El Safe Harbor y la hipocresía europea


La cultura norteamericana se está extendiendo como una mancha de aceite. Por imposición, ósmosis o mimetismo han llegado a nuestras vidas conceptos y costumbres que hace unos años sólo veíamos en las películas. Los términos Halloween, black friday, y el propio compliance han arraigado definitivamente en Europa. Pero lo que todavía no ha llegado, por ejemplo, es la confianza del legislador en el ciudadano, la eliminación de ciertas trabas legales que todavía existen para abrir una empresa y el justo equilibrio entre privacidad y negocio.

En mi opinión, al legislador europeo se le ha ido la mano al diseñar el modelo de protección de datos que actualmente tenemos y ello nos está pasando factura. Un ejemplo claro es la regulación de las cookies.

Es como si un legislador ocioso hubiese identificado un derecho a regular pero hubiese ampliado su alcance hasta crear en el ciudadano necesidades que antes no tenía, llevándonos todos a lo más alto de la pirámide de Maslow.

En el caso de la anulación de los acuerdos Safe Harbor, tengo una opinión que coincide con algunos de los criterios utilizados por el TJUE, pero no con la conclusión. Creo que al juzgador le ha faltado información y comprensión del verdadero problema que subyace en esta cuestión. Y si no es así, entonces le ha sobrado hipocresía al poner en la balanza valores que no son comparables.

Es evidente que la base de la Patriot Act es el miedo, y una persona no amenazada no puede criticar el miedo de la que sí lo está, salvo que el miedo sea excesivo. La causa o la provocación de la amenaza también deberían ser analizadas, pero en ese caso tendríamos que diferenciar entre gobernantes y gobernados.

Tras los atentados de París ya se está hablando de medidas restrictivas de la libertad de movimiento y del derecho a la intimidad que se acercan mucho a las contenidas en la Patriot Act y en normas posteriores. La pregunta es si estas medidas se intensificarán en el caso de que se produzcan más atentados, porque en tal caso las diferencias entre un Estado que espía y otro que está pensando en hacerlo serían meramente cuantitativas. Al final, la cruda realidad sería que el derecho a la intimidad depende exclusivamente del número de muertes y no de la diferencia de valores entre las dos culturas. No sería de extrañar, ya que la vida es más importante que la intimidad, pero en ese caso se produciría una homologación de facto entre la protección de la intimidad en Europa y en Estados Unidos.

Esperemos no tener que oír dentro de unos años la frase “Cómo se respetaba la intimidad en Europa hasta que llegó el miedo” igual que en su día oímos la frase “En España no había racismo, hasta que llegaron los inmigrantes”.

Hay que tener en cuenta también que no todo es blanco o negro. Ni unos son tan buenos ni otros tan malos. En Europa también ha habido gobiernos que han reconocido que espiaban a sus ciudadanos. Y también hay agencias que pueden realizar inspecciones y requerimientos de datos sin tutela judicial.

Ello nos lleva a la triste conclusión de que ni las cláusulas tipo, ni las normas corporativas vinculantes, ni siquiera un nuevo acuerdo Safe Harbor pueden impedir que un Estado espíe o requiera la entrega de datos a los encargados del tratamiento.

Tampoco sirve de nada que el servidor esté en Europa, ya que si el proveedor es norteamericano tendrá que suministrar igualmente a la agencia requirente los datos que gestiona, estén donde estén. Y si no lo es, seguramente subcontratará los servicios de una empresa norteamericana, aunque muy probablemente no lo sepa.

Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación. Cada vez es más difícil, y a la vez irrelevante, saber dónde están realmente los datos. Cuando un Magistrado del TJUE envía un mail a su familia, es muy probable que los routers encuentren un camino más rápido por otros países que no protegen los datos como en Europa, porque a esa hora están menos activos.

Por todo ello, cuando Europa y EEUU se pongan en serio a negociar Safe Harbor 2, tal vez tengan en cuenta todos los factores que hacen que sus normas y su cultura estén cada vez más cerca, y recuerden que los datos no saben lo que son las fronteras.

