Lidia Gimeno

Abogada en Protección de Datos y Derecho de las Nuevas Tecnologías

4 Consejos para Abogados que quieran usar un cloud en su Despacho

Hace pocos años empezamos a vivir la revolución del uso de los sistemas cloud computing por sus increíbles ventajas. Por ejemplo, llevándolo al terreno legal, para los abogados resulta muy cómodo pensar que nuestros expedientes están en la nube y que podemos acceder a ellos desde cualquier lugar. Pero, obviamente, la instalación de este tipo de sistemas en nuestro Despacho también conlleva una serie de riesgos a tener en cuenta.

El post de esta semana resume 4 consejos que le daría a un abogado al plantearse aplicar un sistema de cloud computing en su despacho.

1) Procura que el contrato que realices con el prestador del servicio de cloud conste por escrito.

Si bien es cierto que el art. 12 LOPD no obliga que el contrato conste por escrito al posibilitar que conste “en forma que acredite su celebración y contenido” -habiendo sido aceptada la forma verbal por la Audiencia Nacional[i]-; considero que la no constancia por escrito del acuerdo puede provocarnos muchos problemas probatorios. Debemos tener en cuenta que vamos a “jugar” con datos y expedientes de nuestros Clientes, por lo que nos interesa la facilidad probatoria del contrato y las obligaciones asumidas por las partes para el caso que surja una controversia o se produzca un grave incidente de seguridad.

2) Ten cuidado que en el contrato también consten las medidas de seguridad a aplicar.

El art. 12.2 LOPD obliga a que el contrato contenga las medidas de seguridad que el encargado (en este caso, el prestador del servicio de cloud) está obligado a implementar. El tipo de medidas a aplicar dependerá del tipo de datos que contenga el fichero, oscilando entre el nivel medio y alto.

No obstante, me parece remarcable que el Consejo General de la Abogacía Española y la AEPD, en su Informe sobre uso de cloud computing en despachos, apreciaran que lo mejor sería la aplicación del nivel alto, en atención a los derechos fundamentales del cliente del art. 24 CE, art. 18 CE y el secreto profesional del abogado (art. 5 CDE)[ii].

3) Debes aprobar la subcontratación de parte/totalidad del servicio de cloud.

El art. 12 LOPD prohíbe al encargado la cesión de datos a terceros, a no ser que exista autorización por parte del responsable del fichero. Esta autorización podrá otorgarse en una cláusula del contrato o mediante un pacto posterior.

Pensad que, si otorgáis la autorización en el contrato, debe indicarse concretamente la empresa subcontratada y los servicios que se van a subcontratar. Si no consta, deberán ser comunicados estos datos antes de proceder a la subcontratación[iii].

4) Asegúrate de conocer la localización de los servidores del servicio cloud.

Si en el contrato no consta, infórmate de dónde están localizados. Si se encuentran dentro del Espacio Económico Europeo se presumirá que se aplica a los servidores un “nivel adecuado de protección”. Para el caso que se encuentren fuera del EEE, deberá seguirse el preceptivo procedimiento de autorización ante la AEPD o estar en alguna de las excepciones que prevé la normativa.

Tened en cuenta que si el cloud tuviera los servidores en un tercer país y no se solicita autorización (o se está en alguno de los casos previstos por la normativa), se produciría una cesión ilegal de datos, penalizada como infracción muy grave -con una multa que oscilaría entre 300.001 y 600.000 euros-.

Así que si quieres hacerte con este tipo de tecnología en tu Despacho ten en cuenta la seguridad de los datos que estás almacenando. Piensa que los datos y documentos de tus Clientes están en juego, así que procura ser diligente en la instalación del cloud en tu Despacho.


[i] Sentencia de la Audiencia Nacional de 3 de noviembre de 2004.

[ii] AEPD; Consejo General de la Abogacía Española (2012).  Informe: Utilización del Cloud Computing por los despatxos de abogados y el derecho a la protección de datos de carácter personal. <https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2012/notas_prensa/common/junio/informe_CLOUD.pdf >

[iii] El Tribunal Supremo ha entendido que el Responsable del Fichero tiene derecho a que se le comunique tanto el nombre de la empresa como los Servicios a subcontractar ya que el mismo puede rechazar la subcontratación al entender que la misma no es procedente o porque cree que la empresa no es idónea para poder llevar a cabo las tareas que se le encomendaron (Sentencia del Tribunal Supremo de 15 de julio de 2010, FDº 10).

Deja un comentario

Tu dirección de correo electrónico no será publicada.