El código de conducta de Protección de Datos en proveedores Cloud ha sido presentado recientemente en Bruselas
Desde siempre se ha hecho referencia a la existencia de códigos de conducta que acrediten el buen hacer de las empresas, operando de forma responsable, con integridad y con altos estándares éticos. Estos documentos no son necesarios para vendernos una empresa pero está claro que, al estar adheridos a un código de conducta, los usuarios confiarán más en la marca frente a otras que ofrecen menos garantías.
Poco a poco estos códigos de conducta se han ido introduciendo en los aspectos informáticos de nuestra vida, llegando esta vez, como vamos a explicar, a la protección de datos en los servicios de alojamiento en la nube.
Los códigos de conducta se encuentran encuadrados en el ámbito del “soft law”, tienen un uso frecuente en lo que se refiere a derecho anglosajón, aunque no han tenido gran desarrollo en nuestra legislación, se considera una forma eficaz para regular en lo referente a las nuevas tecnologías, debido su rápida evolución.
El Código de conducta de Protección de Datos en proveedores Cloud, ha sido presentado el 27 de septiembre en Bruselas por parte de la CISPE (Cloud Infrastructure Providers in Europe). En dicha presentación, su presidente Alban Schmutz ha declarado que este código, “Es el primer código de conducta de este tipo con el que cuenta la industria. Gracias a él, los clientes tendrán la garantía de que sus datos permanecen siempre bajo su control y propiedad”. Todas las empresas que se acojan a este código de conducta se comprometen a no hacerse con datos no autorizados por los clientes y a no crear perfiles de datos para comercializar con terceras empresas. Así mismo, se asegura que los datos de los usuarios están alojados en Europa y no se producirá transferencia alguna hacia fuera de la Unión, de tal modo que conociendo la ubicación de las instalaciones, no la dirección concreta pero sí el área, para así conocer la jurisdicción aplicable.
Lo que se pretende como indicó Schmutz es “generar más confianza y más oportunidades para nuestros clientes, para que tengan confianza para poder invertir más rápido en sus servicios y generar más valor añadido a sus clientes.” La intención de todo esto es garantizar la confidencialidad de los datos de los clientes de estos servicios y que tengan la seguridad y confianza que requieren.
Sin embargo, la protección de estos datos no depende sólo de las empresas que prestan estos servicios y están adheridas al código, “Tener garantías de que tus datos se almacenan en Europa no impide que un gobierno quiera tener acceso a datos de una manera legal o no legal”, afirma Schmutz.
Esta afirmación en concreto nos recuerda al espionaje gubernamental sufrido en todo el mundo por parte de la NSA tal y como desveló Edward Snowden. Sus informes demostraron la existencia de una red de vigilancia globalizada formada por numerosas agencias de inteligencia de varios países y se demostró que la NSA era quien abanderaba el entramado.
Stefano Cecconi, consejero delegado de Aruba Italia, ha alertado sobre los límites de los proveedores de servicios que cuentan con infraestructura en la nube para garantizar la protección de los datos. “No somos toda la industria de la computación en la nube. Representamos una parte”, insistiendo en que ellos solo dan “una buena base” para que los proveedores de aplicaciones o las redes sociales que usen su infraestructura garanticen la seguridad. “Porque la infraestructura es segura. Pero solo una capa. Decimos claramente qué parte cubrimos y cuáles son las responsabilidades que recaen sobre nuestros clientes.”
Es decir, por mucho que alojemos una base de datos en un lugar seguro, si posteriormente publicamos acceso web a dicha base de datos, la responsabilidad de la seguridad de este acceso es nuestra, no del proveedor de cloud.
En cualquier caso, aunque por el momento sólo se haya adherido una pequeña parte de la industria, este tipo de prácticas podrían impulsar que otra gran parte del sector dé pasos en este mismo sentido y se ayude a los clientes a cumplir con sus obligaciones en materia de protección de datos.
De hecho, uno de los grandes problemas de la contratación de este tipo de servicios es la imposibilidad o dificultad de negociar un contrato con el proveedor (especialmente si son grandes proveedores). De esta forma, si la normativa nacional del cliente le exige regular ciertas condiciones en el contrato, normalmente, no tendrá capacidad de hacerlo.
Esperamos que este Código de Conducta, junto con el Reglamento General de Protección de Datos, que es común para toda la UE, permitan subsanar este problema.
Marta Requena
Departamento Legal – Áudea seguridad de la Información