Ayer asistí a una muy interesante Mesa Redonda organizada por ESADE sobre la “Utilización del cloud computing por los abogados: beneficios, riesgos e implicaciones jurídicas”. Entre los ponentes: Elisa de la Nuez, Jesús Rubí, Xabier Ribas, Pere Houget y Javier Martínez Bavière. Allí, además de saludar a Jesús, antiguo compañero de la AEPD, o a Elisa, mi editora en el blog ¿hayderecho?, pude entender mejor lo que significa la celebre Nube y me han animado a reflexionar brevemente sobre este asunto.
Como suele suceder con las soluciones tecnológicas novedosas que implican también cambios en la forma tradicional de trabajar y que nos obligan a salir de nuestra zona de confort, se trata de una herramienta que tienen tantos defensores como detractores y eso, de una manera u otra, también quedó de manifiesto en la Mesa Redonda.
En principio, el “cloud computing” o computación en la nube, consiste en un modelo de trabajo en el que la información se almacena de manera permanente en servidores de Internet y se envía a cachés temporales de cliente ubicados en sus equipos de escritorio, smartphones, portátiles, etc. Lo revolucionario del nuevo planteamiento se encuentra en que no exige que el usuario deba invertir en un hardware con todos los requerimientos técnicos y legales que su actividad y la normativa vigente puedan exigir, pues a través de este modelo de prestación de servicios de negocio y tecnología, los proveedores permiten al usuario acceder a un catálogo de servicios estandarizados que incluyen desde aplicaciones a bases de datos (incluyendo la información y los expedientes de trabajo de la empresa cliente) y responder a las necesidades de su negocio, de forma en teoría flexible y adaptándose a las necesidades del cliente facturándole únicamente por el consumo efectuado.
Desde un punto de vista meramente técnico y empresarial, no cabe duda de que se trata de un instrumento tecnológicamente muy avanzado y con altos nivel de seguridad en la protección y almacenamiento de la información, que puede disminuir el coste económico de la adaptación de las empresas a la rápida evolución de las tecnologías de la información que, con mucha frecuencia, convierte en obsoletas las inversiones aun antes de haber concluido sus plazos de amortización, puede facilitar (a través de la externalización) la introducción de mediadas técnicas de seguridad en el tratamiento de los datos propios de la empresa que de otra manera sería inviable asumir y, además, permite una mayor flexibilidad en el acceso a la información permitiendo ser operativo en cualquier lugar en donde exista cobertura por Internet.
Una característica propia de esta nueva manera de prestar servicios informáticos se encuentra en la circunstancia de que los principales proveedores de los mismos operan en un ámbito global. De hecho, el concepto de la computación en la nube empezó en proveedores de servicio de Internet a gran escala, como Google, Amazon AWS, Microsoft y otros que construyeron su propia infraestructura con un modelo específico de arquitectura que se consolidó a partir del año 2006.
Este elemento tiene una influencia determinante en las implicaciones jurídicas que hemos de resolver para que su uso pueda extenderse de manera generalizada entre nosotros pues, por la dimensión de las empresas proveedoras, la relación entre los proveedores de estos servicios y sus clientes se materializan normalmente a través de contratos de adhesión en donde la posición del prestador de servicios se encuentra muy reforzada. El contenido de estos contratos va a ser esencial y dada la importancia que para el cliente que va a tener este servicio (que en caso de mal funcionamiento puede llegar a colapsar el negocio), deberían de ser estudiados muy detenidamente antes de ser suscritos.
Por otra parte, al tratarse de empresas radicadas en el extranjero la protección dada por la legislación interna en defensa de los consumidores y usuarios queda bastante minimizada y la posibilidad de recabar el amparo de nuestra administración de justicia se dificulta. Habrá que avanzar en el establecimiento de procedimientos de mediación o de arbitraje internacional que sean ejecutivos y asequibles también para el pequeño o mediano empresario que contrate estos servicios. Por contra, de cara al cliente, cualquier malfuncionamiento de la aplicación o cualquier fuga de información que se produzca y sea perjudicial para su cliente, va a suponer que pueda incurrir en algún tipo de responsabilidad que, más tarde, va a ser difícil que se pueda repercutir al proveedor de servicios en la nube.
En la Mesa redonda se trató con profundidad la cuestión de la protección de los datos personales y la confidencialidad de la información, toda vez que el tratamiento en la nube implica necesariamente la existencia de transferencia internacional de datos y en muchos casos hacia países que no tienen un nivel adecuado de protección conforme a los estándares de la Unión europea. El origen mayoritariamente estadounidense de las empresas que prestan estos servicios y las diferentes culturas que inspiran nuestros respectivos derechos (autoregulatoria en EEUU y con una importante intervención de los poderes públicos en Europa), plantea también un reto que exige acercar mutuamente posturas para alcanzar una posición común que no resulte una claudicación para ninguna de las partes. En este sentido, el ponente Jesús Rubí nos anunció que en un plazo relativamente breve de tiempo, el Working party del art. 29 de la Directiva comunitaria sobre protección de datos va a presentar un informe donde se va a recoger la posición común de la Unión en esta materia.
En este sentido, el Adjunto al Director de la AEPD señaló algo tan importante como el cambio de paradigma que la nueva situación puede plantear respecto del presupuesto que inspira la regulación actual de las relaciones entre el responsable del fichero y el encargado de tratamiento. Hasta ahora, se suponía que el responsable del fichero tenía un control efectivo sobre las actividades que realiza el encargado de tratamiento en su nombre, sin embargo en entorno “nube”, la situación se altera pues para una pequeña o mediana empresa, dado el tamaño de su socio tecnológico, le va a resultar imposible poder realizar un control real de cómo las empresas poveedora tratan la información que alojan en sus servidores.
El debate abrió la puerta a otras muchas cuestiones que, dadas las limitaciones de horario, quedaron en el aire o simplemente se enunciaron como, por ejemplo, los mecanismos de protección de la propiedad intelectual o industrial contenida en la información alojada en la nube; la existencia o no de instrumentos para resolver los posibles conflictos de intereses que puedan surgir entre las empresas proveedoras y sus clientes a cuenta de la información almacenada; las posibles incompatibilidades de las empresas proveedoras para evitar la tentación de proceder a una minera de datos sobre la información tratada; el efecto en la vulneración de la confidencialidad en la relación abogado-clientes a resultas de la aplicación de la Patriot Ast si se residencian en la nube la información contenida en los ficheros de un bufete criminalista, etc…
Tampoco se entró a valorar la aplicación de la nube en las Administraciones Públicas y de que manera, ello podría afectar a la seguridad nacional o incluso a su soberanía (si se ven impuestas a aceptar esos contratos de adhesión).
En conclusión, aceptando que, desde un punto de vista tecnológico, la nube puede ser un entorno de trabajo suficientemente seguro, sin embargo, en mi opinión, aún quedan muchos interrogantes jurídicos por resolver para que este nuevo modelo pueda desenvolverse en un entorno de seguridad jurídica aceptable para nuestra cultura jurídica. En cualquier caso, la solución a las cuestiones planteadas y a otras muchas que pueden ir surgiendo, va a suponer un interesante reto. Es posible que para superarlo deba adecuarse un tanto nuestro derecho interno, pero que en cualquier caso, también debería exigirse a las multinacionales proveedoras un pequeño esfuerzo de adaptación a nuestra cultura normativa.
Seminarios y mesas de trabajo como el organizado ayer por ESADE, sin duda ayudaran a resolverlos. Enhorabuena a los organizadores y a los ponentes.
