Se analizó el impacto en los servicios de Cloud de la futura reforma legislativa de la UE sobre protección de datos personales.

 

SIC relanza Espacio tiSec abordando en el debut de su nueva singladura el cumplimiento, la seguridad y el control de servicios en la nube

 


El pasado 4 de diciembre de 2012, y ante más de un centenar de asistentes, Revista SIC reanudó la celebración de Espacio tiSec, con el propósito de escudriñar el devenir de la seguridad de la información desde una perspectiva más estratégica en un contexto de sociedad digital donde los negocios se sustentan en las redes y en las TI y en la confianza que las mismas suscitan. Esta primera entrega estuvo dedicada al “Control de servicios en la nube: cumplimiento y seguridad”, y en ella participaron destacados profesionales provenientes de entidades reguladoras, prestadores de servicios, proveedores de soluciones y asociaciones del sector, quienes intentaron dar respuesta a, entre otras, las siguientes cuestiones: la modelización de contratos de servicios en nube ajustados a la legislación sobre protección de datos personales; el impacto en estos entornos del futuro reglamento general de protección de datos de la UE; la idoneidad de las actuales tecnologías de protección de la información y su uso imprescindible para el cumplimiento legal en el contexto, y la necesidad de sistemas de certificación de proveedores de computación en nube.

 

Intervención de Jesús Rubí

 


Este primer encuentro de Espacio tiSec en su nueva etapa, se estructuró en cuatro ponencias específicas y una mesa de debate. La primera de las intervenciones, “Nube y privacidad: a la búsqueda de un equilibrio entre cumplimento y negocio”, corrió a cargo de Jesús Rubí Navarrete, Adjunto al Director de la Agencia Española de Protección de Datos; al que tomó el relevo Alonso Hurtado, Socio de Information Technology de Ecija con su exposición “Alternativas para el cumplimiento en las modalidades de nube”. El siguiente invitado, Ramón Miralles López, miembro de la Junta Directiva del Capítulo Español de la Cloud Security Alliance y Coordinador de Auditoría y Seguridad de la Autoridad Catalana de Protección de Datos, compartió con los asistentes las actividades del PLA (Privacy Level Agreement) Working Group y su propuesta de estándares de protección en la nube de terceras partes. Finalmente, Alfonso Martínez, Director regional de ventas para España y Portugal de SafeNet, cerró la ronda de ponencias adentrándose en las tecnologías de seguridad necesarias para estos entornos.

 

Los citados conferenciantes, a excepción de Jesús Rubí, se sumaron a un posterior debate, que conformaría la segunda parte del evento, en el cual Pedro Morcillo Rueda, Director de Seguridad de la Información de Yoigo Xfera Móviles; y Juan Miguel Velasco López-Urda, Consultor Estratégico de Seguridad y Cloud para grandes corporaciones, reflexionaron sobre las “Vías para armonizar los requisitos de cumplimiento de todos los actores de la nube”.

 

Vista general durante el debate

 

 

El cliente, siempre responsable

 

Haciendo un repaso a las principales aportaciones de los profesionales invitados, Jesús Rubí Navarrete, de la Agencia Española de Protección de Datos, quiso dejar claro que el cliente sigue siendo el responsable del tratamiento de los datos. “Hay una cierta tendencia a trasladar la responsabilidad al prestador de servicios, y no es correcto. La responsabilidad es siempre del cliente”, precisó. Además de adentrarse en las consecuencias derivadas de la posición jurídica de los intervinientes en este nuevo paradigma, y de mostrarse optimista ante la llegada de la certificación a estos escenarios, defendió la actual capacidad de la normativa aplicable de protección de datos para regular estos entornos en nube. “No creo que se necesite una nueva regulación más adaptada, puesto que la actual ya permite su aplicación. Entre otras cosas, deja muy claro el aspecto de la ‘diligencia exigible al encargado’”, explicó.

 

Jesús Rubí durante su intervención

 

 

Preguntado, entre otras cuestiones, sobre la llegada del futuro Reglamento general de protección de datos de la UE, fue contundente: “o se define antes de mayo de 2014 o habría que volver a empezar bajo el mandato de una nueva Comisión”.

 

Por su parte, Alonso Hurtado, de Ecija, mostró su preocupación por el “roce permanente” entre dos realidades: “el cloud es global, pero las legislaciones son locales. Y para retos globales necesitamos soluciones globales, y es casi imposible a nivel legal. Ojalá, por ejemplo, hubiera en Latinoamérica una unificación de la normativa, como en la UE”. Repasó, asimismo, los aspectos contractuales y del servicio a tener en cuenta, aunque matizó que el obstáculo se encuentra, en muchas ocasiones, en que las partes no están en igualdad a la hora de negociar, tratándose de “meros contratos de adhesión”.

