Firmas
El «cloud computing» y las nuevas exigencias de responsabilidad
27/12/2015 14:09
|
Actualizado: 01/2/2016 11:32
|
En los próximos años es evidente que se va a producir un considerable aumento del número de empresas del ámbito TIC que apuesten por Internet así como por nuevas técnicas virtuales que se irán desarrollando poco a poco de las cosas, ya que factores tales como: los sensores de bajo coste, el Cloud Computing, el Big Data y la movilidad favorecerán el incremento de la actividad.
Se espera que la gran demanda de herramientas de análisis de datos que mejoren su eficiencia y eficacia en las grandes corporaciones y por las empresas en general, transformando el modo de hacer negocios y generando nuevos ingresos y alternativas en la actividad económica.
Además, se espera que Internet de las cosas impulse oportunidades en materia de Cloud Computing y de aplicaciones móviles (apps). Tal como señala Harvey Koeppel desde una perspectiva puramente empresarial, se recomienda a los ejecutivos de las empresas, que adopten la siguiente visión con relación a Internet de las cosas:
a). Pensar en las tres olas de Internet como:
(1) hacer que la gente sea mucho más productiva;
(2) hacer que mucha más gente sea mucho más productiva; y
(3) hacer que las cosas y la gente sean órdenes de magnitud más productivos.
b). Caracterizar a las personas y los tipos de cosas que existen dentro de su entorno físico y lógico (cliente a libro mayor, cadena de suministro de extremo a extremo).
c). Imaginar los tipos de sensores que podrían ser conectados a las cosas o a las personas que ya están siendo o podrían ser desplegados en todo su entorno, ya sea dentro de automotriz, cuidado de la salud, servicios financieros, manufactura o cualquier otro sector de la industria.
d). Considerar quién construye, posee, opera y mantiene los componentes de los sensores y piense en posibles amenazas competitivas de estos proveedores hacia su empresa y/o su industria.
e). Considerar quién construye, posee, opera y mantiene las «tuberías» (lógicas, virtuales y/o físicas) a través de las cuales los datos basados en sensores fluirían y considere posibles amenazas de competencia de estos proveedores hacia su empresa y/o su industria.
f). Prever nuevos productos, servicios y mercados que podrían ser creados mediante la implementación de cosas habilitadas con sensores dentro de su entorno y cuál podría ser el valor económico de estos avances para su empresa.
g). Caracterizar los tipos de datos que podrían ser generados por la red de sensores que usted imagina para su empresa y/o industria.
h). El alcance del volumen de datos que podría generarse a través de la red y qué sería necesario para almacenar, recuperar y analizar los datos que harían las cosas más eficientes o entregarían nuevas experiencias a sus clientes y/o valor a sus grupos de interés.
i). Trabajar con los socios de negocio internos y externos para imaginar un conjunto innovador de productos y servicios habilitados para Internet de las cosas, el costo de seguir adelante con esa visión y el costo de no seguir adelante con esa visión.
j). Trabajar con los socios de negocios para construir un caso de negocios, una estructura de gobierno y una hoja de ruta estratégica para guiar los esfuerzos de sus empresas a lo largo del camino, indudablemente lleno de baches, que por ahora vamos a humildemente a conceder llamar la Internet de las Cosas.
Si la relación que estamos analizando se proyecta entre estos avances técnicos, las prácticas sociales y el desarrollo legislativo, se puede comprobar como las distancias lejos de reducirse, se hacen cada vez mayores, y buena muestra de ello lo encontramos en la ausencia de regulación normativa de técnicas tan desarrolladas e implantadas en nuestra sociedad, y en ámbitos económicos y empresariales, como pueden ser el Cloud Computing, Big Data, BYOD, y ahora Internet de las cosas, entre otras muchas.
