Cloud computing, cookies y protección de datos

El 24 de enero se realizó en Valencia el Seminario
APEP-Derechotics «Cloud computing, cookies y protección de datos”, organizado por Lorenzo Cotino Hueso. Están disponibles en la siguiente página web los audios de las exposiciones http://www.derechotics.com/

Los planteos fueron realmente interesantes, en especial la mesa redonda realizada al finalizar el seminario.  Felicito a Lorenzo y a los participantes por el evento y comparto mis apuntes

Ricard Martínez Martínez, Dr. Prof. de Derecho constitucional de la U. de Valencia. Presidente de la APEP, “Privacidad y protección de datos en la nube”.  Comienza planteando que con las intervenciones de hoy uno bordea la arquitectura de Internet y cree que estamos pasando de una arquitectura de lo pequeño, de la física cuántica de Internet, las cookies, a la teoría de la relatividad universal donde los datos estarán relativamente en algún sitio de un universo complicado que es el del cloud, el cloud computing, la nube. Desde una perspectiva jurídica, el regulador ha decidido que va a atacar el tema. No se acepta que si se puede hacer se hace y después vemos lo demás. El cloud es un modelo de provisión de servicios, que se parece a abrir el grifo y servirse agua, guardar cosas en algún sitio, nos pueden cobrar por consumo, antes alquilábamos máquinas.  A partir de ahora los datos están, no importa la máquina, me paga por consumo.

Entiende que cuando hablamos de cloud los juristas lo tenemos complicado, porque siempre se dice “es que es muy barato”, no necesito contratar un software, ni un programador  y  con una terminal pequeño y un puerto USB ya es suficiente. Por tanto no necesito un programador, no necesito mantenimiento. Pero se debe cumplir con la ley de protección de datos. Hay soluciones desde el punto de vista técnico como el privacy by design. La primera pregunta es: ¿me subo al cloud? Luego: ¿Con qué me subo? ¿Es una información crítica? ¿Me conviene que esté en otro país? ¿Tiene seguridad? No son temas jurídicos, pero si organizativos. La posición de la Agencia Española de Protección de Datos entiende que el cliente es un responsable de tratamiento, no importa donde se encuentre, es quien decide.  Si es nacional aplicaré la ley española y si no tendré que aplicar el régimen de trasferencias internacionales de datos. Yo me voy a enfrentar a prácticas como contratos de adhesión. ¿Quién está en condiciones de negociar con los proveedores de cloud? Por lo tanto tengo que revisar el contrato.  Hay modelos de cloud que se basan en subasta permanente.  Si vamos a autorizar sub encargados, tenemos que tener una lista de quienes son, tendré que autorizar la subcontratación, pero ¿éstos cumplen?  Si
nos manejamos con transferencias internacionales hay que determinar la ley aplicable. La Agencia Española fue a Colombia a inspeccionar call center españoles. Es bueno que con respecto a la seguridad diga que cumpla con estándares internacionales, si tiene certificados, si tiene alguna métrica, ¿se audita? Si lo audita ¿un tercero podrá acceder a mis datos? Con respecto al software ¿cumple los estándares de seguridad? Hay un tema de sentido común, no de pdp, que tiene relación con la devolución de los datos, no se borraban, se devolvían, por tanto ¿qué clase de portabilidad tiene usted? Usted me ofrece un cloud pero me podré ir? Pueden decirle que lo indemnizan con dos meses del costo del cloud, ¿pero no quedamos que era barato?

Si está en el exterior, hay que tener en cuenta que sean países adecuados, el último país declarado adecuado es Uruguay, pero también puede tratarse de empresas que estén en safe harbor.  Las excepciones establecidas en el art. 34 no sirven prácticamente ninguna, porque no le vamos a preguntar a los clientes uno por uno si consienten. También están las binding corporate rules. En el Informe 157/2012 de la AEPD surge de una consulta  en la que se pregunta si añadiendo a las cláusulas contractuales tipos un contrato marco con los encargados, más una auditoría independiente, podía obtener una autorización general. La Agencia ha entendido que no es compatible.

Otro aspecto es que el Real Decreto establece que tiene que tener criterio de archivo, para poder ejercer los derechos ARCO. La clasificación del cloud no puede ser un pretexto para no dar los datos. Nada impide un plus de exigencias.

