INTECO] se apoya en tres pilares fundamentales: la prestación de servicios, la investigación y la coordinación.

·       Servicios: INCIBE promueve servicios en el ámbito de la ciberseguridad que permitan el aprovechamiento de las TIC y eleven la confianza digital. En concreto, INCIBE trabaja en la protección de la privacidad de los usuarios, fomenta el establecimiento de mecanismos para la prevención y reacción a incidentes de seguridad de la información, minimizando su impacto en el caso de que se produzcan, y promueve el avance de la cultura de la seguridad de la información a través de la concienciación, la sensibilización y la formación.

·       Investigación: INCIBE cuenta con una importante capacidad para abordar proyectos complejos de diversa naturaleza y con una fuerte componente innovadora. La dinámica de sus operaciones está asimismo orientada a la investigación, lo que permite que INCIBE cuente con capacidad para generar inteligencia en ciberseguridad como motor para abordar su aplicación en nuevas tecnologías y mecanismos que reviertan también en la mejora de los servicios.

·       Coordinación: INCIBE participa en redes de colaboración que facilitan la inmediatez, globalidad y efectividad a la hora de desplegar una actuación en el ámbito de la ciberseguridad, contando siempre con una perspectiva basada en la experiencia y en el intercambio de información. Por ello, la coordinación y colaboración con otras entidades, tanto públicas como privadas, nacionales e internacionales, de todo el ámbito de la ciberseguridad es un factor imprescindible para la actividad de INCIBE.

Las 10 cláusulas del contrato en las que considera que el cliente debe centrar su atención son las siguientes:
 
 


·      ACUERDOS DE NIVEL DE SERVICIO (SERVICE LEVEL AGREEMENTS, SLAS)

·       CONFIDENCIALIDAD

·       DISPONIBILIDAD

·       RENDIMIENTO

·       SEGURIDAD

·       PAGOS

·       SUSPENSIÓN DEL SERVICIO

·       SERVICIOS DE SOPORTE

·       TERMINACIÓN O MODIFICACIÓN

·       PRIVACIDAD Y CUMPLIMIENTO NORMATIVO

1.7. CSA (Cloud Security Alliance) – Italy Chapter

El capítulo italiano de la CSA publica en Noviembre de 2012 el estudio: “Cloud Computing Standard Contractual Clauses: Standard contrattuali come fattori abilitanti per i servizi Cloud”.
Un equipo liderado por Gloria Marcoccio, identifica como básicas las siguientes cláusulas en la contratación de servicios de Cloud Computing:

·       LEGISLACIÓN APLICABLE

·       JURISDICCIÓN APLICABLE

·       LÍMITES DE LA CAPACIDAD DEL PROVEEDOR PARA MODIFICAR LOS TÉRMINOS DEL CONTRATO

·      USO ACEPTABLE DEL SERVICIO - VIOLACIONES CONTRACTUALES

·       SEGURIDAD

·       PRIVACIDAD

·       CANCELACIÓN Y BORRADO DE DATOS

·       DEVOLUCIÓN DE LOS DATOS

·       ACCESO A LOS DATOS TRAS LA FINALIZACIÓN DEL CONTRATO

·      ASUNCIÓN DE RESPONSABILIDAD DEL CLIENTE E INDEMNIZACIÓN

·      ASUNCIÓN DE RESPONSABILIDAD DEL PROVEEDOR E INDEMNIZACIÓN

·       PORTABILIDAD DE DATOS

·       SLA


2. ANÁLISIS DETALLADO DE CADA CLÁUSULA.

2.1. SEGURIDAD DE LOS DATOS.

Debe prestarse especial atención a esta cláusula cuya finalidad es asegurar que el CSP (Cloud Services Provider) puede proporcionar suficientes medidas de seguridad, tanto técnicas como organizativas, de los tratamientos que lleve a cabo y que garantice el cumplimiento de las mismas.

La seguridad pese a ser un concepto muy amplio, se entiende que debe abarcar al menos los siguientes aspectos:

·       DISPONIBILIDAD: Garantizar que la información esté disponible y se pueda usar cuando se necesite.

·       CONFIDENCIALIDAD: Garantizar que la información esté disponible exclusivamente para personas autorizadas.

·       INTEGRIDAD: Garantizar que la información sea completa, precisa y protegida contra cambios no autorizados.

·       AUTENTICIDAD: Garantizar la confiabilidad en la generación de la información, como en su intercambio entre ubicaciones diferentes.

·       CUMPLIMIENTO: Garantizar que se adecúe a la legislación vigente, como puede ser la LOPD (Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de carácter personal).

·       TRAZABILIDAD: Garantizar la posibilidad de comprobar en qué momento, quién hizo qué.


