Internet y derecho en la era del cloud computing.
Publicado por Pablo García Mexía el feb 10, 2014
A día de hoy, el cloud computing es un paradigma tecnológico de tanta relevancia potencial para Internet como en su momento fue la World Wide Web: así lo afirmaba en 2012 la Comisión Europea. No hay vuelta atrás, va a transformar completamente la forma de trabajar en red.
La propia Comisión Europea lo explica con gran sencillez: si la World Wide Web abrió a todos la posibilidad de utilizar la Red en cualquier momento y lugar, la nube inaugura la posibilidad de generar capacidad de computación en similares condiciones de universalidad. El cloud computing es de hecho la puerta para la transformación de Internet en un servicio esencial más, en una “utility”, que se diría en el contexto anglosajón, al estilo del agua, la electricidad o el gas. El cliente de servicios de computación en nube los contrata a voluntad a un tercero, paga en función de su consumo y, sobre todo, no tiene que preocuparse de generarlos ni de gestionarlos, pues de eso se encarga su suministrador, exactamente igual que un fabricante de automóviles no tiene que ocuparse de generar electricidad para sus factorías, sino simplemente de contratarla y de pagarla.
Eso sí, es evidente que, al fin y al cabo, el cloud computing no es más que una manera diferente de usar Internet, por más que enormemente novedosa y de inmenso potencial para los negocios. Por eso me gusta exponer las particularidades del régimen legal del cloud computing acudiendo al mismo esquema que también utilizo para explicar, con carácter general, los aspectos legales de Internet, es decir, diferenciando a estos efectos la infraestructura que hace posible el acceso a la Red, el código de Internet (los estándares y protocolos diseñados por sus inventores a partir de los sesenta del pasado siglo) y los contenidos que fluyen por ésta.
En su obra Tubes, Andrew Bloom destaca que los tiempos del cloud computing vienen desdeñando la importancia de la infraestructura en el entorno digital. Y, sin embargo, está claro que sin los cables que transportan la señal, ninguna Internet es posible, ni en la nube ni en el servidor doméstico o empresarial: y concreto aún más, si los ´tubos´ que sirven para ello carecen del ancho de banda suficiente, no tendremos ni la capacidad ni la velocidad que el cloud requiere. En una palabra, sin calidad de servicio no se puede tener cloud. Como atestiguan los varios números de La Ley en la Red dedicados al tema de la calidad de servicio en Internet, aquí radica uno de los principales retos de evolución para ésta: quizá, y sobre todo, en la intención de las operadoras de comunicaciones de transformar el actual modelo de datos que rige en Internet por el modelo de voz que tradicionalmente rigió el mercado telefónico.
Por otro lado, tanto en España como en el resto de la Unión Europea, y a raíz de la Directiva 2008/114/CE, sobre protección de infraestructuras críticas, desarrollada en nuestro país por la Ley 8/2011, de 28 de abril, los proveedores de servicios en nube podrían incurrir en las obligaciones de asesoramiento y colaboración con las autoridades previstas en dicha normativa.
En otro orden de consideraciones, ya atinentes a los estándares y protocolos de Internet, es sabido que algunos de los principales pioneros de Internet y de la World Wide Web (en concreto Vinton Cerf y Tim Berners-Lee) vienen denunciando el riesgo de que el cloud computing termine reproduciendo la incompatibilidad de sistemas y redes a la que la Internet embrionaria se tuvo que enfrentar durante los años sesenta y setenta: así, algunas de las grandes empresas de Internet estarían generando “silos” inconexos y estancos de información, que ni los consumidores ni las empresas pueden muchas veces portar consigo de unas a otras. Es también conocido que, de hecho, y para luchar contra ese problema, han surgido iniciativas de “nubes abiertas” en diversos lugares del mundo, entre las que destacaOpen Cloud en los EE.UU.