Por otra parte, el expositor entiende que es
necesario realizar una auditoría con estándares reconocidos.  Vamos a contratar condiciones generales, pero
tengo que tener en cuenta que el derecho va a estar sometido al derecho del proveedor, no se exhibirán auditorías.  Hay que tener en cuenta las condiciones políticas donde está el cloud, ¿es un país democrático? ¿Es seguro? ¿Tiene terremotos, es inundable? La Ley Patriota es muy detallada, pero hay otras leyes que permite hacer prácticamente lo mismo, aunque no sean detalladas. Por tanto, hay cierta información que nunca deberá subirse al cloud y nunca es nunca.

José Mª. Alcaraz Calero, Dr. Prof. Seguridad y Computación en la Nube. U. Valencia. Perito Judicial. “Cloud, seguridad y protección de datos en la industria y la realidad”.  El expositor da una perspectiva técnica, para analizar cuál es ésta problemática. Explica cuales son las capas del cloud. La primera capa son los ordenadores que están en un data center, que están replicados en varios países.  La virtualización es una tecnología que se va a tener que legislar en los próximos años. Las cookies comenzaron en los años 90 y ahora la reforma de la normativa ha llegado. La cloud es una tecnología 2010 y como tiene un impacto tan importante necesita que la legislación vaya mucho más rápido. Dropbox es un servicio de cloud computing que brinda espacio y da espacio gratis. Una vez que todo el mundo virtualiza comienzan los problemas. Uno de ellos es dónde se encuentran las cosas. Una máquina virtual comienza en España y pasa a Alemania y esto se llama migración, pero el proceso que se está ejecutando incluso va en camino. Se ejecutan las cosas pero no sabemos dónde. Se puede aplicar derecho internacional, pero se necesitan medidas que todavía se están por hacer. Hay unos ordenadores que tienen los datos, otros tienen los servicios, etc. La primera capa es la que proporciona infraestructura, alquilamos memoria, ancho de banda.  Entonces comienza a surgir la segunda capa. Por ejemplo Google Docs es una aplicación como servicio, uno puede utilizar un procesador de texto, no sabemos dónde está el documento, pero lo podemos utilizar. Cuando avanzamos en las capas se suman los problemas.  El expositor expresa que se va a centrar en el cloud público, muchas personas arriendan el mismo ordenador o los mismos servicios. ¿Entonces cómo se aseguran los datos si el ordenador no es solo mío? En el cloud privado se  instalan los servidores propios y se instalan los servicios. Las dos principales motivaciones del cloud son la seguridad y el rendimiento. Nadie da garantía de nada. Desde el punto de vista de ingeniería se han buscado soluciones. La otra capa es la plataforma como servicios, uno pone su aplicación en ella y funciona, entonces estamos confiando en la disponibilidad de estos servicios. No hay hasta ahora certificación de seguridad en entornos virtuales. Cuando se entra al cloud uno conoce al proveedor de entrada, pero nada más, no aparece en ningún acuerdo.  Nadie sabe que hay detrás del buscador más conocido del mundo. Si no ponemos datos personales nadie lo va a tomar.  Pasamos la seguridad de los datos al proveedor del servicio, entonces comienzan a existir alianzas internacionales para dar seguridad a los datos. Por ejemplo, se ha pensado en certificaciones ISO. Ninguno garantiza la seguridad de los datos, por ejemplo si son robados. Google apps dice que se comprometen a que el sistema siempre va a funcionar, pero no dice nada si te roban los datos.  Hay algún proveedor que ofrece encriptar los datos. Hay seguros para la pérdida de los datos, pero no para los datos. Tampoco se asegura el mal uso de ellos.

Otro tema importante es el multi arrendatario. Si tenemos una tabla de datos, que provienen de diferentes sitios y que tal vez tienen distintos acuerdos. Es complicada la depuración de responsabilidades cuando hay una cadena de servicios y todos están a través de un canal no seguro como es Internet. Las trazas entre lo que pasa en el sistema entre las distintas organizaciones, cada proveedor hace sus trazas, pero como se asegura de la de los demás.  Podría ser muy útil la Federación de identidades (de documentos de identidad digitales) por los cuales una persona se podría identificar en cualquier parte del mundo.