Para ello, sería bueno se hiciera constar en el contrato de prestación de servicios que el CSP dispone de certificaciones ISO 27001 (Certifica el SGSI o Sistema de Gestión de Seguridad de la Información), ISO 22301 (Certifica el SGCN o Sistema de Gestión de Continuidad del Negocio) o cualquier otra acreditada por una entidad reconocida de certificación. Debe prestarse especial atención al alcance o ámbito registrado. Debe ser global o del conjunto de servicios o tratamientos que se contratan, ya que las normas permiten certificaciones parciales. Debe recordarse que una certificación está sometida a un proceso de re-certificación normalmente a los 3 años, en base a una auditoría de la entidad certificadora acreditada, y auditorias de verificación anuales. También han de realizarse periódicamente auditorias internas, o extraordinarias cuando se produzcan cambios significativos en el sistema de gestión.

NOTA DEL EDITOR: Para profundizar sobre auditorías internas, puede consultarse en éste mismo Blog, el artículo titulado: Auditorías internas de los Sistemas de Gestión


2.2. PROTECCIÓN DE DATOS.

Ésta cláusula se refiere a las medidas obligatorias de seguridad de los datos que puedan afectar al CSP o al cliente, por estar sujetos a una regulación específica. Su incumplimiento puede representar acciones legales y procedimientos sancionadores.

En relación a los datos de naturaleza personal, un ejemplo sería el artículo 12.2 (Acceso a los datos por cuenta de terceros) de la LOPD (Ley Orgánica de Protección de Datos), que cita:

“La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley (LOPD) que el encargado del tratamiento está obligado a implementar”.

Una de las obligaciones que establece el RLOPD (Reglamento de aplicación de la LOPD) se aprecia en el  Art. 20.2 que dice:


“Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo, deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento”.


Normalmente, además de una clausula referida a protección de datos en el contrato de prestación de servicios con el CSP, se suscribe un contrato adicional de acceso a datos (contrato de encargado del tratamiento), específico para dar cumplimiento a la LOPD y a la directiva EU 95/46/CE.


2.3. TRANSFERENCIAS DE DATOS.

Ésta cláusula reflejará cuando, como y que información de seguridad se facilitará al cliente, para que conozca en todo momento que datos son transferidos a otra ubicación geográfica distinta de la contratada inicialmente como CPD que albergará sus datos en CLOUD.

Si dicha transferencia es a un tercer país, por ejemplo fuera del EEE (Espacio económico Europeo), puede tener importantes consecuencias legales, ya que se considerará una transferencia internacional de datos. En dicho caso se requiere notificarlo a la AEPD si se transfiere a un país con nivel de protección adecuado o equiparable (existe una lista de países reconocidos), o solicitarse autorización previa al Director de la AEPD si se trata de otro país.

Las sanciones por incumplimiento caso de una transferencia a un país sin nivel equiparable de protección se consideran muy graves según la AEPD y la cuantía oscila entre 300.001€ y 600.000€.

El título VI (Transferencias internacionales de datos), Capítulo I (Disposiciones generales), cita textualmente:

Artículo 65. Cumplimiento de las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre.

La transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.

Artículo 66. Autorización y notificación.

1. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento será necesaria la autorización del Director de la Agencia Española de Protección de Datos, que se otorgará en caso de que el exportador aporte las garantías a las que se refiere el artículo 70 del presente reglamento.

La autorización se otorgará conforme al procedimiento establecido en la sección primera del capítulo V del título IX de este reglamento.

2. La autorización no será necesaria:

a) Cuando el Estado en el que se encontrase el importador ofrezca un nivel adecuado de protección conforme a lo previsto en el capítulo II de este título.

b) Cuando la transferencia se encuentre en uno de los supuestos contemplados en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999, de 13 de diciembre.

3. En todo caso, la transferencia internacional de datos deberá ser notificada a fin de proceder a su inscripción en el Registro General de Protección de Datos, conforme al procedimiento establecido en la sección primera del capítulo IV del título IX del presente reglamento”.


2.4. LEGISLACIÓN.

2.4.1. Legislación Aplicable.






Es el conjunto de leyes y normas a las que debe ajustarse el contrato.


Cada país tiene restricciones y requerimientos específicos amparados en legislación aplicable  a los datos, principalmente si son de naturaleza personal. El contrato debe reflejar a que legislación se someterán los datos y sus tratamientos en relación al cliente (Responsable del tratamiento/ Data controller) y el CSP (Encargado del tratamiento/ Data Processor).


