Esta cápsula es la continuación de la anterior: Directorio de Noticias sobre la anulación del Safe Harbor. Una vez estudiado todo lo más significativo y aparentemente solvente que encontré sobre el tema, llega mi propia interpretación. ¿Cómo se combina el mix nube, EEUU, LOPD, Safe Harbor y Trabajadores del Conocimiento?
Empezaré como a mí me gustaría haberme encontrado las cosas: desde el principio y contadas de forma sencilla y entendible. Como un relato ordenado y visto desde la óptica de una PyMO (Pequeñas y Medianas Organizaciones). Desde la óptica de una consultora TIC, un despacho de abogados o una administración de fincas. Organizaciones que lleváis tiempo coqueteando con cuentas gratuitas de Dropbox o con Google Apps o con cualquier otra, y que ya os planteáis pagar una cuota o dar un paso más organizado y profesional. Y ahora, de forma inesperada, os encontráis con este panorama… Vamos allá.
Una introducción guiada para entender el asunto
Todos conocemos o nos suena qué es la LOPD y la Agencia Española de Protección de Datos (AEPD). Muchos de vosotros habréis incluso inscrito algunos ficheros en la Agencia en cumplimiento de dicha ley para declarar qué tipo de datos tenéis en vuestro poder. De vuestros trabajadores, clientes, proveedores… cualquier dato personal.
Cuando hacemos esta inscripción hay un apartado que típicamente pasa desadvertido y que puede fácilmente comprobarse haciendo una consulta cualquiera a los ficheros inscritos en la AEPD: el relativo a la transferencia internacional de datos.
No nos afecta. Nosotros somos una PyMO y no hacemos nada en el extranjero… ¿Seguro…? Si tenéis un CRM, un gestor de despachos, un listado de alumnos, una lista de suscripción de correos… y utilizáis una de esas herramientas en la nube de origen estadounidense… me temo que os afecta de lleno. Porque cuando le dais a guardar y el fichero de turno se replica automáticamente en algún Centro de Proceso de Datos (CPD), no es lo mismo que ese CPD esté ubicado en Madrid, en Dublín o en Denver, Colorado. Además, como medida de seguridad informática, esas empresas pueden copiar la información en diferentes ubicaciones, por lo que las probabilidades de que existan transferencias internacionales de diferente tipo, aumentan.
Digamos que la AEPD considera que hay una serie de países que tienen un nivel adecuado de protección: todos los de la Unión Europea más Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Urugay y Nueva Zelanda. Y –efectivamente-, EEUU no está en esa lista. El motivo por el que se considera que mis datos sí están debidamente protegidos en algunos reconocidos paraísos fiscales y no en California se me escapa. Aunque es, cuanto menos, llamativo y abre la puerta a otras consideraciones.
Con EEUU se suscribió otro tipo de acuerdo en el año 2000. El conocido como Safe Harbor o Puerto Seguro. Esto consistía en lo siguiente: usted, empresa estadounidense que tiene datos de ciudadanos europeos en sus servidores, necesita un permiso específico al respecto. Y para que no tenga que pelearse con 28 Agencias de Protección de Datos, suscriba éste acuerdo marco y nosotros le convalidamos su contrato con todos los países miembros. Así, hasta 4.500 empresas americanas se fueron adhiriendo al pacto y mostrando orgullosas en sus webs que cumplían con el Safe Harbor y que, por esa vía, la gestión de sus ficheros con datos personales, era perfectamente legal.
Fuente: Kronen Zeitung
Pero he aquí que en 2012, un tal Maximilian Schrems, estudiante austriaco de derecho en busca de notoriedad, asiste a una charla del responsable jurídico de Facebook e, inspirado por Edward Snowden y las declaradas intromisiones en datos personales de la agencia americana NSA, se le enciende una bombillita. Max se pregunta dónde están alojados sus datos. Solicita a la empresa estadounidense todo lo que tuviera de su persona y se encuentra con más de 1.200 páginas con todo tipo de referencias, eventos a los que había acudido, amigos que le citaban y hasta entradas que había borrado. A la vista de tal cantidad de reseñas personales, solicitó a la agencia de protección de datos en Irlanda (sede europea de Facebook) que le garantizara que esa información estaba físicamente alojada en territorio europeo. La agencia se acoge al Safe Harbor para negarle tal solicitud, Max denuncia el caso al Tribunal de Justicia de la Unión Europea (TJUE) y en octubre de 2015, éste resuelve a favor de Max declarando invalidada la resolución de la Comisión que había declarado que EEUU garantizaba un nivel de protección adecuado a los datos personales transferidos. En definitiva, declarando inválido el Safe Harbor.