Daniel Rodríguez Merino. Abogado socio en IT Corporate Law y Director de Operaciones de Occentus Network “Cloud
y legalidad como empresa”.  Trata de aportar el lado positivo del tema.  Explica que si bien vamos a ver que todo va a girar en estos temas en torno a los riesgos, porque hay una serie de elementos que desconocemos: compartimos tarjeta de red, pero no sabemos quiénes son los vecinos, si están escuchando o analizando el tráfico. Hay una serie de información que nunca debe estar en la cloud. En un entorno empresarial que exige muchos recursos, sobre todo de procesador, pero no todos son respecto a datos, no solo personales, sino también información sensible por parte de la empresa.

Una modalidad es el Cloud privado: los servidores son propiedad de la empresa, se conecta a la red, es parecido a lo que siempre tuvo pero sin tener que tener el data center en la propia empresa. El cliente tiene derecho físico a esas máquinas porque son suyas.  La gracia de esto es que va a poder federar recursos a cloud públicos. Incluso podría apagar la máquina porque tiene independencia de otros nodos.  Las estructuras federadas son una garantía para que el sistema continúe funcionando.

El cloud público se ve siempre como inseguro. Es importante tener un tercero que audite y que asegure que se aplican las medidas de seguridad. También el tema de seguros es una posibilidad, pero en España no existe este tipo de pólizas, la empresa del expositor tiene una póliza pero es británica. Si se quiere saber cuáles son las garantías y compromisos que tenemos respecto a nuestro clientes, tenemos que tener en cuenta que existen soluciones tecnológicas y organizativas.

Finalmente se realiza una Mesa Redonda donde se plantean interesantes preguntas.

Responsabilidad de proveedor: el proveedor es quien tiene responsabilidad y en última instancia es quien tiene las herramientas para corregir esas situaciones. No  puede saber donde se está ejecutando una aplicación, no sabe si se subió una película, pero va a tener herramientas para solucionar un problema. Los proveedores tienen identificados donde están enlazados los discos. Una cosa es que se proporcione un servicio a un tercero, pero el proveedor no sabe que uso se está haciendo de ese disco virtual.

Jesús Rubí: el punto de partida en los servicios de cloud computing no es la LSSI, sino la ley de protección  de datos y por tanto de la posición del responsable y del encargado.
Es verdad que puedes tener elementos asociados a la LSSI, pero se mueven en entornos distintos. Por ejemplo, como prestador de servicios de la sociedad de la información puedes asociarlo a un incumplimiento de la propiedad intelectual, entonces puede haber un desplazamiento. En términos de protección de datos no es que esté excluida la LSSI, pero acá yo sigo siendo el cliente responsable y usted es un prestador de servicios, por más que yo sea un enano porque soy  una mercería o una peluquería y el otro sea Google o Amazon, desde el punto de vista de la protección de datos eso es así.  Rubí quería aclarar -porque había escuchado en varios foros-  que la fragmentación excluye la aplicación de esta normativa y eso no es así, no excluye nada. Quien subcontrata tiene que tener la diligencia para que esa subcontratación funcione correctamente.  En la apertura de la 33° Conferencia Internacional de Autoridad de Protección de Datos que fue en México, la entonces presidenta del IFAI Peschard comenzó diciendo la información está en la nube, pero la responsabilidad está en la tierra.

Lorenzo Cotino Hueso plantea  una pregunta
a Jesús Rubí, porque el tema  de cookies queda apagado cuando nos enfrentamos al tema de la nube. Cuando miramos en la AEPD encontramos esta resolución que se ha mencionado sobre los contratos modelos de la Unión Europea y un panfleto sobre el uso por abogados de la nube. Pregunta si la nube no es esto más importante que las cookies. Si bien hay que cumplirlo. Por otro lado, pregunta sobre la afirmación “el responsable es responsable”, pero la respuesta aunque jurídicamente es correcta, ¿no está mirando de espaldas a la realidad de la nube?

