Una reflexión sobre Cloud Computing y Privacidad

Mucho se está hablando acerca de las implicaciones normativas del Cloud Computing y la Privacidad. En la actualidad, sin necesidad de buscar explicaciones confusas o complicadas, los proveedores de servicios de Cloud Computing son encargados del tratamiento en aplicación de la normativa de protección de datos.

Consiguientemente, será necesario y conveniente formalizar un contrato de encargo del tratamiento con estos proveedores de servicios ya que el responsable del fichero es el obligado de formalizar dicha relacion en un contrato y y exigir  unos requerimientos mínimos conforme se establece en el artículo 12 de la LOPD. Esto es:

• Implantar las medidas de seguridad necesarias para garantizar la seguridad de la información que tratan.
• Deben suscribir el pertinente contrato de acceso regulando las condiciones del tratamiento que desarrollarían en nombre del responsable.
• En su caso, detallar dichos tratamientos en su documento de seguridad.

Atendiendo a la anunciada modificación del marco normativo en Europa y que, según parece,  será más exigente con las empresas porque tendrán que asumir un mayor control sobre los datos de los usuarios, y quizá nuevas políticas de seguridad.

¿Cómo influye esta nueva normativa para los servicios de los proveedores de Cloud? Los proveedores de servicios en Cloud son por definición encargados del tratamiento y la propuesta de Reglamento incrementa las garantías que éstos deben de cumplir en relación al tratamiento de datos personales por cuenta del responsable del tratamiento.  Esto es, asumen nuevos deberes,:

• La conservación de la documentación asociada a la gestión de la protección de datos, de forma que por cada tratamiento que realicen deben conservar la información mínima descrita en el Reglamento.
• La necesidad de realizar una evaluación de riesgos para determinar las medidas apropiadas para garantizar un nivel de seguridad adecuado.
• Designar un delegado de protección de datos en los casos previstos por la norma comunitaria.
• etc.

Además el régimen sancionador podría aplicarse directamente a estos proveedores de servicios:

• No sólo por un incumplimiento de las instrucciones recibidas por el responsable.
• Por la comisión de cualquiera de las conductas tipificadas como sancionable.

P.ej. no conservar la documentación que hemos comentado anteriormente podrá sancionarse con multa de hasta 500.000 euros o, si se trata de una empresa, de hasta el 1% del volumen de negocios anual a nivel mundial.

Aunque la aplicación práctica de esto último habrá que ir viendo como se materializa.

El gran Firewall chino es menos inexpugnable que la Gran Muralla China

Hace algunas fechas, trascendía una noticia acerca de una brecha en el Firewall que permite el bloqueo de sites en China permite a los usuarios acceder a sites bloqueados. Era la noticia que se puede leer en algunos medios.

Algunos internautas chinos observaron esa semana con gran sorpresa que podían acceder a través de sus dispositivos móviles y de sobremensa a los sites bloqueados por el “gran Firewall chino”, como por ejemplo YouTube, Facebook o Twitter. Así lo había permitido una brecha en el gran muro virtual que aísla al país en internet. Y la razón sigue siendo un misterio.

Weibo, equivalente de Twitter en el país, se llenó de comentarios que mostraban la sorpresa al poder acceder sin restricciones a sites como YouTube. Estudiantes universitarios visitaban Facebook por primera vez y se registraban en la red social.

No se conoce lo que causó la brecha ni la extensión de la misma en un país con más de 500 millones de usuarios de internet.

Estamos acostumbrados a leer noticias sobre ataques y vulnerabilidades de seguridad en los Sistemas de Información en empresas y organizaciones de muy diverso ámbito. Los hackers y demás merodeadores del mundo IT con espíritu curioso o en el mayor número de casos con malas intenciones realizan ataques y buscan las fallas de seguridad de esos sistemas y “cuánto más inexpugnables mejor”. Son numerosos los casos que a todos se nos vienen a la cabeza… Pero lo más alarmante es que nos enteramos de esas brechas o vulnerabilidades cuando se ha producido el “ataque” o se han producido ya las fugas de información auqnue en este caso concreto lo que parece que se ha producido es una fuga de ganas de conocer y de compartir ideas, experiencias, conocimiento y en definitiva el ejercicio de ese derecho fundamental, reconocido en casi todo el mundo, que es el acceso a la información.

En el año 2011 y en lo que llevamos del 2012, estamos asistiendo al levantamiento social apoyado en las TIC como es el caso de la “Primavera Árabe”, el “Moviemiento 15 M” y otros de menos calado en los medios pero que conforman un nuevo modelo de movimiento social y que está vez ha sacado partido de la vulnerabilidad del Firewall chino.

EEUU cambia su posición en materia de Privacidad para acercarse a la de UE. Google toma su propio camino!

La semana pasada veíamos como la administración Obama daba los primeros pasos para acercar la posición de EEUU en materia de protección de datos a la posición europea en la materia. Esta semana, nos encontramos con la recomendación de la UE a Google para que no haga efectiva su política de privacidad hasta que la ajuste a los requerimientos de la legislación europea en la materia.

La nueva política de Google, que tampoco ha gustado a los expertos jurídicos de países como EE UU, prevé crear un perfil de datos del usuario utilizando todas las aplicaciones derivadas del buscador como redes sociales o programas de localización geográfica.