Por ello, debe volverse la mirada a dichos principios rectores, a los efectos de que los mismos constituyan la base fundamental de la perdurabilidad de las normas, y con ello la obtención de la garantía de la existencia de criterios de seguridad jurídica estables, al tenerse que interrelacionar los avances técnicos, y las nuevas prácticas sociales, con dichos principios rectores, que a la postre, determinarán los derechos y obligaciones de todas las partes intervinientes, y especialmente de los ciudadanos, cuestiones a los que se tendrá la oportunidad de referirse posteriormente.
Es evidente que las innovaciones en la tecnología motivadas entre otros factores por la irrupción de nuevas técnicas, en las que ha tenido singular importancia el Cloud Computing, los rápidos desarrollos producidos en la recopilación de los datos, en su análisis y en su uso, y los flujos globales de los mismos y la facilidad de acceso a los datos ha provocado el nacimiento de una serie sin precedentes de productos, recursos y servicios disponibles para los consumidores, y en un futuro muy próximo, el desarrollo imparable de Internet de las Cosas.
Debe tenerse en cuenta que la producción de estos avances, sin embargo, de ninguna manera han hecho disminuir el derecho de los individuos a la recogida segura, protegida y apropiada de sus datos de carácter personal, y el uso de dicha información.
Debe constatarse que la protección de dichos datos a menudo es cuestionada por el carácter cada vez más dinámico e internacional de la información a que hacen referencia los mismos. A raíz de ello, han nacido nuevos conceptos como la “accountability”, el cual se estableció a instancia de la Organización para la Cooperación Económica y el Desarrollo («OCDE»), como un medio adecuado y razonable para la protección de datos, a los efectos de proporcionar una mejor y más segura gestión de los mismos, especialmente en los casos de flujos transfronterizos.
Tal como se tuvo la oportunidad de indicar en anteriores reflexiones al respecto, el origen doctrinal de la concepción tradicional de la rendición de cuentas –“accountability”–, es de profunda raíz liberal, mediante la cual los gobernantes y gestores públicos respondían de forma precisa y mediante mecanismos claros ante los ciudadanos y sus representantes políticos por sus actuaciones, ya no es suficiente y quizás no sea adecuada para asegurar la misión encomendada.
Ninguno de los actores principales (Gobierno, Administración, grupos sociales, ciudadanos) es hoy lo mismo, naturalmente, pero sobre todo no se relacionan de la misma manera, ni tienen las asimetrías de posición que configuraban las democracias representativas hasta los años ochenta del siglo pasado.
La rendición de cuentas está cuestionada en la misma medida en que la democracia se transforma y ha de transformarse. La reacción habitual es pedir más rendición de cuentas como sinónimo de más control, y en los términos propuestos, hace alusión a que la rendición de cuentas debe reinterpretarse como un sistema que permita un proceso de responsabilización continua por parte de los gobernantes y una presencia influyente de los ciudadanos y grupos sociales en la formulación de las políticas públicas y en su ejecución.
La importancia y también las dificultades en conformar este sistema derivan del hecho de que se encuentra en el cruce entre política y gestión, mientras estos han sido hasta la fecha mundos aparentemente separados, solamente articulados por la jerarquía entre Gobierno y administración.
En la trasposición de esta doctrina a la materia que nos ocupa, el término “accountability” hace referencia a la responsabilidad de las compañías en la implantación de mecanismos de cumplimiento en materia de protección de datos, así como de métodos de validación que garanticen su fiabilidad, principalmente multinacionales que operan a escala global, en la implantación de medidas, en el seno de sus organizaciones, de garantía y cumplimiento de los principios y obligaciones en materia de protección de datos, así como el establecimiento de mecanismos internos y externos para evaluar su fiabilidad y demostrar su efectividad cuando se solicite por las autoridades de control.
Este principio tiene una gran relevancia tanto en entornos públicos como privados, particularmente en el contexto actual, marcado por el empleo intensivo de nuevas tecnologías y, fundamentalmente, de los servicios de Internet.
