2011/01/29 · 0:00

Cloud Computing: ¿Donde están las llaves… de nuestra información?

El concepto de “computación en la nube” se ha popularizado a raíz de la proliferación de servicios de utilización personal, tales como redes sociales, sitios de almacenamiento multimedia (imágenes, música, videos), servicios de gestión de documentos en línea (textos, hojas de cálculo, presentaciones, …).

Pero la utilización de servicios de computación en la nube va más allá del uso que ha contribuido a su popularización, que es su uso personal, normalmente en modalidad de utilización gratuita y financiada por publicidad; en estos casos está sujeta a unas condiciones de prestación o términos del servicio y políticas de privacidad establecidas unilateralmente por el prestador del servicio, que pueden ser discutibles y que caen dentro de la misma casuística ya comentada para las redes sociales y los servicios de publicidad conductual.

nubes en una pantallaEl uso profesional y comercial de la computación en la nube representa un nuevo paradigma, no solo técnico sino especialmente de condiciones contractuales y de requisitos de seguridad y, por tanto, con implicaciones sobre la privacidad. Como se sabe, la computación en la nube tiene un marco de referencia cuyas características esenciales implican un amplio acceso a la red (a través de Internet), la utilización de recursos de forma común con otros usuarios, y la Independencia de la ubicación física de los datos.

Resulta especialmente relevante identificar a los tres actores que intervienen en la prestación de servicios en la nube, atendiendo a nuestra legislación europea sobre protección de datos: en primer lugar, aparece el ciudadano o interesado, cuyos datos personales se van a tratar. Después aparece el prestador de servicios de negocio de que se trate. Y, en tercer lugar, el prestador de servicios de computación en la nube. Pues bien, independientemente de los modelos de servicio utilizado (SaaS, PaaS, IaaS) o los modelos de despliegue adoptados (nube pública, comunitaria, privada o híbrida), la clave de las dificultades presentadas por la computación en la nube reside en la deslocalización del prestador de servicios de la nube y las diferentes garantías que sobre seguridad y privacidad pueden exigirse y ofrecerse, a la vista de las diferentes legislaciones aplicables.

Así, la legislación sobre protección de datos aplicable y que ha de proteger al ciudadano o interesado es la del país donde está establecido el responsable del fichero, es decir, el proveedor de servicios de negocio. Si tanto el proveedor de servicios de negocio como el proveedor de servicios de la nube estuviesen establecidos en el Espacio Económico Europeo[1], no se presentan mayores problemas, puesto que ambos están sometidos a legislaciones compatibles, derivadas de la misma Directiva Europea sobre Protección de Datos y que garantizan altos niveles de protección. Nuestra normativa sobre protección de datos contempla circunstancias en las que los niveles de protección se consideran equivalentes, como son aquellos países que gozan de una declaración favorable[2] en dicho sentido por parte de la Comisión Europea.

Las dificultades empiezan a ponerse de manifiesto cuando el prestador de servicios en la nube, aún cuando tuviese su establecimiento principal dentro del Espacio Económico Europeo, disponga de sus centros de tratamiento o almacenamiento de datos fuera del Espacio Económico Europeo o los países declarados con nivel de protección equivalente (incluyendo los acuerdos de puerto seguro con EEUU[3]). Esta circunstancia forma parte del propio paradigma de prestación de servicios en la nube (independencia de la ubicación física). Además, existen determinadas medidas de seguridad previstas en nuestro Reglamento RD-1720/2007 que resultan de difícil, si no imposible, aplicación a la computación en la nube, como pueden ser las medidas de control de acceso físico a los centros de proceso de datos o las relativas a la gestión y distribución de soportes.

De todo ello son conscientes tanto los propios prestadores de servicios de la nube como sus clientes, los prestadores de servicios de negocio y recientemente se han desarrollado iniciativas para atajar estos problemas y buscar las soluciones adecuadas. Entre estas podemos destacar la constitución de la Cloud Security Alliance (CSA), organización sin ánimo de lucro formada por profesionales de diferentes operadores presentes en el campo de la computación en la nube. Su objetivo es promover el uso de buenas prácticas para así ofrecer garantías de seguridad dentro de la computación en nube, así como proporcionar educación sobre los usos de la computación en nube para ayudar a proteger todas las demás formas de la informática. Para entender adecuadamente los riesgos que sobre la seguridad puede suponer la aplicación de la computación en la nube, recomiendo la lectura del documento “Guía para la Seguridad en áreas críticas de atención en Cloud Computing” , elaborada por expertos de la CSA y traducida a castellano con la colaboración de ISMS-Forum.

