Ing. USBMed, Vol. x, No.
x, mes-mes 201X
Legal aspects of cloud computing
ASPECTOS LEGALES DE COMPUTACION EN LA NUBE
Erika Maria
Jimenez Hidalgo
Estudiante
Especialización en
Seguridad
erikajim@hotmail.com
(Tipo de Artículo: Reflexión. Recibido el 00/00/0000. Aprobado el 00/00/0000)
Abstract. This article addresses legal, normative, international
and local aspects that must be taken into account at the time of
choosing a purveyor that will provide the services of Cloud
Computing, it presents the advantages, disadvantages and
risks of this service as well as a description of models from
Cloud Computing, also indicates the laws that regulate the
protection of personal data in Colombia. In addition to this, the
article talks about the serviced offered to a world-wide level,
which will revolutionize the way large and medium size
companies storage and grow technologically, understanding
that Cloud Computing not only offers efficiency and savings,
but also promotes the type of innovation that is vital for the
growth and competitiveness of companies.
The laws mentioned are committed to safeguard people's
information, but they do not contemplate the jurisdiction of
information stored in servers located in other countries. The
article shows the perspective from the European Union and
how they handle these issues through the Safe Port Act.
Keywords. Cloud computing, privacy, data protection
. negocio.
Resumen. Este artículo trata aspectos legales, normativos,
internacionales y locales que deben tenerse en cuenta en el
momento de tomar la decisión de elegir el proveedor que
prestará los servicios de Cloud Computing, se muestran las
ventajas, desventajas y riesgos de este servicio. también una
descripción de los modelos de Cloud Computing, se indica
que leyes en Colombia regulan la protección de datos
personales, adicional a esto el articulo habla del servicio
ofrecido a nivel mundial el cual revolucionará la forma de
almacenamiento y de crecimiento tecnológico en las grandes y
medianas empresas, entendiendo que la Cloud Computing no
sólo sirve para obtener eficiencia y ahorro, sino también para
impulsar el tipo de innovación fundamental en el crecimiento y
competitividad de las empresas.
Las leyes mencionadas están comprometidas con
salvaguardar la información de las personas, pero estas no
contemplan la jurisdicción sobre la información almacenada
en servidores ubicados en otros países. El articulo muestra
la perspectiva de la Unión Europea y Como ésta puede tratar
estos temas a través del convenio de Puerto Seguro.
Palabras clave. Computación en nube, privacidad,
protección de datos.
. hace varios años se escucha hablar de conceptos
NOMENCLATURA
Si fuera necesaria una lista de símbolos y nombres,
debe preceder a la introducción.
Ferney de
Jesus Taborda
Estudiante
Especialización en
Seguridad
Ferneyt@gmail.com
1. INTRODUCCIÓN
Hoy la informática se encuentra en proceso de
evolución, está pasando de un enfoque donde cada
empresa, persona o entidad tiene concebido todos sus
procesos informáticos, manejo de datos, adquisición y
administración de infraestructura, como algo privado,
localizado e ilimitado, a un enfoque donde no es
necesario saber en dónde se encuentra almacenada la
información, en que aplicación corre, donde están
instalados los servidores, cuando debemos renovar las
licencias y cuando cambiar la infraestructura por
obsolescencia. A un modelo por servicio global,
pagando solo por lo que se necesita y cuando se
necesita. Este es el concepto de Computación en la
nube
Este documento proporciona aspectos legales
fundamentales a tener en cuenta a la hora de tomar la
decisión de llevar a la nube parte o totalidad del
Contiene información como leyes
Colombianas que apoyan la protección de la
información en sus principios básicos como son la
privacidad, la confidencialidad e integridad de esta. Se
plantean las consideraciones mínimas que deben
pensarse y analizarse a la hora de enviar a la nube la
información, con el objetivo de obtener una visión de la
perspectiva legal de la computación en la nube,
normativas especificas locales o internacionales que
regulan esta nueva modalidad de prestación del
servicio ya que este tema es visto como una “Laguna
jurídica”. Aunque la computación en la nube trae
grandes ventajas en el aspecto económico no
podremos dejar a un lado el aspecto legal.
Se plantean los conceptos básicos las ventajas que
ofrece este servicio, los riesgos de protección de los
datos y leyes específicas.
2. QUE ES COMPUTACIÓN EN LA NUBE?
El concepto de computación en la nube no es nuevo,
como los ASP (proveedores de servicios de aplicación.
Los primeros proveedores de servicios de internet que
empezaron a hablar de computación en la nube o
Cloud Computing fueron: Google, Amazon AWS,
1

Microsoft entre otros. Estas empresas cuentan con
centros de computo de gran tamaño, ofreciendo un sin
número de servidores de gran capacidad. Es así como
podemos decir que, Computación en la Nube
consiste en trasladar la información del computador
que utilizamos en la empresa, personal o centro de
datos tradicional hacia Internet.
La Computación en la Nube es un concepto que integra
el software como servicio, e Internet como una red de
transferencia de información entre equipos y
servidores, que integran la red para obtener un alto
rendimiento del proceso individual.
El almacenamiento de los datos en las empresas
puede pasar de ser guardados en sus propias bases de
datos o en las máquinas de los empleados, a estar en
entornos de computación en nube, los cuales pueden
estar en cualquier parte del mundo. Los datos pueden
ser trasladados de un lugar a otro o de un país a otro
de un corto espacio de tiempo con el objetivo de
obtener mayor eficiencia.
Una de las características de computación en la nube
es la gran cantidad de recursos disponibles y la
flexibilidad en los servicios ofrecidos, en la
infraestructura del proveedor y compartida con muchos
usuarios. Este concepto es un nuevo paradigma en el
que la información se almacena de manera
permanente en servidores en Internet.
Figura 1. Computación en la nube [1].
Los servicios que incluye computación en nube son:
 Almacenamiento
 Procesamiento
 Memoria
 Ancho de banda de red
Ing. USBMed, Vol. x, No. x, mes-mes 201X
 Máquinas virtuales.
Los tres tipos de servicios de computación en la nube
más conocidos son:
 Software como servicio (SaaS)
El cliente usa las aplicaciones que le
proporciona el proveedor de la nube.
 Plataforma como servicio (PaaS)
El proveedor de servicios en la nube ofrece
plataformas para el desarrollo de aplicaciones
o servicios
 Infraestructura como servicio (IaaS)
Permite a los clientes ejecutar aplicación,
sistema operativo o software, el cual se entra
instalado en los equipos del proveedor del
servicio.
Figura 2. Tipos de Servicio de la Nube [2].
3. VENTAJAS DE COMPUTACION EN LA NUBE
 Una de las principales ventajas de la
implementación de Computación en la nube en
una empresa es, la disminución de costos ya
que nos es necesario adquirir hardware potente
y actualizado, ni realizar compra de licencias.
 Solo se paga por lo que se utiliza
 Es escalable
 No se dependen de los recursos de la estación
de trabajo
 No necesita instalar ningún tipo de hardware o
software
 Eficiencia
2

 Gran capacidad de personalización
 Acceso a la información desde cualquier lugar
 Capacidad de procesamiento y almacenamiento
sin instalar máquinas localmente
 Actualizaciones automáticas que no afectan
negativamente los recursos de TI.
 Garantiza al cliente mayor disponibilidad del
servicio.
4. MODELOS DE NEGOCIO DE COMPUTACION
EN LA NUBE
El instituto Nacional de Estándares de Tecnología de
los Estados Unidos- NIST (2009), define cuatro
modelos de negocio:
 Modelo público: la infraestructura de
computación en la nube está disponible para el
público en general o puede estar orientada a
una empresa en particular.
 Modelo Privado: La infraestructura está
orientada a servir a una sola empresa. Toda la
gestión puede ser realizada por la misma
empresa o por un tercero.
 Modelo Comunitario: La infraestructura es
compartida por varias organizaciones y está
orientada a un tipo de comunidad específica de
acuerdo a su esencia. La gestión puede ser
realizada por las organizaciones o por un
tercero.
 Modelo hibrido: es la combinación del modelo
público y el modelo privado. Bajo este modelo
varias nubes (públicas, privadas, comunitarias),
pueden ser unidas por tecnología estándar que
facilita la portabilidad de datos y aplicaciones
balanceando las cargas entre las nubes
cuando una ha ocupado su capacidad máxima.
Ing. USBMed, Vol. x, No. x, mes-mes 201X
Figura.3 Clasificación de Computación en la Nube
[3].
5. RIESGOS DE COMPUTACION EN LA NUBE
En el año 2010, La Cloud Security Alliance, publicó en
un informe sobre las siete amenazas más grandes de
la infraestructura de la Computación en la Nube, entre
estas amenazas encontramos:
 Abuso y mal uso de Cloud Computing
Los modelos IaaS y PaaS son los principales
afectados con esta amenaza ya que tiene un
modelo de registro de acceso a las
infraestructuras/plataformas, poco restrictivo. Esto
quiere decir, que cualquier persona con una tarjeta
de crédito válida puede acceder al servicio, teniendo
en cuenta la cantidad de spammers, creadores de
código malicioso y otros delincuentes que utilizan la
nube como centro de operaciones.
 Interfaces y API poco seguros
Algunos de las empresas proveedoras de servicios de
Computación en la nube, entregan una serie de
Interfaces de programación y aplicación para la
administración de los recursos e infraestructura, es así
como la empresa interactúa con sus equipos e
información, generando control, gestión y monitoreo de
los servicios que tienen publicados. A través de estas
interfaces, se facilita la autenticación, acceso y cifrado
de datos. Es necesario que las interfaces estén
diseñadas de forma segura, evitando con esto los
problemas intencionados o producidos de forma
accidental.
 Amenaza Interna
Como en todos los sistemas de información, las
amenazas que se derivan de personas son las
principales, ya que por naturaleza los empleados
tienen acceso de forma natural a la información, a
las plataformas y aplicaciones de la empresa. En un
entorno de nube, esto no es diferente ya que de la
misma manera se pueden desencadenar incidentes
de seguridad los cuales pueden ser producidos por
empleados insatisfechos, error por desconocimiento
o accidentes.
En la mayoría de los casos, dejamos en manos de
los proveedores de servicio la gestión del control de
acceso de los usuarios, ocasionando con esto
riesgos de seguridad cuando estos no recién la
información a tiempo de las novedades de los
empleados y en mayor proporción cuando, los
3

empleados son retirados de la empresa por cualquier
causa.
Uno de las fortalezas de las infraestructuras de
Computación de la nube es reducir considerablemente
el número de software y hardware que tienen que
adquirir las empresas y la cantidad de dinero que
invierten en mantenimiento de esta infraestructura.
Esto permite a las empresas centrar sus esfuerzos en
el negocio
A pesar de que este modelo permite un ahorro
significativo en los costos de la empresa, tanto en lo
económico como en la operación; no podemos
sacrificar la seguridad, esta no puede verse deteriorada
por el desconocimiento de la infraestructura que nos
ofrece el proveedor del servicio de Computación en la
nube.
Antes de definir los controles de seguridad que deben
ser implantadas en el entorno de la nube, es de vital
importancia conocer la información técnica de las
plataformas donde se almacenará la información de la
empresa y conocer con quien se compartirá esta
infraestructura.
El no contar con la información necesaria, que nos
permita conocer la infraestructura antes de tomar
decisiones tan trascendentales como lo es la seguridad
en la información de la empresa; Nos puede conllevar a
asumir brechas de seguridad que o riesgos
materializados.
Gardner, desde el rol de analista de tecnologías de la
información, también realizó recientemente un informe
Assessing the Security Risks of Cloud Computing,
donde resalta los principales riesgos de cloud
computing. A continuación se resaltan algunos de
ellos:
 Accesos de usuarios con privilegios
La administración o gestión de datos sensibles fuera de
las instalaciones de la empresa, conlleva un riesgo
natural, ya que los servicios contratados de manera
externa pueden omitir algunos controles físicos,
lógicos y humanos, por esto es necesario saber quién
maneja y controla dichos datos.
 Cumplimento normativo
A pesar de que la información, el activo más valioso de
la empresas, se encuentren almacenado fuera de las
instalaciones y administrada por un proveedor se
servicio de computación en la nube, la responsabilidad
por la integridad de los datos, no cambia, sigue siendo
responsabilidad netamente de la empresa.
Con respecto al primer punto, es preciso tener en
cuenta el cumplimiento de la normatividad legal implica
asegurar el tratamiento y manejo de los datos
personales, el adecuado manejo y gestión de la
Ing. USBMed, Vol. x, No. x, mes-mes 201X
seguridad de la información, así como de los incidentes
de seguridad para garantizar su disponibilidad,
confidencialidad e integridad y finalmente el tema de la
responsabilidad por el cumplimiento de los
requerimientos contractuales pactados por las partes
cuando se produce un daño sobre alguno de los activos
de información.
 Localización de los datos
Cuando utilizamos entornos de Computación en la
nube, no tenemos exactitud de donde pueden estar
almacenados los datos.
 Aislamiento de datos
La información almacenada en entornos de
Computación en la Nube comparte la infraestructura
con la información de otro u otros clientes, Es el
proveedor del servicio quien debe garantizar la
separación de los datos de los diferentes clientes. El
uso del cifrado de la información es una buena
práctica, pero cuando esta información no es usada,
esta práctica resulta muy costosa.
 Recuperación
Es muy importante conocer las políticas de
recuperación de datos, con las que cuenta nuestro
proveedor de servicio de computación en la nube, en
caso de que haya un desastre. Asimismo, saber si
los datos son replicados en varias infraestructuras
con el objetivo de tener disponibilidad de la
información en caso de que haya una falla general.
 Soporte investigativo
Los procesos de investigación de actividades ilegales
en ambientes de Computación en la Nube, suele ser
una tarea casi imposible ya que la información y los
logs de muchos clientes pueden estar almacenados
de manera simultánea en una gran cantidad de
equipos, en mismo centro de cómputo, lo que
dificulta la búsqueda de dicha información. Esto
puede demorar la identificación de pruebas a la hora
de una investigación.
 Viabilidad a largo plazo
Este es un tema del cual no puede hablarse con mucha
certeza ya que lo ideal sería contar siempre con un
buen proveedor de servicios de Computación en la
Nube, que permanezca estable en el mercado que
ofrezca siempre a sus clientes un servicio con calidad,
seguridad y alta disponibilidad, pero el mercado está en
constante cambio, y pueden ocurrir eventos como el
hecho de que este proveedor sea comprado o
absorbido por un proveedor que cuente con mayores
4

recursos, es por ello que a la hora de elegir un
proveedor de servicio, debemos conocer su
participación en el mercado.
6. QUE DEBE TENERSE EN CUENTA A HORA
DE DECIDIR QUE SE SUBE A LA NUBE
En cuanto a la responsabilidad contractual deberá
tenerse en cuenta tanto lo indicado en el tema de
cumplimiento y normatividad legal, así como las
clausulas que definan la responsabilidad del proveedor
en cuanto a hechos que dependan de su deber de
cuidado en cuanto a las medidas de seguridad que
cuentan para proteger la disponibilidad del dato y
respecto de la empresa, asumir su responsabilidad
sobre su carácter de fuente de información, la cual
implica la integridad de la información, hasta que se
defina la debida protección de datos personales para la
transferencia de datos a nivel internacional en
Colombia. Hay que tener en cuenta que el domicilio
del contrato ayudará para que las normas aplicables
puedan exigirse en Colombia al proveedor y a la
empresa, pues contratar con un proveedor cuyos
efectos contractuales no sean regidos por la
normatividad interna, no será posible la protección
frente a incidentes de seguridad.
Si bien la computación en la nube trae grandes
beneficios económicos a las empresas, no debemos
pasar de lado, ni desconocer los riesgos que esta
nueva modalidad de servicio tiene y los aspectos que
deben tenerse en cuenta a la hora de evaluar que
información y correspondiente al negocio subir a la
nube. Se recomienda tener en cuenta lo siguiente:
 Analizar en el medio, la empresa que se
contratará teniendo en cuenta lo siguiente:
¿Qué nivel de servicio ofrece?
Se debe asegurar de que los servicios ofrecidos por el
proveedor de cloud cumplen con los requerimientos de
nivel de servicio de acuerdo a las necesidades de la
empresa; que pueda garantizar la disponibilidad del
servicio y tiempos de respuesta ante incidentes. Se
deben definir las penalizaciones por incumplimiento de
los acuerdos de nivel de servicio, cómo se informa del
nivel de servicio y con qué frecuencia se realizan o
actualizan esos informes.
