Protección de datos personales y cloud computing

Los artículos que escribo en este blog suelen tratar sobre aspectos relacionados con la Gestión de Servicios de TI. En este artículo, en cambio, reflexionaré sobre la legislación existente sobre protección de datos personales y las nuevas tendencias de computación en la nube (cloud computing). Si está pensando en migrar aplicaciones o datos a la nube pero a la vez le preocupa la legislación sobre seguridad (por ejemplo LOPD en España) quizás le interese leerlo.

Cada vez más países están elaborando legislación sobre protección de datos personales. Por ejemplo en España aplica la “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” más conocida como LOPD, o en Colombia en virtud de la “Ley 1581 de 17 de octubre de 2012”.

Sin embargo, este tipo de legislación no suele encajar bien con el paradigma de computación en la nube debido a la ubicación indeterminada de los datos.

Por ejemplo, la LOPD detalla en su artículo 33 párrafo primero que no se podrán mover datos para su tratamiento a países que no proporcionen una legislación equiparable. Por lo tanto, antes de almacenar información en la nube (¿alguien sabe en qué país están los datos que guardamos en GMail, Dropbox o Salesforce?) deberíamos estar seguros de en qué país se ubican esos datos (salvo que podamos aplicar alguna de las excepciones previstas en el artículo 34 de la LOPD).

La computación en la nube tampoco suele encajar bien con este tipo de legislación por la aplicación de las medidas de seguridad exigidas.

La LOPD se desarrolla en el “Real Decreto 1720/2007, de 21 de diciembre”, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por ejemplo, este reglamento exige en su artículo 94 párrafo primero la realización semanal de copias de respaldo. Lo que nos puede llevar a preguntas muy interesantes sobre ¿cómo hacer copias de respaldo de la información almacenada en nuestros sistemas en la nube? Esta pregunta es más difícil de lo que parece porque no basta con conseguir realizar la copia de respaldo, sino que debemos ser capaces de extraer de esta la información aunque haya fallado el sistema en la nube. Es decir, una copia de respaldo del sistema ABC debería permitirnos extraer la información aunque el sistema ABC no esté operativo. Esto en el caso de Dropbox puede ser sencillo, pero me cabe la duda de que sea realizable en otros sistemas como Salesforce.

No soy un experto en derecho, pero la lectura de estas leyes me hacen pensar que, como  suele suceder, la tecnología va muy por delante y esto provoca que las empresas tengan que elegir entre cumplir escrupulosamente la ley o aprovechar nuevas tecnologías que ofrecen ventajas competitivas.

Si se encuentra en una situación como esta le recomiendo que utilice proveedores de soluciones de computación en la nube que, aunque sea difícil probar el cumplimiento estricto de la ley, ofrezcan garantías suficientes. Por ejemplo:

• Cumplimiento de ISO 27001 u otra normativa de seguridad. Por ejemplo Espiral MS (fabricante de Proactivanet), Salesforce y los datos almacenados en Amazon, como los de Dropbox.
• Ubicación en países con legislación similar  y/o empresas dentro de los acuerdos de puerto seguro.
• Tenga especialmente en cuenta la legislación de su país u otra legislación que le pueda aplicar, como por ejemplo las directivas europeas que aplican a todos los países miembros de la UE y que condicionan su legislación nacional porque pueden afectarle aunque en su país todavía no exista legislación específica.

No obstante, para terminar y en vista de las últimas noticias, ¿podemos garantizar realmente la confidencialidad de los datos almacenados en la nube o en tránsito por la red?

José Luis Fernández