Archivo de la etiqueta: CloudComputing

Cloud Computing: ¿Donde están las llaves… de nuestra información?

El concepto de “computación en la nube” se ha popularizado a raíz de la proliferación de servicios de utilización personal, tales como redes sociales, sitios de almacenamiento multimedia (imágenes, música, videos), servicios de gestión de documentos en línea (textos, hojas de cálculo, presentaciones, …).

Pero la utilización de servicios de computación en la nube va más allá del uso que ha contribuido a su popularización, que es su uso personal, normalmente en modalidad de utilización gratuita y financiada por publicidad; en estos casos está sujeta a unas condiciones de prestación o términos del servicio y políticas de privacidad establecidas unilateralmente por el prestador del servicio, que pueden ser discutibles y que caen dentro de la misma casuística ya comentada para las redes sociales y los servicios de publicidad conductual.

nubes en una pantallaEl uso profesional y comercial de la computación en la nube representa un nuevo paradigma, no solo técnico sino especialmente de condiciones contractuales y de requisitos de seguridad y, por tanto, con implicaciones sobre la privacidad. Como se sabe, la computación en la nube tiene un marco de referencia cuyas características esenciales implican un amplio acceso a la red (a través de Internet), la utilización de recursos de forma común con otros usuarios, y la Independencia de la ubicación física de los datos.

Resulta especialmente relevante identificar a los tres actores que intervienen en la prestación de servicios en la nube, atendiendo a nuestra legislación europea sobre protección de datos: en primer lugar, aparece el ciudadano o interesado, cuyos datos personales se van a tratar. Después aparece el prestador de servicios de negocio de que se trate. Y, en tercer lugar, el prestador de servicios de computación en la nube. Pues bien, independientemente de los modelos de servicio utilizado (SaaS, PaaS, IaaS) o los modelos de despliegue adoptados (nube pública, comunitaria, privada o híbrida), la clave de las dificultades presentadas por la computación en la nube reside en la deslocalización del prestador de servicios de la nube y las diferentes garantías que sobre seguridad y privacidad pueden exigirse y ofrecerse, a la vista de las diferentes legislaciones aplicables.

Así, la legislación sobre protección de datos aplicable y que ha de proteger al ciudadano o interesado es la del país donde está establecido el responsable del fichero, es decir, el proveedor de servicios de negocio. Si tanto el proveedor de servicios de negocio como el proveedor de servicios de la nube estuviesen establecidos en el Espacio Económico Europeo[1], no se presentan mayores problemas, puesto que ambos están sometidos a legislaciones compatibles, derivadas de la misma Directiva Europea sobre Protección de Datos y que garantizan altos niveles de protección. Nuestra normativa sobre protección de datos contempla circunstancias en las que los niveles de protección se consideran equivalentes, como son aquellos países que gozan de una declaración favorable[2] en dicho sentido por parte de la Comisión Europea.

Las dificultades empiezan a ponerse de manifiesto cuando el prestador de servicios en la nube, aún cuando tuviese su establecimiento principal dentro del Espacio Económico Europeo, disponga de sus centros de tratamiento o almacenamiento de datos fuera del Espacio Económico Europeo o los países declarados con nivel de protección equivalente (incluyendo los acuerdos de puerto seguro con EEUU[3]). Esta circunstancia forma parte del propio paradigma de prestación de servicios en la nube (independencia de la ubicación física). Además, existen determinadas medidas de seguridad previstas en nuestro Reglamento RD-1720/2007 que resultan de difícil, si no imposible, aplicación a la computación en la nube, como pueden ser las medidas de control de acceso físico a los centros de proceso de datos o las relativas a la gestión y distribución de soportes.

De todo ello son conscientes tanto los propios prestadores de servicios de la nube como sus clientes, los prestadores de servicios de negocio y recientemente se han desarrollado iniciativas para atajar estos problemas y buscar las soluciones adecuadas. Entre estas podemos destacar la constitución de la Cloud Security Alliance (CSA), organización sin ánimo de lucro formada por profesionales de diferentes operadores presentes en el campo de la computación en la nube. Su objetivo es promover el uso de buenas prácticas para así ofrecer garantías de seguridad dentro de la computación en nube, así como proporcionar educación sobre los usos de la computación en nube para ayudar a proteger todas las demás formas de la informática. Para entender adecuadamente los riesgos que sobre la seguridad puede suponer la aplicación de la computación en la nube, recomiendo la lectura del documento “Guía para la Seguridad en áreas críticas de atención en Cloud Computing” , elaborada por expertos de la CSA y traducida a castellano con la colaboración de ISMS-Forum.

La predicción es, en este último caso, que seguiremos hablando de ello, aunque aún no se sepa muy bien si la computación en la nube terminará siendo el nuevo escenario que fagocite la forma de prestar y recibir servicios TIC, o bien se tratará de un mero término que se pone de moda (“The computer industry is the only industry that is more fashion-driven than women’s fashion” — Larry Ellison, CEO de Oracle,  dixit.

Mientras tanto, algunas respuestas se podrán encontrar, en el caso de España, tras la reciente constitución del capítulo español de la Cloud Security Alliance (http://www.cloudsecurityalliance.es), al amparo de ISMS-Forum. Sus primeras tareas han sido constituir varios grupos de trabajo, uno de ellos sobre privacidad y cumplimiento normativo. La finalidad de este grupo de trabajo no será tanto para estudiar las implicaciones de la computación en la nube sobre la privacidad, sino para analizar los efectos de la necesidad del cumplimiento normativo relativo a privacidad sobre la computación en la nube. Esperemos a sus resultados.


[1] El Espacio Económico Europeo lo forman todos los países de la Unión Europea, mas Islandia , Liechtenstein y Noruega (miembros de la EFTA)

[2] Los países que actualmente gozan de declaración de nivel equivalente de protección son Argentina, Canada, Guernsey, Isla de Man y Suiza. Más información en https://www.agpd.es/portalwebAGPD/internacional/adecuacion/index-ides-idphp.php

[3] Las empresas de los EEUU que se hayan acogido al “acuerdo de puerto seguro” también gozan de dicha equivalencia de protección. Más información en https://www.agpd.es/portalwebAGPD/internacional/relaciones_eeuu/index-ides-idphp.php

1 comentario

Archivado bajo privacidad, seguridad, tecnología