Como ampliación del tema y para contemplar un caso sutil, puede consultarse el siguiente artículo publicado en éste mismo Blog:


2.4.2. Jurisdicción a que se Someten las Partes.

Otro aspecto relevante es la jurisdicción aplicable en relación a discrepancias entre las partes (CSP y cliente) durante el ciclo de vida del contrato que regula la prestación de servicios de CLOUD COMPUTING. Dada la universalidad de muchos CSPs, debe quedar reflejado en dicha cláusula a que jurisdicción se someten las partes, así como reseñar los máximos datos identificativos de cada organización (Domicilio, representante, licencia de actividad económica, registro mercantil, etc.) para que no se encuentren en indefensión cuando se requiera hacer valer los propios derechos.


Téngase en cuenta que pueden devenir en nulas cláusulas de previsión en materia de responsabilidad, en función de la ley aplicable que rija el contrato. Si la legislación es de corte anglosajón, acepta limitaciones de responsabilidad de los CSPs y en su caso determina una compensación económica en base a la cuantía desembolsada por el cliente en la contratación del servicio. Si la legislación es de corte continental, permite la limitación de responsabilidad por negligencia, pero no por culpa o dolo.

No siempre resulta sencillo lograr que tanto Ley como jurisdicción recaigan en el propio país. En la práctica, la decisión definitiva termina por depender de la capacidad de negociación de las partes, de modo que la empresa (CSP o cliente) que goce de una posición preponderante, termina imponiendo las condiciones que le sean más convenientes.


2.5. CONFIDENCIALIDAD.

Deben contemplarse las obligaciones del CSP en lo referente a la confidencialidad, es decir, que no revelará nuestros datos a terceras personas. La cláusula recogerá que todo el personal empleado o colaborador (técnico, administrativo, de apoyo o de mantenimiento) del proveedor de CLOUD COMPUTING, que por cuestiones de operativa del CPD tenga o pueda tener acceso a los datos del cliente, habrá firmado una cláusula de confidencialidad. El CSP por tanto, responderá ante cualquier actuación dolosa o negligente de éstos.


Otro de los puntos clave a tener en cuenta en la cláusula de confidencialidad, es la limitación de los supuestos en los que el prestador del servicio podrá revelar la información a terceros. Aunque la jurisdicción que vaya a regir el contrato podrá contener previsiones específicas en este sentido, resulta conveniente limitar la revelación de datos a efectos de cumplir obligaciones legales o de requerimientos de autoridades competentes. En todo caso, de proceder, debe hacerse constar que la revelación de datos o información ha de ser la mínima necesaria para cumplir con cualesquiera obligaciones legales o requerimientos. Siempre que sea posible, el CSP se comprometerá a notificar lo antes posible al cliente tal revelación de datos, indicándole qué datos ha revelado y a quién lo ha hecho.


Si hay ficheros cuya información además está sujeta a regulación o legislación concreta en materia de protección de datos deberán identificarse y relacionarse de forma clara, para que el CSP se responsabilice fehacientemente y en su caso disponga de medidas adicionales. En el caso de España, se relacionarán todos los ficheros que estén registrados en el RGPD de la AEPD, indicando que es una lista inicial ampliable con el tiempo en función de las necesidades empresariales del cliente.


2.6. PROPIEDAD INTELECTUAL.

La cláusula de propiedad intelectual es importante tenerla en cuenta. En su acepción más amplia sujeta a derecho, se refiere a los derechos de autor, patentes, marcas y diseño industrial.

Para generalizar, puede referirse a que todo el trabajo que se ha realizado durante el ciclo de vida del contrato de servicios en el CLOUD, apoyándose en las utilidades que el CSP proporciona, son propiedad intelectual del cliente o de terceros que le han cedido el derecho de uso mediante las correspondientes licencias. Ha de quedar estipulado que los datos, App (aplicaciones), BB.DD. (Bases de Datos), y demás herramientas software que el cliente ha ubicado en los servidores virtuales contratados en el CLOUD, son de su propiedad.

Según el modelo de entrega de servicios en el CLOUD que tengamos contratado,  puede ser más o menos difícil de determinar:

·       IaaS (Infraestructura como Servicio). Dicho modelo de entrega, equivale a contratar un servidor virtual completamente vacío. Solo dispone del sistema operativo. Por tanto, todo su contenido será del cliente. Al CSP no le corresponde derecho alguno.

·       PaaS (Plataforma como Servicio). En este caso, además del sistema operativo suele incorporar una BB.DD., utilitarios de programación, “web services”, etc. Todas las aplicaciones que desarrolle el cliente con esas herramientas de programación u otras que adicione, junto a sus datos asociados, serán de su propiedad y no generaran derecho alguno a favor del CSP.

·       SaaS (Software como Servicio). En este caso, el cliente se limita a utilizar una aplicación o conjunto integrado de ellas en modalidad de Cloud Computing. Por tanto serán solo de su propiedad, los trabajos y datos en general que allí almacene.