El concepto de la “accountability” tiene una lenta penetración en nuestro sistema jurídico, si bien, constituye una novedad esencial en el concepto de responsabilidad, pues supone la transición de una responsabilidad puramente de carácter objetivo, cuál era la establecida en la vigente Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos de Carácter Persal, a través de lo dispuesto en el apartado 3º, letra i), del artículo 45 de le Ley Orgánica 15/1.999 (LOPD), donde al valorar los elementos de moderación de las infracciones en materia de protección de datos, se señala que la acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.
Este concepto de responsabilidad general es evidente que no queda concretado, pero el alcance de la obligación de implementación de procedimientos que se consideren adecuados, hay que interpretar desde el punto de vista legal, para la recogida y el tratamiento de los datos, como causa de aminoración de la responsabilidad que el responsable pueda incurrir.
Debe hacerse especial énfasis en el hecho consistente en que ni la Ley, ni posteriormente el propio regulador han procedido a concretar el alcance y la eficacia de esos procedimientos, de lo cual cabe deducir, que ello responde, precisamente a esa obligación general de responsabilidad atribuible al responsable, con independencia de que la misma se vea reflejada en una norma de carácter escrita.
Debe tenerse muy en cuenta que la “accountability” no redefine la privacidad, ni trata de remplazar la legislación vigente o regulación existente a tal efecto. Lo único que pretende es cambiar el enfoque que cualquier empresa u organización ha de tener de la privacidad a los efectos de poder alcanzar objetivos específicos, reales y concretos, que aseguren el efectivo cumplimiento de los mismos, sobre la base de los criterios establecidos en la ley, en la propia la autorregulación, en su caso, en la adopción de mejores prácticas, y en la capacidad y la responsabilidad de las empresas para determinar medidas apropiadas y eficaces para alcanzar el cumplimiento efectivo de las políticas de privacidad, tanto en lo que se refiere a la mera gestión de los datos de carácter personal, como de manera muy fundamental a su seguridad y protección.
Por ello, cabe cuestionarse si la actual regulación existente a nivel comunitario o nacional es adecuada para la aplicación de la “accountability”, o si por el contrario, para su implementación se hace preciso la reinterpretación o la modificación de las leyes y demás normativa existentes en la materia, o si incluso sería mas que suficiente, con un simple cambio en la interpretación jurisprudencial de los preceptos que en la actualidad regulan los diferentes regímenes de responsabilidad. Tampoco se puede pasar por alto, que en el desarrollo de este concepto, es muy significativa la intervención de los reguladores, marcando las pautas y los criterios a las que han de ajustarse las mencionadas políticas de privacidad. Debe entenderse que la “accountability” no es sólo una responsabilidad atribuible a los responsables del tratamiento, las empresas o de las organizaciones que procesen datos de carácter personal, sino que en la definición, ejecución y control de dichas políticas están implicados todos los actores que intervienen en la Protección de Datos, teniendo un papel muy destacado, como ha quedado dicho, las autoridades nacionales.
Sin embargo para la “accountability” el problema no ha hecho mas que comenzar, toda vez que por una parte, debe tenerse presente la naturaleza cada vez más global de los flujos de datos, el almacenamiento remoto y los tratamientos de datos en la «nube», la geografía y las fronteras nacionales que imponen pocas limitaciones en donde los datos pueden ser transferidos, pero que presentan importantes problemas prácticos para su administración y la supervisión de los negocios de carácter global.
En este entorno, las personas tienen que conservar su derecho a un tratamiento seguro y protegido de sus datos, y, al mismo tiempo, que el almacenamiento de los mismos no comprometa su privacidad. Por otra parte, la protección que se dispense debe ser lo suficientemente flexible, como para permitir la rápida evolución de las tecnologías, de los procesos de negocio y la demanda del consumidor.
Por ello, es importante que los reguladores se encuentren debidamente preparados para establecer los requisitos necesarios para que dicha protección sea realmente efectiva, para lograr la implicación de las empresas y de los ciudadanos, y para vigilar el cumplimiento de la normativa y de las políticas de privacidad en un entorno en el que el tratamiento de los datos cada vez que se produce con más intensidad fuera de su jurisdicción o ámbito material de actuación, lo que hace más compleja la situación existente.
