El 19 de mayo, en el marco del I CONGRESO NACIONAL DE PRIVACIDAD organizado por APEP (Asociación Profesional Española de Privacidad), se presentó el documento de trabajo titulado "Computación en la nube y protección de datos personales: Privacidad y Web global, riesgos y recursos para los ciudadanos de la Red" elaborado conjuntamente por la European Privacy Association (EPA) y el Istituto Italiano per la Privacy (IIP).
La presentación corrió a cargo de Paolo Balboni (http://www.paolobalboni.eu/), Director Ejecutivo de la EPA, apoyado por Luca Bolognini y Pietro Paganini del IIP, los cuáles contaron con la colaboración de Cecilia Álvarez, vicepresidenta 3ª de APEP.
El documento es de gran importancia. En estos momentos, la directiva de referencia en protección de datos, la Directiva 95/49/CE, está en fase de revisión y, sin lugar a dudas, deberá tener en cuenta el impacto de los nuevos paradigmas tecnológicos (Cloud Computing, Redes Sociales, ...) en la privacidad.
La Computación en la Nube es "un modelo que proporciona recursos informáticos bajo demanda (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser desplegados rápidamente y de forma deslocalizada". Una de las ventajas de este modelo es el ahorro de costes (hardware, infraestructuras, personal, mantenimiento, consumo energético). Según un informe del Centre for Economics and Business Research, la computación en la nube ahorraría £645bn (billones de libras) a la economía europea en los próximos 5 años.
Otra de las ventajas del Cloud Computing es que, con el fin de optimizar el rendimiento de los recursos informáticos, los datos pueden ser rápidamente transferidos de un Datacenter a otro, situación que entraría en conflicto con las normativas europeas de protección de datos por lo que respecta a la transferencia de datos personales a terceros países. ¿Podemos exigir a un proveedor de servicios de Cloud (CSP) que nos garantice que nuestros datos no saldrán del ambito de la UE? Pues, en principio, sí, pero con un coste económico: el coste de tener los Datacenters en Europa, de tener personal cualificado, de no poder distribuir las cargas hacia otros servidores o redes fuera de nuestras fronteras, etc.
Los principios de la protección de datos: confidencialidad, integridad y disponibilidad recaen en los proveedores CSP, en su función de Encargados del Tratamiento. Desde este punto de vista, un Responsable no puede tener un Encargado del Tratamiento que no cumpla unas determinadas medidas de seguridad. Ver el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29.
En conclusión, según Balboni, "rapidez, escalabilidad, economía y ubicuidad de las informaciones deben conjugarse con exigencias de seguridad, privacidad, acceso y responsabilidad".
El informe apunta distintas soluciones:
En conclusión, según Balboni, "rapidez, escalabilidad, economía y ubicuidad de las informaciones deben conjugarse con exigencias de seguridad, privacidad, acceso y responsabilidad".
El informe apunta distintas soluciones:
- Avanzar en los Estándares Internaciones de privacidad según la propuesta surgida en la 31ª Conferencia Internacional de Autoridades de Protección de Datos (Madrid, 2009) e integrar éstos con las leyes nacionales de cada Estado.
- Apoyar la adopción de Reglas Corporativas Vinculantes (Binding Corporate Rules) así como los sistemas de resolución alternativa de disputas (arbitrajes, por ejemplo).
- Adoptar las soluciones tecnológicas que protejan la privacidad (Privacy by Design).
En definitiva, se augura un brillante futuro para la computación en la nube aunque, ante sus innumerables beneficios hay que contraponer los riegos de privacidad que lleva asociados. Las autoridades, instituciones y los propios proveedores del servicio deben establecer conjuntamente las reglas para que, en este modelo, queden garantizados los derechos de protección de datos y privacidad de los ciudadanos.