A modo de resumen ésta cláusula asegura que el acuerdo de servicio no implique nunca la cesión de ningún derecho de propiedad intelectual a favor del CSP, que ha de comprometerse a no efectuar ningún tratamiento, ceder o facilitar el acceso a los contenidos del cliente, en favor de terceros, ya sea de forma parcial o en su totalidad, en ninguna forma ni por ningún medio.


2.7. LIMITACIÓN DE RESPONSABILIDAD.

Al revisar sus obligaciones contractuales respectivas, las partes (CSP y cliente) deben proteger aquellas que representen un riesgo significativo para ellos, mediante la inclusión en éste apartado de cláusulas económicas de remediación u obligaciones de indemnizar caso de incumplimiento de la otra parte de sus obligaciones  contractuales o que se produzcan desviaciones en el nivel de servicio.

Si no es posible, al menos deben revisarse y evaluarse cuidadosamente las cláusulas estándar que nos presenta el CSP en su contrato y que normalmente le eximen o limitan su responsabilidad.

De modo general, salvo aquellas cuestiones que puedan quedar fuera del ámbito de control o voluntad del prestador del servicio, el CSP debería responsabilizarse frente al cliente de cualesquiera daños o perjuicios que pudieran surgir a consecuencia de la suscripción del contrato de prestación de servicios de CLOUD.


2.8. TRANSFERENCIA DE CONTROL.

Esta cláusula prevé una situación de cambio de control en el CSP, motivada por ejemplo por una compra, absorción o fusión empresarial.

Podría redactarse de forma que en dicho supuesto, el nuevo gestor que ofrecerá servicios de CLOUD se obligue a heredar las actuales condiciones contractuales, o bien el cliente tenga la potestad de rescindir el contrato.


2.9. CADENAS DE SUBCONTRATACIÓN.

En el caso de que estemos contratando una aplicación en el CLOUD, tipo SaaS (Software como Servicio), puede darse el caso que lo hagamos con un proveedor de software independiente (“software house” o desarrollador de software) y éste no disponga de infraestructura virtual debiendo subcontratarla. Si es así, en al Acuerdo de Encargado de Tratamiento LOPD (lo firman la empresa cliente y el proveedor SaaS) debe figurar que el Encargado del tratamiento (el proveedor SaaS) subcontrata los servicios a un proveedor de IaaS o PaaS (Infraestructura Cloud) indicando el nombre de la empresa subcontratada (El CSP donde se almacenarán los datos). Por tanto, puede producirse una subcontratación en cadena con otros terceros. Representa una sucesiva realización de tratamientos por encargo, donde alguno de los proveedores que prestan el servicio puede estar ubicado fuera del territorio de la UE, en uno de los llamados terceros países.

Para que la subcontratación en cadena de servicios sea legítima y acorde al ordenamiento jurídico europeo, el cliente (RESPONSABLE DEL FICHERO / TRATAMIENTO), queda obligado a suscribir un contrato de Acceso a Datos, donde se disponga que el prestador del servicio (ENCARGADO DEL TRATAMIENTO) solamente actuará siguiendo las instrucciones del Responsable del Fichero que es objeto del servicio. Si además el prestador del servicio se encuentra ubicado en un tercer país, será preciso obtener la autorización de la autoridad de control correspondiente (En España la AGPD).

Mediante el “contrato de Acceso a Datos”, el Responsable del fichero establecido en la UE, traslada sucesivamente a los diferentes prestadores del servicio que intervienen en el CLOUD, las condiciones y garantías que deben aportar para garantizar el nivel de protección de datos personales, adecuado a la Directiva 95/46/CE.

Además, todo prestador de servicios que forme parte de la cadena de subcontratación en el CLOUD, debe ofrecer suficientes garantías respecto a las medidas de seguridad técnicas y organizativas de los datos personales objeto del servicio. Deben protegerse contra el borrado, alteración, difusión o acceso no autorizado y contra cualquier otro tratamiento ilícito de datos personales. La Directiva 95/46/CE solo habla de garantizar un nivel de protección apropiado en relación a los riesgos que presente el tratamiento y la naturaleza de los datos a proteger. Al no concretarse, dichas medidas de seguridad deberán en todo caso, pactarse entre las partes.

En España, la AGPD exige además que el RESPONSABLE DEL FICHERO sea siempre parte contractual firmante del contrato con cualquier sub-encargado del Tratamiento, ubicado en un tercer país.

Es importante que si se van a tratar datos de naturaleza personal, en algún apartado de la cláusula se especifique que:

·       La  información pueda ser almacenada y tratada, únicamente por motivos técnicos, en servidores que estén ubicados o pertenezcan a terceras empresas.

·       El tratamiento realizado por dichas terceras empresas se ajustará siempre a las instrucciones del responsable del fichero.

