Esta semana ha tenido lugar en Bruselas una reunión plenaria del Grupo de Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29). Entre los asuntos incluidos en la agenda de la reunión se encontraba la discusión y posible adopción del dictamen sobre computación en la nube, así como del dictamen sobre reglas corporativas vinculantes para encargados de tratamiento de datos. Ello significa que queda poco para que estos dos documentos, que van a influir en el futuro del cloud computing en Europa, salgan a la luz.

Ambos documentos van a referirse ampliamente a uno de los asuntos que más preocupan en la actualidad a las empresas: la ubicación de los datos y la consiguiente transferencia internacional de los mismos. Dejo para el momento de su publicación un estudio más detallado del régimen que se propondrá aplicar a las transferencias internacionales en estos dictámenes y en el futuro Reglamento de la Unión Europea. Ahora me centraré en un supuesto que debería permitir eludir la figura de la transferencia internacional.

En el artículo dedicado a la subcontratación en el cloud computing analicé las condiciones en las que las empresas proveedoras de servicios en la nube gestionan el alojamiento de los datos y mencioné la posibilidad del cifrado, la disociación y la fragmentación de los datos entre distintos proveedores y países. respecto al cifrado, podemos encontrar un ejemplo específico para cloud computing en http://www.cipherdocs.com

1. El proveedor debe utilizar un sistema de ficheros distribuidos diseñado para alojar grandes cantidades de datos y un amplio número de servidores.

2. Los datos deben estar estructurados y almacenados en una base de datos construida en el nivel superior del sistema de ficheros.

3. Los datos deben ser fragmentados y replicados en múltiples servidores.

4. Los fragmentos o «chunks» deben tener nombres generados de forma automática y aleatoria.

5. Los fragmentos de datos no deben ser almacenados en texto claro sino en un formato ininteligible para el ser humano.

1. La disociación de datos debe ser irreversible, y ello no es posible en el cloud computing.

2. Por cuestiones de seguridad nacional las normas de ciertos países permiten a las autoridades requerir el acceso a los datos almacenados en servidores que se encuentren en su territorio.

1. Debe tenerse en cuenta que la relación tiene tres partes: el cliente, el proveedor y las empresas de hosting distribuido.

2. Las empresas de hosting no alojan datos completos disociados, sino fragmentos ininteligibles de datos.

3. La irreversibilidad estaría garantizada por el proveedor en los países donde sólo se almacenen fragmentos cifrados de los datos.

4. La información sólo sería accesible de forma inteligible desde España.

5. Un requerimiento de acceso a datos a los proveedores de hosting sería inútil, ya que ninguno de ellos tendría datos completos e inteligibles.

1. La doble autenticación que ofrecen algunos proveedores de cloud computing.

2. Certificados electrónicos que reproduzcan la jerarquía de privilegios de acceso de la empresa.

3. Limitación de acceso a un rango de direcciones IP de la empresa.

4. Limitación de acceso a los dispositivos de la empresa.