Jesús Rubí entiende que la nube es muy importante porque está en la agenda digital de la Unión Europea, en la agenda digital del gobierno español, pero las cookies
también son importantes, porque los servicios gratuitos que existen en Internet dependen de la publicidad comportamental, aunque no solo de esa, también de la publicidad contextual, pero en la publicidad cuando más conozcas el perfil al que te diriges mejor funciona, y por eso la publicidad basada en hábitos de comportamiento tiene un mejor precisión. Respecto a la pregunta de Lorenzo Cotino manifiesta que hay que tener en cuenta que hay un marco jurídico y que hay un escenario práctico. En este último, el núcleo fundamental, que tiene un cambio de paradigma y por tanto hay que hacer adaptaciones para que funcione correctamente, hay un elemento que tiene dos patas y es la diligencia. Diligencia por parte del cliente y diligencia por parte del proveedor de servicio. Eso significa que va a tener un check list básico de informaciones que tienes que pedir y que te tienen que dar, no tiene que dar mayor información técnica. Preguntar si es privada, pública, híbrida, o si la tiene distribuida por el mundo. Porque estas empresas dicen que cumplen las políticas y que están en contacto con los reguladores, pero hay que hacer preguntas concretas. La persona puede plantear que  quiere ir a una solución que es privada, que esté en España o en la Unión Europea y me evita todo el tema de las transferencias internacionales de datos. Aclara que no dice que sea la mejor opción, pero hay alguien que puede decir que esto le resulta más práctico.  Puede costar un poco más caro, pero da tranquilidad y se desentiende de un montón de cosas. El precio da unas ventajas y la complejidad jurídica implica otras cosas. Es una opción de la persona o empresa, paga un poco más, pero tiene garantías. Lo que no puede decir es que como el servicio se lo presta una multinacional no pregunto nada y no se responsabiliza.

Un participante pregunta sobre qué preguntar sobre las cookies y el panel responde que no hay que preguntar qué cookies tiene, sino qué servicios utiliza, por ejemplo si utiliza Google Analytics. No hay catalogación de niveles de cookies, o las borras todas o no. Rubí hace hincapié en leer las condiciones de uso.

Con respecto a la nube se hace referencia al tema “gratis”. Las pymes no tienen que pagar a Dropbox, o las empresas a Facebook por las páginas empresariales. En cuanto las cosas dejan de ser gratis cambiarán. Esto no es jurídico, el consultor le tiene que decir que debe firma un documento que conoces los riesgos sobre determinadas decisiones.  Otro tema es, por ejemplo, pagar hosting americano, se le dice que es mejor el europeo, pero se continúa optando por el americano.

Lorenzo Cotino: si hubiera una normativa europea que dejara claro que se puede o no hacer se solucionaría el tema. Cuando hablamos de cloud son muy pocos proveedores, al igual que sucede con las redes sociales. Lo único que hay en normativa es un artículo en el reglamento mexicano que menciona la cloud.

Rubí: en la modificación del reglamento europeo no hay ni una sola mención a esto, lo cual es increíble. Este es un toro que tiene que torear la autoridad de protección de datos porque no lo van a hacer los cientos de microempresas. Se está haciendo difusión, divulgación, estamos haciendo unos elementos sencillos dedicados para quienes ofrecen estos servicios. Rubí plantea una situación hipotética porque aclara que no se puede prejuzgar, pero entiende que en algún momento habrá una reclamación y en ese momento habrá que decidir, y se puede pensar que si nos encontramos con una empresa grande, un contrato de adhesión y una pequeña empresa, quizá se decida que la pequeña empresa tenga un apercibimiento y se le diga que tiene que buscar un proveedor acorde a lo que necesita y a la gran empresa se le inicia un proceso sancionador por ofrecer un producto que no cumple con la normativa. Acá la sanción económica no importa, lo que puede importar es la imagen empresarial de esa compañía, porque va a salir en los medios de comunicación que la empresa tal tiene contratos que no son legales. Ese será el día que se tome al toro por
los cuernos.  Podríamos tener una sentencia
de este tipo este año. No se puede dejar este tema librado a los clientes que contratan el servicio, pero no quiere decir que no se deba asesorar a los clientes para que elijan el mejor servicio.

Esta entrada fue publicada en consent, data protection, Gobierno electrónico, privacy, Protección de datos y etiquetada , , , , . Guarda el enlace permanente.