Agencia Española de Protección de Datos Archivos

Seguro que el término Cloud Computing ya no es exclusivo de las conversaciones entre los “techies” de la oficina. Sospecho que pocos son quienes realmente saben de qué va la cosa y quizás los CSP (Cloud Service Providers) estén apostando a que mientras más familiar sea el término, más fácil será convencernos de que no hay nada por qué preocuparse.

No somos pocos los que pensamos que los principales puntos críticos de esta tecnología recaen en la confidencialidad de la información y la responsabilidad derivada de incidentes relacionados con este servicio. En este sentido, vale la pena dar un vistazo para ver si existe regulación o algún tipo de guía sobre la nube.

España y Europa

Hace unas semanas la Agencia Española de Protección de Datos junto al Consejo General de la Abogacía Española publicaron el informe titulado “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal” (aquí). Este documento ofrece orientación sobre los aspectos a tomar en cuenta en caso quisiéramos contratar estos servicios, considerando como base 3 aspectos claves:

Responsabilidad sobre el tratamiento de los datos, así como la normativa y jurisdicción aplicables.
Seguridad y confidencialidad de los datos.
Aspectos técnicos y jurídicos del contrato que debe firmarse.

Documento por demás valioso tomando en cuenta que los abogados son depositarios de la información de sus clientes, y como tales, tienen el deber de guardar la privacidad de la misma, así como el secreto profesional.

A principios de año la European Network and Information Security Agency (ENISA) publicó “A guide to monitoring of security service levels in cloud contracts” (aquí), una guía práctica para verificar que se cumplan todos los aspectos relacionados con la seguridad de la información. Si bien está enfocada al sector público, funciona perfectamente para el privado.

La misma Agencia publicó tiempo atrás la Cloud Computing Risk Assessment (tiene versión en español) que presenta un exhaustivo análisis de las ventajas, riesgos y vulnerabilidades de la nube (como para que no nos cuenten cuentos). Además, incluye criterios para evaluar riesgos, comparar ofertas de distintos CSP y asegurar un adecuado nivel de servicios. Muy didáctico, porque lo desarrollan tomando como escenario un caso de migración de una MYPE hacia la nube.

Vayan hasta el final de este documento, que trae como anexo un análisis de cinco cuestionamientos legales que suelen preocuparnos a quienes miramos con cierta expectativa a este nuevo paradigma, como son:

Protección de datos (disponibilidad, integridad y garantías)
Confidencialidad
Propiedad intelectual
Negligencia profesional
Servicios de subcontratación y cambios de control.

Estados Unidos

Desde 2010 EE.UU cuenta con un plan llamado Cloud First y la Federal Cloud Computing Strategy, enfocados a reducir la infraestructura informática tradicional en manos de las entidades de gobierno, migrándola a la nube en aquellos casos que sea más eficiente términos operativos y económicos.

En esa línea, The Federal Risk and Authorization Management Program (FedRAMP) es un programa creado por (y para) el gobierno estadounidense que responde a le necesidad de estandarizar criterios de evaluación y supervisión de servicios ofrecidos en la nube. Funciona así:

Los CSP deben implementar los requisitos de seguridad de la FedRAMP (basados en Federal Information Security Management Act – FISMA y la NIST 800-53)
Contratar los servicios de una empresa que audite sus servicios y productos (hay una lista de auditoras certificadas).
Luego de pasar la auditoría la FedRAMP incluye al CSP en su registro de proveedores homologados.

El objetivo es evaluar sólo una vez a los proveedores y que las agencias de gobierno utilicen estos resultados tantas veces como sea necesario, evitando repetir procesos de selección una y otra vez.

Si bien el enfoque es para las agencias de gobierno norteamericanas, se rescatan criterios interesantes que se pueden implementar en el sector privado.

Epílogo

En verdad el hemisferio norte siempre está a la vanguardia en temas tecnológicos, así que quienes tenemos en la mira cambiar nuestra “gestión de activos” por una “gestión de servicios” contamos con un material valioso y de lectura obligatoria. No hay pretextos.

Sin embargo, situándonos por este lado del hemisferio, la regulación es casi nula, por lo que habría que utilizar otras herramientas antes de tomar una decisión tan importante y de tanto impacto. Ya será para la próxima.