·       Que el CSP se compromete a formalizar contratos con todas las terceras empresas que presten servicios conforme al artículo 12 de la LOPD.


No debe olvidarse que deberá quedar especificado en el contrato quién o quienes llevarán el documento de seguridad al que se refiere el RLOPD (Reglamento de aplicación).


2.10. RESOLUCIÓN ANTICIPADA.

Ésta cláusula protege al cliente frente al CSP, caso de una degradación o incumplimiento del nivel de servicio esperado y contratado. Es aconsejable que el cliente se proteja estableciendo una posible rescisión del contrato por dichas causas, independientemente de pactar indemnizaciones.

Debe dejarse clara la propiedad de la información y demás aplicaciones que el cliente haya ubicado en el CLOUD (ver cláusula de Propiedad Intelectual).

Debe pactarse un retorno ordenado de la información, estableciendo un período transitorio que de tiempo a migrar los datos y aplicaciones normalmente a otro CSP o en su caso a un CPD local. Dicho proceso de finalización de servicios deberá prever y detallar un formato de intercambio, que haga viable la extracción sin que se resienta la integridad de los datos.  Resultaría útil que el CSP estuviese contractualmente obligado a cooperar en el marco de  una migración de datos a la nueva infraestructura que indique el cliente.

Una vez la información esté replicada en su nueva ubicación, deberá garantizarse el proceso de borrado de la misma en el CSP que se abandona, que elimine toda posible brecha posterior de seguridad. Dicha situación futura, cuando deje de estar en vigor la relación contractual que une al cliente con el CSP, no puede comprometer de ninguna manera la responsabilidad sobre los datos. Debe prestarse atención a posibles legislaciones que obliguen al proveedor a conservar los datos cierto tiempo pese haber finalizado la relación.

Siempre es recomendable que el cliente tenga una cláusula en el contrato, que le permita salirse del mismo sin necesidad de alegar razón, mediante el envío de un preaviso con una antelación razonable y pactada. Esta previsión es relevante en contratos que tienen como sustento de la prestación de servicios a la tecnología, que si bien carece de interés para el cliente, su influencia es crucial en el CSP. Nadie garantiza que un proveedor puntero hoy, lo siga siendo dentro de varios años. Si dicha cláusula no es aceptada por el CSP, al menos debe  identificarse cualquier penalización o exigencia de pago íntegro del servicio caso de resolución unilateral anticipada, que se contemple en las condiciones generales de contratación.


2.11. AUDITABILIDAD.

Un primer nivel ya se ha comentado en la cláusula de protección de datos, en base a que el CSP disponga de una certificación que acredite su SGSI (Sistema de Gestión de la Seguridad) y su SGCN (Sistema de Gestión de Continuidad del Negocio).

Dichos SG requieren un proceso de re-certificación mediante auditorías oficiales, al menos cada dos años que aseguren el cumplimiento de la norma.

Independientemente, el cliente puede pactar una cláusula de inspección o derecho a auditar el CPD que le presta servicios de CLOUD. Conlleva problemas de distancia ya que el CPD puede estar ubicado en cualquier lugar del mundo y de competencia del auditor, la mayoría de las veces no disponible en la plantilla de la empresa cliente.

Si el CSP lo acepta, suele pactarse una empresa consultora independiente internacional o al menos con presencia en el territorio del CPD que da soporte al CLOUD. Evidentemente ha de estar especializada en temas de seguridad relacionados con los CPDs y el CLOUD COMPUTING.

La cláusula suele designar una consultora específica o una lista de ellas y la periodicidad de sus trabajos, habitualmente una vez al año. El informe de auditoría será enviado también al CSP, quién dispondrá de un plazo pactado (normalmente 30 días) para implementar las medidas de seguridad adicionales con el objetivo de cumplir sus obligaciones contractuales, proporcionando inmediatamente después las evidencias documentadas de que se han solucionado las “no conformidades”.

Especial atención al cumplimiento normativo o legislativo. De existir datos de naturaleza personal con nivel medio, el RLOPD fija auditorías bianuales de seguridad, que el Responsable del Tratamiento (cliente) o el Encargado del Tratamiento (CSP) deben efectuar.

Concretamente el Artículo 96 (Auditoría) del RLOPD cita textualmente:

“1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título.

Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior”.


2.12. SLA/ANS (ACUERDO DE NIVEL DE SERVICIO).

No se puede gestionar el nivel de servicio, si no se han suscrito previamente SLAs o Acuerdos de Nivel de Servicio en base a unos SLR (Requerimientos de Nivel de Servicio) del cliente. Dichos SLAs podrán anexarse al contrato de prestación de servicio suscrito con el CSP.