Fuente: Unión Europea
¿En qué nos afecta esto a los Trabajadores del Conocimiento?
Lo primero es acudir a la LOPD y su Reglamento vigente. Y extraer de ahí las cuatro cosas que nos incumben más directamente:
- El reglamento no aplica a datos de personas físicas en su calidad de trabajadores de una empresa cuando sólo guardamos su nombre, correo, teléfono, dirección. Traducido: la agenda de contactos profesionales que todos tenemos en el iPhone o el Android respaldada respectivamente en iCloud o Google, no estaría afectada por la LOPD. Pero…
- La ley establece tres niveles de seguridad: bajo, medio (p.e. porque contienen datos acerca de la personalidad del interesado) y alto (p.e. porque se refieran a datos de su ideología, afiliación sindical, creencias, salud…). Así que, en rigor, cuando un comercial o un abogado hace en la ficha de un cliente o en su contacto en el móvil anotaciones del tipo… “Es simpatizante de Podemos. Está pasando por un divorcio traumático.” …ya está –posiblemente sin saberlo-, elevando el nivel de seguridad a aplicar a alto. Y ¡sí! En ese caso sí entra en juego la norma.
- Algo que parece una obviedad conviene en todo caso ser recalcado: la LOPD afecta a los datos personales. Es decir, que si lo que estamos guardando en la nube son ofertas, catálogos, listados de precios, documentos técnicos, informes, planes de proyecto… no tenemos ningún problema ni estamos cometiendo ilegalidad de ningún tipo. Con los datos en EEUU o en Albacete. Con o sin Safe Harbor.
- Si tenéis un ERP tendréis datos de clientes y proveedores. Pero generalmente limitados a datos de contacto y de carácter económico. No problem. Además es que, aunque cada vez más frecuente, todavía es poco habitual tener ERPs en la nube. Los más atrevidos tenéis un servidor propio alojado en algún proveedor de comunicaciones (hosting) y para de contar. Además los contables, cuando están enfrascados en sus informes y cierres de mes, demandan máxima velocidad y cercanía de acceso a los números. Asunto para otra cápsula.
- Si lo que tenéis es un CRM… mmmm… la cosa se vuelve más delicada. Porque ahí sí que confluyen un montón de anotaciones que fácilmente incurren en las circunstancias personales de nuestros clientes o potenciales. Y porque, además, al contrario de lo que ocurre con el ERP, el CRM sí es más fácil que esté en la nube porque la necesidad de que los comerciales accedan a la aplicación desde cualquier lugar, momento y dispositivo es evidente… Sin ir más lejos: ¿utilizas Evernote para anotar datos de tus clientes? ¿Zoho CRM? ¿SalesForce? ¿Nimble? ¿SugarCRM?… Entonces es importante que sigas leyendo. Y si no, también. Que está muy interesante.
¿En qué afecta a los proveedores estadounidenses?
Huelga decir que la sentencia del TJUE no ha debido de gustar mucho a Microsoft, Facebook, Box o Google por citar sólo algunos de los grandes. En realidad estas empresas tienen un papel complicado. Todas cumplen con la ISO 27001 de seguridad de la información y otras normas punteras en materia de confidencialidad, integridad y disponibilidad de los datos. De hecho han dado pie a la creación de una norma específica de seguridad en la nube, la ISO 27018. En la práctica esto implica un elevado nivel de exigencia en lo relativo a sus instalaciones, medidas de control, replicación de datos y demás. Todo ello en unas dimensiones y volúmenes que se nos escapan al entendimiento.
Por su condición de estadounidenses, tienen además una importante y trascendental obligación para con el gobierno de su país: la Patriot Act. Se trata de una ley aprobada tras los atentados del 11S que en la práctica significa que ante una demanda de cualquier agencia del gobierno, estas empresas están obligadas a concederles acceso a datos de sus clientes sin que estos estén informados. Es decir, exactamente lo contrario de lo que dicta el espíritu del Safe Harbor y las directivas europeas. De hecho, la legislación europea se considera la más exigente en este ámbito a nivel mundial.
