Archivo de la etiqueta: privacidad

Cloud Computing: ¿Donde están las llaves… de nuestra información?

El concepto de “computación en la nube” se ha popularizado a raíz de la proliferación de servicios de utilización personal, tales como redes sociales, sitios de almacenamiento multimedia (imágenes, música, videos), servicios de gestión de documentos en línea (textos, hojas de cálculo, presentaciones, …).

Pero la utilización de servicios de computación en la nube va más allá del uso que ha contribuido a su popularización, que es su uso personal, normalmente en modalidad de utilización gratuita y financiada por publicidad; en estos casos está sujeta a unas condiciones de prestación o términos del servicio y políticas de privacidad establecidas unilateralmente por el prestador del servicio, que pueden ser discutibles y que caen dentro de la misma casuística ya comentada para las redes sociales y los servicios de publicidad conductual.

nubes en una pantallaEl uso profesional y comercial de la computación en la nube representa un nuevo paradigma, no solo técnico sino especialmente de condiciones contractuales y de requisitos de seguridad y, por tanto, con implicaciones sobre la privacidad. Como se sabe, la computación en la nube tiene un marco de referencia cuyas características esenciales implican un amplio acceso a la red (a través de Internet), la utilización de recursos de forma común con otros usuarios, y la Independencia de la ubicación física de los datos.

Resulta especialmente relevante identificar a los tres actores que intervienen en la prestación de servicios en la nube, atendiendo a nuestra legislación europea sobre protección de datos: en primer lugar, aparece el ciudadano o interesado, cuyos datos personales se van a tratar. Después aparece el prestador de servicios de negocio de que se trate. Y, en tercer lugar, el prestador de servicios de computación en la nube. Pues bien, independientemente de los modelos de servicio utilizado (SaaS, PaaS, IaaS) o los modelos de despliegue adoptados (nube pública, comunitaria, privada o híbrida), la clave de las dificultades presentadas por la computación en la nube reside en la deslocalización del prestador de servicios de la nube y las diferentes garantías que sobre seguridad y privacidad pueden exigirse y ofrecerse, a la vista de las diferentes legislaciones aplicables.

Así, la legislación sobre protección de datos aplicable y que ha de proteger al ciudadano o interesado es la del país donde está establecido el responsable del fichero, es decir, el proveedor de servicios de negocio. Si tanto el proveedor de servicios de negocio como el proveedor de servicios de la nube estuviesen establecidos en el Espacio Económico Europeo[1], no se presentan mayores problemas, puesto que ambos están sometidos a legislaciones compatibles, derivadas de la misma Directiva Europea sobre Protección de Datos y que garantizan altos niveles de protección. Nuestra normativa sobre protección de datos contempla circunstancias en las que los niveles de protección se consideran equivalentes, como son aquellos países que gozan de una declaración favorable[2] en dicho sentido por parte de la Comisión Europea.

Las dificultades empiezan a ponerse de manifiesto cuando el prestador de servicios en la nube, aún cuando tuviese su establecimiento principal dentro del Espacio Económico Europeo, disponga de sus centros de tratamiento o almacenamiento de datos fuera del Espacio Económico Europeo o los países declarados con nivel de protección equivalente (incluyendo los acuerdos de puerto seguro con EEUU[3]). Esta circunstancia forma parte del propio paradigma de prestación de servicios en la nube (independencia de la ubicación física). Además, existen determinadas medidas de seguridad previstas en nuestro Reglamento RD-1720/2007 que resultan de difícil, si no imposible, aplicación a la computación en la nube, como pueden ser las medidas de control de acceso físico a los centros de proceso de datos o las relativas a la gestión y distribución de soportes.

De todo ello son conscientes tanto los propios prestadores de servicios de la nube como sus clientes, los prestadores de servicios de negocio y recientemente se han desarrollado iniciativas para atajar estos problemas y buscar las soluciones adecuadas. Entre estas podemos destacar la constitución de la Cloud Security Alliance (CSA), organización sin ánimo de lucro formada por profesionales de diferentes operadores presentes en el campo de la computación en la nube. Su objetivo es promover el uso de buenas prácticas para así ofrecer garantías de seguridad dentro de la computación en nube, así como proporcionar educación sobre los usos de la computación en nube para ayudar a proteger todas las demás formas de la informática. Para entender adecuadamente los riesgos que sobre la seguridad puede suponer la aplicación de la computación en la nube, recomiendo la lectura del documento “Guía para la Seguridad en áreas críticas de atención en Cloud Computing” , elaborada por expertos de la CSA y traducida a castellano con la colaboración de ISMS-Forum.

La predicción es, en este último caso, que seguiremos hablando de ello, aunque aún no se sepa muy bien si la computación en la nube terminará siendo el nuevo escenario que fagocite la forma de prestar y recibir servicios TIC, o bien se tratará de un mero término que se pone de moda (“The computer industry is the only industry that is more fashion-driven than women’s fashion” — Larry Ellison, CEO de Oracle,  dixit.

Mientras tanto, algunas respuestas se podrán encontrar, en el caso de España, tras la reciente constitución del capítulo español de la Cloud Security Alliance (http://www.cloudsecurityalliance.es), al amparo de ISMS-Forum. Sus primeras tareas han sido constituir varios grupos de trabajo, uno de ellos sobre privacidad y cumplimiento normativo. La finalidad de este grupo de trabajo no será tanto para estudiar las implicaciones de la computación en la nube sobre la privacidad, sino para analizar los efectos de la necesidad del cumplimiento normativo relativo a privacidad sobre la computación en la nube. Esperemos a sus resultados.


