La privacidad en la nube

28 Dic

El más reciente de los seminarios del máster, titulado “Retos legales del cloud computing“, tuvo lugar en la EOI el pasado 16 de diciembre. En él pudimos conocer, por boca de María González, la opinión de Google sobre cuáles son los obstáculos legales a los que se enfrenta la computación en nube, la forma actualmente en boga de denominar a la provisión de servicios (de software, de plataforma, de infraestructura) a través de Internet.

Su intervención se centró en repasar las limitaciones de que según Google adolece el actual marco jurídico español de protección de datos personales (y por ende el europeo del que deriva), lo que nos permitió tener una visión complementaria de la que la Agencia Española de Protección de Datos nos expuso en un seminario anterior.

La computación en nube nos ofrece indudables beneficios a sus usuarios, tanto en cuanto a ubicuidad (podemos conectarnos desde cualquier sitio y mediante una variedad cada vez mayor de dispositivos) como en disponibilidad (fallos como los de Twitter, con su memorable “fail whale“, llaman la atención por infrecuentes) o en mera rapidez de respuesta (por otro lado, la velocidad con la que se actualiza el timeline de Twitter es un pequeño milagro al que nos vamos acostumbrando). Estas extraordinarias características se alcanzan gracias a la distribución geográfica de múltiples centros de proceso de datos cada vez más grandes y potentes, y la replicación en ellos, mediante algoritmos diseñados para optimizar su rendimiento, de la información y las aplicaciones que componen los servicios en nube.

Esta dispersión de los servidores (y por tanto de los datos que tratan, incluidos los de carácter personal de los usuarios) por distintos países, quizá incluso continentes, es la que complica la situación legal de la computación en nube, pues choca con la dimensión inevitablemente territorial de los marcos legales actuales.

Google considera que el marco jurídico europeo, articulado en torno a una Directiva de 1995, es decir, del periodo inmediatamente  anterior a la eclosión comercial de Internet, está obsoleto y limita las posibilidades que ofrece actualmente la tecnología. Esta es una opinión generalizada, pues este marco regulatorio se encuentra actualmente en proceso de revisión. (De hecho, la Comisión Europea mantiene abierta hasta el próximo 15 de enero de 2011 una consulta pública para recibir sugerencias al respecto de todos los actores implicados, con Google y otras grandes compañías de Internet en un lugar destacado.)

Algo se está moviendo también al otro lado del Atlántico, pues en las últimas semanas dos entidades con competencia para velar por los derechos de los consumidores estadounidenses, como son el Departamento de Comercio (DoC) del gobierno de Obama y la Agencia Federal de Comercio (FTC), han publicado sendos informes sobre privacidad en la red (Informe del DoC [pdf]; informe de la FTC [pdf]).

Pero estas iniciativas de actualización de normas al fin y al cabo regionales no pueden ocultar la necesidad de afrontar retos globales, como son la mayoría de los que por sus propias características presenta Internet, con soluciones también globales. En este sentido, las autoridades de protección de datos vienen trabajando desde hace tiempo, en colaboración con organizaciones de la sociedad civil y otra serie de entidades tanto públicas como privadas, en la elaboración de una propuesta de estándares internacionales de privacidad (pdf) que se presentó a finales de 2009 en Madrid, con motivo de la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. La propuesta, como explica la propia nota de presentación (pdf), “no es un acuerdo internacional ni tampoco una normativa jurídicamente vinculante“, sino que pretende servir “como base para un futuro trabajo de elaboración de un convenio universal.”

En un mundo (aún lejano, me temo) en el que la privacidad estuviese igualmente protegida en todo el planeta, tendría mucho más sentido una de las frases con las que me quedé de la intervención de María González: para Google, “How is more important than where” [El cómo es más importante que el dónde]. De momento habrá que seguir discutiendo sobre jurisdicciones, lugares de establecimiento del responsable y del encargado de tratamiento, transferencias internacionales y todo lo que conlleva tratar de conjugar la territorialidad del mundo físico con la globalidad de la nube.

A %d blogueros les gusta esto: