¿No conoces a Dave?  Es un personaje de John Klossner que todos los responsables de IT de cualquier organización deberían tener en mente. Os lo presento aquí. Dave es, en definitiva, el error humano.

Pensemos en Dave como una empresa que va a implementar un servicio de Cloud Computing. Como “errorista profesional” que es, Dave cometería todos los errores posibles, pero desde la perspectiva legal cometería  los 4 siguientes:

1 – No asesorarse desde el principio por un abogado.

Resulta sumamente difícil, en ocasiones imposible, reparar situaciones cuando el daño ya está hecho. Sin embargo, muy probablemente se hubieran podido evitar o afrontar de mejor manera si desde el principio se cuenta con un buen asesoramiento.

Si además el asesoramiento viene de un abogado con conocimiento en Derecho TIC aún mejor, pues evitamos que pasen desapercibidos aspectos de suma importancia (p.e. en materia de seguridad de la información, propiedad intelectual, datos personales, responsabilidad de prestadores de servicios de la sociedad de la información…).

La minuta de un abogado es más elevada cuando lo que se espera de él son “cuasimilagros”, así que cada vez que hagáis negocios sin el debido asesoramiento jurídico, podéis imaginar a varios abogados detrás con dientes afilados, frotándose las manos. ¿De verdad nos vais a dar ese gusto? };)

2 – No contar con todos los stakeholders.

Normalmente al incorporar un servicio “cloud” en la empresa estaremos afectando a terceras partes interesadas (filiales, franquiciados, “partners”…) que operan en nuestro mismo país o en otros. A ellos les pueden ser aplicables obligaciones, legales o contractuales, diferentes a las nuestras pero que pueden repercutir en la implementación de nuestro servicio cloud.

Si no ofrecemos la opción de estudiar las implicaciones que para estos stakeholders puede suponer el modelo Cloud Computing que queremos, muy probablemente pasarán inadvertidos ciertos impedimentos o requisitos que más tarde aflorarán pudiendo entonces, incluso, hacer inoperativo lo que tantos recursos nos ha supuesto.

3 – Pasar de la protección de datos de carácter personal.

Con nuestro proveedor “cloud” habrá ciertas cuestiones que podremos negociar, sin embargo otras no. Otras nacen de normas de obligado cumplimiento, como ocurre con la protección de datos de carácter personal. Dave siquiera repararía en ello pero es, sencillamente, innegociable.

Nuestra normativa sobre protección de datos personales puede afectar sobre dos cuestiones básicas:

1. Si nuestro proveedor de cloud va a tratar los datos personales de los que somos responsables (aunque ese tratamiento sólo consista en almacenarlos), se producirá una utilización de esos datos personales que puede implicar que haya:

a) Una cesión o comunicación de esos datos (nuestra hacia el proveedor o viceversa) si ambos los trataremos para finalidades independientes que cada uno queremos, y con capacidad de decisión al respecto.

b) O un encargo del tratamiento de esos datos, si nuestro proveedor debe tratarlos para poder prestarnos el servicio y siguiendo nuestras instrucciones.

Pues bien, tendremos que cumplir con las obligaciones que, para uno y otro caso, nos vienen impuestas por la normativa sobre protección de datos personales si no queremos correr el riesgo a ser sancionados y a la consiguiente crisis reputacional que ello nos pueda suponer.

2. Si los datos personales van a viajar fuera del Espacio Económico Europeo (p.e. si los servidores donde se almacenará nuestra información se encuentra fuera de dicho territorio), tendremos que cumplir una serie de requisitos formales, exigidos por la ley, y ofrecer garantías suficientes de que los derechos de los titulares de esos datos serán respetados y sus datos personales estarán adecuadamente protegidos.

Si te interesa saber con algo más de detalle las implicaciones del Cloud Computing en materia de datos personales, puedes leer este artículo que publiqué hace unos meses en Business Value Exchange.

4 – No negociar bien el contrato.

Ya, ya. Una cosa es decirlo, otra hacerlo, y otra muy distinta aún, conseguirlo. Ciertamente hoy en día muchos de los proveedores “cloud” imponen sus condiciones como si fueran lentejas, que “si quieres las comes y si no las dejas” y Dave ni siquiera intentaría echarle un poco de guindilla a esas lentejas. Pero nosotros sí tenemos que intentarlo. Cuanto menos procuremos que, si no nos ponen el chorizo en el mismo plato de las lentejas, nos lo sirvan en plato aparte  (¡con lo rico que está el chorizo, hombre!).

Y no olvidemos nunca que, a veces, el mejor negocio es no hacer negocios si la otra parte no está dispuesta a aceptar condiciones que para nosotros son o deben ser principales. En Cloud Computing, como en casi todo en esta vida, hemos de reflexionar fríamente, pensando a futuro y previendo la mayoría de escenarios posibles, si no nos compensará un servicio algo más costoso pero a nuestro gusto y con mayores garantías.

Recuerda: Pregúntate si Dave lo haría, y si la respuesta es sí, no lo hagas tú.