Uno de los temas que más están dando que hablar últimamente, a técnicos y juristas, internacionalmente, es el tratamiento y proceso de datos “en la nube”.
Existen diferentes definiciones
El Instituto de Estándares y Tecnología de Estados Unidos (NIST), en concreto su Laboratorio de Tecnologías de la Información (Autores: Peter Mell and Tim Grance, version 15 el 7 de octubre de 2009. http://csrc.nist.gov/groups/SNS/cloud-computing/index.html), define la computación en la nube como un modelo para facilitar el conveniente acceso bajo demanda a un conjunto compartido de recursos informáticos (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente provistos y liberados con poco esfuerzo y actuación por parte del proveedor de servicios.
La Agencia Europea para la seguridad de la información y la red (ENISA, http://www.enisa.europa.eu/) entiende que el tratamiento en la nube no es una nueva tecnología, sino un nuevo modo de entregar e implementar los recursos informáticos. Servicios informáticos, desde el almacenamiento y proceso de datos, hasta el software como el manejo de correo electrónico, están ahora instantáneamente disponibles, sin compromiso y bajo demanda.
David Navetta (www.infolawgroup.com/2009/08/tags/security/legal-implications-of-cloud-computing-part-one-the-basics-and-framing-the-issues/) compara estos tratamientos con el servicio de electricidad, y, en este sentido, intentar asignar taxativamente un espacio a nuestra información resguardada en la nube es tan ocioso como pretender identificar las partículas de electricidad que hacen que nuestra oficina tenga luz, dentro del suministro total de la compañía proveedora. Claro, alguien podría decirme, con toda la razón del mundo, que nuestra información no es fungible, como sí lo son las idénticas partículas. Pero lo que quizá sí podríamos elaborar como intercambiable es el espacio donde se resguarda y gestiona esa información.
Es decir, las muchas cuestiones legales que pueden derivar de estos tratamientos –entre las que podríamos mencionar, por ejemplo, privacidad, seguridad, responsabilidad, jurisdicción competente y normativa aplicable- parece que son difícilmente salvables a la manera tradicional, donde podíamos identificar claramente proveedor, espacio y medios utilizados. En la nube, por eso es una nube, todo se difumina, por lo que hay que buscar una nueva manera de identificar responsabilidades, obligaciones y salvaguardas, para evitar indefensiones y falta de garantías.
Porque, en definitiva, ¿qué es una nube? Según el la 21ª edición del Diccionario de la Real Academia de la Lengua Española (http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=nube), entre otras cosas:
1. f. Masa de vapor acuoso suspendida en la atmósfera.
2. f. Agrupación o cantidad muy grande de algo que va por el aire. Nube de polvo, de humo, de pájaros, de insectos.
3. f. Cantidad grande de personas o cosas juntas.
4. f. Cosa que oscurece o encubre otra, como lo hacen las nubes con el Sol.
Entonces, dado que se denomina computación en la nube porque tiene estas características de dispersión a simple vista, quizá tengamos que plantearnos un cambio de mentalidad y aproximación jurídica a la cuestión, lejos de las tradicionales aproximaciones contractuales vía tercerización. Quizá una de las vías pase de nuevo por impulsar e implementar mecanismos añadidos, no únicos ni independientes, de autorregulación. Quizá sea necesario de nuevo volver la mirada sobre los sellos de calidad y los estándares, donde los propios proveedores garanticen un espacio seguro en toda la nube en todos los aspectos legales que podamos plantear.