El NIST (National Institute of Standards and Technology) define un Acuerdo de Nivel de Servicio como: Un SLA representa la comprensión entre el cliente y el CSP sobre el nivel esperado del servicio que se va a entregar y, en caso de que el proveedor falle en entregar dicho servicio al nivel especificado, la compensación disponible para el cliente”.

Algunos CSP ya contemplan el seguimiento del cumplimiento de los SLAs mediante un conjunto estándar de indicadores que pueden consultarse a través de un panel de control o cuadro de mando unificado, o bien mediante el envío de informes periódicos al cliente por correo electrónico.

Una vez que se ha migrado al CLOUD, el cliente tiene la responsabilidad de velar que los términos del SLA se están cumpliendo y que los KPI (indicadores clave de rendimiento) son monitorizados. Serán los KPI quienes reflejen con precisión  el rendimiento en curso. Una vez que el cliente ha definido y desarrollado los parámetros de los KPI, puede trabajar con el CSP para crear alertas cuando el rendimiento caiga por debajo de un rango aceptable. Mediante el análisis de la causa, el rendimiento podrá irse optimizando de forma continua.

Es aconsejable que a la contratación del servicio en el CLOUD, ya se dispone de definiciones de KPIs propios o estándares. Así podrán añadirse inicialmente como un anexo al contrato, que vincule al CSP al cumplimiento de los SLA, en base a valores tangibles. Su incumplimiento puede conllevar penalizaciones pactadas en el contrato.

Recordar que los indicadores de nivel de servicio han de ser específicos, medibles, alcanzables y realistas.

Marcos y estándares sobre las “mejores prácticas” de TI como puede ser ITIL:2011, definen una completa Gestión del Nivel de Servicio, que es bueno consultar previamente a la contratación.

Puede ser importante que el CSP esté certificado en ISO 20000-1, acreditando que dispone de un SGS (Sistema de Gestión de Servicios) eficaz y eficiente, asegurando el cumplimiento de los acuerdos de nivel de servicio o SLAs, pactados con el cliente.


2.13. NOTIFICACIÓN DE INCIDENCIAS.

Ésta cláusula debe definir claramente los mecanismos de notificación de incidencias, normalmente de seguridad (data breaches), entre el CSP y el cliente. Deben definirse interlocutores concretos y formas de comunicación. Debe prestarse especial consideración en definir el tiempo máximo que puede transcurrir desde que ocurre o se descubre la incidencia, hasta que es fehacientemente notificada. 

También es importante definir si el cliente dispondrá de acceso a consultar por algún medio el registro de logs, transacciones y accesos que afecten al entorno de sus propios datos.

De forma adicional puede preverse el caso de incurrir en costes financieros o de reputación por parte del cliente, motivados por un incidente de seguridad del proveedor de CLOUD, las posibles compensaciones económicas y la designación de un árbitro neutral para evaluarlo. Puede darse el caso que por requerimientos legales, se deba avisar a terceros mediante notificaciones específicas, dado que el cliente actúa como responsable del tratamiento.


3. CLÁUSULAS CONTRACTUALES TIPO PARA TRANSFERENCIAS DE DCPs A TERCEROS PAISES.


Si observamos la DECISIÓN DE LA COMISIÓN de 5 de febrero de 2010 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, vemos que contiene 12 cláusulas que nos permitirán dar cumplimiento legal a la contratación de un CSP ubicado fuera del EEE (Espacio Económico Europeo).

El Acuerdo EEE, se aplica ahora a la UE de los 27 y a los 3 Estados miembros de la Asociación Europea de Libre Cambio (AELC): Islandia, Liechtenstein y Noruega. Suiza, aunque no forma parte del EEE, sigue siendo miembro de la AELC.


·       Definiciones

·       Detalles de la transferencia

·       Cláusula de tercero beneficiario

·       Obligaciones del exportador de datos

·       Obligaciones del importador de datos

·       Responsabilidad

·       Mediación y jurisdicción

·       Cooperación con las Autoridades de Control

·       Legislación aplicable

·       Variación del contrato

·       Sub-tratamiento de datos

·       Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales.


Puede consultarse el documento completo en:





4. EQUIPO MULTIDISCIPLINAR DE CONTRATACIÓN.


4.1. INTRODUCCIÓN.

Como dice Thomas Trappler (Director de licencias de software en la Universidad de California, autor de libros y ponente en seminarios sobre contratación en entornos de Cloud Computing), los riesgos en la empresa se mitigan mejor en manos de personas con funciones y conocimientos específicos en los diferentes ámbitos.

Así, también en cuestiones referidas a contratación con un CSP, un  equipo multidisciplinar nos aportará la visión amplia y profunda a la vez, para no dejar ningún cabo suelto. El líder tiene que utilizar, coordinar y quizá constituir ese equipo a partir de los recursos existentes o asumibles, dentro de la realidad de la empresa concreta.


