Las previsiones realizadas por la Asociación Multisectorial de Empresas de la Electrónica, Tecnologías de la Información y la Comunicación, Telecomunicaciones y Contenidos Digitales (Ametic) afirman que el negocio tecnológico del Cloud Computing en España superará los 1.800 millones de euros en 2012.
Pese a que el Cloud Computing (CC) pueda parecer un concepto totalmente innovador, ciertas variantes de aplicaciones CC llevan siendo utilizadas durante mucho tiempo por los usuarios, como es el caso del correo electrónico en Internet (Webmail), el uso del streaming de música, vídeos de YouTube, o en las redes sociales.
No obstante, es en los últimos tiempos cuando más se están planteando las empresas de todo el mundo, las amplias posibilidades que puede ofrecer este servicio, basado principalmente en dos pilares: la virtualización (sensación de existencia real) y la deslocalización de su información (variación en la ubicación geográfica). Ya el pasado verano, el fallecido Steve Jobs afirmaba ante los mass media que: "El centro de la vida digital estará en la nube de Internet", planteando el CC como el futuro del almacenamiento a gran escala.
Las principales ventajas que genera la utilización del servicio de CC son el alojamiento de grandes cantidades de datos sin necesidad de añadir ni equipamiento tecnológico ni software específico, ni personal añadido, con una rápida accesibilidad desde casi cualquier terminal, lo que se materializa en un ahorro en infraestructuras y en costes informáticos para las empresas que lo contratan.
Resultado de estas ventajas es lo que está provocando un aumento en la demanda del alojamiento en la nube por parte de las empresas, lo que se traduce en un impacto económico muy marcado, (baste ver las cifras de negocio previstas para España en 2012). Es por ello que las autoridades de control de muchos países europeos se están encontrando con la necesidad de estudiar más a fondo una regulación específica de este servicio.
Muestra de la preocupación por otorgar de seguridad jurídica a este tipo de relaciones comerciales tan "etéreas", podemos observarla en manifestaciones como la realizada el pasado 18 de octubre de 2011 durante la celebración del IV Foro del Data Privacy Institute, por el Director de la AEPD, el cual afirmó que: "El Cloud Computing no se puede convertir en una vía para eludir la normativa de protección de datos".
Consecuentemente, la AEPD se encuentra inmersa en el proceso de revisión de la Directiva 95/46/CE de Protección de Datos, proyecto impulsado por la Comisión Europea, al objeto de adaptar sus disposiciones al mundo de las nuevas tecnologías, fijando como uno de los objetivos del futuro marco legal europeo, reforzar el control de los ciudadanos sobre los propios datos, e introducir nuevos principios. Asimismo, la revisión de la directiva de protección de datos, contempla la extensión a otros sectores -como el financiero-, de la obligación de las empresas de telecomunicaciones (recogida en la Directiva 136/2009/CE), de notificar las brechas de seguridad a la autoridad nacional competente, así como a particulares y usuarios si la violación de datos personales pueda afectar negativamente a su intimidad.
Pero, ¿qué riesgos pueden existir en el CC para que la Comisión Europea se plantee modificar la Directiva 95/46/CE?
El Cloud Computing, al ser un servicio cuya base reside en el alojamiento "deslocalizado" de la información, el usuario deja de tener un control real de la ubicación geográfica de sus datos, pues el proveedor puede tener los servidores en lugares remotos, y por tanto, con marcos regulatorios distintos y distintas jurisdicciones, lo que supone que, en caso de delito o de infracción administrativa, la defensa del usuario por sus leyes nacionales resulte si no imposible, muy difícil.
Por otro lado, en cuanto a los principales riesgos que se suelen tener en cuenta, los expertos no sólo mencionan los riesgos derivados del uso de herramientas de hacking o de brechas de seguridad que hagan vulnerable el servicio, sino que, aluden otros riesgos como:
- La posibilidad de pérdida de datos.
- El abuso o negligencia en la gestión de los datos por parte del proveedor.
- La dilución de las responsabilidades jurídicas de las empresas.
- La dependencia de la conectividad.
A los que podríamos añadir otros, como la migración de servicios hacia otro proveedor sin ser puesto en conocimiento del cliente, las cesiones de datos no consentidas o las transferencias internacionales de datos no autorizadas.
No obstante, podríamos afirmar que estos riesgos no son exclusivos de la nube, pues podríamos decir que existen riesgos similares de pérdida de información cuando almacenas datos en el disco duro del ordenador portátil y éste es sustraído por un tercero. En este caso el riesgo es mayor, puesto que la recuperación de la información no es posible y su difusión no está controlada, por lo que podríamos decir que ningún sistema es seguro al 100%, pero no por ello dejamos de utilizar aplicaciones que están en la nube, como ya hemos mencionado al principio.
Un buen contrato aumenta la seguridad
España ha sido el país europeo que ha desarrollado con mayor intensidad, los principios consagrados por la Directiva 95/46/CE, que a su vez es el marco jurídico más garantista que se conoce, en materia de protección de datos. Esto permite afirmar que cualquier prestación de servicios en la nube, que cumpla con los requisitos exigidos por la normativa española, puede cubrir los requisitos exigidos por las normativas de otros Estados. Por tanto, podemos afirmar que contamos con mecanismos jurídicos de protección, que pueden contribuir a aumentar la confianza en la contratación del servicio de Cloud Computing por parte de las empresas en nuestro país.
Finalmente, recomendamos tener en cuenta una serie de aspectos jurídicos a la hora de dar el salto a la nube, a tener en cuenta en la fase de negociación del contrato de CC con el proveedor del servicio.
- Como parte fundamental de todo contrato de computación en la nube: tener un Acuerdo de Nivel de Servicio, (cuyas siglas en inglés son más conocidas como SLA.)
- Exigir las garantías adecuadas para que esta computación sea tan segura como la tradicional, exigiendo a los proveedores un mayor compromiso con la privacidad de los datos personales.
- Asegurar, por parte del proveedor, la seguridad de la información personal. El artículo 9 de la LOPD y su Reglamento de desarrollo obligan a las empresas a adoptar medidas que garanticen la seguridad de los datos y eviten su alteración, pérdida o acceso no autorizado.
- Fijar en los contratos la legislación aplicable, pues es el principal camino para poder ejecutar los procedimientos de responsabilidad civil frente a un proveedor de estos servicios, (muy importante, pues la falta de territorialidad del servicio es lo que más dificulta a las autoridades en sus labores de control e investigación).
- Puesta en conocimiento de los clientes de las herramientas de seguridad de que disponen, con el fin de aumentar la confianza (aislamiento de las aplicaciones, firewalls, herramientas anti-hacking, auditorías, certificaciones de seguridad, sistemas de back-up, Documento de Seguridad, plan de continuidad de negocio, etc…)
El triunfo a largo plazo del Cloud Computing reside, en conclusión, en el cumplimiento de dos premisas: Seguridad aportada por el proveedor y confianza aportada por el cliente. De ser así, el futuro sí está en la nube.