[1] El Espacio Económico Europeo lo forman todos los países de la Unión Europea, mas Islandia , Liechtenstein y Noruega (miembros de la EFTA)

[2] Los países que actualmente gozan de declaración de nivel equivalente de protección son Argentina, Canada, Guernsey, Isla de Man y Suiza. Más información en https://www.agpd.es/portalwebAGPD/internacional/adecuacion/index-ides-idphp.php

[3] Las empresas de los EEUU que se hayan acogido al “acuerdo de puerto seguro” también gozan de dicha equivalencia de protección. Más información en https://www.agpd.es/portalwebAGPD/internacional/relaciones_eeuu/index-ides-idphp.php

Anuncios

1 comentario

Archivado bajo privacidad, seguridad, tecnología

Publicidad comportamental: nosotros somos el producto

“Si no estás pagando por algo, no eres el cliente, eres el producto que se vende”

La frase no es mía[1], pero la suscribo plenamente: eso es lo que nos está ocurriendo con muchos de los servicios alrededor de Internet, como son las redes sociales.

publicidad comportamentalEl modelo de negocio basado en la gratuidad de los servicios ofrecidos y los ingresos por publicidad no es nuevo: en él se han basado desde siempre la radio y la televisión. De hecho, el avance experimentado por la propia Internet se debe a este mismo modelo de negocio: Los primeros exploradores no dejaban de ser directorios (publicitarios) de servicios, donde algunos de los contenidos proporcionados no dejaban de ser un cebo para atraer visitantes y generar ingresos por publicidad. Y también es cierto que, gracias a este vector de penetración (coste cero), ello ha derivado en un enorme beneficio para la comunidad y sus usuarios.

Pero también es cierto que, hasta el presente, el tipo de publicidad que se ofertaba era poco intrusivo, desde el punto de vista de la privacidad: contábamos con la publicidad posicional (la que encuentras “como por casualidad”) y la publicidad contextual (la que se ofrece en función del contexto de lo que se está visitando), sin utilizar directamente datos personales. Después, las técnicas mejoraron con la publicidad segmentada, en la que se presentan ofertas comerciales en base a parámetros personales (sexo, edad, ubicación, profesión…) que el propio usuario proporciona al registrarse.

La publicidad conductual o comportamental da un paso más allá: se basa en la observación continuada del comportamiento de los individuos. Busca estudiar las características de dicho comportamiento a través de sus acciones (visitas repetidas a un sitio concreto, interacciones, palabras clave, producción de contenidos en línea, etc.) para desarrollar un perfil específico y proporcionar así a los usuarios ofertas comerciales a medida de los intereses inferidos de su comportamiento. La publicidad conductual implica la creación de perfiles de comportamiento de las personas, que pueden ir más allá de la simple segmentación o targeting de los usuarios. En su defensa, los promotores de estas técnicas de marketing argumentan que se elabora un perfil genérico, nunca personal. Sin embargo, cuando se aplica en servicios que implican el registro previo, el perfil deja de ser genérico y ya es un perfil personal.

El varias veces citado “Grupo del Artículo 29”, el “think tank” de las autoridades de la privacidad europeas, ha emitido en 2010 un “Dictamen[2] sobre publicidad comportamental en línea”, en el que analiza su marco jurídico y los diferentes actores, sus funciones y responsabilidades, estableciendo unas recomendaciones relativas a:

  • las obligaciones de los proveedores de redes publicitarias, de los editores y de los anunciantes en relación con la información y el consentimiento previos, la aplicación del principio “privacy by design”, la aceptación  de “cookies” como medio de prestación del consentimiento y la conservación de datos
  • los derechos de los interesados, en relación con el acceso, rectificación, cancelación y oposición al tratamiento de sus datos

Puestoa a continuar con las prediciones, creo que en 2011 se hablará, y mucho, de las implicaciones sobre la privacidad de la publicidad conductual, por ser un fenómeno que está empezando a generalizarse entre los servicios ofrecidos por los proveedores de redes de publicidad y que está generando preocupación entre las autoridades y movimientos civiles relacionados con la privacidad.

Esta circunstancia podría agravarse si a ello se le añaden algunas recientes tendencias de otros actores, como son los operadores de telecomunicaciones, de reclamar su parte de la tarta del negocio generado entorno a la publicidad en Internet, con iniciativas que, además de amenazar la neutralidad de la Red, pueden suponer una grave intromisión en la privacidad, cuando se aplican técnicas de análisis DPI (Deep Packet Inspection) sobre el tráfico de datos. Además, puede verse complicada por las dificultades que implica la forma de soportar las infraestructuras donde se despliegan estos servicios, lo cual nos conduce ahora al tercer aspecto que quisiera considerar: los servicios de computación en la nube…. en el siguiente post.


[1] La frase “If you are not paying for it, you’re not the customer; you’re the product being sold”, hasta donde yo he podido rastrear, pertenece  a Andrew Lewis (http://twitter.com/#!/andlewis) , y ya ha tenido su recompensa como frase popular, camisetas incluidas http://www.cafepress.com/YoureTheProduct

[2] Dictamen 2/2010 sobre publicidad comportamental en línea, disponible en http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_es.pdf

3 comentarios

Archivado bajo privacidad, RedeSociales