4.2. ACTORES QUE INTERVIENEN EN EL EQUIPO MULTIDISCIPLINAR.

4.2.1. El CIO (Responsable de Informática) y otros técnicos de su equipo.

Los técnicos pueden comparar el nuevo servicio requerido en la nube con el sistema actual, identificar y especificar los puntos de integración entre un servicio en la nube y los sistemas internos, evaluando y gestionando el impacto del CLOUD en la infraestructura de la empresa, como puede ser en la red de comunicaciones de acceso a Internet. También apoyarán técnicamente al proceso de migración al nuevo modelo.

4.2.2. El propietario del proceso de negocio.

Seguramente el propietario del proceso es quién ha identificado en primer lugar la necesidad de migrar el servicio al CLOUD y por tanto conocerá perfectamente los beneficios que espera obtener del nuevo modelo.

Lo que no está tan claro es que se haya dado cuenta de la existencia de riesgos, por lo que otros miembros del equipo deberán velar para que no proceda por su cuenta sin ningún tipo de estrategia para mitigar dichos riesgos.

4.2.3. El equipo de gestión de proveedores y contratos de TI.

 Éste grupo debe ser el responsable de gestionar la relación global con el proveedor en el CLOUD. Se inicia con la búsqueda y selección inicial de CSPs, interviene en la negociación del contrato, durante la utilización del servicio en la nube y en la finalización del servicio. El equipo de gestión de proveedores suele ser también responsable de dirigir y coordinar las actividades del equipo interdisciplinar de actores.

4.2.4. El CISO (Responsable de la Seguridad de la Información).

Su misión es evaluar  las prácticas de seguridad del proveedor de servicios en el CLOUD,  en relación con el tipo de datos que se trate y la criticidad del servicio para el negocio. Debe identificar los riesgos y si el uso del servicio en el CLOUD, se alinea con la política de seguridad existente en la organización.

4.2.5. EL DPO (Delegado de Protección de Datos).

Cuando se apruebe el borrador del Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), en ciertos casos aparece la figura del DPO o Delegado de protección de datos personales. Si son de ésta naturaleza los datos a tratar en el CLOUD, su presencia es fundamental. Mientras tanto, debe existir el Responsable de Seguridad, según indica el RDLOPD, para tratamientos con datos de naturaleza personal de nivel medio o alto.

Puede ampliarse la figura del DPO en éste mismo Blog, en el índice final o mediante el siguiente enlace:
El DPO o Delegado de Protección de Datos

4.2.6. Los representantes del departamento legal.

El CLOUD COMPUTING puede tener amplias implicaciones legales, y  al ser dicho  modelo de entrega de servicios relativamente nuevo, los precedentes legales en muchos casos todavía no existen. Es importante involucrar a un abogado para determinar las cuestiones legales (como la indemnización y limitaciones de responsabilidad) en relación al contrato con el proveedor de CLOUD COMPUTING, determinando si al proporcionarnos un servicio en el CLOUD, se cumple con las obligaciones legales.

4.2.7. El responsable y/o personal de Compras.

 Si no se puede adquirir material o servicios en la empresa sin pasar por el departamento de compras, deben estar presentes en el equipo. El CLOUD implica nuevos riesgos a los que seguramente el personal de compras no estará familiarizado. Su presencia servirá para educar e involucrar a dicho personal, además de mantener el organigrama empresarial.

4.2.8. Auditoría, cumplimiento, gobierno y gestión de riesgos.

Estas personas son responsables de asegurar que las actividades de la organización cumplen con las regulaciones gubernamentales y las políticas internas. Otra vez, decir que los desafíos y riesgos del CLOUD son bastante novedosos, por lo que debemos involucrar a estos actores en una fase temprana para que puedan identificar y abordar, todas las cuestiones con suficiente antelación.


4.3. VENTAJAS DEL EQUIPO MULTIDISCIPLINAR.

Cada actor o miembro del equipo, aportará una perspectiva diferente del CLOUD. Algunos verán principalmente los beneficios, y otros verán los riesgos.

Cada perspectiva es válida, pero todos deben reunirse para obtener la imagen completa de la realidad. Sólo así se podrá tomar una decisión equilibrada que permita evaluar si los beneficios de la adopción de un servicio en modalidad de entrega como CLOUD COMPUTING, son mayores que los riesgos.


4.4. ¿CÓMO AYUDA EL EQUIPO MULTIDISCIPLINAR A LA EMPRESA?

4.4.1. Gestión del Proveedor de CLOUD.

Mediante el seguimiento y gestión de la relación con el proveedor de CLOUD, para asegurar el cumplimiento continúo de los términos, durante todo el ciclo de vida del contrato. Deberán determinar  la forma de abordar eficazmente la situación, cuando haya discrepancias entre lo contratado y el servicio ofrecido.