Parece sin embargo cierto que la única manera de avanzar sólidamente en este campo desde el punto de vista tecnológico es la estandarización, y los estándares están aún en una fase incipiente de desarrollo, como por ejemplo acredita un documentado estudio de la ONTSIdedicado al tema en 2012, que también pormenoriza su respectivo alcance. De manera que esa ausencia de estándares podría por ejemplo terminar causando perjuicios a las empresas que decidan saltar a la nube, en cuanto podrían encontrarse con sus datos alojados en el “silo” del proveedor de nube de turno (Amazon, Apple, Microsoft, Facebook, etc.) y sin poderlos “migrar” a la competencia si rompieran con ese proveedor. Hoy por hoy, éste es de hecho uno de los grandes recelos de las empresas hacia el cloud.
A lo dicho, y desde el ángulo legal, es necesario añadir dos cosas: una, que la propiedad sobre los datos es cuestión que no está aún suficientemente clara a la vista de las normas legales vigentes en Europa y en el resto del mundo: en concreto, faltan, al menos en Europa y en España, normas que reafirmen con contundencia que el propietario de los datos es su titular y no la empresa o entidad que los trata. Y otra, que ni siquiera el ordenamiento más avanzado en materia de protección de datos en el mundo, como es el europeo, ha siquiera reconocido aún la portabilidad de los datos como un derecho que en consecuencia pueda ser exigido frente a terceros: ciertamente, está previsto en la Propuesta de Reglamento europeo de protección de datos publicado en enero de 2012, pero ni hay visos claros de que esta norma pueda terminar siendo aprobada a corto plazo, ni tampoco está asegurado que este derecho perviviera en todo caso en ella.
Eso sí, éste es el tipo de cuestión que puede y debe incluirse en los términos del contrato que el cliente de nube firme con su proveedor. Aun cuando es también verdad que gran parte de dichos contratos se ofrecen por proveedores (Apple, Google, Microsoft, Amazon, etc.) que se hallan en una relación de enorme superioridad respecto de sus clientes, quienes en multitud de ocasiones, y salvo que cuenten con las dimensiones suficientes, se verán obligados a suscribir meros contratos de adhesión, obviamente sujetos a las exigencias de tales proveedores. ENISA, la Agencia europea para la seguridad de las redes y los sistemas de información ya lo afirmó en diciembre de 2009, en uno de los primeros estudios relevantes sobre la materia.
Pasando ya al terreno de los contenidos que “se sube a la nube”, las empresas clientes de este tipo de servicios suele mostrar preocupación por las repercusiones económicas en caso de que fuera necesario responder frente a terceros de posibles hechos ilícitos derivados de tales contenidos: no es difícil imaginar algún ejemplo, supongamos que un empleado de la empresa cliente de nube decide subir a ella algún archivo pirateado y que ese archivo termina incluso siendo accesible para terceros. Aunque improbable, estamos ante un supuesto que sin duda podría llegar a producirse. Así las cosas, entiendo que las dos normas claves en esta materia, tanto la Directiva 2000/31/CE, como la Ley de servicios de la sociedad de la información (Ley 34/2002), que la desarrolla en nuestro país, darían cobertura para que el cliente de cloud pudiera exigir responsabilidades a su proveedor, quien al fin y al cabo estaría almacenando ese archivo pirateado. Aunque es verdad también que el proveedor de servicios cloud podría replicar espetando a su cliente negligencia por falta de suficiente control del uso de las TICs por parte del empleado infractor.
Otro tanto sucedería en caso de que, por seguir el ejemplo, el empleado en cuestión estuviera incluso comerciando con esos archivos pirateados, es decir, que no solo estuviera incurriendo en un ilícito civil, sino también penal, que estuviera cometiendo un delito contra la propiedad intelectual: opino que también en estos casos podría resultar responsable el proveedor de nube, al estar en el fondo albergando los contenidos en sus servidores, y por más que el cliente hubiera de terminar siendo capaz de demostrar diligencia en el control del uso de los equipos y sistemas.