Así que la gente de Dropbox, de Mailchimp, de Zoho… se ven envueltos en un escenario triplemente exigente: tienen que asegurar los datos desde un punto de vista técnico (ISO 27001). Eso es ineludible y es la base de su servicio. Tienen que cumplir con la Patriot Act y tienen además que cumplir con las exigentes normativas europeas, que en buena medida son incompatibles con la Patriot Act. De hecho, Microsoft está ahora mismo envuelta en un juicio con el FBI por negarse a ceder datos de uno de sus usuarios alojados en un CPD que tienen en Irlanda.
Lo que les faltaba a sus equipos jurídicos era este sentencia del TJUE.
¿Cómo lo están afrontando los proveedores estadounidenses?
Por tres vías.
La primera, están auspiciando o impulsando la elaboración de un Safe Harbor II. Que con toda probabilidad estará aprobado en la primera mitad de 2016.
La segunda, están incluyendo en sus condiciones de servicio las cláusulas específicas exigidas por las directivas europeas. No es el Safe Harbor aunque se parezca: al incluir esas directivas se supone que en “el contrato” entre el proveedor que guarda datos en sus instalaciones en EEUU y tú (en realidad no hay tal puesto que a ti te lo dan completamente redactado y tú sólo aceptas o rechazas)… Decía: al tener ese contrato te habilitan a ti (=te pasan la pelota) para que lo informes a la AEPD, obtengas el visto bueno de su directora y posteriormente se lo comuniques a las personas de con qué servicios se están compartiendo sus datos.
La tercera, algunos, mitad por motivos de expansión tecnológico-geográfica, mitad por liberarse definitivamente de los posibles vaivenes entre políticos de un lado y otro del Atlántico, han optado por instalar CPDs en territorio europeo y ofrecer al usuario la posibilidad de indicar expresamente que sus datos no salgan de aquí.
Así, por ejemplo,…
- Dropbox no tiene entre sus planes inmediatos la instalación de un centro de datos en Europa. Aunque quizás ahora se lo esté planteando.
- Box tiene previsto contar con uno a lo largo de 2016.
- Google y Amazon ya cuentan con infraestructura en Europa. Amazon permite elegir dónde quieres que residan tus datos.
- Microsoft ya cuenta con infraestructura en Europa orientada a su servicio de alta gama: Azure. Y además está a punto de inaugurar en Londres otro centro de datos.
¿Y qué efectos tiene para los proveedores de nube europeos?
Hay muchos menos proveedores europeos que americanos. En esto nos han ganado la carrera. Es un dato objetivo que Dropbox, Google Drive, Evernote o OneDrive son inventos made in USA. Pero también es cierto que eso no impide que empresas europeas estén intentando ofrecer desde aquí alternativas. Uno de sus argumentos estrella es, precisamente, la cuestión legal, el cumplimiento más exigente de las LOPD de los diferentes países.
Estas empresas argumentan que el Safe Harbor era en realidad un parche para permitir la entrada sin coto de los gigantes y que eso ha contribuido a una situación de desigual competencia porque los proveedores europeos tienen que invertir más para cumplir con la muy exigente legalidad europea. Así que están encantadas con la reciente sentencia.
Dos ejemplos:
-
Hornetdrive, con sede en Hannover, Alemania. Ofrecen un servicio de alojamiento y sincronización de ficheros con muy alto nivel de seguridad. Con cifrado de información previo a subirla a la nube. La funcionalidad se resiente y dista de ser tan intuitiva y sencilla como la carpeta de Dropbox, pero tu cobertura legal está a prueba de estudiantes austriacos de derecho.
-
Dataprius, con sede en Málaga, España. Que no sólo asegura y defiende la necesidad de tener los datos alojados en Europa (concretamente en Irlanda y Reino Unido), sino que propone otro modelo diferente a la política de sincronización. En la práctica, y según su creador, Javier Ruiz Garrido, eso de que cualquier usuario esté sincronizando los ficheros en diferentes equipos y ubicaciones es una forma de promiscuidad que dificulta mucho el control efectivo de la información. Con Dataprius, el acceso a cada archivo está fuertemente controlado.
En definitiva, ¿tendremos problemas si seguimos usando Dropbox o OneDrive o Google Apps?