¿Cuál es el plan de recuperación ante desastres y
continuidad de negocio?
Se debe tener claridad de donde se guardan los datos
y la rapidez con la que el servicio sería restaurado en
caso de desastre. Se debe dejar claro quién y cómo se
hará los backups y recuperación de datos.
Ing. USBMed, Vol. x, No. x, mes-mes 201X
¿Cómo se aíslan mis datos de los del resto de
clientes que utilizan la misma cloud pública?
Es importante conocer las medidas de seguridad que
proporciona el proveedor con el fin de garantizar que
otros clientes no puedan acceder, editar o borrar los
datos de su empresa.
¿Qué protocolos de actuación se han establecido
en caso de conductas maliciosas?
La no configuración adecuada de seguridad en los
servidores virtuales de un cliente, puede poner en
riesgo la disponibilidad de servicio de los otros
clientes que comparten la misma infraestructura, ya
que en el evento en que un servidor se vea
comprometido en actividades delictivas, puede ser
confiscado el servidor físico por parte de las
autoridades legales, viéndose comprometidos los
datos de los demás clientes. Para evitar esto, las
empresas deben asegurarse de definir e
implementar controles de seguridad adecuados que
permitan la identificación temprana de eventos que
atenten contra la integridad de la información y
permita que se tomen medidas apropiadas.
¿Cómo se protegen los datos frente a un ataque
externo?
El hecho de tener entornos de nube, no puede
dejarse de un lado la seguridad física de las
instalaciones de los centros de cómputo de datos,
instalación de dispositivos de monitoreo, personal de
seguridad, controlar el acceso a las instalaciones
mediante sistemas de autenticación biométricas.
Para mitigar el impacto que genera la instrucción de
usuarios malintencionados, las empresas deben
tener personal capacitado en la identificación de un
ataque externo, su registro y cómo prevenirlos. Así
mismo como realizar todo el tratamiento a estos
riesgos y su mitigación.
¿Me permiten cumplir con las normativas
vigentes (por ejemplo SOX, HIPAA, PCI, LOPD,
ENS, etc.) las políticas, procedimientos y
tecnologías implantadas por el proveedor de
cloud pública?
Las empresas, de acuerdo a su actividad económica
deben cumplir con ciertas normas y regulaciones.
Debido a que La responsabilidad por el incumplimiento
recae habitualmente sobre las empresas y no sobre
los proveedores con los que se tiene contratado el
servicio de Computación en la Nube, las empresas
5

deben tener conocimiento si el proveedor que se
pretende contratar cumple con la misma rigurosidad,
las regulaciones exigidas. La mayor preocupación es
donde están almacenados los datos y en caso de un
desastre dónde serán transferidos, ya que puede haber
incumplimientos y violación a algunas leyes de
privacidad el hecho de trasferir cierta información, fuera
del país o zona geográfica.
Cuando quiera cambiar de proveedor de cloud
pública, ¿qué procedimientos he de seguir?
Aunque ya se han ido desarrollando estándares sobre
el tema, todavía podemos afirmar que la
interoperabilidad entre proveedores de Computación en
la Nube está todavía poco madura. Por ello las
empresas deben, a la hora de firmar los contratos de
servicio, dejar claro en qué momento y cuáles serán las
razones que den por finalizado el contrato de Nube
pública y migrarlo a otro proveedor cuándo se
considere necesario. También es importante conocer el
procedimiento utilizado por el proveedor del servicio,
sobre el borrado de la información y como garantiza
que esta de haya realizado de manera segura una vez
que se de por finalizado el contrato.
¿Qué tipo de monitorización y gestión del servicio
tiene el proveedor?
Es importante conocer cuáles son los procedimientos y
herramientas utilizadas por el proveedor de servicio
para la realización del monitoreo, ya que a pesar de
que la mayoría de las empresas han implementado
sistemas y herramientas de gestión y han adoptado
mejores prácticas alineadas ISO 27001, Cobit e ITIL,
poco se conoce sobre cómo los proveedores de
Computación en la Nube gestionan sus propios
entornos de TI. Es necesario conocer el nivel de
madurez que tiene el proveedor en este aspecto y que
ofrezcan las garantías suficientes para ofrecer servicios
que satisfagan las necesidades de sus clientes.