El blog de Enrique Dans (La persistencia de la memoria) nos presenta la siguiente noticia: el Juez David Harvey de la corte del distrito de Manukau en Nueva Zelanda, acaba de prohibir la difusión on-line de la identidad y la fotografía de dos hombres acusados de asesinar a un menor de edad (Judge restricts online reporting of case y Judge bans online naming of murder accused), mientras que, por otro lado, permite que esta información se publique través de medios tradicionales como la prensa escrita, la radio y la televisión. Para el Juez, la medida buscaría evitar que se acceda a esta información cuando el caso se encuentre en juicio. Básicamente, se trata de prevenir que alguien pueda “googlear” los nombres de los acusados y tener acceso a esta información, así como, según señala, el efecto viral de la publicación digital.

Hay que tener en cuenta que el juez Harvey no es un neófito en nuevas tecnologías. Este togado comparte las labores de magistrado con la cátedra de Derecho y tecnologías de la información en la Universidad de Auckland e incluso ha escrito un libro sobre Internet y el Derecho (internet.law.nz). Si tomamos el esfuerzo de “googlear” su nombre sabremos que en los últimos tiempos se ha dedicado a escribir papers y dictar charlas y cursos relacionados con Internet y el Derecho.

Dans utiliza el auto del Juez Harvey como una excusa para reflexionar acerca de lo que él llama la persistencia de la información en Internet mientras que cuando aparece en medios de comunicación tradicionales se olvida con facilidad. Este problema, el de la trascendencia de los datos en Internet y de su facilidad para encontrarlos, empieza a generar importantes interrogantes con relación a la protección de los derechos de los ciudadanos.

Un buen día de 2006 a un ciudadano español se le impone una multa por orinar en la vía pública. La información aparece publicada en el Boletín Oficial de la Provincia (BOP) tanto en papel como en Internet. Poco tiempo después este señor es nombrado subdirector de una escuela estatal, sin embargo, la noticia de esta impropia acción aparece cada vez que se digita su nombre en Google. Mortificado, se contacta con los representantes del buscador pero éstos le informan que no es posible desarrollar un filtro y que en todo caso tendría que contactarse con el BOP para que la notificación sea desalojada de la web, sólo así los robots de Google dejarán de encontrarla. En el mes de mayo de 2007 presenta un reclamo de Tutela de Derechos ante la Agencia Española de Protección de Datos (AEPD) por la denegación de Google de eliminar de sus resultados este contenido.

Google alegó, durante el proceso administrativo, que las informaciones obtenidas a través de sus resultados de búsqueda se encuentran en páginas de terceros de acceso público. En consecuencia, para eliminar el contenido de sus resultados debería desaparecer de la página. Por su parte, la Administración informó que la publicación en el BOP, se hacía en cumplimiento de un dispositivo legal. La AEPD nos recuerda, al resolver que, ningún ciudadano que no sea personaje público u objeto de hecho noticiable tiene que soportar que sus datos de carácter personal circulen sin corregir su inclusión en un sistema de comunicación universal como Internet. Por lo tanto, falla estimando la reclamación y el derecho de oposición ejercido contra Google, instando a que se adopten las medidas para retirar los datos de su índice e imposibilite el acceso futuro a los mismos.

Estos dos casos son oportunos para discutir algunos aspectos del derecho a la protección de los datos personales y de la facilidad de acceder a éstos en Internet. Es evidente que en un mundo analógico una de las mayores defensas del anonimato es la dificultad que representa buscar en miles de documentos cubiertos de polvo y desordenados en decenas de hemerotecas. Es decir es el propio código de la realidad el mejor muro para mantener la ignorancia. Esta defensa se desbarata con Internet. Sin embargo, la orden de la AEPD española no parece ser la más eficiente para proteger al ciudadano, en la medida que si bien Google es el buscador más conocido, no es el único y por lo tanto una limitación como la impuesta sólo tendrá un carácter parcial y será por lo tanto ineficiente, obligando a los ciudadanos a recurrir a cada uno de los buscadores del planeta para que filtren la información no deseada de sus motores de búsqueda.