Mi impresión es que NO habrá problemas en seguir usando estas plataformas.
Los amantes de las confabulaciones pueden interpretarlo como que el volumen de negocio es tan gigantesco; el impacto que tendría una hipotética cerrazón real al uso de la nube americana por parte de las empresas europeas de tal magnitud, que sencillamente ya se las apañarán las multinacionales y los políticos de uno y otro lado para arreglarlo. Como sea.
El resto simplemente pensemos que estas corporaciones están ávidas por contar con nuestros datos, nuestras suscripciones, nuestros euros. Y que se afanarán por cumplir la norma que se les imponga desde Bruselas. Y que, al mismo tiempo, Bruselas no puede permitirse prescindir de la tecnología americana porque eso supondría un grave impacto en su economía. Que no está para tirar cohetes.
Además hay otras dos cuestiones en las que nadie parece reparar y que a mí me parecen muy significativas.
La primera es un fenómeno que yo denomino irrelevancia relativa de tu información: en un mundo en el que cada día se mueven pentabytes de datos… ¿cuánto valor relativo tiene tu modesta base de datos de clientes? ¿realmente existe una preocupación efectiva, práctica, con un impacto negativo claro y medible sobre tu PyMO porque el gobierno estadounidense pudiera acceder en un momento dado a un listado de tus clientes?
La segunda es la irrelevancia geográfica de tu información. El juicio del FBI contra Microsoft lo deja claro: el gobierno americano alega que Microsoft es una empresa estadounidense y que a partir de ahí, dónde guarde físicamente los datos es lo de menos. Pero más allá del FBI: si yo soy capaz de saltarme las medidas informáticas de protección y consigo acceder a una base de datos de clientes que está alojada en un servidor ubicado en Thailandia,… ¿importa en esta ecuación el detalle de dónde está el servidor? Me descargo la bbdd y punto. Esa ubicuidad es, precisamente, una de las ventajas claves que han hecho estos servicios tan atractivos. ¿Es coherente exigir a la vez ubicuidad y ubicación controlada?
Rafa, ¿cuál es tu recomendación al respecto?
Pues no tengo una; tengo varias. Porque por experiencia sé que no es lo mismo lo que le ocurre a un freelance, a un gabinete de ingeniería, a una administración pública o a un bufete de abogados. Voy a distinguir tres perfiles: el perfil McGyver, el perfil Bond y el perfil Jack Byrnes.
A las organizaciones que se sientan McGyver les diría: manteneos al tanto de lo que va ocurriendo en el mundillo. Posiblemente sea suficiente con atender a este blog de vez en cuando. Y diseñad vuestras políticas de uso de la nube con total tranquilidad eligiendo la plataforma que mejor se adapte a vuestras necesidades técnicas y de negocio. En el muy muy muy improbable caso de que alguien os pidiera explicaciones al respecto, cualquiera de los grandes proveedores os daran argumentación suficiente para defender la legalidad de vuestras actuaciones. Y más pronto que tarde estaréis además cubiertos por un nuevo Safe Harbor II.
A las organizaciones Bond les diría: optad por un proveedor que os asegure que guarda sus ficheros en Europa. Dataprius me parece una magnífica opción. No sólo os sentiréis más tranquilos en este ámbito sino que además podéis utilizarlo como argumento publicitario. Otra posibilidad pasa por utilizar cualquiera de los grandes y reforzarlo con una herramienta de encriptación tipo BoxCryptor o VeraCrypt.
A las organizaciones Jack Byrnes les diría: preveo problemas de adaptación a vuestro entorno. Vuestros clientes y proveedores ya están usando la nube en todas sus formas y mantener un nivel de exigencia superior a la media se traducirá en menos funcionalidad y más costes y atención a este asunto. Pero aún así tenéis opciones. Si el uso de cifrado no os resulta suficiente, tenéis proveedores que son a la vez europeos y encriptan la información localmente. Como Tresorit. Y si no, siempre podéis optar por un sistema de nube híbrida en el que la información más sensible la gestionáis vosotros mismos con infraestructura propia. Sharefile o Owncloud son un par de referencias que os interesarán.
Thank you for any other wonderful post. The place else may anybody get that type of information in such an ideal way of writing? I’ve a presentation next week, and I am at the look for such info.