ACTUALIZACIÓN:  “El Parlamento británico tramita un proyecto de ley que pretende facilitar a la policía acceso a los registros del uso de Internet de los ciudadanos, algo que el Gobierno considera esencial para combatir el crimen y la amenaza terrorista”.
Ver noticia completa

ACTUALIZACIÓN:  “Los ministros de Defensa presionan para imponer una nueva legislación (Francia quiere prohibir el acceso a TOR, según difundió Le Monde hace unos días) y los defensores de los derechos civiles empiezan a mostrar preocupación”.
Ver noticia completa

¿Por qué se declaran tan pocas transferencias internacionales de datos?

En la jornada sobre cloud computing que la Agencia Española de Protección de Datos (AEPD) organizó en enero de 2012 se llegó a la conclusión de que la computación en la nube había generado un cambio de paradigma en las subcontrataciones y en las transferencias internacionales de datos.

Este cambio de paradigma fue analizado posteriormente en este blog para comprobar cómo estaba actuando la oferta y la demanda en materia de subcontrataciones y transferencias internacionales.

En esta ocasión me gustaría analizar si este cambio de paradigma se ha manifestado en la tipología de las transferencias internacionales que fueron autorizadas por el Director de la AEPD durante 2012 y si la globalización y el abaratamiento de los servicios de hosting, unido a la aparición de nuevas categorías de servicios, está provocando una menor identificación de los supuestos en los que se produce una transferencia internacional de datos.

En relación a la primera cuestión, es fácil comprobar que las transferencias internacionales de datos autorizadas por el Director de la AEPD en 2012 se distribuyen en dos grandes tipologías:

– 122 transferencias internacionales realizadas en el marco de un contrato de prestación de servicios de encargado de tratamiento (call center, gestión de aplicaciones, gestión de bases de datos).

– 53 transferencias internacionales relativas a la gestión centralizada de datos de RRHH o de clientes en la sede central de una empresa multinacional.

En ninguna de ellas se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores que ofrecen servicios de hosting como prestación principal, es decir, como prestación no complementaria a los servicios de call center o gestión de bases de datos.

Tampoco se identificó como destinatario de la transferencia internacional a alguno de los grandes proveedores de cloud computing, en su modalidad de nube pública, ni a las principales redes sociales.

De este análisis rápido, basado exclusivamente en las transferencias internacionales autorizadas por el Director de la AEPD en 2012, extraigo las siguientes conclusiones:

  1. Sigue pareciéndome bajo el número de empresas que identifican y declaran como transferencia internacional los servicios contratados a proveedores que tratan datos en países con un nivel de protección no equiparable al de la UE. Según la Memoria de la AEPD de 2011, sólo se han autorizado 735 transferencias internacionales en total en 12 años, incluyendo las transferencias a la sede central de multinacionales.
  2. No parece que exista una práctica generalizada de declarar como transferencia internacional los servicios de cloud computing en los que los datos son almacenados en países de protección no equiparable.
  3. Lo mismo sucede con la contratación de servicios de mero hosting de datos.
  4. Lo mismo sucede con el tratamiento de datos realizado por las empresas en las redes sociales.

Estas conclusiones me llevan a plantear si se están dando en el mercado circunstancias que dificultan la identificación de los supuestos en los que se produce una transferencia internacional de datos que exigiría la autorización del Director de la AEPD.

Todo parece indicar que efectivamente se está produciendo una progresiva pérdida de control por parte del responsable del fichero sobre los distintos encargados y subencargados del tratamiento que acceden a sus ficheros. Por otro lado, hay nuevos servicios en los que cuesta más identificar dónde están los datos a lo largo del ciclo de vida de la relación con el proveedor.

Agrupando estas nuevas circunstancias con las que ya pueden considerarse clásicas, podríamos enumerar las principales razones por las que no llegan al Director de la AEPD todas las transferencias internacionales que se están produciendo:

  1. Tratamiento realizado aparentemente en la UE o en país con protección equiparable
  2. Consentimiento del usuario final a través de los términos y condiciones del servicio
  3. Desconocimiento de la obligación por parte del responsable del fichero
  4. Falta de identificación de la transferencia internacional en ciertos servicios
  5. Imposibilidad de controlar la ubicación de los datos en ciertos servicios
  6. Aplicación de técnicas de cifrado, ofuscación y fragmentación de datos
  7. Dificultad para controlar las subcontrataciones en materia de hosting

Además de estas razones, estamos asistiendo a un proceso de transformación de la manera en que vemos la información y su almacenamiento. Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación.