 

Momento de la ponencia de Alonso Hurtado

 

Clima de desconfianza

 

Para Ramón Miralles, miembro de la Cloud Security Alliance y Coordinador de Auditoría y Seguridad de la Autoridad Catalana de Protección de Datos, no hay que perder de vista la pérdida de control, sobre la tecnología y las operaciones, sobre los datos y sobre la capacidad contractual, y recordó las tres acciones planteadas en una comunicación de septiembre de 2012 de la Comisión Europea (“Liberar el potencial de la computación en nube en Europa”): la necesidad de un marco normativo y estándares claros; condiciones contractuales y justas (cláusulas contractuales tipo, que se cree podrían estar listas a finales de 2013), y definición de la contratación en la nube para el sector público europeo. En su opinión, “La actual situación no favorece el clima de confianza que se propugna sobre Europa. Hoy por hoy, en las contrataciones no se informa sobre las subcontrataciones, ni se prevé control sobre el procesamiento de los datos, ni se excluyen otros tratamientos de la información por parte del encargado del contrato”.

 

La conferencia de Ramón Miralles suscitó mucho interés

 

 

En lo referente a los trabajos del PLA Working Group, donde se identifican 13 items, está a punto de salir una versión del documento, que primero se adaptará a Europa y luego a escala global. Interrogado sobre la posibilidad de comercializar la privacidad como un servicio, Miralles lo consideró completamente factible.

 

En su turno, Alfonso Martínez, de SafeNet, se afanó en dejar claro que las cinco reglas básicas de protección de la información aplican exactamente igual en la nube. “No hay que dejar de hacer lo imprescindible: cifrar los datos, definir políticas de acceso a los mismos, controlar las claves de cifrado, autenticar a los usuarios y educar a los empleados”.

 

Debate

 

En el curso del debate final, titulado “Vías para armonizar los requisitos de cumplimiento de todos los actores de la nube”, los cinco participantes debatieron, entre otros asuntos, sobre las carencias de la actual legislación europea de protección de datos personales, al tiempo que manifestaron algunos juicios sobre lo que se sabe de la legislación por venir. En este sentido, algunos de los reproches fueron el basar el derecho al olvido en una simple cancelación de los datos, “que ya existía”, como apuntó Alonso Hurtado; y el no abordar de una manera más valiente el derecho de acceso, como matizó Ramón Miralles: “No es tanto saber qué datos tienes de mí, que eso ya lo sé porque yo te los proporcioné; sino conocer qué has hecho con ellos”.

 

Alonso Hurtado, Ramón Miralles, Alfonso Martínez, Pedro Morcillo y Juan Miguel Velasco

 

 

Se defendió, igualmente, el hecho de que el derecho continental fuera más proteccionista que en otras geografías –“Quiero la protección del Estado, sobre todo para evitar las cláusulas abusivas”, espetó Pedro Morcillo–; y se cuestionaron las actuales políticas de cumplimiento de cara a la protección de la privacidad de los datos, a las que el futuro Reglamento no ha constreñido. “El nuevo Reglamento no se ha atrevido a ‘no dejarte consentir porque no sabes’. No es el imperio del consentimiento absoluto, es necesario saber qué significa”, aclaró Miralles.

 

La mesa redonda propició un animado debate entre la audiencia y los panelistas

 

En lo relativo a los prestadores de servicios y las mejoras que han de afrontar, Juan Miguel Velasco confesó que “nos han ido arrastrando a la discursión en la escala de lo tecnológico. Y lo que hemos hecho mal ha sido no aprender de nuestros errores, porque el decálogo de la externalización también aplica al mundo cloud, hecho que nos estamos saltando”.

 


Los asistentes formularon interesantes cuestiones durante el acto

 

 

Más allá de otras consideraciones, todos los participantes estuvieron de acuerdo en que el cambio es inexorable. “Si nos somos capaces de crear un marco seguro estamos acabados. Creo que en 2015 tendremos en la UE un marco muy estable en lo que respecta al mercado único digital. Otra cosa es si se cumple y cómo”, apostilló Miralles.

 

Con todo, la pregunta fundamental, como recordó Alonso Hurtado, es: “¿A cuántos de nuestros derechos fundamentales estamos dispuestos a renunciar para que nuestra vida sea más fácil?SIC.

first
  
last
 
 
start
stop

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies