Nº 1 2013 > En primera plana

Protección de datos y privacidad en la nube
¿Quién es el propietario de la nube?

Protección de datos y privacidad en la nube  ¿Quién es el propietario de la nube?Protección de datos y privacidad en la nube  ¿Quién es el propietario de la nube?Flujo transfronterizo de datosProtección de datos y privacidad en la nube  ¿Quién es el propietario de la nube?
Flujo transfronterizo de datos

Todo individuo puede optar por la cesión o la comercialización de sus datos personales en la nube, no obstante, esta debe ser una decisión fundada. Una de las tareas principales de un regulador eficaz (ya sea en el sector de las tecnologías de la información y la comunicación (TIC) o en el de la protección de datos) consiste en facilitar información a los consumidores sobre los riesgos que corren su privacidad y sus datos personales al utilizar servicios en la nube. ¿Pueden los responsables de la formulación de políticas, los reguladores y el sector privado trabajar juntos en aras de promover la alfabetización en nube?

¿Qué ocurre si alguien facilita deliberadamente sus datos personales sin esperar que la información siga siendo privada? ¿Deben los responsables de la formulación de políticas intervenir para proteger dichos datos?

Preguntas como estas se plantean en el último informe de la UIT sobre Tendencias en las Reformas de Telecomunicaciones de 2013, concretamente, a lo largo del capítulo titulado “La Nube: Protección de Datos y Privacidad — ¿Quién es el propietario de la nube?”, escrito por Stephanie Liston, Consejera Principal de Charles Russell LLP. Dicho capítulo versa sobre los servicios en la nube y sus beneficios económicos y sociales; la regulación vigente en materia de protección de datos y privacidad que se aplica a los servicios en la nube; y la eficacia de la regulación y los mecanismos de control actuales a la hora de preservar la privacidad. Asimismo, recomienda la elaboración de un modelo de reglamentación adaptado que establezca un equilibrio entre las necesidades y oportunidades comerciales, la realidad tecnológica y la expectativa razonable de todo ciudadano de tener derecho a la intimidad en un ecosistema digital internacional. El presente artículo es una adaptación de ese capítulo.

¿Cómo se alcanza el equilibrio?

Ante todo, es preciso sopesar los beneficios financieros que ofrecen servicios en la nube a gobiernos, empresas, ciudadanos y consumidores junto con los riesgos que dichos servicios pueden entrañar para la vida privada o los datos personales de todo individuo.

No obstante, existe una creciente confusión en torno a quién corresponde la obligación de proteger dichos datos.

La posibilidad de publicar libremente información personal en la nube ha podido engendrar una cierta insensibilidad con respecto al concepto de información privada. ¿Saben los consumidores cómo pueden utilizarse esos datos o cuáles son los posibles riesgos relativos a la seguridad de la información? ¿Cuál es el valor intrínseco de los datos personales, considerados como “el nuevo petróleo” desde un punto de vista comercial? ¿Deben los consumidores ser titulares de un derecho económico derivado de la comercialización de estos datos?

Para responder a las cuestiones sobre protección de la privacidad y los datos en la nube, es necesario explorar y tener en cuenta las dinámicas individuales. Al fin y al cabo, ¿de quién son los datos personales que se están intentando proteger?

Según el sondeo del Eurobarómetro Especial sobre actitudes individuales con relación a la privacidad realizado en 2011, el 74% de los encuestados considera la divulgación de información en línea como un aspecto cada vez más frecuente del día a día. La mayoría expresó su preocupación por el registro de las actividades llevadas a cabo a través de teléfonos móviles, tarjetas de pago e Internet móvil, sin embargo, el 58% no veía alternativa alguna a la divulgación de información personal si querían obtener productos y servicios.

Los consumidores tienden a desempeñar un papel más activo en grupo que a nivel individual a la hora de tratar de proteger la información personal. En ese sentido, promover la alfabetización en nube es fundamental para asegurar que los consumidores comprendan el valor real de su información personal.

En el informe Tendencias en las Reformas de Telecomunicaciones de 2013 se examinan los marcos de privacidad y protección de datos vigentes en la Unión Europea (UE), así como en un diverso grupo de estados que representa a los países desarrollados y en desarrollo. Muchos de los estados que han adoptado o están considerando adoptar una normativa de protección de datos han seguido el modelo europeo y, en consecuencia, esta cuestión se aborda con mayor exhaustividad en la revisión. El modelo europeo ilustra asimismo los problemas a los que debe hacer frente el sector privado y la economía debido a la falta de leyes claras y consistentes que se apliquen de forma homogénea través de las fronteras internacionales.

A nivel regional, la Directiva sobre protección de datos de la Unión Europea (más conocida simplemente como la Directiva Europea) fue promulgada en 1995. Según la Directiva Europea, las obligaciones relativas a la protección de datos se imponen por lo general a los responsables del control de datos, mientras que los encargados de procesarlos sólo están sujetos a requisitos de seguridad específicos. Sin embargo, las diferentes definiciones utilizadas en los distintos países europeos, junto con la imprecisión a la hora de clasificar a un proveedor de servicios en nube como un controlador o un procesador, dan lugar a ambigüedades.

Las obligaciones relativas a la protección de datos y su cumplimiento suelen recaer únicamente sobre el cliente a pesar de que este apenas controla las acciones del proveedor o el movimiento de los datos. Los clientes de los servicios en nube están obligados a actuar con la debida diligencia a la hora de elegir un proveedor que ofrezca las garantías suficientes de fiabilidad, competencia y seguridad exigidas por las leyes pertinentes.

¿Qué ocurre con los flujos transfronterizos de datos?

En virtud de la Directiva Europea, los datos personales no deben transferirse a países situados fuera del Espacio Económico Europeo si se estima que estos no cuentan con suficientes medidas de protección. Amazon, por ejemplo, ha creado una nube europea a fin de ofrecer a sus clientes la seguridad de que sus datos no atravesarán fronteras que no respeten la Directiva. Los principios “Safe Harbor” de Estados Unidos también se consideran un marco adecuado para la transferencia de ciertos datos de carácter personal, no obstante, están sujetos a algunas excepciones notables y a las diligencias específicas correspondientes.

La computación en nube, sin embargo, suele carecer de una ubicación fija y los proveedores tienden a ser reacios a establecerse únicamente en los países especificados. Por tanto, el cliente puede verse incapaz de determinar en tiempo real la localización de los datos que están siendo procesados o almacenados. Los reguladores se enfrentan al mismo problema, lo cual dificulta la aplicación de las restricciones a los flujos transfronterizos de datos.

Si se han de realizar transferencias a países que carezcan de leyes “adecuadas”, es necesario establecer cláusulas contractuales. Estas cláusulas contienen disposiciones no negociables que estipulan medidas de transferencia y seguridad consideradas apropiadas con arreglo a la Directiva Europea.

Las empresas internacionales pueden asimismo adoptar normas corporativas vinculantes aplicables a la transferencia regular de datos a través de sus redes corporativas.

La rendición de cuentas es fundamental para asegurar el cumplimiento normativo y, en consecuencia, los derechos de auditoría están ganando una importancia progresiva para los clientes. No obstante, la concesión de estos derechos constituye un problema práctico para los proveedores que ofrecen una infraestructura compartida a sus clientes dado que el mero hecho de conceder el acceso a la misma puede poner en peligro la seguridad y la confidencialidad de los datos pertenecientes a otros clientes.

¿Qué leyes se aplican en la nube?

No existe una legislación sobre privacidad universalmente vinculante que abarque a todos los países del mundo. De hecho, muchos de los 89 países que han adoptado leyes de privacidad o protección de datos se sirven de la regulación de los flujos de datos internacionales como mecanismo para proteger la privacidad individual y ejecutar las políticas nacionales.

La Directiva sobre la intimidad en las comunicaciones electrónicas de la Unión Europea se dirige a los proveedores de redes de telecomunicaciones públicas y establece que sólo el personal autorizado podrá acceder a los datos personales y únicamente para fines legales autorizados. Del mismo modo, estipula que los datos personales almacenados o transferidos deben ser protegidos contra la destrucción accidental o ilícita, la pérdida accidental o cualquier forma de alteración, así como contra el almacenamiento, el tratamiento, la divulgación o el acceso no autorizado o ilícito. Los datos personales se definen en términos generales como “toda información relativa a una persona física identificada o identificable”.

El 25 de enero de 2012, la Comisión Europea publicó sus propuestas de modificación de la Directiva sobre protección de datos de la UE en un intento de armonizar el marco legislativo actual sobre protección de datos, considerado “fragmentado y anticuado”. Entre los cambios propuestos figuran los siguientes:

  • Las autoridades de reglamentación nacionales estarán facultadas para tomar medidas contra las organizaciones de otros Estados Miembros cuando concurran determinadas circunstancias, y podrán imponer multas de hasta 1 millón EUR o, si se trata de una empresa, de hasta el 2% de su volumen de negocios anual en algunos casos.
  • La definición del concepto de datos personales se ampliará para abarcar toda información relativa al interesado y la normativa requerirá el consentimiento expreso del individuo para autorizar la captura de datos.
  • La normativa se aplicará más allá de la UE con objeto de incluir a entidades no comunitarias que procesen datos personales pertenecientes a ciudadanos de la UE.
  • Las organizaciones deberán informar sin dilación sobre las violaciones de la seguridad de los datos, a ser posible, dentro de las 24 horas siguientes a la comisión de la infracción.
  • Los responsables del tratamiento de datos estarán obligados a llevar a cabo informes de evaluación de impacto de la protección de datos, nombrar a delegados de protección de datos e informar a terceros sobre cualquier infracción.
  • En determinadas circunstancias, se concederá a los interesados el “derecho al olvido” y dejarán de estar obligados a pagar para acceder a sus datos.
  • Las transferencias internacionales de datos estarán sujetas a un marco normativo más exhaustivo que requerirá la adopción de salvaguardias, la realización de controles previos por parte de las autoridades y la restricción de las excepciones aplicables a los responsables del tratamiento de datos.

El carácter polémico que presentan las reformas propuestas ha suscitado un proceso de cabildeo y debate que podría demorar ampliamente su aplicación.

Mientras tanto, en el Reino Unido, los tribunales han restringido la definición del concepto de datos personales indicando que dichos datos deben ser fundamentalmente de carácter biográfico y han de centrarse en el individuo en cuestión en lugar de en otra persona, transacción o evento.

La Comisión Nacional de Informática y Libertades controla la aplicación de la enmendada Ley relativa a la informática, los ficheros y las libertades en Francia. Esta Comisión ha publicado una guía sobre el tratamiento legal de los datos personales que impone una serie de requisitos de notificación y cooperación a los responsables del tratamiento de datos, así como unas condiciones para mantener la seguridad de los datos personales y, en determinadas circunstancias, obtener la aprobación de la Comisión antes de su tratamiento.

En Alemania, los datos personales deben ser obtenidos directamente del interesado a menos que la ley los requiera con fines comerciales genuinos o se precise un esfuerzo desproporcionado y no haya indicios de que los intereses del titular puedan verse afectados. Además, la Ley Federal de Protección de Datos pone especial énfasis en el diseño de sistemas de protección de datos que procesen la menor cantidad posible de datos personales, por ejemplo, recurriendo a la anonimidad o al uso de seudónimos.

En Estados Unidos, la legislación cambió drásticamente después de los ataques terroristas del 11 de septiembre de 2001 debido a la aprobación de la Ley Patriota. Dicha Ley permite el intercambio de los datos personales de todo individuo que sea sospechoso de participación en actividades de blanqueo de dinero o terrorismo. En consecuencia, la posibilidad de acceder y compartir información personal se ha ampliado considerablemente.

El Tribunal Supremo de Estados Unidos ha reconocido el derecho a la intimidad con arreglo a su Constitución, a pesar de que la Carta Magna no lo contenga de forma explícita. De hecho, muchos estados han establecido medidas de protección de la privacidad en sus propias constituciones. Sin embargo, sólo California ha extendido la protección de datos de una interferencia del gobierno a una obligación del sector privado.

En Canadá, la Carta Canadiense de Derechos y Libertades protege a todo individuo contra “registros, confiscaciones o investigaciones abusivas”, un derecho que los tribunales han extendido a la protección de la “expectativa razonable de privacidad”. La jurisprudencia reciente del Tribunal de Apelación de Ontario también ha introducido en el Common Law un supuesto de responsabilidad civil por invasión de la intimidad (“intrusión en la intimidad”). Las leyes canadienses no restringen las transferencias internacionales de datos personales, sin embargo, estipulan que estas son responsabilidad de la parte que divulga la información.

Brasil aún tiene que ejecutar una legislación específica de protección de datos, no obstante, su Constitución recoge los derechos fundamentales a la intimidad y la confidencialidad de la correspondencia. El Código Civil establece asimismo que toda persona puede solicitar protección contra cualquier amenaza a los derechos de la personalidad y que la vida privada de todo individuo es inviolable. Del mismo modo, el Código de Protección del Consumidor contiene amplias protecciones que incluyen los derechos a acceder y modificar los datos personales registrados.

La República sudafricana, si bien carece de una legislación específica de protección de datos, recogió el derecho a la intimidad en su Constitución. Asimismo, la Ley de protección al consumidor de 2008 y Ley de comunicaciones y transacciones electrónicas de 2002 contienen importantes disposiciones relativas a la información de carácter personal. El cumplimiento de la segunda es facultativo y cualquier adhesión debe convenirse en un acuerdo con el interesado. Un nuevo proyecto de ley sobre protección de datos personales ha sido sometido a debate en el Parlamento sudafricano.

Arabia Saudita no posee una legislación específica de protección de datos, sin embargo, varias de sus leyes recogen el derecho a la intimidad. En concreto, la Ley fundamental de gobierno de Arabia Saudita estipula, como un principio fundamental, que toda la correspondencia y las comunicaciones entre distintas partes deben mantenerse en una estricta confidencialidad y no ser divulgadas.