La predicción es, en este último caso, que seguiremos hablando de ello, aunque aún no se sepa muy bien si la computación en la nube terminará siendo el nuevo escenario que fagocite la forma de prestar y recibir servicios TIC, o bien se tratará de un mero término que se pone de moda (“The computer industry is the only industry that is more fashion-driven than women’s fashion” — Larry Ellison, CEO de Oracle,  dixit.

Mientras tanto, algunas respuestas se podrán encontrar, en el caso de España, tras la reciente constitución del capítulo español de la Cloud Security Alliance (http://www.cloudsecurityalliance.es), al amparo de ISMS-Forum. Sus primeras tareas han sido constituir varios grupos de trabajo, uno de ellos sobre privacidad y cumplimiento normativo. La finalidad de este grupo de trabajo no será tanto para estudiar las implicaciones de la computación en la nube sobre la privacidad, sino para analizar los efectos de la necesidad del cumplimiento normativo relativo a privacidad sobre la computación en la nube. Esperemos a sus resultados.

[1] El Espacio Económico Europeo lo forman todos los países de la Unión Europea, mas Islandia , Liechtenstein y Noruega (miembros de la EFTA)

[2] Los países que actualmente gozan de declaración de nivel equivalente de protección son Argentina, Canada, Guernsey, Isla de Man y Suiza. Más información en https://www.agpd.es/portalwebAGPD/internacional/adecuacion/index-ides-idphp.php

[3] Las empresas de los EEUU que se hayan acogido al “acuerdo de puerto seguro” también gozan de dicha equivalencia de protección. Más información en https://www.agpd.es/portalwebAGPD/internacional/relaciones_eeuu/index-ides-idphp.php

1 comentario

Archivado bajo privacidad, seguridad, tecnología

Etiquetado con , ,

2011/01/18 · 9:30

Publicidad comportamental: nosotros somos el producto

“Si no estás pagando por algo, no eres el cliente, eres el producto que se vende”

La frase no es mía[1], pero la suscribo plenamente: eso es lo que nos está ocurriendo con muchos de los servicios alrededor de Internet, como son las redes sociales.

publicidad comportamentalEl modelo de negocio basado en la gratuidad de los servicios ofrecidos y los ingresos por publicidad no es nuevo: en él se han basado desde siempre la radio y la televisión. De hecho, el avance experimentado por la propia Internet se debe a este mismo modelo de negocio: Los primeros exploradores no dejaban de ser directorios (publicitarios) de servicios, donde algunos de los contenidos proporcionados no dejaban de ser un cebo para atraer visitantes y generar ingresos por publicidad. Y también es cierto que, gracias a este vector de penetración (coste cero), ello ha derivado en un enorme beneficio para la comunidad y sus usuarios.

Pero también es cierto que, hasta el presente, el tipo de publicidad que se ofertaba era poco intrusivo, desde el punto de vista de la privacidad: contábamos con la publicidad posicional (la que encuentras “como por casualidad”) y la publicidad contextual (la que se ofrece en función del contexto de lo que se está visitando), sin utilizar directamente datos personales. Después, las técnicas mejoraron con la publicidad segmentada, en la que se presentan ofertas comerciales en base a parámetros personales (sexo, edad, ubicación, profesión…) que el propio usuario proporciona al registrarse.

La publicidad conductual o comportamental da un paso más allá: se basa en la observación continuada del comportamiento de los individuos. Busca estudiar las características de dicho comportamiento a través de sus acciones (visitas repetidas a un sitio concreto, interacciones, palabras clave, producción de contenidos en línea, etc.) para desarrollar un perfil específico y proporcionar así a los usuarios ofertas comerciales a medida de los intereses inferidos de su comportamiento. La publicidad conductual implica la creación de perfiles de comportamiento de las personas, que pueden ir más allá de la simple segmentación o targeting de los usuarios. En su defensa, los promotores de estas técnicas de marketing argumentan que se elabora un perfil genérico, nunca personal. Sin embargo, cuando se aplica en servicios que implican el registro previo, el perfil deja de ser genérico y ya es un perfil personal.

