¿Google Apps o Microsoft BPOS? (VI)

¿Qué legislación tiene obligación de cumplir mi empresa?

 

image

Internet y los servicios en la “nube” son globales, sin embargo las leyes relativas a comercio electrónico, transferencia de datos y protección de datos personales suelen ser específicas de un país. Esto implica que si estamos obligados a cumplir ciertos requisitos legales como empresa que recoge y procesa información personal. Desde el punto de vista de la seguridad, confidencialidad o disponibilidad, la “nube” puede tener importantes consecuencias para nuestra organización.

Ni Google, ni Microsoft disponen de centros de datos en España, por lo tanto lo primero que debemos saber es que cuando contratamos un servicio  online, nuestra información estará viajando hacia los centros de datos del proveedor fuera de España, por lo tanto las leyes aplicables en dichos países pueden ser muy diferentes a las nuestras.

Debemos prestar una atención especial a la información personal de nuestros usuarios y clientes que pudiera transmitirse, como por ejemplo la información que se sincroniza desde el Directorio Activo (Nombre, Apellidos, Teléfono, Dirección, Móvil, Departamento, etc.), el correo electrónico e incluso los documentos que se comparten en SharePoint o Google Sites. Todo ello, se almacena en el proveedor de servicios Online y por lo tanto debe garantizarnos la protección y confidencialidad de nuestra información.

Aspectos como la seguridad física y de operaciones, la seguridad en la transmisión, el control de acceso, el uso de cookies y balizas Web, la recopilación de datos personales, el cómo y dónde se almacena nuestra información, los acuerdos de niveles de servicio y las garantías de recuperación en caso de desastre son fundamentales a la hora de elegir proveedor de servicios en la “nube”.

Si al contratar un servicio online no se cumplen los requisitos que la legislación española o comunitaria impone a las empresas, como la LOPD, LSSI o ENS, podríamos estar incurriendo en una falta grave y por lo tanto en un sanción administrativa o penal.

La directiva de Protección de datos de la Comisión Europea está vigente desde 1998 y establece la prohibición de la transferencia de datos personales a países  fuera de la Unión Europea que no cumplan con los estándares de privacidad europeos.

Tanto los Estados Unidos como la Unión Europea protegen la privacidad de sus ciudadanos, sin embargo con puntos de vista completamente diferentes. Mientras que uno lo hace con directivas según los sectores a los que pertenece cada organización, la Unión Europea lo hace de forma general y mediante el establecimiento de agencias nacionales que controlan y supervisan su cumplimiento.

La regulación Safe Harbor de los Estados Unidos ha sido desarrollada por el Departamento de Comercio de los Estados Unidos en conjunto con la Comisión Europea para ajustar las especificaciones legales entre ambos territorios y permitir así el comercio electrónico y transacciones entre ambos.

 

Google Apps.

Google  dispone de un documento FAQs relativas a la privacidad y seguridad de sus servicios Google Apps en la siguiente dirección: http://www.google.com/support/a/bin/answer.py?hl=en&answer=60762. En dicho documento, se establece cómo Google cumple con las directivas europeas a través de US Safe Harbor Principles, por lo tanto es importante atender a esta afirmación.

 

image

 

Registro de Google, Inc. en la lista Safe Harbor: http://safeharbor.export.gov/companyinfo.aspx?id=10543

En la Guia de Seguridad de Google Apps en formato .pdf y en se especifican las directivas y regulaciones a las que se adhiere Google, así como la seguridad que implementa tanto a nivel corporativo como en sus servicios online.

Así miso, Concretamente, Google expresa que cumple con las siguientes regulaciones y normativas:

 

Por otro lado, Google dispone de tres tipos de acuerdos de servicios diferentes para Google Apps Standard, Google Apps Premier for Business y Google Apps Premier for Education. Curiosamente, solo la edición Premier for Business establece un acuerdo entre el cliente y Google Irlanda.

En dicho acuerdo, en el punto 17 relativo a la protección de datos se establece que Google cumple con las directivas UK Data Protection Act 1998 y 95/46/EC del Parlamento de la Unión Europea.

 

image

 

Sin embargo, también se establece en los puntos 18.3 y 18.4 que cualquier reclamación estará sujeta a la jurisdicción exclusiva de los juzgados ingleses.

 

image

 

Para finalizar, su Política de Privacidad aporta algo más de información a la hora de determinar el cumplimiento de la legislación vigente en España.

 

Microsoft BPOS

Microsoft también cumple con US Safe Harbor Principles, según se establece en las FAQs de los Servicios Online en http://www.microsoft.com/online/es-es/faq.mspx

Además se han puesto a disposición de los clientes un conjunto de documentos en los que se explica cómo Microsoft aplica sus políticas de privacidad. Es particularmente interesante el documento de privacidad en la nube.

Registro de Microsoft en la lista Safe Harbor: http://safeharbor.export.gov/companyinfo.aspx?id=9838

Microsoft cumple con las siguientes normativas y regulaciones, tal y como se indica en el Blog oficial de Online Services:

BPOS-Standard:

BPOS-Dedicated

 

Asi mismo, Microsoft lanzó el pasado año un servicio Online exclusivo para las instituciones de gobierno llamado Business Productivity Online Suite Federal, pero por el momento disponible únicamente en Estados Unidos. Este servicio tiene características de seguridad y privacidad especiales necesarias para contratistas de defensa y agencias de gobierno.

 

Como siempre, es importante leer el Acuerdo de Servicios Online, ya que algunos puntos pueden ser de vital importancia. Me ha llamado la atención la defensa que hace Microsoft de sus clientes en caso de un conflicto de derechos o violación de secretos empresariales:

 

image

 

Así mismo, se establece que cualquier reclamación o consulta se debe dirigir a Microsoft Irlanda, aunque no se especifica si ante una reclamación, se aplicarán las leyes irlandesas o norteamericanas.

 

image

 

Además, en la declaración de privacidad de Microsoft Online Services, se establecen los mecanismos de seguridad en la transmisión de la información, así como el control y acceso a los datos. y se puede consultar también la Información Técnica de las Características de Seguridad de Microsoft Online Services para obtener un mayor nivel de detalle con respecto a la protección de datos personales y la confidencialidad.

 

Conclusión

 

Mi labor es exclusivamente técnica, por lo tanto considero que muchos de los aspectos legales que circulan alrededor de la prestación de servicios online se me escapan, sin embargo, debido a que el modelo de trabajo cambia radicalmente con este tipo de servicios, y por lo tanto el control de nuestra información ya no lo tiene nuestra empresa, es imprescindible conocer que normativas, regulaciones y leyes debemos de cumplir como empresa y por lo tanto  deben de cumplir tambien nuestros proveedores de este tipo de servicios.

 

Tanto Google Apps como Microsoft BPOS parecen cumplir con los requisitos básicos de protección de datos, confidencialidad, control, acceso, seguridad física, etc, sin embargo, como cada empresa u organización tiene necesidades y requisitos diferentes, mi recomendación es que os apoyeis en el conocimiento de un abogado experto en comercio electrónico, protección de datos, LOPD, LSSI y ENS (Esquema Nacional de Seguridad) y que guie a la organización, legalmente hablando, antes de contratar un servicio Online.

Tags: , , , , ,