viernes, 25 de mayo de 2012

Algunas reflexiones sobre los retos jurídicos que supone el “Cloud Computing”.

Ayer asistí a una muy interesante Mesa Redonda organizada por ESADE sobre la “Utilización del cloud computing por los abogados: beneficios, riesgos e implicaciones jurídicas”. Entre los ponentes: Elisa de la Nuez, Jesús Rubí,  Xabier Ribas, Pere Houget y Javier Martínez Bavière. Allí, además de saludar a Jesús, antiguo compañero de la AEPD, o a Elisa, mi editora en el blog  ¿hayderecho?, pude entender mejor lo que significa la celebre Nube y me han animado a reflexionar brevemente sobre este asunto.
Como suele suceder con las soluciones tecnológicas novedosas que implican también cambios en la forma tradicional de trabajar y que nos obligan a salir de nuestra zona de confort, se trata de una herramienta que tienen tantos defensores como detractores y eso, de una manera u otra, también quedó de manifiesto en la Mesa Redonda.
J.M.Pérez: "Gibraltar Point"
En principio, el “cloud computing” o computación en la nube, consiste en un  modelo de trabajo en el que la información se almacena de manera permanente en servidores de Internet y se envía a cachés temporales de cliente ubicados en sus equipos de escritorio, smartphones,  portátiles, etc. Lo revolucionario del nuevo planteamiento se encuentra en que no exige que el usuario deba invertir en un hardware con todos los requerimientos técnicos y legales que su actividad y la normativa vigente puedan exigir, pues a través de este modelo de prestación de servicios de negocio y tecnología, los proveedores permiten al usuario acceder a un catálogo de servicios estandarizados que incluyen desde aplicaciones a bases de datos (incluyendo la información y los expedientes de trabajo de la empresa cliente) y responder a las necesidades de su negocio, de forma en teoría flexible y adaptándose a las necesidades del cliente facturándole únicamente por el consumo efectuado.
Desde un punto de vista meramente técnico y empresarial, no cabe duda de que se trata de un instrumento tecnológicamente muy avanzado y con altos nivel de seguridad en la protección y almacenamiento de la información, que puede disminuir el coste económico de la adaptación de las empresas a la rápida evolución de las tecnologías de la información que, con mucha frecuencia, convierte en obsoletas las inversiones aun antes de haber concluido sus plazos de amortización, puede facilitar (a través de la externalización) la introducción de mediadas técnicas de seguridad  en el tratamiento de los datos propios de la empresa que de otra manera sería inviable asumir y, además, permite una mayor flexibilidad en el acceso a la información permitiendo ser operativo en cualquier lugar en donde exista cobertura por Internet.
Una característica propia de esta nueva manera de prestar servicios informáticos se encuentra en la circunstancia de que los principales proveedores de los mismos operan en un ámbito global. De hecho, el concepto de la computación en la nube empezó en proveedores de servicio de Internet a gran escala, como Google, Amazon AWS, Microsoft  y otros que construyeron su propia infraestructura con un modelo específico de arquitectura que se consolidó a partir del año 2006.
Este elemento tiene una influencia determinante en las implicaciones jurídicas que hemos de resolver para que su uso pueda extenderse de manera generalizada entre nosotros pues, por la dimensión de las empresas proveedoras, la relación entre los proveedores de estos servicios y sus clientes se materializan normalmente a través de contratos de adhesión en donde la posición del prestador de servicios se encuentra muy reforzada. El contenido de estos contratos va a ser esencial y dada la importancia que para el cliente que va a tener este servicio (que en caso de mal funcionamiento puede llegar a colapsar el negocio), deberían de ser estudiados muy detenidamente antes de ser suscritos.
Por otra parte, al tratarse de empresas radicadas en el extranjero la protección dada por la legislación interna en defensa de los consumidores y usuarios queda bastante minimizada y la posibilidad de recabar el amparo de nuestra administración de justicia se dificulta. Habrá que avanzar en el establecimiento de procedimientos de mediación o de arbitraje internacional que sean ejecutivos y asequibles también para el pequeño o mediano empresario que contrate estos servicios. Por contra, de cara al cliente, cualquier malfuncionamiento de la aplicación o cualquier fuga de información que se produzca y sea perjudicial para su cliente, va a suponer que pueda incurrir en algún tipo de responsabilidad que, más tarde, va a ser difícil que se pueda repercutir al proveedor de servicios en la nube.
En la Mesa redonda se trató con profundidad la cuestión de la protección de los datos personales y la confidencialidad de la información, toda vez que el tratamiento en la nube implica necesariamente la existencia de transferencia internacional de datos y en muchos casos hacia países que no tienen un nivel adecuado de protección conforme a los estándares de la Unión europea. El origen mayoritariamente estadounidense de las empresas que prestan estos servicios y las diferentes culturas que inspiran nuestros respectivos derechos (autoregulatoria en EEUU y con una importante intervención de los poderes públicos en Europa), plantea también un reto que exige acercar mutuamente posturas para alcanzar una posición común que no resulte una claudicación para ninguna de las partes. En este sentido, el ponente Jesús Rubí nos anunció que en un plazo relativamente breve de tiempo, el Working party del art. 29 de la Directiva comunitaria sobre protección de datos va a presentar un informe donde se va a recoger la posición común de la Unión en esta materia.
En este sentido, el Adjunto al Director de la AEPD señaló algo tan importante como el cambio de paradigma que la nueva situación puede plantear respecto del presupuesto que inspira la regulación actual de las relaciones entre el responsable del fichero y el encargado de tratamiento. Hasta ahora, se suponía que el responsable del fichero tenía un control efectivo sobre las actividades que realiza el encargado de tratamiento en su nombre, sin embargo en entorno “nube”, la situación se altera pues para una pequeña o mediana empresa, dado el tamaño de su socio tecnológico, le va a resultar imposible poder realizar un control real de cómo las empresas poveedora tratan la información que alojan en sus servidores.
El debate abrió la puerta a otras muchas cuestiones que, dadas las limitaciones de horario, quedaron en el aire o simplemente se enunciaron como, por ejemplo, los mecanismos de protección de la propiedad intelectual o industrial contenida en la información alojada en la nube; la existencia o no de instrumentos para resolver los posibles conflictos de intereses que puedan surgir entre las empresas proveedoras y sus clientes a cuenta de la información almacenada; las posibles incompatibilidades de las empresas proveedoras para evitar la tentación de proceder a una minera de datos sobre la información tratada; el efecto en la vulneración de la confidencialidad en la relación abogado-clientes a resultas de la aplicación de la Patriot Act de EE.UU., si se residencian en la nube la información contenida en los ficheros de un bufete criminalista, etc…
Tampoco se entró a valorar la aplicación de la nube en las Administraciones Públicas y de que manera, ello podría afectar a la seguridad nacional o incluso a su soberanía (si se ven impuestas a aceptar esos contratos de adhesión).
En conclusión, aceptando que, desde un punto de vista tecnológico, la nube puede ser un entorno de trabajo suficientemente seguro, sin embargo, en mi opinión, aún quedan muchos interrogantes jurídicos por resolver para que este nuevo modelo pueda desenvolverse en un entorno de seguridad jurídica aceptable para nuestra cultura jurídica. En cualquier caso, la solución a las cuestiones planteadas y a otras muchas que pueden ir surgiendo, va a suponer un interesante reto. Es posible que para superarlo deba adecuarse un tanto nuestro derecho interno, pero que en cualquier caso, también debería exigirse a las multinacionales proveedoras un pequeño esfuerzo de adaptación a nuestra cultura normativa.
Seminarios y mesas de trabajo como el organizado ayer por ESADE, sin duda ayudaran a resolverlos. Enhorabuena a los organizadores y a los ponentes.

6 comentarios:

  1. Muy interesante el artículo, yo te diría que por simplificar la "nube" en sí no significa nada más que un ordenador (servidor) en el que se guardan los datos. Entonces la clave estriba en dónde está el servidor y quién es el propietario. Por ejemplo, caso 1, si una empresa tiene los servidores alojados en sus oficinas centrales y desde todas las sedes se conectan, no hay cuestión, porque los datos los sigue teniendo la empresa. Caso 2, cuando se contrata un servicio cloud computing con una empresa diferente estamos ante el mismo caso de empresa externa donde se regula su relación a través de un contrato de prestación de servicios que ya recoge la LOPD actual. Caso 3, contrato ese servicio con una empresa en internet que tiene los servidores en el extranjero; aquí sí que ya en mi opinión tenemos un problema. El caso 2 no creo que plantee problema alguno, ya que en las cláusulas del contrato de prestación de servicios deben preverse las consecuencias respecto del incumplimiento de la LOPD. Pensemos en cualquier empresa de mantenimiento informático que (sin incluir la nube) tiene acceso por razón del contrato a datos de la empresa cliente. Un saludo.

    ResponderEliminar
    Respuestas
    1. Gracias Jose. Yo también pensaba que era así, pero después de escuchar a los ponentes de ayer me he dado cuenta de que tal y como se plantea la nube, los proveedores principales van a ser grandes compañías multinacionales que ya han desarrollado arquitecturas y soluciones que permiten ofrecer a sus clientes no solo servicios de hosting o backup, sino toda clase de aplicaciones y utilidades para tramitar procesos en linea y poder desarrollar por completo la actividad empresarial. En esos casos, casi siempre el porveedor va a estar ubicado fuera de la UE o, al menos, subcontratará servicios con empresas radicadas fuera de la UE.

      Eliminar
  2. Qué interesantísimo. Me pregunto si se podrá dar el supuesto de la existencia de "paraísos de la nube", es decir, territorios en los que se practique la exención de responsabilidad en caso de prácticas reprobables en la gestión de los datos, o deberíamos de comenzar a pensar en la existencia de un Código Global de obligada ratificación por las empresas, o por los Estados o por ambos. Por imaginar, incluso podríamos ponderar la posibilidad de un ¿"Estado virtual"? ... Muchas reflexiones (imposible is nothing). Gracias por el artículo,

    ResponderEliminar
    Respuestas
    1. Gracias Ascensión. No es descartable que terminen apareciendo "paraisos de la nube". Es uno de los riesgos posibles. Aunque, en teoría, el propio modelo de negocio de las multinacionales que se están empezando a dedicar a esto está basado en la confianza y, en principio, sus políticas de autoregulación se supone que son estrictas.
      Lo cierto es que el nivel de seguridad exigido en Europa no es la norma sino la excepción en el resto del mundo y los efectos del acuerdo de "safe harbour" que ampara a diversas empresas, según se comentó en la propia Mesa Redonda, es discutible que ampare completamente a los clientes de estos servicio.
      El tiempo dirá.

      Eliminar
  3. Bien planteado, Jose Mª. Pero este asunto es más relevante de lo que a primera vista parece, y no es un fenómeno meramente tecnológico sino también estratégico. Siempre se ha dicho que la información es poder y no deja de sorprenderme y preocuparme la alegría con la que estamos aceptando estas tecnologías, proporcionando, muchas veces sin saberlo, información personal y de negocio, tanto a nivel particular como empresarial, a poderosas multinacionales que, en el mejor de los casos, la están explotando comercialmente y en el peor, la pueden llegar a utilizar para prácticas desleales de espionaje empresarial o político/militar. Además de la más que previsible deriva hacia nubes deslocalizadas a "paraisos legales", donde la protección de datos sea facilmete burlada, este fenómeno lleva consigo una pérdida de puestos de trabajo del sector informático (soporte a sistemas) a nivel local.

    ResponderEliminar
    Respuestas
    1. Estoy de acuerdo contigo, la nube nos seduce con aparentes ventajas y nuevas funcionalidades pero comporta también nuevos riesgos.

      En cualquier caso, la fuga de información o la mminería de datos es una realidad que está detrás de muchos fenómenos como facebook o linkedin. Incluso algo tan inocuo como gmail pues como seguramente sabes, toda la información que dejamos por aquí, termina en "espejos" radicados en EE.UU. cuyas normas en materia de protección de datos, incluso con la aplicación de los principiios del "safe harbour" son mucho más flexibles que las vigentes en España.

      Eliminar