El varias veces citado “Grupo del Artículo 29”, el “think tank” de las autoridades de la privacidad europeas, ha emitido en 2010 un “Dictamen[2] sobre publicidad comportamental en línea”, en el que analiza su marco jurídico y los diferentes actores, sus funciones y responsabilidades, estableciendo unas recomendaciones relativas a:

  • las obligaciones de los proveedores de redes publicitarias, de los editores y de los anunciantes en relación con la información y el consentimiento previos, la aplicación del principio “privacy by design”, la aceptación  de “cookies” como medio de prestación del consentimiento y la conservación de datos
  • los derechos de los interesados, en relación con el acceso, rectificación, cancelación y oposición al tratamiento de sus datos

Puestoa a continuar con las prediciones, creo que en 2011 se hablará, y mucho, de las implicaciones sobre la privacidad de la publicidad conductual, por ser un fenómeno que está empezando a generalizarse entre los servicios ofrecidos por los proveedores de redes de publicidad y que está generando preocupación entre las autoridades y movimientos civiles relacionados con la privacidad.

Esta circunstancia podría agravarse si a ello se le añaden algunas recientes tendencias de otros actores, como son los operadores de telecomunicaciones, de reclamar su parte de la tarta del negocio generado entorno a la publicidad en Internet, con iniciativas que, además de amenazar la neutralidad de la Red, pueden suponer una grave intromisión en la privacidad, cuando se aplican técnicas de análisis DPI (Deep Packet Inspection) sobre el tráfico de datos. Además, puede verse complicada por las dificultades que implica la forma de soportar las infraestructuras donde se despliegan estos servicios, lo cual nos conduce ahora al tercer aspecto que quisiera considerar: los servicios de computación en la nube…. en el siguiente post.

[1] La frase «If you are not paying for it, you’re not the customer; you’re the product being sold», hasta donde yo he podido rastrear, pertenece  a Andrew Lewis (http://twitter.com/#!/andlewis) , y ya ha tenido su recompensa como frase popular, camisetas incluidas http://www.cafepress.com/YoureTheProduct

[2] Dictamen 2/2010 sobre publicidad comportamental en línea, disponible en http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_es.pdf

3 comentarios

Archivado bajo privacidad, RedeSociales

Etiquetado con , ,

2010/12/24 · 8:36

Datorrena 2011: que se acabe la «leyenda negra» de la Redes Sociales

¿Ángeles o demonios?

¿Ángeles o demonios?

Hace un par de semanas tuve el honor (o el placer, no estoy seguro) de participar en la entrega de los “Premios Buber“, a los que ya hice alguna mención en mi anterior post. Como acto previo a dicha entrega, los organizadores (la asociación Internet&Euskadi) montaron un espectáculo muy agradable, en el que seis supuestos «expertos» hablábamos sobre las tendencias que, de alguna manera, marcarían lo será Internet durante el próximo año: es lo que se llamó Datorrena-2011.

El evento tuvo un formato divertido, puesto que todos los oradores nos esforzamos en hacer agradable la exposición, que por «exigencias del guión» estaba limitada a un tiempo máximo de … ¡cinco minutos! (vamos, que ni una Pecha-Kucha). Y el «aviso» de que tu tiempo llegaba a su  fin eran unos toques de txalaparta que, inexorablemente, empezaban a sonar in crescendo a los cinco minutos exactos, hasta que tu voz no se oía y abandonabas el estrado por imposible.

A lo que ibamos: el caso es que me tocó hablar sobre la privacidad en internet y, muy diligente, me preparé tres temas para tocar; no contaba con que la inconmovible txalaparta apenas me permitiría terminar el primero. Y ¿cual podría ser el tema que alguien, desde una Agencia de Protección de Datos, trataría si le preguntan sobre privacidad e Internet?… En efecto: las Redes Sociales.

paGonzalez en Datorrena-2011

paGonzalez en Datorrena-2011

Expliqué que la  privacidad en las redes sociales es uno de los lugares comunes a los que con mayor frecuencia se ha venido recurriendo en los últimos tiempos cuando se ha tratado de los efectos colaterales en Internet. Pero también quise transmitir que ha habido una tendencia a exagerar los supuestos peligros de la participación en las redes sociales, lo cual ha contribuido a crear una cierta “leyenda negra” sobre las mismas, especialmente cuando sus usuarios son personas jóvenes o menores de edad. En mi personal opinión, se ha puesto mucho énfasis en casos de  ciberbullying, grooming, etc, y otros abusos sobre menores usuarios, y también se ha insistido demasiado en el daño, actual o futuro, que para la propia imagen puede suponer un uso irresponsable de la información personal que se sube a las redes sociales — lo cual es, por otro lado, cierto.

