Uno de los temas que más están dando que hablar últimamente, a técnicos y juristas, internacionalmente, es el tratamiento y proceso de datos “en la nube”.
Existen diferentes definiciones
El Instituto de Estándares y Tecnología de Estados Unidos (NIST), en concreto su Laboratorio de Tecnologías de la Información (Autores: Peter Mell and Tim Grance, version 15 el 7 de octubre de 2009. http://csrc.nist.gov/groups/SNS/cloud-computing/index.html), define la computación en la nube como un modelo para facilitar el conveniente acceso bajo demanda a un conjunto compartido de recursos informáticos (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente provistos y liberados con poco esfuerzo y actuación por parte del proveedor de servicios.
La Agencia Europea para la seguridad de la información y la red (ENISA, http://www.enisa.europa.eu/) entiende que el tratamiento en la nube no es una nueva tecnología, sino un nuevo modo de entregar e implementar los recursos informáticos. Servicios informáticos, desde el almacenamiento y proceso de datos, hasta el software como el manejo de correo electrónico, están ahora instantáneamente disponibles, sin compromiso y bajo demanda.
David Navetta (www.infolawgroup.com/2009/08/tags/security/legal-implications-of-cloud-computing-part-one-the-basics-and-framing-the-issues/) compara estos tratamientos con el servicio de electricidad, y, en este sentido, intentar asignar taxativamente un espacio a nuestra información resguardada en la nube es tan ocioso como pretender identificar las partículas de electricidad que hacen que nuestra oficina tenga luz, dentro del suministro total de la compañía proveedora. Claro, alguien podría decirme, con toda la razón del mundo, que nuestra información no es fungible, como sí lo son las idénticas partículas. Pero lo que quizá sí podríamos elaborar como intercambiable es el espacio donde se resguarda y gestiona esa información.
Es decir, las muchas cuestiones legales que pueden derivar de estos tratamientos –entre las que podríamos mencionar, por ejemplo, privacidad, seguridad, responsabilidad, jurisdicción competente y normativa aplicable- parece que son difícilmente salvables a la manera tradicional, donde podíamos identificar claramente proveedor, espacio y medios utilizados. En la nube, por eso es una nube, todo se difumina, por lo que hay que buscar una nueva manera de identificar responsabilidades, obligaciones y salvaguardas, para evitar indefensiones y falta de garantías.
Porque, en definitiva, ¿qué es una nube? Según el la 21ª edición del Diccionario de la Real Academia de la Lengua Española (http://buscon.rae.es/draeI/SrvltConsulta?TIPO_BUS=3&LEMA=nube), entre otras cosas:
1. f. Masa de vapor acuoso suspendida en la atmósfera.
2. f. Agrupación o cantidad muy grande de algo que va por el aire. Nube de polvo, de humo, de pájaros, de insectos.
3. f. Cantidad grande de personas o cosas juntas.
4. f. Cosa que oscurece o encubre otra, como lo hacen las nubes con el Sol.
Entonces, dado que se denomina computación en la nube porque tiene estas características de dispersión a simple vista, quizá tengamos que plantearnos un cambio de mentalidad y aproximación jurídica a la cuestión, lejos de las tradicionales aproximaciones contractuales vía tercerización. Quizá una de las vías pase de nuevo por impulsar e implementar mecanismos añadidos, no únicos ni independientes, de autorregulación. Quizá sea necesario de nuevo volver la mirada sobre los sellos de calidad y los estándares, donde los propios proveedores garanticen un espacio seguro en toda la nube en todos los aspectos legales que podamos plantear.
- Diplomado en Derecho de las TIC del ITAM, 3ª promoción (14)
- Ley de "Gobierno Electrónico" para el DF (I) (12)
- El CFD, el CFDL, la factura electrónica…. (12)
- Proyecto de ley de firma DIGITAL de la Secretaría de Función Pública (11)
- Debate y análisis del uso e impacto de la firma electrónica en México. (9)
El Cloud Computing es verdaderamente un paradigma impresionante, como bien dices (la verdad que me lo han explicado y esta es de las mejores formas de entenderlo que he logrado) es una forma de administrar recursos en un conjunto de servidores, como lo planteó un amigo, en referencia a Eucalyptus (y aun link que lo critica duramente http://zaitcev.livejournal.com/194371.html), y pos supuesto, el servicio de Amazon EC2 ( Elastic Compute Cloud), propuestas impresionantes que minimizan costos para los usuarios y simplifican gandemente las cosas para los administradores, los cuales, si recuerdo bien, centralizan la administración de distintos servidores, es decir, herramientas como Eucalyptus sirven para centralizar el control sobre la nube, quizás esta pista sirva para clarificar la cuestión de la dispersiónen la administración, donde, los recursos están esparcidos, oscurecidos, hechos polvo y flotando, pero, el control sobre de ellos es observable y, dicho sea siguiendo la metáfora, podría entenderse como una membrana que lo distingue del resto dela nube, tiene sentido? tampoco tengo mucho entendimiento sobre el tema, es lo que he escuchado de los que si lo entienden. Saludos y buen post.
Isabel,
Me ha gustado mucho esto que expones con respecto a “privacidad, seguridad, responsabilidad, jurisdicción competente y normativa aplicable”, por lo siguiente:
Esta concepción de la llamada “nube” se basa en la idea de tener acceso a recursos como aplicaciones e infraestructura, de una manera natural y transparente, mediante un navegador y una conexión a Internet.
Existe un mundo de tecnología y una serie de estándares internacionales tras bambalinas, que hacen esto posible. Y todo se encuentra basado en una premisa: La interoperabilidad.
Este concepto de interoperabilidad es una filosofía de “cero barreras”, no nada más en lo cultural, sino también aplicada en lo que llamamos “neutralidad tecnológica”.
Por otra parte, no solo existe cómputo en nube público o “nubes públicas”, sino que también existe el concepto de cómputo en nube privado o “nube privada”.
Creo que esto ultimo de “nube privada” solventa los aspectos de “privacidad, seguridad, responsabilidad, jurisdicción competente y normativa aplicable”, ya que ofrece el requerido escenario de contar con un proveedor o un grupo bien determinado de proveedores a quienes se les puede ejercer acciones legales a través de un contrato.
Me quedo con tu reflexión “Quizá tengamos que plantearnos un cambio de mentalidad y aproximación jurídica a la cuestión, lejos de las tradicionales aproximaciones contractuales vía tercerización” ante este choque frontal, literalmente hablando, cuando las “cuadraturas” tradicionales no tienen cabida en nuevos horizontes “amorfos”.
Saludos
muchas gracias, Carlos, totalmente de acuerdo contigo. gracias por tu interés y tus valiosas aportaciones. saludos.