Posts con el tag ‘protección de datos’

Data Protection: Dangers and Opportunities

The scandal about spying by NSA shouldn’t distract neither EU citizens nor EU institutions from the BIG DATA possibilities to improve human beings lives.

As Mr. Eddie Short, head of the business intelligence practice at KPMG, answers in an article written by Jane Bird on Financial Times June 26 2013, special “The Connected Business” p. 3, big data started with the first satellites and space exploration; in a few days physicists collected more data than previous generations together accumulated throughout history. The enormous amount of data had to be processed to find probabilities rather than certainties.

Moving from Physics to the social media cloud, the sheer volume of information that this phenomenon has created is processed at high speed, using the computers capabilities to identify valuable data through mathematical algorithms. From the fight against bullying to know much better how an illness attack our bodies, there’s an astonishing wide range of  social problems that it can help to cope with successfully.

Before the great transformation that Big Data can deliver “changing the way we live and the world that we live in”, is necessary to understand and address the “moral, cultural and consumer concerns” that this transformation provokes, as Mr. Dave Coplin, chief envisioning officer at Microsoft UK, wrote in the same newspaper, date and page.

The understandable and positive aim to protect privacy has to be assessed with the positive outcomes that are at our arms length and so, achieve a balanced regulation that doesn’t stifles innovation. This is the subject that I have dealt with on my presentation last 5th July on the Catalan Parliament building invited by the Catalan Data Protection Authority

http://www.apd.cat/media/2753.pdf

Enric R.Bartlett Castellà
Associate Professor of Public Law
ESADE Law School (Univ. Ramon Llull)

Actualidad jurídica, Administrativo, Derecho y sociedad | , , Permalink

Empieza la cuarta edición del Foro IP & IT: cloud computing

La cuarta edición del Foro IP & IT comenzó con una sesión a cargo de Ramón Miralles sobre el cloud computing, analizado tanto desde la perspectiva de las ventajas que presenta como de los riesgos que comporta.

En el núcleo del cloud computing se encuentra la idea de contrarrestar dos inconvenientes tradicionalmente percibidos por el usuario de tecnologías de la información: complejidad y coste. Así, el cloud computing presenta indudables ventajas asociadas, esencialmente, a la eficiencia económica y a la simplificación de uso.

NIST (National Institute of Standards and Technology, perteneciente al Departamento de Comercio de Estados Unidos) lo define en torno a cinco características esenciales, las tres primeras más asociadas al factor “complejidad” y las dos últimas predominantemente al factor “coste”: (1) on-demand self-service, básicamente, el poder tomar recursos de procesamiento de la información como un autoservicio, y de manera absolutamente autónoma; (2) rapid elasticity, que se traduce en la apariencia para el usuario de tener a su disposición recursos ilimitados; (3) broad network access, o el acceso a los servicios desde cualquier red y desde diferentes tipos de dispositivos; (4) resource pooling, entendido como la posibilidad de compartir recursos con terceros; y (5) measured service, o la posibilidad de medir y controlar el consumo que en cada momento se haga del servicio.

Sin embargo, tal como se subrayó durante la sesión, la decisión de incorporarse o no a “la nube” debe realizarse desde distintas aproximaciones, teniendo en cuenta no solo las ventajas que presenta sino también los riesgos o incertidumbres que actualmente comporta. Al margen de los múltiples aspectos a analizar para tomar esta decisión (por ejemplo, los costes o la gestión de la seguridad de la información, entre muchos otros), es importante no perder de vista que el hecho de trasladar servicios y datos a la nube tiene un efecto directo, la pérdida de control, manifestada en múltiples vertientes: tanto sobre los datos como sobre los procesos de tecnologías de la información y la disponibilidad de los sistemas. También sobre la seguridad de los datos, sistemas y aplicaciones, así como sobre la capacidad contractual; nos encontramos en un contexto en el que, salvo contadas excepciones, no va a ser posible negociar los términos y condiciones de los contratos (cuestión que, precisamente, ocupó la mayor parte del debate generado tras la presentación).     

Al hilo de este factor de pérdida de control, durante la sesión se abordaron concretamente los riesgos derivados del tratamiento de datos de carácter personal en la nube. A la hora de delimitar lo que un cliente de cloud computing debe tener en cuenta a la hora de valorar la relación contractual con el proveedor de estos servicios, es necesario considerar que al contratar servicios de cloud computing el cliente continuará siendo el responsable de los datos y el proveedor asumirá el rol del encargado del tratamiento.  Ello implica que va a ser necesario extremar la diligencia a la hora de formalizar este tipo de contratos entre proveedor y cliente.

Por una parte, el ponente destacó que ni cliente ni proveedor van a poder decidir cuál es la legislación aplicable en materia de protección de datos, que será la del establecimiento del responsable del tratamiento (en este caso, el cliente de cloud computing). Asimismo, la competencia de las autoridades de control en materia de protección de datos será la que determine la legislación aplicable.

En segundo lugar, la relación entre responsable y encargado de tratamiento deberá formalizarse contractualmente, contrato para el cual la legislación prevé unos contenidos mínimos (artículo 12 LOPD).

Debe tenerse en cuenta que el responsable del tratamiento mantendrá la obligación legal de custodiar los datos personales, con independencia de que estos sean tratados por un tercero. En otras palabras, estará obligado a velar – de manera activa – por que el encargado del tratamiento cumpla con la normativa. En materia de seguridad de la información el cliente tendrá que poder verificar que el proveedor cumple con los aspectos relacionados con las medidas de seguridad, lo cual implica que el propio contrato deberá especificar qué nivel y medidas de seguridad debe adoptar el proveedor de servicios cloud. Junto a ello, es muy aconsejable establecer cláusulas de penalizaciones o salvaguardas en casos de incumplimiento.

Un elemento crítico a tener en cuenta, por otra parte, es que el cliente debe conocer todas las ubicaciones geográficas en las que se vaya a procesar y tratar la información que ha comunicado al proveedor. Evidentemente, en la práctica esta cuestión puede generar importantes dificultades, considerando que, precisamente, una de las características de los servicios cloud es que los datos se van moviendo o reubicando en los lugares que más convenga al proveedor por motivos de eficiencia (fundamentalmente, económica). Sin embargo, para el cliente será necesario conocer estas ubicaciones porque tendrá una serie de obligaciones vinculadas al concepto de transferencias internacionales de datos, que pueden comportar una gestión complicada cuando nos encontremos ante tratamientos de datos en países que ni forman parte del Espacio Económico Europeo, ni cuentan con una declaración de nivel adecuado de protección de acuerdo con la Comisión Europea, ni son parte de acuerdos “Safe Harbor”.

Otros aspectos a tener en cuenta a la hora de formalizar contratos entre proveedor y cliente, desde el punto de vista de protección de datos, serán las posibles sub-contrataciones del servicio, o las devoluciones de datos una vez la relación contractual finalice.

En la práctica, existen ejemplos de decisiones e informes tanto de Autoridades en materia de Protección de Datos como del Grupo de Trabajo del artículo 29 que apuntan a que los contratos tipo que proponen muchos proveedores de cloud computing pueden no ser adecuados para formalizar un encargo de tratamiento en el contexto de la normativa de protección de datos de carácter personal. La recomendación expuesta durante la sesión desde el punto de vista del cliente de cloud computing sería, por tanto, la de buscar en la medida de lo posible un proveedor de cloud con el que exista espacio para negociar las condiciones del servicio.

Documentos de interés:

 

Ana Benetó Santa Cruz

 

Foro IP&IT | , , Permalink