4.4.2. Estándares para adquisición de servicios en el CLOUD.

Estableciendo y difundiendo los procesos y procedimientos estándar apropiados, para la adquisición de servicios de CLOUD COMPUTING. Incluye la elaboración de directrices y mejores prácticas relacionadas con el uso adecuado de los servicios en el CLOUD.

4.4.3. Mejorar las condiciones contractuales.

Procurando averiguar y aplicar para toda la organización, las oportunidades de mejora en los  contratos con los proveedores en el CLOUD, estableciendo mejores términos y condiciones, incluyendo aquellos que proporcionan protección adicional a los usuarios finales.

4.4.4. Regular el servicio en el CLOUD.

Velar para que el servicio en el CLOUD se adapte a la regulación y normas del sector en que opera la empresa. También a la legislación vigente, especialmente en materia de protección de datos de naturaleza personal.

No debemos olvidar las políticas fijadas y aprobadas por la Dirección de la propia empresa, en base a su Misión, Visión y Valores.



NOTA del EDITOR: Otro artículo sobre cláusulas contractuales en entornos de Cloud Computing puede consultarse en este mismo Blog:



NOTA del EDITOR: Para ampliar y comprender los principios del CLOUD COMPUTING y la regulación que le afecta, puede consultarse el artículo “CLOUD COMPUTING Y PROTECCIÓN DE DATOS PERSONALES: REGULANDO EL DESORDEN” en éste mismo Blog:





5. BIBLIOGRAFÍA CONSULTADA.

-         Thomas Trappler. Ed. Government Training Inc. “CONTRACTING FOR CLOUD SERVICES”. 2011. ISBN: 978-1-937246-67-9.

-         Thomas Trappler. COMPUTER-WORLD magazine. “It takes a team to create a good Cloud contract”. September 2012.

-         Xavier Ribas, Blog ASPECTOS JURIDICOS DE LAS TIC. “Cláusulas críticas en el contrato de Cloud Computing”. 21/06/2009.

-         Francisco Javier Sempere. Blog PRIVACIDAD LÓGICA. “ICO: Su check-list para la contratación de servicios de Cloud-Computing”. 29/09/2012.

-         José Luís Colom Planas. ItSMF España.  Material para la preparación de la ponencia “CLOUD COMPUTING: REGULANDO EL DESORDEN”, concretamente el capítulo 5 “CLÁUSULAS CONTRACTUALES” que se presenta en el panel de expertos del VII Congreso Nacional VISION12, los días 19 y 20/11/2012 en Madrid.

-         Capítulo Español de Cloud Security Alliance. “CLOUD COMPLIANCE REPORT”. Versión 1. Mayo 2011.

-         NIST (National Institute of Standards and Technology). “GUIDELINES ON SECURITY AND PRIVACY IN PUBLIC CLOUD COMPUTING”. 2011.

-         Diario Oficial de la Unión Europea. “DECISIÓN DE LA COMISIÓN 2010/87/UE”. 5 de febrero de 2010.

-         INTECO. “GUIA PARA EMPRESAS: SEGURIDAD Y PRIVACIDAD DEL CLOUD COMPUTING”. Octubre 2011.

-         Queen Mary University of London, School of Law. “Contracts for Clouds: Comparison and Analysis of the Terms and Conditions of Cloud Computing Services”. Legal Studies Research Paper No. 63/2010.

-          ENISA. “COMPUTACIÓN EN LA NUBE. BENEFICIOS, RIESGOS Y RECOMENDACIONES PARA LA SEGURIDAD DE LA INFORMACIÓN”. Noviembre de 2009.

-         CSA Italy Chapter.Cloud Computing Standard Contractual Clauses: Standard contrattuali come fattori abilitanti per i servizi Cloud”. Noviembre de 2012.


6. DERECHOS DE AUTOR.

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.
Tablas creadas por el autor.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.

Sobre el autor:

José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.

También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.




6 comentarios:

  1. Hola José Luis,
    Enhorabuena, una excelente recopilación.
    Voy a leerlo atentamente porque es realmente interesante.

    ResponderEliminar
    Respuestas
    1. Gracias por tu comentario Joan.
      Disculpa no te contestara, pero en su día me pasó desapercibido.

      Un saludo,
      José Luis

      Eliminar
  2. Estimado José
    Muchas gracias por compartir este Blog. interesante los puntos

    ResponderEliminar
    Respuestas
    1. Apreciado Felipe,
      Muchas gracias a ti por tu amable comentario.

      Saludos cordiales,
      José Luis

      Eliminar
  3. Respuestas
    1. Muchas gracias por el comentario Marcelo.
      Saludos cordiales,
      José Luis

      Eliminar