Un supuesto semejante sería el de la propiedad industrial que el cliente cloud subiera a la nube, pongamos por caso secretos industriales acerca de sus instalaciones, equipos, procesos, su know-how, en una palabra. Bien es verdad que aquí, si por ejemplo el proveedor filtrara esos datos, la posición del cliente frente a éste sería lógicamente mucho más sólida, es decir, entiendo que dicho cliente podría perfectamente reclamar a su proveedor una compensación por los daños sufridos.
Al hilo de éste y de los demás problemas legales descritos, es también frecuente plantearse si existen ya normas europeas o españolas que se refieran singularmente a ellos, o para ser más claros, si hay una ley sobre cloud computing, que regule este tipo de problemas.
A lo que se debe responder negativamente, pues si bien la Comisión Europea lanzó en 2012 una iniciativa de gran calado en materia de cloud, ya mencionada al comienzo, la misma no incluye ninguna previsión de regulación, todo lo más la elaboración de unos términos contractuales modelo que sirvan para armonizar lo más posible este tipo de contratos en los 28 Estados miembros, y que están aún por ultimarse.
Fuente: Comisión Europea.
Unido a la ausencia de jurisprudencia relevante ante la novedad del cloud, todo ello hace, y vuelvo sobre una idea ya expuesta, que la importancia del contrato que vincule a cliente y proveedor de cloud tenga una importancia absolutamente central.
Junto a lo dicho, cabe igualmente plantearse si los proyectos de esta índole pueden llegar a tener repercusión para los clientes del propio cliente cloud, sean éstos otras empresas o, lo que es más delicado, consumidores. Un ejemplo: ¿qué sucedería si un gran banco sube a la nube el servicio de banca electrónica y sus clientes pierden acceso al mismo porque a su proveedor de nube se le caen los servidores durante algunas horas? ¿Quién resarciría después a las empresas y a los consumidores por los posibles perjuicios sufridos?
A la vista de estos riesgos, bien reales, las empresas deben ser muy conscientes del tipo de contenidos que se lleven a la nube, evitando así subir los procesos críticos de su negocio. También de que hacerlo por ejemplo a una nube privada, para su solo uso, reforzará las garantías de seguridad frente a otra pública o limitadamente compartida. Con todo, entiendo que si ese tipo de riesgos llegara a materializarse y la empresa en cuestión hubiera puesto en el cloud el “core” de su negocio, estimo que aun en esos supuestos el cliente cloud podría exigir responsabilidades a su proveedor, eso sí, siempre y cuando el contrato lo previera adecuadamente en su favor: y más específicamente dentro de esos términos contractuales, si así se desprendiese del llamado “acuerdo de nivel de servicio” (SLA en siglas inglesas de Service Level Agreement), un concepto, por lo ya explicado, de absoluta referencia en el “entorno cloud” .
A pesar de cuanto queda expuesto, si algo preocupa por encima de todo a las empresas que sopesan este tipo de proyectos, aun siendo bien conscientes de sus enormes ventajas en términos de flexibilidad, productividad y ahorro de costes y mayor competitividad, son dos cosas: la seguridad y la privacidad, es decir, la protección de los datos que se subieran a la nube. En los documentos citados, fuentes como ENISA y la Comisión Europea, entre otras muchas, son contundentes al concluirlo. A fin de cuentas, no es lo mismo tener los datos “en las propias oficinas” que tenerlos fuera; y, por cierto, si se tienen fuera, ¿dónde en concreto los ubicará el proveedor cloud?
En lo que a la seguridad respecta, obvio es decir que Internet nunca ha sido segura del todo, ni jamás lo será. Siempre habrá vulnerabilidades. Si bien es cierto que, frente a esas vulnerabilidades, parece lógico pensar que el proveedor de nube esté en mejores condiciones de defensa que su cliente, siendo al cabo Internet el núcleo de su actividad (a diferencia del cliente, que con frecuencia se dedicará a cualquier otra cosa). Es también verdad que “tirarle los servidores a un Google o un Facebook” puede llegar a ser el sueño de cualquier “cracker”, aunque justamente por eso Google o Facebook estarán en principio más y mejor preparados.