Por ello, es comprensible que cada vez sea más difícil, y a la vez irrelevante, saber dónde están realmente los datos.

Las transferencias internacionales en el cloud computing

Esta semana ha tenido lugar en Bruselas una reunión plenaria del Grupo de Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29). Entre los asuntos incluidos en la agenda de la reunión se encontraba la discusión y posible adopción del dictamen sobre computación en la nube, así como del dictamen sobre reglas corporativas vinculantes para encargados de tratamiento de datos. Ello significa que queda poco para que estos dos documentos, que van a influir en el futuro del cloud computing en Europa, salgan a la luz.

Ambos documentos van a referirse ampliamente a uno de los asuntos que más preocupan en la actualidad a las empresas: la ubicación de los datos y la consiguiente transferencia internacional de los mismos. Dejo para el momento de su publicación un estudio más detallado del régimen que se propondrá aplicar a las transferencias internacionales en estos dictámenes y en el futuro Reglamento de la Unión Europea. Ahora me centraré en un supuesto que debería permitir eludir la figura de la transferencia internacional.

En el artículo dedicado a la subcontratación en el cloud computing analicé las condiciones en las que las empresas proveedoras de servicios en la nube gestionan el alojamiento de los datos y mencioné la posibilidad del cifrado, la disociación y la fragmentación de los datos entre distintos proveedores y países. respecto al cifrado, podemos encontrar un ejemplo específico para cloud computing en http://www.cipherdocs.com

Pero más allá del cifrado y la disociación existe la posibilidad de establecer en el contrato de cloud computing una serie de obligaciones, que algunos proveedores ya ofrecen como función por defecto u opcional:
1. El proveedor debe utilizar un sistema de ficheros distribuidos diseñado para alojar grandes cantidades de datos y un amplio número de servidores.
2. Los datos deben estar estructurados y almacenados en una base de datos construida en el nivel superior del sistema de ficheros.
3. Los datos deben ser fragmentados y replicados en múltiples servidores.
4. Los fragmentos o “chunks” deben tener nombres generados de forma automática y aleatoria.
5. Los fragmentos de datos no deben ser almacenados en texto claro sino en un formato ininteligible para el ser humano.
La AEPD se ha pronunciado en diversos foros sobre la transferencia internacional de datos en el cloud computing y ha mencionado dos puntos interesantes:
1. La disociación de datos debe ser irreversible, y ello no es posible en el cloud computing.
2. Por cuestiones de seguridad nacional las normas de ciertos países permiten a las autoridades requerir el acceso a los datos almacenados en servidores que se encuentren en su territorio.
Respecto a ello cabe decir que:
1. Debe tenerse en cuenta que la relación tiene tres partes: el cliente, el proveedor y las empresas de hosting distribuido.
2. Las empresas de hosting no alojan datos completos disociados, sino fragmentos ininteligibles de datos.
3. La irreversibilidad estaría garantizada por el proveedor en los países donde sólo se almacenen fragmentos cifrados de los datos.
4. La información sólo sería accesible de forma inteligible desde España.
5. Un requerimiento de acceso a datos a los proveedores de hosting sería inútil, ya que ninguno de ellos tendría datos completos e inteligibles.
En resumen, en el sistema descrito sólo hay acceso a datos personales en España. Los restantes países no alojan datos personales.
Como dije en mi anterior artículo, ello hace que el elemento débil de la cadena sean los puntos de acceso y la gestión de las contraseñas de los usuarios.
Este riesgo puede limitarse utilizando:
1. La doble autenticación que ofrecen algunos proveedores de cloud computing.
2. Certificados electrónicos que reproduzcan la jerarquía de privilegios de acceso de la empresa.
3. Limitación de acceso a un rango de direcciones IP de la empresa.
4. Limitación de acceso a los dispositivos de la empresa.
Sirvan estas notas como avance del análisis más profundo que precisará esta cuestión cuando se publiquen los dos documentos reseñados al principio de este artículo.