Tras recibir las dudas por escrito, tanto de la autoridad europea de datos como de la CNIL, la UE ha pedido a Google que no haga efectiva su nueva política de privacidad hasta que la misma “se atenga totalmente a la legislación europea de protección de datos”. En este sentido, Reding ha dejado claro que las compañias que ofrecen sus servicios a los consumidires de la UE “deben seguir las normas europeas de protección datos”.

Por otro lado, como ya estableció la nueva legislación comunitaria del pasado 25 de enero, y que nos ha dado tato que hablar, las empresas deben garantizar que sus normas de privacidad estén escritas en un lenguaje claro y comprensible y que los consumidores estén bien informados de las reglas.

Tras recibir las dudas por escrito, tanto de la autoridad europea de datos como de la autoridad francesa, la comisaria Reding ha pedido a Google que no haga efectiva su nueva política de privacidad hasta que la misma “se atenga totalmente a la legislación europea de protección de datos”.

La CNIL ha remitido una carta a Google, con copia a Reding, en la que lamenta que el gigante de internet haya informado “muy someramente y solo pocos días antes de su entrada en vigor” a las autoridades nacionales europeas de las nuevas normas que iba a poner en marcha la empresa.

La nueva legislación propuesta por Bruselas tiene el objetivo, entre otros, de facilitar a los ciudadanos borrar la información que aparece de ellos en buscadores como Google o en redes sociales como Facebook.

Con esta iniciativa, los europeos pueden alcanzar el derecho a “borrar su rastro en internet” cuando lo deseen, aunque previamente hayan accedido a dar información sobre sí mismos colgando, por ejemplo, fotografías en las redes sociales.

En otro orden de cosas, esta situación y la posición de la autoridad europea de protección de datos, y por consiguiente de todas las autoridades de protección de datos de la UE, hace necesario replantearnos y revisar el traslado a la nube de Google de la información y servicios de nuestras empresas, universidades y demás entidades que ya lo han hecho o que están dispuestas a hacerlo en breve. Puesto que es evidente que Google no atiende, según se desprende de la posición adoptada por la UE y tras la lectura de su política de privacidad, con la normativa europea de protección de datos. ¿Será posible adaptar dicha política a través de los contratos particulares de las entidades que se embarcan en la nube de Google? Se admiten apuestas…

No debemos olvidar que el Responsable del Fichero es responsable del tratamiento que se haga de sus ficheros y que debe indicar y exigir las medidas de seguridad necesarias al encargado del tratamiento, correspondiéndole un deber de vigilancia al respecto.

Apple, Google, Microsoft entre otros, aceptaron someterse a normativa creada con el fin de proteger datos de cualquier aplicación que se distribuya en sus plataformas móviles. Eso es en EEUU pero ¿y en Europa?

He leído en una publicación que según noticias de EFE, en EEUU las compañías tecnológicas líderes en el negocio de los dispositivos móviles se aliaron para mejorar la protección de la privacidad de los consumidores de aplicaciones en teléfonos y tabletas, un compromiso auspiciado por las autoridades californianas que anunciaron hoy el acuerdo.

Apple, Google, Microsoft, Amazon, Hewlett-Packard (HP) y Research In Motion (RIM -BlackBerry-) aceptaron someterse a los principios recogidos en la normativa California Online Privacy Protection Act para fijar unos mínimos de protección de datos para cualquier aplicación que se distribuya en sus plataformas móviles.

Esa ley californiana requiere a los desarrolladores de software que dispongan de una política de privacidad para aquellos productos que capten información del usuario, según se explicó en un comunicado desde el Departamento de Justicia del estado.

Un reciente estudio evidenció que únicamente un 5 por ciento de todas las aplicaciones para dispositivos móviles tienen una política de privacidad en vigor que explique cómo se almacenan, se usan y se comparten los datos personales de los usuarios.

“Tu privacidad personal no debería ser el coste de utilizar aplicaciones móviles, pero demasiado a menudo así es”, dijo Kamala Harris, fiscal general de California.

El acuerdo entre las grandes plataformas, especialmente representadas por Apple (iPhone y iPad) y Google, con su sistema operativo Android, permitirá a juicio de Harris que se beneficien no solo los residentes en California sino “millones de personas en todo el mundo que usan aplicaciones”.

“Creamos más transparencia y damos a los usuarios un control más informado sobre quién accede a su información personal y qué se hace con ella”, comentó Harris.

La Fiscalía de este estado indicó que la falta de supervisión en el floreciente negocio de las “apps” expone a los consumidores a que sufran intrusiones en su privacidad por parte de los propios desarrolladores de software, servicios de análisis y redes publicitarias.

Actualmente se calcula que hay más de 50.000 entidades o individuos que producen aplicaciones para teléfonos y tabletas, la mayoría, 600.000 para los sistemas de Apple, por 400.000 para Android.

Desde su aparición se han producido más de 35.000 millones de descargas de aplicaciones y se estima que para 2015 esa cifra rozará los 100.000 millones.

Apple, Google, Amazon y HP tienen su sede central en California, mientras que Microsoft está ubicado en el estado de Washington y RIM es canadiense.