Las transferencias internacionales en el cloud computing

Esta semana ha tenido lugar en Bruselas una reunión plenaria del Grupo de Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29). Entre los asuntos incluidos en la agenda de la reunión se encontraba la discusión y posible adopción del dictamen sobre computación en la nube, así como del dictamen sobre reglas corporativas vinculantes para encargados de tratamiento de datos. Ello significa que queda poco para que estos dos documentos, que van a influir en el futuro del cloud computing en Europa, salgan a la luz.

Ambos documentos van a referirse ampliamente a uno de los asuntos que más preocupan en la actualidad a las empresas: la ubicación de los datos y la consiguiente transferencia internacional de los mismos. Dejo para el momento de su publicación un estudio más detallado del régimen que se propondrá aplicar a las transferencias internacionales en estos dictámenes y en el futuro Reglamento de la Unión Europea. Ahora me centraré en un supuesto que debería permitir eludir la figura de la transferencia internacional.

En el artículo dedicado a la subcontratación en el cloud computing analicé las condiciones en las que las empresas proveedoras de servicios en la nube gestionan el alojamiento de los datos y mencioné la posibilidad del cifrado, la disociación y la fragmentación de los datos entre distintos proveedores y países. respecto al cifrado, podemos encontrar un ejemplo específico para cloud computing en http://www.cipherdocs.com

Pero más allá del cifrado y la disociación existe la posibilidad de establecer en el contrato de cloud computing una serie de obligaciones, que algunos proveedores ya ofrecen como función por defecto u opcional:
1. El proveedor debe utilizar un sistema de ficheros distribuidos diseñado para alojar grandes cantidades de datos y un amplio número de servidores.
2. Los datos deben estar estructurados y almacenados en una base de datos construida en el nivel superior del sistema de ficheros.
3. Los datos deben ser fragmentados y replicados en múltiples servidores.
4. Los fragmentos o “chunks” deben tener nombres generados de forma automática y aleatoria.
5. Los fragmentos de datos no deben ser almacenados en texto claro sino en un formato ininteligible para el ser humano.
La AEPD se ha pronunciado en diversos foros sobre la transferencia internacional de datos en el cloud computing y ha mencionado dos puntos interesantes:
1. La disociación de datos debe ser irreversible, y ello no es posible en el cloud computing.
2. Por cuestiones de seguridad nacional las normas de ciertos países permiten a las autoridades requerir el acceso a los datos almacenados en servidores que se encuentren en su territorio.
Respecto a ello cabe decir que:
1. Debe tenerse en cuenta que la relación tiene tres partes: el cliente, el proveedor y las empresas de hosting distribuido.
2. Las empresas de hosting no alojan datos completos disociados, sino fragmentos ininteligibles de datos.
3. La irreversibilidad estaría garantizada por el proveedor en los países donde sólo se almacenen fragmentos cifrados de los datos.
4. La información sólo sería accesible de forma inteligible desde España.
5. Un requerimiento de acceso a datos a los proveedores de hosting sería inútil, ya que ninguno de ellos tendría datos completos e inteligibles.
En resumen, en el sistema descrito sólo hay acceso a datos personales en España. Los restantes países no alojan datos personales.
Como dije en mi anterior artículo, ello hace que el elemento débil de la cadena sean los puntos de acceso y la gestión de las contraseñas de los usuarios.
Este riesgo puede limitarse utilizando:
1. La doble autenticación que ofrecen algunos proveedores de cloud computing.
2. Certificados electrónicos que reproduzcan la jerarquía de privilegios de acceso de la empresa.
3. Limitación de acceso a un rango de direcciones IP de la empresa.
4. Limitación de acceso a los dispositivos de la empresa.
Sirvan estas notas como avance del análisis más profundo que precisará esta cuestión cuando se publiquen los dos documentos reseñados al principio de este artículo.

Un pensamiento en “Las transferencias internacionales en el cloud computing

  1. Pingback: ¿Por qué se declaran tan pocas transferencias internacionales de datos? | Xavier Ribas

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s