Llegamos a ustedes gracias a:



Conversando con...

Robert Ivanschitz, director legal de América Latina de Microsoft

Los temas legales del servicio de nube

Robert Ivanschitz, director legal de América Latina de Microsoft.

[23/03/2017] ¿Qué temas legales se deben de tomar en cuenta al momento de contratar un servicio de nube? Esa fue la pregunta que nos hicimos antes de conversar con Robert Ivanschitz, director legal de Latino América de Microsoft.

La soberanía de los datos y la flexibilidad de los SLA fueron de los temas que más se repiten cuando se habla de nube, así que hicimos esas preguntas y recibimos respuestas francas a ellas. Junto con Ivanschitz, estuvo presente Héctor Figari, gerente legal y de Asuntos corporativos de Microsoft Perú, para absolver los temas locales.

¿Cómo se puede asegurar la soberanía de los datos?

La nube tiene una pretensión global, el modelo básicamente reside en el hecho de que existe una cierta cantidad de centros de datos ubicados en ciertos países, y los usuarios tiene acceso a ellos a través de la nube, donde residen los datos.

Cada país trata este sistema de una manera diferente. En América Latina, algunos países tienen mayores o menores requisitos o aceptación de que cierta información de sus ciudadanos radique en países a los cuales se somete distinta jurisdicción. Por ejemplo, México y Uruguay tienen normas en relación a la soberanía nacional o seguridad nacional; es decir, en tales casos la información tiene que residir dentro de las fronteras nacionales.

Otros países no la tienen, tienen una legislación que permite la transferencia de datos, para ello es muy importante entender que Microsoft tiene una oferta, en aquellos países donde se tiene restricciones existe lo que se llama la nube híbrida; es decir, que ciertos clientes -si tienen los recursos y tienen las intenciones- pueden crear una nube privada para ellos donde se garantiza que ciertos datos puedan estar localizados en el país de origen.

Otro tema en relación a la soberanía es la contratación internacional; es decir, algunos países se ponen de acuerdo con otros, y fijan criterios y condiciones bajo los cuales los datos de sus ciudadanos y empresas se pueden transmitir de un país a otro. Ese el caso de Europa. La Unión Europea tiene requisitos más estrictos que los que tiene Estados Unidos para proteger la privacidad de sus ciudadanos, y por ello han firmado el privacy shield entre Estados Unidos y la Unión Europea, mediante el cual ellos exigen a los proveedores de tecnología la aceptación de ciertas cláusulas modelos que ciertos proveedores de servicios en la nube pueden ofrecer. Entonces, se puede entender que el servicio está dado de una cierta manera. Eso también ayuda a proteger a los ciudadanos cuando existen jurisdicciones distintas.

Y, por último, se tienen los estándares internacionales que buscan establecer ciertos parámetros internacionales comunes, para que los estados y los ciudadanos sepan que se cumplen. Microsoft fue la primera compañía que cumplió con los parámetros establecidos en el ISO 27018 sobre seguridad en la nube.

Se tiene la creencia de que al ser Microsoft una empresa estadounidense, el gobierno de Estados Unidos puede tener acceso a estos datos.

Eso no es correcto. De hecho, cuando el gobierno de Estados Unidos pretendió que Microsoft le entregara los datos de un ciudadano estadounidense cuyos datos residían en Irlanda, nosotros demandamos al gobierno y ganamos la demanda. Si ellos realmente tenían intenciones de tener esos datos tenían que ir a Irlanda, seguir las leyes irlandesas, y solo un juez con competencia en Irlanda nos podía ordenar esto.

Y eso lo hacemos, porque nosotros creemos firmemente que los datos no son nuestros, lo único que hacemos es prestar un servicio de acuerdo al contrato que dicho usuario tiene con nosotros. Por tanto, si cualquier gobierno nos pide los datos, nuestra primera reacción va a ser decirle "Pídaselos a quien es propietario de ellos. Si él o ella se los entregan, nosotros no tenemos problema; sino tendrá que, como cualquier gobierno del mundo, seguir los procedimientos legales y notificarnos a través de una autoridad competente que tenemos que entregarle la información.

