Los proveedores de servicios cloud que
operan en Europa parecen ignorar el impacto
que tendrá el paquete
regulador que la UE está preparando en
materia de protección de datos.
Un estudio reciente de la empresa
especializada en seguridad en la nube
Skyhigh Networks,
ha analizado más de 7.000 servicios en la
nube, desde Microsoft Office 365 a Cisco o
WebEx. Pues bien, tras analizar en detalle
sus prestaciones, la firma estadounidense,
con base en Cupertino, calcula que tan sólo
uno de cada 100 proveedores de servicios en
la nube respeta la futura regulación europea
en estos momentos.
El paquete europeo sobre protección de
datos incluye dos proyectos: por un lado, el
Reglamento del Parlamento Europeo y del
Consejo relativo a la protección de las
personas físicas en lo que respecta al
tratamiento de datos personales y a la libre
circulación de estos datos, incluyendo tanto
el sector público como el sector privado. Y,
por otro lado, una Directiva sobre
protección de datos que tiene por objeto
prevenir, detectar o perseguir aquellos
delitos de esta índole aplicando penas
efectivas.
Este conjunto de medidas está llamado a
sustituir la actual Directiva de 95/46/CE, de
24 de octubre de 1995, que
claramente se queda corta a la hora de
garantizar los derechos de los usuarios en
un contexto novedoso donde se han generado
necesidades genuinas ante el imparable
avance de las nuevas tecnologías.
Precisamente, las autoridades comunitarias
han lanzado la voz de alarma ante la falta
de regulación en este ámbito y la evidente
obsolescencia de las actuales normativas.
Sin ir más lejos, la comisaria europea de
Justicia, Vivian Reding, advertía el pasado
mes de junio la importancia de este paquete
regulador ante los recientes casos
filtración de datos y espionaje: “Hace un
año, Edward Snowden nos abrió los ojos sobre
la importancia de la protección de datos;
debemos acelerar y dotarnos de una nueva
regulación”.
Sobre el calendario, es previsible que este
paquete de medidas sea aprobado este
año para entrar en vigor en 2015.
El derecho al olvido el principal punto de
discrepancia
Sin duda, uno de los puntos más
controvertidos del futuro reglamento europeo
es el derecho al olvido, del que
precisamente hemos tenido un anticipo con la
reciente sentencia
Google pronunciada
por el TJUE el 13 de mayo de este año. Este
derecho se articula en el reglamento de la
siguiente manera: en primer lugar, los
proveedores deben notificar al usuario el
posible almacenamiento y el uso de sus datos
y así recibir, en su caso, su consentimiento
previo. En segundo lugar, si los proveedores
reciben una demanda de supresión de los
datos de un usuario, deben borrar
permanentemente todas las copias de dichos
datos de la persona, incluyendo todas las
copias que hayan podido ser almacenadas por
terceros.
Skyhigh Networks estima que, a día de hoy,
el 63% de los proveedores de la nube, o
bien conservan datos indefinidamente, o no
cuentan con una política de eliminación de
datos. Por su parte, el 23% de los
prestadores de estos servicios siguen
manteniendo el intercambio de datos con
terceros, lo que hace aún más
difícil garantizar que todas las copias se
eliminarán adecuadamente cuando sea
necesario debido a las numerosas partes
presentes en el trato de los datos en la
nube.
Una legislación comunitaria geográficamente
ambiciosa
De acuerdo con la nueva legislación,
cualquier empresa que opere o tenga su sede
en un país comunitario, o bien manipule
datos relativos a los residentes de la Unión
Europea, deberá someterse a su cumplimiento.
Esta normativa exige, además, que una
organización no almacene ni transfiera datos
a países terceros con normas menos estrictas
de las de la UE en materia de protección de
los datos, al tiempo que debe recibir la
autorización previa de una autoridad
nacional de protección de datos antes de
enviar cualquier tipo de información fuera
de la Unión Europea.
Los datos actuales revelan que queda un
largo camino por delante: en estos momentos,
únicamente 11 países no pertenecientes a la
UE cumplen con los futuros requisitos
regulatorios, según el análisis de Skyhigh.
Por poner un ejemplo clarificador, Estados
Unidos, donde tienen su sede el 67% de los
proveedores de servicios en la nube, no
forma parte de esta lista. Eso sí, el
acuerdo Safe Harbor
alcanzado en 2001 entre las autoridades
norteamericanas y la Comisión Europea,
contempla determinadas excepciones en la
transferencia de datos personales.
La seguridad de los datos, una asignatura
pendiente.
El futuro reglamento también tendrá en
cuenta el aviso en 24 horas que deben
efectuar los proveedores a las autoridades
en caso de constatar una fuga de datos.
Ahora bien: ¿cómo averiguar si se está
produciendo una fuga de datos en un servicio
en la nube? La respuesta es que difícilmente
se puede saber.
El problema alcanza una magnitud
considerable, especialmente si se tiene en
cuenta que apenas el 3% de los servicios en
la nube cuenta con contraseñas seguras,
únicamente el 12% de los servicios ofrecidos
en Europa utilizan el cifrado de datos y tan
sólo el 5% de estos servicios cuentan con el
certificado ISO/IEC 27001 relativa a los
sistemas de gestión de la seguridad de la
información.
Si, como es de esperar, el paquete europeo
de medidas para garantizar la protección de
datos se adopta el próximo año, ha comenzado
la cuenta atrás para los proveedores, un
tiempo para mover montañas y cumplir, sí o
sí, con la futura normativa. Como en tantas
ocasiones, las multas marcarán el ritmo de
su cumplimiento ya que, en caso contrario,
tanto las empresas, la organización que se
encuentre en posesión de los datos, el
proveedor responsable de su tratamiento
o los proveedores en la nube, podrán ser
penados con sanciones de hasta 100 millones
de euros, esto es, el 5% de su volumen de
negocio anual global.
