Perspectivas técnicas, económicas y jurídicas del «cloud computing» (II)

La técnica del “Cloud Computing” ha sido definida por el National Institute of Standards and Technology como aquel “modelo tecnológico que permite el acceso universal, adaptado y bajo demanda en red a un conjunto compartido de recursos de computación configurables (por ej. Redes, servidores, almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados con un esfuerzo de gestión reducido o interacción mínima con el proveedor del servicio”.

A través de este sistema, los usuarios pueden almacenar todo tipo de información, datos y ficheros, en servidores de terceros, logrando así ser accesibles desde cualquier dispositivo con acceso a Internet, prescindiendo de la instalación de software adicional en sus equipos.

El curso habitual que siguen los datos a la hora de procesarse en la nube es el siguiente, según expone TGG Legal es el siguiente:

a). Los datos que van a alojarse en la nube adaptan su formato para adecuarse a ella.

b). Los datos se desplazan a la nube a través de una conexión a Internet.

c). Se procesan los datos en la nube y quedan almacenados.

d). Los datos se desplazan de vuelta al usuario, que puede descargarlos a su dispositivo, y optar por mantenerlo residente en la nube o borrarlo.

Las normas que regulan el Cloud en España en la actualidad son la L.O.P.D. y más concretamente la L.O. 15/1999 LOPD, el R.D. 1720/2007 LOPD, y el especialmente el artículo 12 de la LOPD, que regula el acceso a los datos por cuenta de terceros, o la prestación de servicios, en los que exista flujo de datos de carácter personal.

No obstante ello, debe tenerse en cuenta el Informe del Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE (WP 196), de 1 de julio de 2.012, con independencia de la propia Directiva, donde se resaltan las facetas características que deben presidir a esta técnica, que básicamente se concretan en un ejercicio adecuado de las facultades de control y transparencia sobre los datos tratados tanto por el responsable del tratamiento, como por el prestador de tales servicios en la nube.

Próximamente debe tenerse presente el Reglamento de Protección de Datos de la Unión Europea, en el momento de su entrada en vigor.

En la prestación del servicio se distinguen dos figuras, tal como pone de relieve Fosterwit:

a). El llamado “Data Controller” o responsable de los datos y que coincide con la figura de la empresa cliente de los servicios cloud.

b). Y el “Data Processor” o encargado de tratamiento, siguiendo con el ejemplo anterior, sería Google Apps.

Desde un punto de vista estrictamente legal, los analistas de Gatner identifican una serie de riesgos legales que se derivan de la utilización de la técnica del Cloud Computing. Estos riesgos, sin un carácter excluyente, pueden ser identificados como los siguientes:

a).La confianza del proveedor: el hecho de externalizar aplicaciones y datos corporativos conlleva hacerlo con alguien de total confianza, que asegure la calidad del servicio.

b). La conformidad legal.

c). La localización de los datos: constituye uno de los puntos fuertes del Cloud Computing pero también uno de sus riesgos.

d). La protección de la información.

e). La recuperación en caso de desastres.

f). La colaboración con la Justicia, los reguladores, y demás Organismos de Supervisión y Control.

g). Una relación ‘para toda la vida’: La sostenibilidad del proveedor tiene que estar garantizada. Fusiones, quiebras, cualquier cambio en su negocio no puede dejar ‘indefenso’ al cliente.

Como principales tipologías de nubes cabe distinguir, tal como afirma Jorge Campanilla, las siguientes, detallando al mismo tiempo, sus principales características:

a). La llamada “Nube publica”, que presenta las siguientes características.

  1. Es prestada para una pluralidad de organizaciones.
  2. Normalmente el servicio se presta fuera de las instalaciones de la organización.
  3. Existe un menor/mínimo control por parte de la organización.
  4. Es propio de las llamadas “Nubes” Internacionales.
  5. Como ventajas, deben destacarse su facilidad, su inmediatez, y su carácter económico o “gratuito”
  6. Como principales inconvenientes suelen citarse su vinculación a contratos de adhesión, la pérdida de control que tiene sobre los datos el responsable de los mismos, etc.