¿Qué otros clientes tiene el proveedor en la
actualidad?
Contar con la opinión de otros clientes que ya han
tenido contratado el servicio de Computación en la
nube del proveedor que queremos contratar, es de
vital importancia, ya que nos permite obtener
información más verás sobre las debilidades y
fortalezas y este proveedor, así como de la experiencia
con la cuenta en el mercado y de la capacidad de
actuar frente al proceso de migración de las cargas.
¿Cuál es la situación financiera del proveedor?
Conocer la Situación financiera del proveedor, nos
dice mucho, ya que nos permite tener un parte de
Ing. USBMed, Vol. x, No. x, mes-mes 201X
tranquilidad a la hora de invertir en servicio, cuando
se sabe que su situación económica es solida. Esto
nos da una idea que se realizan inversiones en
aspectos muy importantes para garantizar la
seguridad, confidencialidad e integridad de los dato,
realizando inversiones en capacidad extra para
permitir una escalabilidad más flexible, sistemas de
seguridad y monitorización, capacidades de
recuperación de desastres, nuevas funcionalidades,
etc.
7. ASPECTOS LEGALES DE COMPUTACION EN
LA NUBE
Gracias al vertiginoso incremento a nivel mundial en
el almacenamiento de datos de carácter personal a
través de diversos medios digitales y virtuales. El
intercambio de información entre personas y
empresas, partiendo de un solo interés de
mantener la confidencialidad, integridad y
disponibilidad de la información personal. Muchos
países en el mundo han establecido leyes donde su
principal objetivos es proteger la información; Suecia
en 1973 fue el primer país en el mundo en definir
una ley de protección de datos, luego Estados
Unidos en 1974, seguido de Canadá, Francia,
Dinamarca, Noruega, Austria entre otros países que
empezaron a promulgar leyes de este tipo.
Por otro lado México ha firmado su propia ley de
protección de datos, siendo esta una de las más
nuevas y robustas del mundo, comparándola con la
de la unión europea; sin embargo en el análisis de
estas leyes, podemos identificar que estas no
contemplan el tratamiento de datos personales en
servicios de computación en la nube, países como
UE, Argentina, Suiza, Canadá, consideran "puertos
seguros" a los países que, si es posible transferir
datos de forma segura, teniendo en cuenta que, si
entre estos se almacena información, esta estará
cobijada por la ley de su país, adicional, en los
contratos deberá existir una clausura que garantice
esta legislación.
Muchos de los proveedores de Cloud Computing
ofrecen el servicio pero no indican en qué país están
alojada la información, sabiendo esto, Francia está
invirtiendo millones de euros en el diseño de su
propia Nube, evitando que empresas o personas de
su país almacenen información en otras nubes de
las cuales no puedan tener jurisdicción.
Colombia no está ajena a la necesidad de leyes de
protección de datos, con las cuales pueda estar en
el grupo de los países que participan en “Puerto
seguro” acreditados por la Comisión Europea. Por
ello hoy cuenta con un conjunto de leyes que
facilitará el desarrollo de la Computación en la nube
(Cloud Computing) en las empresas Colombianas. A
continuación se describen estas leyes y se enuncian
los temas más importantes:
6

Es necesario saber cuál es el principal objetivo de las
leyes de protección de datos más importantes, por
ejemplo:
 Ley 1266 de 2008 de Colombia
Estas obligaciones sobre el manejo de los datos
personales se pueden exigir a partir de la ley 1266 de
2008, donde se definen los deberes y derechos de las
partes frente a su tratamiento. Cuando una empresa
decide subir los datos a un servicio en la nube, asume
su calidad de fuente o de usuario de información y por
esta razón se vuelve responsable frente a la
disponibilidad e integridad de dichos datos, cuando se
suscriben a este tipo de contratos y suceden incidentes
donde se pone en riesgo la recolección, circulación y
tratamiento de datos personales. Esto es así porque la
ley, traslada el riesgo de la integridad de la información
a la persona que suministra la información propia o de
un tercero, asumiendo un riesgo por dicha actividad.