En caso de ausencia de legislación aplicable, los tribunales recurren a la sharia (Ley islámica). Los principios de la sharia reconocen el derecho a reclamar una indemnización por daños y perjuicios por divulgación indebida de datos personales de un individuo cuando la información revelada entrañe pérdida o daño a la persona en cuestión.

Los Emiratos Árabes Unidos no han establecido una legislación específica de protección de datos, no obstante, han recogido el derecho a la intimidad en su Constitución y en diversas leyes. La Carta Magna dispone que toda persona goza de “libertad de comunicación por correo, telégrafo u otros medios de comunicación, y la confidencialidad de la misma se garantiza con arreglo a la ley”. Además, el Código Penal contiene ciertos derechos relativos a la privacidad y la protección de datos personales datos.

En la India no existe un derecho constitucional explícito a la privacidad, a pesar de que el Tribunal Supremo ha establecido que este debe formar parte del derecho a la vida y la libertad personal. La recogida y el tratamiento de datos personales están regulados por la Ley de tecnología de la información de 2000, que estipula que las empresas deben mantener prácticas de seguridad razonables a la hora de gestionar datos personales y que, si se obtienen en virtud de un contrato, dichos datos no deben divulgarse más allá de los límites del mismo sin el consentimiento del interesado.

Como miembro de la Cooperación Económica Asia-Pacífico (APEC), Japón comparte el concepto de privacidad de la APEC. La Ley de protección de datos personales regula la recogida y uso de datos personales en Japón. Esta ley incluye todos los supuestos de utilización de datos, sin embargo, sólo se aplica a situaciones que impliquen información personal de 5.000 individuos o más. Asimismo, impone obligaciones comunes relativas al consentimiento, la seguridad y la provisión de la información, junto con requisitos adicionales para supervisar a empleados y terceros encargados de manipular datos personales.

Recomendaciones para prácticas idóneas

¿Es adecuado el mosaico reglamentario actual para alcanzar a los objetivos en la nube? La respuesta corta es no. La reglamentación nacional referente a la privacidad y la protección de datos se remonta a 20 o 30 años atrás y no previó el advenimiento de un entorno digital global. En consecuencia, la normativa vigente se ha quedado obsoleta.

En el informe Tendencias en las Reformas de Telecomunicaciones de 2013 se recomiendan una serie de medidas que pueden adoptar los responsables de la formulación de políticas y los reguladores a fin de hacer frente a los desafíos planteados por el ecosistema en la nube. A continuación se explicitan algunas de ellas.

Facilitar la alfabetización nube: Los reguladores deberían ayudar a los consumidores a tomar decisiones fundadas sobre qué tipo de información personal divulgan en la nube mejorando la comprensión del valor comercial y el uso potencial que tienen sus datos. Los ciudadanos deben saber a quién dirigirse en caso de utilización indebida de su información.

Adquirir experiencia: Los responsables de la formulación de políticas y los reguladores han de estar al día con respecto a los avances técnicos y sociales que se producen en la nube, así como a las opiniones de todas las partes interesadas, con el objetivo de establecer y hacer cumplir las leyes pertinentes.

Promulgar leyes adaptadas a los objetivos: Los responsables de la formulación de políticas internacionales y nacionales deben aunar esfuerzos a fin de desarrollar leyes eficaces, efectivas, proporcionadas y ejecutables para proteger la expectativa razonable de todo individuo a la privacidad. La responsabilidad también debe recaer sobre las partes interesadas con objeto de que desarrollen una autorregulación.

Revisar las leyes existentes: Los responsables de la formulación de políticas a nivel internacional deberían revisar la legislación vigente en aras de facilitar la utilización nacional e internacional de los servicios en la nube. El desarrollo de normas y requisitos de interoperabilidad comunes facilitará la utilización de los flujos de información transfronterizos con la seguridad y protección de la privacidad adecuadas.

El 12.º Simposio Mundial para Organismos Reguladores (GSR-12) incluyó estas recomendaciones en las directrices sobre prácticas idóneas relativas a planteamientos normativos para promover el acceso a las oportunidades digitales a través de servicios en la nube (véase www.itu.int/en/ITU-D/Regulatory-Market/Pages/bestpractices.aspx).


Todos los artículos sobre la “nube” son extractos adaptados de la próxima edición de Tendencias en las Reformas de Telecomunicaciones de 2013, un informe elaborado y producido por la División de Reglamentación y Entorno Comercial de la Oficina de Desarrollo de las Telecomunicaciones (BDT).

 

Atribuir espectro para un mundo cambiante

Conferencia Mundial de Radiocomunicaciones 2015

En este número
No.5 Septiembre | Octubre 2015

Reuniones con el Secretario General:

Visitas oficiales

Reuniones con el Secretario General|1