Hace 10 años escribíamos una articulo sobre los aspectos legales del cloud computing, ha pasado el tiempo y el tema está más vigente que nunca, no solo porque ha avanzado de manera impresionante su uso, sino por que hoy comenzamos a ver cómo diversos reguladores han comenzado a pronunciarse sobre su uso y exigencias, sobre ello nos referiremos a continuación
El crecimiento del uso del cloud está alcanzando altos niveles, las empresas pequeñas y medianas incluso lo utilizan en sus operaciones. permanentemente, ya es una realidad. En enero del 2020, publicamos un breve resumen de la norma RAN 20 – 7 , esta norma contempla que si el procesamiento de información es realizado en el extranjero, requieren mantener un site de contingencia en el país para las actividades que hayan sido consideradas significativas o estratégicas. La presente modificación normativa permitirá la posibilidad de que el directorio excepcione esta última condición, siempre y cuando se asegure que la institución ha adoptado las medidas necesarias para que los servicios externalizados cumplan con diversas exigencias.
En relación a los bancos, éstos deberán mantener una adecuada calificación de gestión del riesgo operacional en la última evaluación realizada por esta Comisión. Si producto de una nueva revisión son calificados en una categoría de “Cumplimiento Insatisfactorio” o inferior, deberán informar a este Organismo sobre las medidas específicas adicionales adoptadas para asegurar la adecuada operación de los servicios. Cuando las entidades bancarias no cuenten con una calificación de gestión en el ámbito del riesgo operacional, y externalicen servicios en el exterior, le serán aplicables todas las medidas preventivas anteriormente señaladas, con excepción de la calificación en la materia.
Pues bien, una tarea que es importante realizar a nivel jurídico será el revisar los correspondientes contratos con los proveedores de servicios, analizar sus alcances contractuales, términos y niveles de servicios SLA, tener claridad en la propuesta dónde están los datos de los proveedores y los alcances de responsabilidad por la protección de datos personales, resguardo de la seguridad y medidas de mitigación frente a incidente, un tema que es importante considerar dice relación con las certificaciones de los proveedores, esta es una exigencia que importante comenzar a solicitar, particularmente en relación a la ISO 27.001 y también dada su entrada en vigencia en Chile a la ISO 27.701.