La «nube” avanza con un marco normativo ya obsoleto

Pese a las incertidumbres que giran en torno a "la nube", "el cloud computing es presente y futuro, debemos pasar por ahí, pero no a cualquier precio", ha afirmado el coordinador de Auditoría y Seguridad de la Informática de la Autoridad Catalana de Protección de Datos, miembro de la Junta Directiva del capítulo español de la Cloud Security Alliance y profesor del Máster IP&IT de Esade, Ramón Miralles en la primera sesión de la cuarta edición del Foro IP&IT de la Propiedad Intelectual y Sociedad de la Información celebrada en la Facultad de Derecho de Esade.

En la misma línea se ha expresado el abogado de J. Isern Patentes y Marcas Daniel Gabarre: "La nube es el nuevo paradigma de la informática, que se suele explicar desde los riegos pero sin tener en cuenta que, en ocasiones, es una gran oportunidad para las empresas.

"Subirse a la nube" implica también una reducción de costes para la empresa ya que se comparten recursos con otras compañías y su servicio es medible. Según los expertos, en los próximos años este nuevo sistema de computación, que permite alojar todo un software en la red sin necesidad de instalarlo en un ordenador concreto, se consolidará tanto en el ámbito doméstico como en el de las empresas y administraciones públicas. 

Fuente: Observatorio Nacional de las Telecomunicaciones y de la SI. Ministerio de Industria, energía y turismo.

Pérdida de control

Una de las cuestiones que ha originado más debate y preocupaciones en los usuarios está relacionada con la seguridad y el almacenamiento de datos confidenciales. Para Ramón Miralles "la nube de manera inherente no es ni segura ni insegura", sí lo es su manera de gestionarla. "El cloud computing es sinónimo de pérdida de control", así define Miralles el problema entorno a la seguridad. Esta problemática deriva de que el cliente que contrata el servicio, otorga a un tercero el almacenamiento y gestión de los datos sin dejar de ser el máximo responsable sobre ellos.

Responsabilidad final de los datos

Los riesgos en materia de seguridad del cloud computing están ligados a la relación contractual entre el cliente y el proveedor que proporciona estos servicios de almacenamiento. Es decir, el responsable del tratamiento de los datos tiene la obligación de salvaguardarlos con independencia de que éstos estén en manos de un tercero. Además, también debe verificar que el proveedor cumpla con los aspectos legislativos en materia de protección de datos de carácter personal. Por ello Ramón Miralles aconseja "buscar un proveedor con el que pueda negociar las condiciones del servicio".

Falta de legislación

En la jornada de Esade, se han evidenciado deficiencias legislativas en materia de cloud compunting. Actualmente, se rige por una Directiva europea del año 1995, cuando la previsión de la puesta en marcha de la nube era mínima o inexistente. Por ello, existe una "falta de regulación específica que impida las insuficiencias relacionadas con la protección de datos en la gestión del almacenamiento de los mismos", explica Miralles. Un nuevo reglamento de la UE está en proceso de elaboración y previsto para principios del 2014. Según Miralles, esta nueva normativa significará un punto de inflexión en la regulación de la nube ya que aborda cuestiones de contenido directamente derivadas del cloud compunting y plantea ciertas obligaciones a los de proveedores de estos servicios.

Fuente: "Above the Clouds: A Berkeley View of Cloud Computing", Universidad de Berkeley

Jurídicamente, ¿"la nube" sólo plantea problemas de protección de datos y propiedad intelectual e industrial?

María González, desde ECIJA nos puntualiza que "la nube" también plantea otros problemas relacionados con la protección y seguridad de la información almacenada en ella.

A tal efecto, un usuario que contrata un servicio de almacenamiento en la nube, confía en las medidas de seguridad implantadas por el proveedor del servicio, pero desconoce, en la práctica, si estas medidas son adecuadas y pertinentes para almacenar datos o informaciones que pueden ser confidenciales o que pueden estar amparados por otras normativas que exijan requerimientos expresos en cuanto a las medidas de seguridad a implantar para la protección de las mismas.

"A modo de ejemplo, -especifica María González- podemos nombrar la  Ley de Prevención de Blanqueo de Capitales, la normativa sobre PCI – DSS (buenas prácticas de seguridad aprobadas por los principales operadores de tarjetas de crédito), Esquema Nacional de Seguridad (en caso de tratarse de Administraciones Públicas), Infraestructuras Criticas, Ley Sarbanes – Oxley (SOX), Solvencia, Basilea, y otras normas. Igualmente otras buenas prácticas o normas de homologación y certificación, como son las ISO 27000 relativas a Sistemas de Gestión de Seguridad de la Información, ISO 22301 enfocada a la Continuidad de Negocio, etc."