¿Cómo hacen cuando no tienen centros de datos en el país, tercerizan el servicio?

En el mundo actual, el tener un centro de datos seguro es una inversión multimillonaria, que nosotros tomamos muy en serio. Por tanto, los niveles de seguridad de los centros de datos de Microsoft son líderes en la industria, y no solo en el centro de datos sino en todo el ecosistema, gracias a departamentos dentro de Microsoft que se dedican a detectar y protegerlo.

Nosotros no subcontratamos los servicios, invertimos y protegemos nuestros centros de datos y justamente los tenemos en regiones con un principal y de respaldo. Por ejemplo, Microsoft no tiene centros de datos en Perú, lo tiene en Brasil, y si un juez peruano quiere obtener información en Brasil, tendrá que seguir los procedimientos que hay entre Perú y Brasil para la entrega de información, y pedírsela al juez brasileño quien será quien nos ordene entregar la información.

Pero Microsoft puede ofrecer una nube híbrida. Para aquellas personas o compañías que realmente sientan que el hecho de tener los datos en otro país incide sobre su decisión, tenemos modelos de contratación que se lo permiten, pero son otros costos.

¿En nube híbrida el cliente va a tener parte de la infraestructura?

No necesariamente, Microsoft puede construir la infraestructura para el cliente. Se le crea una nube privada para algunos tipos de datos, y nube pública para otros datos. Es una nube on premises.

¿Qué legislación nacional se aplican a los datos?

Figari: En general, finalmente una empresa de tecnología está sujeta a las leyes del país. En el Perú se han comenzado a dar algunas normas que son pertinentes para los temas de tecnología, como la ley de datos personales. Tenemos la ley 29733 y lo que hemos hecho es mantener los estándares más altos en cuanto a protección de datos personales.

Microsoft va a las cláusulas de contratación de la Unión Europea, un modelo muy exigente y de donde viene la legislación nacional, y toma estándares internacionales como el 27018. Una buena noticia es que Perú, junto con México, son los que tienen legislación más exigente en cuanto a protección de datos en la región, pero inclusive con esos niveles, la 27018 tiene controles adicionales. Por ello, podemos dar a los clientes la tranquilidad de que tienen un nivel de protección acorde con la legislación nacional.

¿Existe un margen de negociación con sus SLA?

Nosotros tratamos mucho de escuchar a nuestros clientes y eso implica entender cuáles son las cláusulas contractuales que producen ciertos recelos o producen mayores complicaciones. Muchas de ellas realmente responden a la ingeniería del servicio; por ejemplo, Microsoft tiene ciertos niveles de respuesta frente a ciertos tipos de incidentes, y hay algunos clientes que preferirían que sean tres horas en lugar de seis. Pero la realidad es que, desde que se detecta la vulnerabilidad hasta que se informa y se hacen todos los procesos tecnológicos de ingeniería, no se puede responder antes.

Entonces, los contratos tratan de reflejar estos feedbacks que recibimos de nuestros clientes, hay ciertas cláusulas que pueden ser sujetas a revisión, porque no inciden en la ingeniería.

Hay ciertos clientes que quieren realizar verificaciones. Si bien es cierto que no podemos permitir que todos nuestros clientes vayan a auditar un centro de datos, sí otorgamos esos derechos a los reguladores para que ellos lo hagan por toda una industria o todo un país.

Hemos ido aprendiendo e incorporando el feedback para tratar de tener acuerdos más flexibles de acuerdo a la ingeniería y la complejidad del producto. Pero si tiene una pyme -y voy a ser muy honesto-, y la pyme va a contratar seis suscripciones, los contratos no van a ser modificados, el servicio se presta porque, en parte, la seguridad del servicio y también el precio del servicio supone que existe una cierta uniformidad en la manera contractual y en la manera en que éste se ofrece.