Nuevas políticas de Privacidad europeas: el boom del Cloud

Nuevas leyes sobre Privacidad: el boom del Cloud en Europa

La nueva legislación que se está debatiendo podrá hacer a las organizaciones mucho más cuidadosas y precavidas con respecto a dónde se almacenan realmente sus datos.

Las nuevas propuestas sobre protección de datos de la Unión Europea, anunciadas la semana pasada (ENG), pueden ser causa de preocupación para los usuarios finales que estén considerando la adopción de tecnologías “en la nube”; Por otro lado, los proveedores de servicios cloud europeos pueden ser los grandes beneficiados de estos cambios normativos, en opinión de Andy Burton, presidente del Cloud Industry Forum(CIF).

En sus declaraciones a Techworld desde la Cloud Expo Europe en Londres hace unos días, Burton apuntó que, aunque hay cierto riesgo de que alguna legislación soberana pudiera entrar en conflicto con las nuevas directivas europeas en materia de protección de datos, este riesgo se ha exagerado.

La principal cuestión que se está considerando es el conflicto entre las enmiendas a la Ley Europea de Protección de Datos —incluyendo el llamado “derecho a ser olvidado”— con la “US Patriot Act”, que permite a las autoridades la interceptación telefónica, de comunicaciones electrónicas y registros financieros sin necesidad de que exista una autorización/orden de registro judicial previa.

La nueva proposición de ley, anunciada por la Comisario de Justicia Vivianne Reding el pasado miércoles, establece que las personas y organizaciones interesadas tendrán el derecho a solicitar que sus datos personales/privados sean eliminados de aquellos servidores gestionados por terceras partes, y que los citados proveedores de servicios deberán dar cumplido efecto a la solicitud a menos que existan razones “legítimas” para conservar dichos datos. Sin embargo, existe una salvedad por la cuál si los datos son alojados en un proveedor de servicios cloud americano [o con matriz americana], el Gobierno de los Estados Unidos podría invocar el Patriot Act para examinar dichos datos… simplemente por la mera sugerencia de que pueda existir cualquier tipo de detalle incriminante entre los mismos.

Según expresaba Burton, esta es una preocupación perfectamente legítima, aunque realmente afectará a muy pocas organizaciones. Hay, no obstante, “una cierta cantidad de miedo, inseguridad y duda(FUD, por sus siglas en inglés) que se está divulgando”, dijo. “En improbable que realmente esto se convierta en un problema a no ser que se esté envuelto en algún asunto truculento”

En cualquier caso, esto no impide que las empresas se preocupen por la privacidad de sus datos. Burton indicó que el 73% de las organizaciones que han sido atendidas por CIF en Reino Unido actualmente tienen todos sus datos almacenados dentro del Área Económica Europea, y de ellos, dos terceras partes en territorio británico…. incluso antes de que hiciera aparición el conflicto con la legislación americana: “En un tema que despierta muchas emociones, y puedo argumentar que la gente en general está más preocupada que informada”, dijo.

Sin embargo, “los proveedores de servicios cloud del mercado europeo podrían utilzar esta preocupación en su favor“, explicaba Burton: la única forma en que las empresas europeas pueden garantizar completamente que sus datos no acaban en manos de las autoridades americanas es eligiendo un proveedor que no sólo tenga data centers dentro la unión europea, sino que además sea completamente propiedad de una organización de la propia jurisdicción. “Al final, se reduce a que la gente quiere trabajar con organizaciones en las que confían”, añadió. “No quiero expresar negatividad alguna hacia Google o Amazon –son empresas de un nivel excelente–, pero el caso es que no tienen la misma personalidad que tu proveedor local de servicios”.

Burton indicó que los proveedores de servicios cloud en los que centrarse serán aquellos que permitan a sus clientes determinar cómo de bien funcionan sus servicios IT y en qué lugares se encuentran almacenados sus datos… “Este aspecto ser volverá más y más crítico con el tiempo”. Algunas empresas, como la británica proveedora de servicios de “Distribución como servicio” Ospero, declaran tener los principios de “privacidad por diseño” de Viviane Reding integrados completamente en su modelo de negocio, por lo que permiten que los proveedores SaaS puedan cumplir las legislaciones de protección de datos aplicables con facilidad fuera de sus propios mercados domésticos.
Otras empresas, tales como RackSpace, Amazon o Peer1 tienen también data centers en Europa, pero no alcanzan a tener tanta variedad y precisión (estamos hablando de infraestructura ubicada en Alemania, Suecia, Portugal, Italia, España, Reino Unido y Holanda). Esto puede llegar a ser importante, en opinión de Jason Currill, director general de Ospero, dado que algunos países miembros de la unión, como Alemania, no ofrecen protección alguna(“safe harbor”) frente a la US Patriot Act.

La nueva legislación europea ha sido acogida con interés por parte de la industria. Interroute, por ejemplo, quienes también tienen una amplia presencia a escala europea, apunta que la conjunción de normativas de protección de datos armonizadas en los 27 estados miembros de la unión pueden evitar “quebraderos de cabeza” a múltiples organizaciones. Otros protagonistas postulan que estos cambios harán que las consideraciones de protección de datos cobren mayor importancia en la planificación de estrategias corporativas en un futuro próximo.

Por otro lado, algunos observadores de la industria mostraton su preocupación acerca de la lentitud con la que la Unión Europea está reaccionando a estas cuestiones, y advierten que la adopción y popularización de “la nube” podrían hacer que las nuevas regulaciones queden obsoletas antes de llegar a ser implantadas realmente: “Quedan aún dos años hasta que los ISPs tengan la obligación legal de cumplir con los últimos cambios normativos… ¿serán aún relevantes en ese momento?”, se preguntaba François Zimmerman, CTO de Hitachi Data Systems UK. “Para poder implementar procedimientos efectivos de gestión de datos, las reglas y políticas deberían ser actualizadas como parte de un proceso evolutivo constante, con cambios que se apliquen a medida que vayan siendo necesarios, mucho más allá de un aluvión cada cierto número de años”.

Artículos relacionados

Para más información, pueden consultar (en inglés):

• EU privacy overhaul: Small businesses get exemptions
• Cloud Industry Forum blames FUD for security concerns
• EU to enforce 24-hour data breach disclosure
• Europe cloud vendors cleaning up with data protection fears