La predicción que quise hacer respecto de la privacidad en las redes sociales, en positivo y quizás confundiendo mis deseos con mis predicciones,  es que para el próximo año 2011 se romperá esa “leyenda negra”, a causa de tres factores:

  • Un mayor conocimiento de su funcionamiento por parte de los ciudadanos
  • Una mayor conciencia sobre su utilización por parte de los usuarios más jóvenes
  • Una mejora de la forma de prestación del servicio por parte de los proveedores de redes sociales

Ello es consecuencia del trabajo desarrollado en los dos últimos años por parte de diferentes actores, públicos y privados, que han contribuido a elevar la conciencia y el conocimiento sobre las redes sociales.

  • Así, dentro del ámbito de la Unión Europea, podemos citar el dictamen 5/2009, sobre las Redes Sociales en línea, adoptado en 2009[1] por el conocido como “Grupo del Artículo 29”, compuesto por las distintas Autoridades Nacionales de Protección de Datos. Este dictamen recoge otros trabajos relacionados con las Redes Sociales desarrollados previamente, como el estudio desarrollado por ENISA[2], la Agencia Europea de Seguridad de las Redes y de la Información[3].
  • En España, INTECO, que es el Instituto Nacional de Tecnologías de la Comunicación, realizó un estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online, editado conjuntamente con la AEPD (Agencia Española de Protección de Datos), del que posteriormente se han derivado diversas guías de uso para las diferentes redes sociales[4].
  • Desde las tres Agencias Autonómicas de Protección de Datos se han venido desarrollando múltiples actuaciones de divulgación y concienciación dentro de las respectivas comunidades educativas relacionadas con la utilización de las redes sociales. Por ejemplo, en Euskadi, que es el caso que me queda más próximo, la AVPD ha preparado diversos materiales junto con el Departamento de Educación del Gobierno Vasco, puestos a disposición de la comunidad educativa en el portal http://www.kontuzdatos.info, para contribuir a concienciar a niños y adolescentes sobre el uso responsable de Internet, sobre el valor de la propia privacidad y el respeto a la privacidad ajena.

En general,  en todos estos casos citados se han desarrollado directrices y recomendaciones dirigidas en varias direcciones: por un lado, sugerencias dirigidas a los propios usuarios, promoviendo un uso responsable, la minimización de la difusión de información personal, el respeto a la privacidad de los demás usuarios, etc. También se han emitido Propuestas para asociaciones (de usuarios, consumidores, padres y familias, …), así como propuestas y recomendaciones dirigidas a los proveedores de Servicios de Redes Sociales, tales como la adopción de suficientes medidas de seguridad, establecimiento de configuraciones de privacidad por defecto que resulten respetuosas con la privacidad de los usuarios poco experimentados, la presentación de una información clara y comprensible sobre los términos del servicio, la minimización de los datos requeridos, etc..

Por otro lado, los proveedores de servicios de redes sociales han llegado a ser plenamente conscientes de que la confianza de sus usuarios es el elemento fundamental de su servicio y de que sin un adecuado respeto a su privacidad, su modelo de negocio queda comprometido. Como consecuencia de ello, lentamente se esta logrando que los proveedores de servicios de Internet mejoren paulatinamente el respeto a la privacidad en sus servicios, lo que conduce a que los propios usuarios conozcan realmente el uso que  pueden hacer y el que no deben hacer en las redes sociales.

No obstante, la privacidad en las redes sociales continuará siendo un caballo de batalla, puesto que, aunque se han puesto las bases para mejorar la conciencia de los usuarios sobre su uso y se han dado directrices a los proveedores, el problema subyacente deriva de su modelo de negocio, basado en la gratuidad para el usuario y los ingresos por publicidad, lo cual genera una tensión continua con el derecho a la privacidad y nos conduce a otro interesante tema de reflexión: La privacidad en la publicidad comportamental o conductual. Pero esto ya será en el siguiente post.

[1] Dictamen 5/2009 sobre las Redes Sociales en línea, disponible en http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_es.pdf

[3] INTECO, Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online, disponible en http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/est_red_sociales_es

Deja un comentario

Archivado bajo privacidad, proteccion de datos, RedeSociales

Etiquetado con , ,