"En este sentido, -concluye la abogada de ECIJA- el Grupo del Art. 29 ha publicado recientemente su Opinión 05/2012 sobre Cloud Computing, en el que ya establece requerimientos acerca de la Disponibilidad, Integridad, Individualidad de los recursos en la nube, la atención de derechos reconocidos por las normativas nacionales (como los derechos ARCO de la LOPD), portabilidad, y responsabilidad, aspectos todos ellos que deberán ser tenidos en cuenta, tanto por los proveedores, como por los usuarios de dichos servicios".

"La nube" se rige fundamentalmente por una Directiva de 1995. Pero, ¿hay desarrollo legislativo más actual?

Desde ECIJA nos han clarificado la normativa aplicable desde el punto de vista comunitario y nacional.

María González, desde ECIJA, nos dice que "La regulación jurídica de "la nube" se basa fundamentalmente en la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, pero también le es de aplicación otra normativa europea  como la relativa al comercio electrónico y servicios de la sociedad de la información, regulada por la Directiva 2000/31/CE del Parlamento Europeo y del Consejo de 8 de junio de 2000 relativa a determinados aspectos jurídicos del comercio electrónico en el mercado interior («Directiva sobre el comercio electrónico»), en cuanto que los prestadores de servicios de almacenamiento en la nube son prestadores de servicios de la sociedad de la información, y en concreto de alojamiento o almacenamiento de datos, regulando la responsabilidad de los mismos.

Igualmente, a nivel europeo, cabría destacar la Propuesta de Reglamento de Desarrollo de la Directiva 95/46/CE (Reglamento general de protección de datos) que actualmente se encuentra en tramitación en la Comisión Europea, y cuya aprobación y entrada en vigor está prevista para 2014 aproximadamente. El Reglamento, en su redacción actual, trata de solucionar el problema de la ley aplicable en los supuestos de "cloud computing".

Eduardo Lagarón, por su parte, concreta que "a nivel nacional, tenemos la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su Reglamento de Desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Y también la Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico, que ha sufrido diversas modificaciones en los últimos años a través de la LISI (Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información), y la Ley de Economía Sostenible (Ley 2/2011, de 4 de marzo), así como el Real Decreto – Ley 13/2012, de 30 de marzo, en cuanto que modifica  y regula, entre otros aspectos, los relativos a la utilización de cookies u otros dispositivos de almacenamiento de información".

¿Qué aspectos que aún no han sido atendidos por la normativa cree usted que es fundamental que se atiendan lo antes posible?

Para María González, "aspectos mejorables en la regulación actual encontramos varios": 

• Ley aplicable ante la deslocalización de servicios en la nube. Las dudas acerca de la ley aplicable ante posibles controversias entre los proveedores y los usuarios, genera gran inseguridad jurídica.
• La regulación de las transferencias internacionales de datos que son efectuados por quienes     utilizan los servicios de almacenamiento en la nube, sobre todo teniendo en cuenta que los servicios en la nube pueden y tienen servidores en múltiples países, ser redundantes, etc. 

Eduardo Lagarón expone que "vemos necesario clarificar la regulación de las cookies y demás  dispositivos de almacenamiento de información personal. La existencia de servicios como la publicidad comportamental, donde se utilizan cookies u otros dispositivos de almacenamiento muy diversos, da lugar a una gran complejidad legal a la hora de solicitar el consentimiento de los usuarios, exigiendo que se les facilite una información previa, clara y completa sobre dichos dispositivos, y una acción expresa del usuario dando su consentimiento a tal efecto".

"En este sentido, -concreta Eduardo Lagarón- el Grupo del Art. 29 ha aportado una opinión fundamentada donde consigue una ponderación exacta entre lo que debe exigirse legalmente y los actuales servicios que hay implementados en el mercado. Sin embargo, a pesar de hacer un análisis sobre los muchos tipos de cookies existentes y sus finalidades, la evolución del propio mercado tecnológico crea nuevos tipos y funcionalidades que incluso resultan difíciles de catalogar en los presupuestos contemplados en la Opinión del Grupo del Art. 29".