¿Aún no conocéis a Dave?  Dave es un personaje de John Klossner que todos los responsables de IT deberían tener en mente. Os lo presento aquí. Es, en definitiva, el error humano.

Ahora supongamos que Dave es una empresa que se dispone a implementar un servicio de Cloud Computing. Fijo que, tratándose de Dave, cometería muchos más errores, pero desde el punto de vista legal incurriría en los 4 siguientes, que a toda costa hemos de procurar evitar,

1 – No asesorarse con un abogado desde el inicio.

“Anda qué lista” pensaréis, “como ella es abogada…” Pues sí, como soy abogada sé de lo que hablo y conozco muy bien lo difícil o imposible que resulta reparar situaciones cuando el daño ya está hecho y que, sin embargo, se hubieran podido evitar o afrontar de mejor manera si desde el principio se cuenta con un buen asesoramiento.

Y si ese asesoramiento viene de la mano de un abogado con conocimiento en Derecho TIC muchísimo mejor, pues de lo contrario pueden pasar desapercibidos aspectos de suma importancia (p.e. en materia de seguridad de la información, propiedad intelectual, datos personales, responsabilidad de prestadores de servicios de la sociedad de la información…).

En serio, creednos a los abogados cuando os decimos eso tan manido de “más vale prevenir que curar”. No hay nada torticero en ello, por muy abogados que seamos. Nuestra minuta es más jugosa cuando lo que se espera de nosotros son “cuasimilagros” (no milagros, huye de quien te venda milagros), así que cada vez que hagáis negocios sin el debido asesoramiento jurídico, podéis imaginar a varios abogados detrás con dientes afilados, frotándose las manos. ¿De verdad queréis darnos ese gusto? };)

2 – No contar con todos los stakeholders.

Es más frecuente de lo que pensamos que al incorporar un servicio “cloud” en la empresa estemos afectando a terceras partes interesadas como, por ejemplo, filiales, franquiciados o “partners”, que operan en nuestro mismo país o en otros. A estos stakeholders les pueden resultar aplicables obligaciones, legales o contractuales, distintas que a nosotros pero que, en mayor o menor medida, atañen al servicio cloud en el que estamos interesados.

Pues bien, si no les damos, a ellos ni a nosotros mismos, la opción de estudiar las implicaciones que para ellos puede suponer el modelo Cloud Computing que pretendemos, muy probablemente nos pasarán desapercibidos ciertos impedimentos que más tarde aflorarán pudiendo, incluso, llegar a hacer inoperativo lo que tantos recursos nos ha supuesto.

3 – Pasar de la protección de datos de carácter personal.

En el contrato con nuestro proveedor habrá muchas cosas que podremos negociar, cuestiones que pueden quedar a la voluntad de las partes. Sin embargo otras no. Otras derivan de normas de obligado cumplimiento, como sucede con la protección de datos de carácter personal. Dave ni siquiera repararía en ello, pero esto es, sencillamente, innegociable.

Dos son las cuestiones básicas en que puede afectar nuestra normativa sobre protección de datos personales:

1. Si nuestro proveedor cloud va a tratar datos personales para o al prestarnos el servicio (y por tratar se puede entender cualquier uso, aunque sólo sea almacenarlos), se producirá una utilización de esos datos personales que puede implicar que haya:

a) Una cesión de esos datos (nuestra hacia el proveedor o viceversa) si ambas partes vamos a tratar esos datos para fines independientes que cada uno queremos, y con capacidad de decisión al respecto.

b) O un encargo del tratamiento de esos datos, si nuestro proveedor los va a tratar exclusivamente para poder prestarnos el servicio y siguiendo nuestras instrucciones.

Pues bien, tendremos que cumplir con las obligaciones que, para cada caso, nos impone la normativa vigente (y que han de quedar plasmadas en el contrato) si no queremos quedar expuestos a sanciones por su incumplimiento y la consiguiente crisis reputacional que ello nos pueda suponer.

2. Si los datos personales de los que somos responsables van a viajar fuera del Espacio Económico Europeo (p.e. si nuestro proveedor tiene fuera de dicho territorio los servidores donde almacenará nuestra información), hemos de cumplir con una serie de requisitos formales, que vienen exigidos por la ley, y debemos ofrecer las garantías suficientes de que los derechos de los afectados se van a respetar y sus datos personales van a estar adecuadamente protegidos.

Si quieres conocer con más detalle las implicaciones del Cloud Computing en materia de datos personales, puedes leer un artículo que publiqué hace unos meses en Business Value Exchange al respecto.

4 – No negociar bien el contrato.

Ya sé, ya sé. Es muy fácil decirlo, pero otra cosa es hacerlo. Puede ser. Es cierto que muchos de los proveedores cloud más competitivos del mercado imponen sus condiciones bajo el modelo “son lentejas, si quieres las comes y si no las dejas”. Pero Dave ni siquiera intentaría echarle un poco de guindilla a esas lentejas.

Nosotros sí debemos intentarlo, o al menos procurar que si no nos incluyen el chorizo en el mismo plato de las lentejas, nos lo pongan en plato aparte  (¡con lo rico que está el chorizo, hombre!).

Y en cualquier caso, no olvidemos que a veces el mejor negocio es no hacer negocios con un determinado proveedor si no está dispuesto a aceptar condiciones que para nosotros son o deben ser principales. En el Cloud Computing, como en casi todo en esta vida, hemos de reflexionar, con visión a futuro y previendo el mayor número de escenarios posibles, que probablemente nos compense un servicio algo más costoso pero a nuestro gusto y con mayores garantías.

Recuerda: Pregúntate si Dave lo haría, y si la respuesta es sí, no lo hagas tú.