En lo que hace a la privacidad, y más singularmente, la protección de datos, constituye sin duda el principal escollo legal al que el cloud computing se enfrenta. Sin ánimo exhaustivo alguno, destacan a mi juicio aquí tres grandes bloques de asuntos: uno, la distribución de responsabilidades entre proveedor y cliente cloud, es decir, quién es responsable y quién mero encargado del tratamiento de los datos. Aun cuando en los primeros compases de desarrollo comercial del cloud computing se generalizó la convicción de que el cliente no pierde en ningún caso su condición de responsable, hoy en día se duda ya abiertamente de ello, siendo señera por ejemplo la postura de la Autoridad británica de protección de datos (ICO), para la que ésta es cuestión abierta al análisis caso por caso, y que está en función de que nos hallemos ante nubes privadas, híbridas o públicas.
Otro es el de los registros por autoridades públicas de los servidores del proveedor en el país en que aquéllos se ubiquen, siendo evidente que también podrían serlo datos pertenecientes al cliente o a terceros. Difícilmente podría aquí exigirse al proveedor (Amazon, por citar alguno), que se negase a cooperar con las autoridades de su país, los EE.UU., si éstas se lo demandasen, con lo que los datos podrían terminar en poder, o al menos en conocimiento, de ese gobierno, con los ulteriores problemas que de aquí derivasen.
El tercero es el hecho de que, si los servidores del proveedor se encontrasen en un país ajeno a la Unión Europea o al Espacio Económico Europeo, podríamos estar ante transferencias internacionales de datos en caso de efectuarse desde España, y por tanto sería incluso preciso solicitar la correspondiente autorización de la autoridad nacional de protección en caso de pretender remitirlos desde ésta u otro país de la Unión: y esto con independencia de tener además que ajustarse a la normativa de protección de datos de cualquiera de los otros países donde el cliente de nube tuviera sede de operaciones, pues los datos podrían proceder también de cualesquiera de ellos. Bien es verdad que, cumpliendo con la normativa europea, que es la de la casa matriz, queda prácticamente garantizado en lo esencial el cumplimiento de cualquier otra, siendo la europea la más exigente y garantista del mundo.
En lo que se refiere a la ubicación de los servidores del proveedor, es cuestión crucial como se deduce de lo expuesto, pues el cliente de nube deberá garantizar al titular de los datos el estándar de protección a que tenga derecho, si es el europeo, el europeo, siendo a la vez éste, como acabamos de decir, de la máxima exigencia. Si los servidores radican pues más allá del territorio del Espacio Económico Europeo (EEE), o de países que gocen de un “estándar adecuado de protección” oficialmente reconocido por la Unión Europea, esa garantía quedará en entredicho. Ésta es la razón por la que muchas de las principales empresas proveedoras de servicios cloud ofrecen a sus clientes europeos, por ejemplo, que sus datos quedarán alojados en servidores sitos en territorio EEE, pues gracias a que dichas proveedoras tienen establecimiento en algún país de ese territorio, queda asegurada la aplicación de las medidas de protección de la Unión, que a su vez, y prácticamente, “blindan” al cliente para todo el mundo, dado su alto grado de exigencia.
Saludos
Rodrigo González Fernández
Diplomado en “Responsabilidad Social Empresarial” de la ONU
Diplomado en “Gestión del Conocimiento” de la ONU
Diplomado en Gerencia en Administracion Publica ONU
Diplomado en Coaching Ejecutivo ONU(
CEL: 93934521
Santiago- Chile
Soliciten nuestros cursos de capacitación y consultoría en GERENCIA ADMINISTRACION PUBLICA -LIDERAZGO - GESTION DEL CONOCIMIENTO - RESPONSABILIDAD SOCIAL EMPRESARIAL – LOBBY – COACHING EMPRESARIAL-ENERGIAS RENOVABLES , asesorías a nivel nacional e internacional y están disponibles para OTEC Y OTIC en Chile
Pascua Lama