Como ejemplos típicos de este modelo, suelen citarse los de Google, o Dropbox, entre otros muchos.

b). La llamada “nube privada”, la cual se caracteriza por los siguientes rasgos que la definen:

  1. Operada únicamente por la organización.
  2. En su caso prestador de servicios externo, pero control de la organización.
  3. Acceso se encuentra restringido, únicamente se permite el mismo a los usuarios de la organización.
  4. El Mayor/máximo control por parte de la organización.
  5. Como ventajas de este modelo se señalan habitualmente la seguridad, el control, su disponibilidad, o su seguridad.
  6. Como inconvenientes se citan su elevado costo, y a veces su carencia o menor agilidad

c). Nube Híbrida. La misma se caracteriza por ser una combinación de ambas, ya que unos servicios presenta las características de la nube pública, y para otros los correspondientes a la nube privada.

Los riesgos legales que presentan las diferentes modalidades y tipologías de nuebes, se deben canalizar a través de las diferentes formas en los que se han de prestar los servicios derivados del procesamiento de datos en la nueva.

Así, para Rafael García del Poyo, los servicios que se prestan por medio del Cloud Computing se basan en tres características esenciales que deben ser contempladas cuando se configuren los contratos de Cloud Computing, a los efectos de que se contemplen de manera efectiva los riesgos jurídicos que estos conllevan.

a). La multiposesión: El esquema de funcionamiento del Cloud Computing se basa en información que es almacenada de manera permanente en servidores o data centers, accesibles a través de Internet, pero esta comunicación con los servidores no se realiza de forma única por un solo cliente, de modo que los mismos son compartidos por multitud de usuarios en un modelo de multiposesión (multi tenancy) de modo que multitud de personas pueden utilizarlos de forma concurrente.

b). El acceso a los servicios on line de manera personalizada: El cliente para acceder a los servicios prestados a través del Cloud Computing basta con que tenga una adecuada infraestructura de telecomunicaciones que le facilite acceso a Internet, no se precisa instalación de ningún software adicional, ya que -habitualmente- suelen usarse browsers o buscadores para acceder a todos los servicios ofrecidos en Cloud.

Esta circunstancia da lugar a que el modelo Cloud resulte en una mayor compatibilidad y capacidad de integración con el resto de aplicaciones informáticas que también poseen las empresas clientes.

El cliente se puede abastecer unilateralmente de capacidades de procesamiento, tiempo de utilización de servidor, capacidad de almacenamiento en red, etc. según las necesidades empresariales de cada momento, de una forma rápida y elástica (incluso, en algunos casos, de forma automática) y sin que se requiera la interacción humana con el proveedor de servicios.

c). La optimización y control de recursos de forma bilateral: Los sistemas informáticos disponibles mediante Cloud Computing controlan y optimizan el uso de los recursos de manera automática. El uso de estos recursos por parte de los clientes puede seguirse, controlarse y notificarse, lo que aporta una enorme transparencia en la gestión del negocio para ambas partes.

Gonzalo Salas, ha destacado un conjunto de factores que se han de tomar en consideración en la suscripción de cualquier contrato de esta naturaleza. Los aspectos a destacar muy sucintamente son los siguientes:

a). Descripción detallada del servicio

Por la naturaleza propia del modelo Cloud Computing, es fundamental a los efectos de estricta seguridad jurídica, mostrar:

– Ubicación del prestador del servicio.

– Localización de los servicios.

– Emplazamiento de las infraestructuras donde vayan a estar desplegadas las maquinas y plataformas.

– Tipo de servicios contratados.

b). Tipo de servicio del cliente, soportados sobre el modelo Cloud

c). Descripción del Tipo de infraestructura

Es importante a los efectos de catalogación del contrato, objeto y causa, describir el tipo de infraestructura contratada:

  1. Infraestructura como servicio, en otras palabras, el alquiler de espacio de alojamiento o cloud hosting. Se contrata infraestructura a la que se aplicaran plataformas y aplicaciones. El uso más frecuente se produce en la contratación de de servidores, y de redes, etc. Este servicio es el que presta, por ejemplo, empresas como Amazon Web o GoGrid.
  2. Software como servicio, responde habitualmente a la tipología más conocida.Representa la contratacion de aplicaciones en la nube, presentando incertidumbres con relación a la propiedad y la disponibilidad de las aplicaciones, y con relación a la propia seguridad de los datos de carácter personal. Como ejemplo más representativo se puede citar a Google Apps.
  3. Plataforma como servicio, o el alquiler de plataformas para desarrolladores.Normalmente se contrata una plataforma a la que se ejecutan aplicaciones propias o de terceros. (v.gr. Google App Engine, SourceForge, etc.)
  4. Proceso de negocio como servicio.

