Hace unos meses el Ayuntamiento de Los Ángeles decidió externalizar los servicios de correo electrónico de sus servicios municipales (más de 30.000 empleados municipales, entre los que se encuentra la policía, los bomberos, etc.) a Google, con lo que se convierte en la primera ciudad del mundo en trasladar los servicios de su administración a la "nube". Otras ciudades estadounidenses (Seattle, por ejemplo) esperan a ver cuál es la experiencia de Los Ángeles para implementarlo en sus ciudades.

En el Contrato que regula la prestación del servicio se establecieron algunas cautelas, como el condicionamiento de la efectividad del contrato a la demostración práctica de su seguridad, pero fue firmado en espera de una enmienda que exigiría a Google indemnizar al Ayuntamiento  en caso de que el sistema de Google sea violado y los datos expuestos o robados, ya que en el Contrato no existe ninguna cláusula al respecto. La inexistencia de una clausula de responsabilidad por si no se realiza el servicio a satisfacción del Ayuntamiento, es especialmente delicado en lo que respecta a las fuerzas de seguridad que proporcionan, por ejemplo, información potencialmente sensible y confidencial al Departamento de Justicia.

El Contrato recoge que los datos se almacenarán en instalaciones específicas dentro de los Estados Unidos y que serán administrados por personas sujetas a autorizaciones de seguridad de alto nivel. Pero sería deseable que Google ofreciera un sistema de verificación de antecedentes de las personas que puedan acceder a la información ya que, por ejemplo, datos sensibles de las investigaciones policiales pueden verse comprometidos si fueran expuestos por alguna de las personas encargadas de la administración del sistema.

Es paradójico que Google, en su mandato 10-Q para la Comisión de Bolsa y Valores del 4 de agosto 2009, reconozca que el riesgo de este tipo de sistemas podría perjudicar gravemente a su negocio, riesgo que reconocen, es probable que aumente a medida que amplían el número de productos y servicios web que ofrecen, así como el número de países en donde operan. Además, en el mismo mandato reconocen que sus sistemas son vulnerables a los daños o la interrupción producidos por terremotos, atentados terroristas, inundaciones, incendios, pérdida de potencia, fallos de las telecomunicaciones, virus informáticos, la denegación de servicios, u otros intentos para dañar sus sistemas.

Google ha anunciado su intención de crear una nube de "gobierno" para órganos estatales o federales y locales que cumpla con las normas de protección más elevadas, pero ésta aún no existe.

Las clausulas controvertidas más destacadas del Contrato entre Google y el Ayuntamiento de Los Ángeles son las siguientes:

- En realidad existen dos contratos, uno con Google y otro con Computer Sciences Corporation (CSC) para migrar e implementar el software de Google como servicio (SaaS) de correo electrónico y colaboración del sistema.

- Google se compromete a cumplir con las leyes federales relativas al aviso previo en caso de fallo o violación de la seguridad. En el caso de que se produjera una de estas situaciones, Google podría decir que es un proveedor de servicios (en lugar de un licenciatario o el titular de los datos personales) y que, por tanto, su única obligación es avisar al Ayuntamiento de Los Ángeles que se ha producido un fallo de seguridad, siendo el Ayuntamiento el que debe posteriormente dar aviso a las personas afectadas.

- En este sentido, Google deberá notificar al Ayuntamiento de Los Ángeles el fallo de seguridad tras su descubrimiento, sin causar demoras innecesarias y después de tomar las medidas necesarias para determinar el alcance de la infracción y restaurar la integridad del sistema. Esta clausula ofrece una gran flexibilidad para que Google pueda notificar al Ayuntamiento con retraso  la violación de la seguridad diciendo, por ejemplo, que ha estado adoptando las medidas necesarias para determinar el alcance de la violación. Dado que las obligaciones de respuesta a incidentes pueden ser cruciales para mitigar los daños causados por un fallo de seguridad que afecten a los datos del Ayuntamiento, lo más lógico sería imponer un período de tiempo determinado para notificar la violación o el fallo de seguridad.

- En el Contrato se requiere al Ayuntamiento de Los Ángeles para que cumpla con las regulaciones aplicables de privacidad, pero no se requiere a Google en el mismo sentido y eso que es Google la parte que realmente realiza el almacenamiento y procesamiento de los datos personales. En este sentido, Google adopta la posición de que es responsabilidad del Ayuntamiento de Los Ángeles, como propietario de los datos, el que debe asegurarse que Google cumpla con las leyes aplicables al titular de los datos. Si Google pretende dar un servicio al Ayuntamiento de Los Ángeles sabiendo que es el titular de los datos personales no es razonable que Google no se obligue al cumplimiento de la normativa de privacidad aplicable.

- El objeto del Contrato es bastante ambiguo. El Contrato no es muy claro en el sentido de si el propósito del mismo es establecer unas medidas de protección que proporcionen los recursos necesarios para el supuesto de que haya un fallo o violación de la seguridad que permita la recuperación potencial de los datos después de que suceda la incidencia, o si es el objeto del contrato es prevenir a priori una violación de la seguridad de la información. La diferencia es sustancial.

- Según el Contrato, el Ayuntamiento de Los Ángeles no tiene derecho a realizar una auditoría del programa de seguridad de Google, no exigiendo que Google deba poner en práctica todos los controles que sean necesarios para hacer frente a los problemas de seguridad.  Se señala que si el Ayuntamiento detectara deficiencias que fueran una seria amenaza para sus recursos podría rescindir el Contrato por incumplimiento del mismo, pero al no poder auditar la seguridad, en la práctica, no tiene un derecho explícito a rescindir el contrato.

- El Contrato recoge el reconocimiento por el Ayuntamiento que los controles implementados por Google en el momento de la ejecución del contrato se ajustan a los "estándares de la industria." Ello permitiría reducir la indemnización a la que Google debería hacer frente si no implementa y mantiene una seguridad razonable durante toda la vigencia del contrato.

- No hay ninguna clausula en el Contrato que obligue a Google a cifrar los datos del Ayuntamiento de Los Ángeles.

- Google se compromete a no revelar información confidencial de una manera muy peculiar: se compromete a proteger la información confidencial del Ayuntamiento de Los Ángeles con el mismo nivel de cuidado que utiliza para proteger su propia información confidencial, pero en ningún caso menos de un cuidado razonable.

Comentarios

Añadir nuevo Buscar

Escribir comentario
Nombre:
Email:	No notificar:Notificar:
Website:
Título:
Código UBB:	-color-aguanegroazulfucsiagrisverdelimamarrónmarinoolivapúrpurarojoplataturquesablancoamarillo -tamaño-minúsculopequeñomedianograndeenorme
	Por favor introduce el código anti-spam que puedes leer en la imagen.

Powered by !JoomlaComment 4.0alpha3

!joomlacomment 4.0 Copyright (C) 2009 Compojoom.com . All rights reserved."