Habrá que determinar qué responsabilidad le cabe a la
empresa proveedora de servicios en la nube, cuando
por hechos atribuibles a ella, se afecta esa
disponibilidad e integridad de los datos, siempre y
cuando se deje pactado en el contrato, la
responsabilidad por la seguridad de información y en su
calidad de operador no establezca las medidas de
seguridad sobre los datos allí recibidos. A este
operador se le exigen también los deberes como tal de
la ley 1266 de 2008.
Sobre el tema de la ley aplicable a este tipo de
contratos es importante recalcar que la ley 1266 de
2008, es una norma sectorial destinada a proteger los
datos personales en la gestión del mercado financiero y
crediticio quedando por fuera la protección de datos
personales en general cuando se trata de bases de
datos personales que circulan de un país a otro o
internamente, en una red privada. Hasta tanto se emita
la ley sobre datos personales esta norma será la única
que nos permita proteger estos aspectos por analogía
por regular aspectos similares [4].
 Ley 1273 de 2009 de Colombia
Esta ley modifica el Código Penal, se crea un nuevo
bien jurídico tutelado - denominado “de la protección de
la información y de los datos”- y se preservan
integralmente los sistemas que utilicen las tecnologías
de la información y las comunicaciones, entre otras
disposiciones [4].
Esta ley protege:
En su Capitulo 1:
A los sistemas de Información de los atentados
contra la confidencialidad, la integridad y la
Ing. USBMed, Vol. x, No. x, mes-mes 201X
disponibilidad de los datos y de los sistemas
informáticos.
Esta ley penaliza:
 El acceso abusivo a los sistemas informáticos.
(Articulo 269A) [5].
 La obstaculización ilegítima de sistema
informático o red de telecomunicación.
(Articulo 269B) [5].
 La interceptación de datos informáticos.
(Articulo 269C) [5].
 El Daño Informático. (Articulo 269D) [5].
 El uso de software malicioso. (Articulo 269E)
[5].
 La violación de datos personales. (Articulo
269F) [5].
 La suplantación de sitio web. (Articulo 269G)
[5].
En su Capitulo 2:
De los atentados informáticos y otras
infracciones.
Esta ley penaliza:
 El hurto por medios informáticos y semejantes.
(Articulo 269I) [5].
 La transferencia no consentida de activos.
(Articulo 269J) [5].
 Ley 1221 de 2008 de Colombia
Por la cual se establecen normas para promover y
regular el Teletrabajo y se dictan otras disposiciones.
Esta ley tiene por objeto promover y regular el
Teletrabajo como un instrumento de generación de
empleo y autoempleo mediante la utilización de
tecnologías de la información (TIC). (Articulo 1) [6].
Definiciones Para la puesta en marcha de la
presente ley se tendrá las siguientes definiciones:
Teletrabajo: Es una forma de organización laboral, que
consiste en el desempeño de actividades remuneradas
o prestación de servicios a terceros utilizando como
soporte las tecnologías de la información y la
comunicación – TIC para el contacto entre el trabajador
y la empresa, sin requerirse la presencia física del
trabajador en un sitio específico de trabajo.
7

El teletrabajo puede revestir una de las siguientes
formas:
Autónomos son aquellos que utilizan su propio
domicilio o un lugar escogido para desarrollar su
actividad profesional, puede ser una pequeña oficina,
un local comercial. En este tipo se encuentran las
personas que trabajan siempre fuera de la empresa y
sólo acuden a la oficina en algunas ocasiones.
Móviles son aquellos teletrabajadores que no tienen un
lugar de trabajo establecido y cuyas herramientas
primordiales para desarrollar sus actividades
profesionales son las Tecnologías de la Información y
la comunicación, en dispositivos móviles.
Suplementarios, son aquellos teletrabajadores que
laboran dos o tres días a la semana en su casa y el
resto del tiempo lo hacen en una oficina.
Teletrabajador. Persona que desempeña actividades
laborales a través de tecnologías de la información y la
comunicación por fuera de la empresa a la que presta
sus servicios. (Articulo 2) [6].
A nivel mundial encontramos leyes más estructuradas
en temas de protección y tratamiento de los datos,
entre ellas mencionamos la más conocidas en el medio
de Computación en la nube:
 Ley LFPDPPP de México
Sus principales objetivos son:
Garantizar la privacidad y la autodeterminación de los
datos personales, Regular el tratamiento de los datos
personales [7].