Por ello, la “accountability” requiere un enfoque de la protección de datos basada en el hecho de que tanto las empresas como las organizaciones que recopilan y procesan datos personales deban asumir la propia responsabilidad de su protección y uso adecuado más allá del mero cumplimiento de los requisitos legales, siendo consecuentemente con ello, responsables del mal uso de la información que se encuentra a su disposición.
Para la consecución de este objetivo, una opción es la implementación de políticas públicas en materia de privacidad, y ello, sin perjuicio de permitir que exista un amplio margen de discrecionalidad para las empresas y organizaciones en cuanto a las medidas concretas a adoptar para dar un cumplimiento efectivo a aquellas, tomando en consideración aquellas prácticas que mejor se adapten a su negocio, a su estructura, a los modelos utilizados, a las tecnologías empleadas, e incluso a las propias exigencias de sus clientes.
Con todo ello, se trata de garantizar a las personas un nivel común de protección de datos – incluso si esto se obtiene a través de una variedad de medios- independientemente de donde se encuentre la información que es objeto de tratamiento.
También las previsiones apuntan hacia un aumento del nivel de confianza de los individuos con relación al hecho de que sus datos se encontrarán protegidos allá donde quiera que se encuentren, minimizando sus preocupaciones acerca de la jurisdicción legal o local que corresponda al lugar de procesamiento.
Y al mismo tiempo, es previsible que gracias a ello se incremente la calidad de la protección de datos, al permitir el uso de nuevas herramientas que sean capaces de responder a los restos derivados de riesgos específicos, facilitando una mejor adaptación a los nuevos modelos de negocio y las tecnologías emergentes.
Un enfoque de la política de privacidad basado en la “accountability” requiere que las empresas no sólo estén preparadas y dispuestas para asumir la responsabilidad de los datos que manejan, sino también para tener la capacidad de demostrar y acreditar públicamente que poseen los sistemas adecuados, las políticas necesarias, la capacitación suficiente y otras prácticas análogas en el lugar concreto, donde se produce el tratamiento de los datos, y ello con independencia del cumplimiento de la normativa vigente en cada momento.
Por tanto, en definitiva, se trata mas de un nuevo enfoque de la privacidad, basado en la responsabilidad de una organización para demostrar su capacidad para garantizar el cumplimiento de sus obligaciones en materia de protección de datos.
Esta transición entre las tipologías de responsabilidad exigibles, son nuevas en nuestro ordenamiento jurídico, y constituye un modelo innovador de autorregulación, frente al clásico de responsabilidad de naturaleza objetiva que tradicionalmente ha informado múltiples aspectos de la misma.
Debe ponerse especial énfasis en que la aplicación al ámbito de la responsabilidad empresarial de la “accountability” no supone la existencia de una merma efectiva de garantías para el titular de los datos, sino que las expectativas que se fundadamente se tienen, y que verán la luz en el nuevo Reglamento Comunitario de Protección de Datos Personales, hace referencia a que sean los propios responsables de tratamiento, en definitiva, las empresas, quienes incrementen el rigor en la observancia de la nueva norma, incluso más allá de la propia exigencia imperativa contenida en la misma, como una muestra adicional de su compromiso social, y el respeto a los derechos de los consumidores.
Ello, como es obvio, no limita el carácter imperativo de la nueva norma, y tampoco la capacidad sancionadora del Regulador, en caso de incumplimiento o desatención de la norma, y no hay que olvidar al respecto las palabras de Lincoln, quien señalaba que una norma sin sanción era sólo un buen consejo. Por el bien de todo, y el respeto al régimen jurídico de la protección de datos de carácter personal, esperemos que la responsabilidad colectiva y social, sea más eficaz que la capacidad sancionadora de la Administración.
Otras Columnas por Javier Puyol Montero: