NIMBOSFERA

22 de Mayo del 2012 - Luis Salvador Montero @LuisSalvadorMon
Cloud Computing & Privacy en España: Presente y futuro del cumplimiento.

Recientemente he sido invitado por Nimbosfera a escribir una colaboración en su blog sobre Cloud y privacidad… ¿Y qué escribir del Cloud que no se haya escrito aún…? “El nuevo paradigma” que nos permite conseguir ahorros sustanciales en mantenimiento de software, reducir la necesidad de invertir en máquinas, licencias, medidas de seguridad… y todo ello al tiempo que eleva hasta el infinito o valores próximos a éste la accesibilidad a los recursos permitiendo al usuario acceder a los mismos en cualquier momento, desde cualquier lugar, desde cualquier dispositivo, ya sea una ordenador, una tableta o un smartphone con la única exigencia de disponer de una conexión a internet… Todo son ventajas… ¿todo? Todo no, o eso opinamos los datamaníacos que además de sopesar todo lo anteriormente descrito, nos fijamos en la problemática que en relación a la privacidad estos revolucionarios SaaS, IaaS y “demáas” pueden suponer…

Y puestos a analizar la problemática que en cuanto a privacidad -y de acuerdo con la normativa actual- el Cloud entraña, tampoco se puede ser excesivamente original para escribir algo que les pueda resultar atractivo a Ustedes, ávidos lectores de blogueros mucho más puestos que yo en estos temas… Así que por ello, pretendo hacer un análisis a futuro partiendo de la problemática de cumplimiento que en el presente nos encontramos al decidir desplegar una estrategia de migración al Cloud….

Presente

Uno de los primeros problemas que nos encontramos en la actualidad cuando hablamos de Cloud desde el prisma de la privacidad, es si la normativa española realmente resulta aplicable o no a determinados proveedores de servicios que se encuentran fuera del Espacio Económico Europeo y que defienden no estar obligados a acatar la normativa española por normas de Derecho Internacional… Además en muchas de estas ocasiones, nos encontramos ante contratos de adhesión que incluyen cláusulas de aceptación de fueros lejanos y sometimiento a leyes de otros países e incluso, afirman que no se aplicarán normas de conflictos de legislación…

La Autoridad Nacional en materia de privacidad, la Agencia Española de Protección de Datos, tiene muy claro, y los demás creo que a estas alturas de la película también, que en cualquier caso, aplique o no aplique la normativa al proveedor (que siempre ocupará una posición de encargado de tratamiento), desde luego, al responsable “nacional” de los ficheros le aplica “en toda la frente”, si se me permite la expresión; y por ello, la Agencia ha dejado muy claro en todas las oportunidades que se le han presentado y son muchas (ENISE 5 organizado por INTECO: Taller “Privacidad en la Nube”, IV Sesión abierta de la AEPD: “Cloud Computing, Sujetos que intervienen, ley aplicable, garantías. Transferencias Internacionales de Datos” por Jesús Rubí Navarrete y María José Blanco, respectivamente, o recientemente en el Taller práctico sobre Cloud que organizó la Asociación Profesional Española de Privacidad, por citar sólo algunas de ellas) que fruto de esa obligación de cumplimiento tal y como establece el artículo 12 de nuestra vigente Ley Orgánica de Protección de Datos, deberá plasmarse la relación jurídica existente entre responsable del fichero (cliente cloud) y el encargado del tratamiento (proveedor de servicio) en un contrato de los regulados en tal precepto y en los 20 a 22 de su Reglamento de Desarrollo.

En este sentido, la Agencia Española viene destacando igualmente que no bastará con la celebración del citado contrato entre responsable y encargado sino que cobra especial importancia la observancia del deber de vigilancia que sobre el encargado ha de ejercer el responsable impuesto por el artículo 20.2 del Reglamento. Establece la Agencia que una forma de cumplir con este deber podría ser el acceso por el cliente a informes o certificados de auditorías externas desarrolladas por expertos independientes a estos proveedores de servicio. Claro, imagino que la Agencia no se habrá dado cuenta –o sí- de que normalmente la diferencia de tamaño que existe entre el cliente de estos servicios en nuestro país, y los proveedores –en su mayoría “gigantes” tecnológicos- desnivela bastante la balanza de las negociaciones hacia el lado del proveedor y por ello, el cliente, la mayoría de las veces se ve incapaz de “exigir” nada de nada a esos prestadores, aunque en este mismo sentido, admite la celebración de estos contratos de adhesión siempre que su contenido mínimo se ajuste al establecido en el reglamento.

Por último, otro de los escollos que deberán salvarse al tratar de conjugar los intereses económicos, técnicos y de cumplimiento normativo cuando desplegamos una estrategia de adopción de Cloud, sería el relativo a la localización (o deslocalización, más bien) de los datos… Como su propio nombre indica, en el Cloud, los datos están “en la nube”, y “en la nube”, no tiene porqué existir un nivel adecuado de protección de datos, o no tiene por qué estar en un país respecto del cual el Director de la Agencia o el Grupo de Trabajo del Artículo 29 hayan decretado que reúna las debidas condiciones para autorizar una transferencia internacional… Muchos de estos proveedores de servicios, ni siquiera ofrecen información en sus contratos de adhesión al servicio de los que hablaba anteriormente y contienen “disclaimings” del tipo “sus datos podrán estar albergados en servidores situados en países diferentes del suyo”, por tanto, y ni siquiera en el caso de que estos proveedores se encontraran incluidos en el “Puerto Seguro”, tampoco podría concretarse tal transferencia de datos al ser de aplicación exclusivamente a servidores situados en Estados Unidos.

Pues bien, ante toda esta problemática, la propia Agencia opta por recomendar escoger servicios de nube “locales” a los que sea de aplicación…

Yo vengo defendiendo que mientras siga en vigor la normativa actual, estas circunstancias deberían ser observadas por los proveedores “locales” como una oportunidad de diferenciación frente a otros proveedores globales que ni siquiera contemplan en sus planes de negocio, adoptar sus procedimientos al cumplimiento de una normativa tan exigente como pueda ser la española.

¿Y con el nuevo Reglamento?

De todos los datamaníacos es también sabido que el pasado mes de enero se publicó por la Comisión Europea un borrador de Reglamento que será de aplicación directa en toda la UE. Con él quieren acabar con problemas que se han dado en el pasado como la diferente intensidad con que la Directiva 95/46/CE fue traspuesta a los diferentes ordenamientos de los estados miembros y que muy probablemente haya distorsionado la libre circulación de datos por el espacio europeo y haya ocasionado que muchos de estos gigantes tecnológicos hayan optado por situar sus negocios en países con legislaciones más laxas frente a otras más exigentes, como pueda ser el caso español.

Llevo un tiempo estudiándome el borrador de reglamento y me atrevo a compartir con Ustedes al menos dos conclusiones sobre el mismo, a pesar de recalcar su estado actual de borrador y que por ello habrá que estar a posibles modificaciones previas a su aprobación definitiva caso de que esta llegue a producirse. Por un lado, veo bastante reflejados en el nuevo Reglamento los criterios con que se traspuso la Directiva en la Legislación española, o sea, creo que España no será de los países que vean elevadas las exigencias de cumplimiento… y por otro, no me aventuro a concluir nada más, pues me parece que la Comisión ha dejado, al menos en este borrador “beta” bastantes puertas abiertas con la posibilidad de adoptar actos delegados para puntualizar, aclarar o matizar cada una de las obligaciones que establece para proteger este derecho fundamental. Por tanto y como adelantaba, habrá que estar atentos tanto al texto definitivo como a esos posibles actos delegados adoptados por la Comisión que impongan nuevas obligaciones, puntualicen las impuestas o amplíen ámbitos de aplicación o desarrollo de la forma de cumplir algunas de ellas.

No obstante, y como quería analizar cómo influirá, a mi juicio, este nuevo marco normativo en los problemas de cumplimiento que plantea el actual en relación al Cloud, me aventuraré a ello:

En relación al ámbito territorial de aplicación, el nuevo borrador aclara bastante las dudas que pudiera suscitar el actual a los prestadores de servicio “deslocalizados”, estableciendo que todos aquellos proveedores que ofrezcan servicios a dirigidos a interesados en la Unión, deberán cumplir la nueva normativa… Por tanto, entiendo que deberemos asistir a la progresiva adaptación al cumplimiento de todos aquellos que no quieran tener problemas en el seno de la Unión Europea o que no quieran que esta exigencia de cumplimiento se convierta en una barrera para la contratación por parte de sus potenciales –o incluso actuales- clientes.

En relación al contrato de encargado, esta obligación se mantendrá, pero además y como digo en el punto anterior, el sometimiento a la normativa europea, hará que estos proveedores deban acatar todas las obligaciones que el Capítulo IV del borrador impone a los Encargados de Tratamiento, con importantes novedades como la observancia de los principios de la privacy by design o de la privacy by default del artículo 23, la elaboración y conservación determinada documentación del artículo  28, la adopción de medidas de seguridad del 30, notificación de quiebras de seguridad del 31 y 32, implantación de evaluaciones de impacto del 33 (tanto de los tratamientos que vayan a realizar sobre sus propios ficheros, como sobre los que vayan a realizar sobre datos de sus clientes), autorización y consulta previa del 34, nombramiento de un Data Privacy Officer (figura reglada en la Sección 4 de este capítulo)…

Y por último en relación a las transferencias internacionales que en una gran mayoría de ocasiones supone la prestación de servicios en la nube (o mejor dicho desde la nube), pues también habrá algunas novedades en el Capítulo que a ellas se destina (V), ya que se consentirán las mismas cuando en el país destinatario de las transferencias exista un nivel adecuado (artículo 41), cuando se adopten garantías apropiadas, tales como las normas corporativas vinculantes que se desarrollan en el artículo 43, las cláusulas tipo aprobadas por la Comisión o por una Autoridad Nacional o las cláusulas responsable-encargado también aprobadas por una Autoridad Nacional (artículo 42).

Por último, y de vuelta al Capítulo IV relativo a las obligaciones de responsables y encargados, y en relación a esa oportunidad en la que trataba de leer la obligación de cumplimiento normativo por estos proveedores locales de acuerdo a la normativa vigente en la actualidad, parece que no es una locura mía, y que el nuevo Reglamento viene a fomentar de alguna manera la normalización por la vía de la autorregulación (dedica el artículo 38 a la necesidad de contar con Códigos de Conducta Sectoriales, y este de la prestación de servicios Cloud podría ser –quizá- uno de ellos) y, sobre todo, de la certificación (artículo 39), pidiendo a los Estados y a la propia Comisión la promoción de este tipo de mecanismos para facilitar a los interesados la evaluación rápida del nivel de protección de datos que ofrecen los responsables y/o encargados.

En mi humilde opinión, las empresas del sector –ahora ya no solo las “locales”- deberían leer estas nuevas obligaciones en clave de oportunidad y no de amenaza, y deberían ir pensando en rediseñar algunos de sus servicios, o simplemente la forma en que dichos servicios se puedan ver afectados por esa privacidad desde el diseño a la que antes también hacía referencia.

Muy buenos días…

 
Cloud Computing & Privacy en España: Presente y futuro del cumplimiento. por Luis Salvador Montero se encuentra bajo una Licencia Creative Commons Atribución-NoComercial-SinDerivadas 3.0 España.