 Ley 25.326 de Argentina
Sus principales objetivos son:
Protección integral de los datos personales asentados
en archivos, registros, bancos de datos, u otros medios
técnicos de tratamiento de datos, sean éstos públicos,
o privados [8].
 Ley LOPD de España
Sus principales objetivos son:
El tratamiento de los datos y ficheros, de carácter
personal, los derechos de los ciudadanos sobre
ellos y las obligaciones de aquellos que los crean o
tratan.
Ing. USBMed, Vol. x, No. x, mes-mes 201X
Cuando hablamos de un servicio en la nube
siempre surge la duda de dónde se almacenan
nuestros datos y en qué medida cumplen con leyes
de cada país. Es importante verificar que nuestra
información este segura y cumplimos con todos los
requisitos legales a la hora de efectuar el
tratamiento de información para mantener la
protección de datos en la nube.
Uno de los países que no tiene este problema es
España con su ley LOPD, para ellos el
almacenamiento de información no debe ser un
problema, puesto que las empresas que quieran
vender el servicio de Cloud Computing deben
cumplir con LOPD si las empresas externas no
cumplen con esto, es difícil que alguien contrate
su servicio [9]
8. CONCLUSIONES
 Podemos concluir que el servicio de Cloud
Computing revoluciona el concepto de
almacenamiento y acceso a la información.
Con el pasar de los años se firmarán leyes que
puedan regular y controlar la información que
en manos de particulares se almacene a
través de Cloud Computing, estas generaran
confianza y más credibilidad en el servicio.
 Podemos concluir que el servicio Cloud
Computing está creciendo a pasos agigantados
de la mano de muchas empresas que
apuestan a este servicio, algunos países creen
en sus ventajas, sin dejar de lado los controles
y sus cláusulas legales.
 En conclusión, el contratar o no contratar el
servicio de computación en la Nube es una
decisión que cada empresa o persona debe
evaluar tomando en cuenta todos los factores y
condiciones que se tienen, además de la
protección que se ofrece a los titulares de los
datos o interesados.
 Una ley de datos personales que cumpla con el
estándar europeo, deberá considerar además
la regulación sobre el tratamiento automatizado
de datos personales (a partir de perfiles
elaborados de usuario), permitiendo los
mecanismos para que los titulares puedan
evitar esta automatización y la existencia de un
mecanismo de control o procedimiento de
defensa de los derechos del titular, aparte de la
existencia de una entidad que opere la
información y que exista transferencia de datos
entre particulares a partir de la ley 1266 del
2008. Esto nos demuestra que Colombia en
este aspecto todavía no cuenta con un nivel
mínimo de protección de datos personales
que permitan responsabilizar a las partes
cuando se suban los datos a una nube,
recayendo siempre la responsabilidad en quien
8
 Ing. USBMed, Vol. x, No. x, mes-mes 201X

allí los sube, hasta tanto no surja esta ley de

datos personales.

REFERENCIAS
[1 TECNOENT.COM; http://www.tecnoent.com/878-cloud-
computing-computacion-n-nube
[2] ISAZURE.FILES.WORDPRESS.COM
http://isazure.files.wordpress.com/2011/04/tiposservicio2.jpg
[3] CCOMPUTING-SOSW.BLOGSPOT.COM;
http://ccomputing-sosw.blogspot.com/2010/09/clasificacion-de-
computacion-en-la-nube.html
[4] NETGROUPSA.COM;
http://netgroupsa.com/Documentos/articulo1-cc-
perspectiva_colombia.pdf
[5] SECRETARIASENADO.GOV.CO;
http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/l
ey_1273_2009.html
[6] SECRETARIASENADO.GOV.CO;
http://www.secretariasenado.gov.co/senado/basedoc/ley/2008/l
ey_1221_2008.html
[7] DIPUTADOS.GOB.MX;
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
[8] PROTECCIONDEDATOS.COM.AR;
http://www.protecciondedatos.com.ar/ley25326.htm
[9] BOE.ES; http://www.boe.es/boe/dias/1999/12/14/pdfs/A43088-
43099.pdf