d). Capacidad del servicio

e). Gobernanza

Se hace necesario la supervisión de aspectos tales como:

  1. La correcta prestación del servicio y cumplimiento de acuerdos de nivel de servicio.
  2. Gestión de cambio.
  3. Gestión de riesgos.
  4. Gestión y reporte de auditorías
  5. Validación y Aprobación de facturas.
  6. Etc.

f). Auditorías

g). Ejecución y calidad de los servicios

A lo largo de toda la duración del Contrato, el prestador debe comprometerse a garantizar:

  1. Unos Servicios de calidad, con arreglo a los Acuerdos de Nivel de Servicio.
  2. Unas medidas de seguridad, con arreglo a los requerimientos de seguridad de la información expuestos, siendo éstas obligaciones de resultado.

h). Entrada en vigor y duración del servicio

i). Reversibilidad

j). Confidencialidad del servicio

k). Disponibilidad del servicio

l). Acuerdos de nivel de servicio

m). Requerimientos legales

n). Propiedad intelectual

ñ). Seguridad de la información

Dicha obligación abarca, a su vez, las siguientes cuestiones a examinar:

  1. Deber de secreto del personal.
  2. Autorizaciones y control de acceso.
  3. Protección de las instalaciones.
  4. Medidas de seguridad por defecto.
  5. Integridad y actualizaciones de los sistemas.
  6. Procedimientos de gestión de cambios.
  7. Protección de la información almacenada y en tránsito.
  8. Medidas de prevención ante otros sistemas de información interconectados.
  9. Registro de incidencias.
  10. Registros de actividad.
  11. Plan de continuidad de negocio y procedimientos de recuperación frente a desastres.

o). Protección de datos de carácter personal

p). Cesión-Subcontrato

q). Responsabilidades y obligaciones

r). Seguro

s). Ley Aplicable y Fuero

En lo que atañe a los problemas de jurisdicción en la aplicación de la técnica Cloud Computing García Mexía ha señalado con mucho acierto que la jurisdicción, constituye probablemente la fuente de las cuestiones jurídicas de mayor complejidad planteadas por Internet, dada su ubicuidad, de alcance planetario.

Una complejidad que la nube, al potenciar esa ubicuidad (de proveedores directos o indirectos; o de los datos), seguramente va a incrementar. El Estado queda pequeño para afrontar tamaño desafío jurídico.

Al tiempo, no sólo es inviable por idealista, sino incluso indeseable, prescindir de las culturas y valores nacionales de casi 200 Estados, a fin de lograr tratados internacionales orientados a proporcionar soluciones justas.

Bien es verdad, por otra parte, que cifrar al azar de la residencia, paradero (de personas o bienes) o potencial extradición la efectiva aplicación de una norma que la computación en nube pudiera exigir es una opción sin duda realista, pero también potencialmente injusta. Un tercer posible orden de soluciones no parece en cambio injusto, pues sujeta a un criterio tan objetivo como razonable la vigencia de una concreta jurisdicción: el estrictamente derivado de la presencia de los servidores “de nube” en un específico Estado.

Este argumento, que encuentra respaldo en la normativa española, resulta a la vez realista, pues un prestador europeo puede, por ejemplo, soslayar de ese modo el problema antes mencionado de la transferencia de datos a Estados que cuenten con estándares inferiores de protección; así lo hacen algunas de las empresas más relevantes del sector (Microsoft, por ejemplo).

No obstante ello, un buen criterio que se puede traer a colación viene constituido por los pronunciamientos generales contenidos en la sentencia del Caso Google del Tribunal de Justicia de la Unión Europea («TJUE»)  publicada el 13 de mayo de 2014, por la que se da respuesta a una serie de cuestiones prejudiciales remitidas por la Audiencia Nacional española en un contencioso que enfrentó a la Agencia Española de Protección de Datos («AEPD») y a Google Inc. y su filial española en torno al controvertido «derecho al olvido» en Internet.

Noticias Relacionadas:
Lo último en Divulgación