Arsys, socio Enactio Plus, visita nuestro blog para acercarnos al marco normativo que hay detrás de la nube.
Hoy en día prácticamente toda nuestra interacción con la tecnología hace uso de servicios cloud computing: consultando la predicción del tiempo en nuestro teléfono, viendo una película en una plataforma de streaming o cuando leemos nuestro correo electrónico. En todos estos casos, y en muchos más, estamos haciendo uso de servicios y consultando datos que están en la nube. Sin embargo, el cloud computing no es algo etéreo. Ni mucho menos. Es algo muy tangible que se convierte en realidad a través de empresas como Arsys, que facilitamos la capacidad de computación que requieren estos servicios desde nuestros centros de datos, donde almacenamos millones de bytes de información.
Sin embargo, cuando damos de alta un servicio cloud, ¿somos conscientes de la normativa que protege la información que acabamos de facilitar? Es clave que nos preguntemos qué normativa rige sobre la información que estamos facilitando. Es importante como usuario y es crítico si hablamos de una empresa, que deposita en la nube sus datos de negocio, lo que le distingue de la competencia y le permite seguir creciendo.
Aquí surge el concepto de soberanía del dato, que hace referencia al conjunto de derechos y obligaciones regidos por una serie de convenios, normas y leyes sobre la pertenencia, acceso, tratamiento y almacenamiento de los datos personales. Estas normativas suponen una garantía de protección de cara a evitar que esos datos se corrompan o comprometan, asegurando que solo sean accesibles para fines autorizados por el propietario y que puedan restaurarse en caso de que se vuelvan inutilizables o inaccesibles. Y, como toda legislación, tiene un ámbito geográfico o regional.
Convivencia de normativas
Actualmente, la principal normativa en esta materia en la Unión Europea es el ya conocido Reglamento General de Protección de Datos (RGPD), que tantos quebraderos de cabeza originó a las empresas con su entrada en vigor hace unos años. Y su equivalente en Estados Unidos es la denominada CLOUD Act. Y dependiendo de qué proveedor y servicio online utilicemos, el marco normativo de nuestra nube será uno u otro.
Esto nos lleva a ser conscientes de que la CLOUD Act, al menos de momento, exige a los proveedores estadounidenses de servicios IT que revelen todos los datos en su posesión, custodia o control, si son solicitados por las autoridades sin más condiciones ni requisitos, incluso si los datos están alojados en terceros países.
Teniendo en cuenta la importancia del dato, la convivencia de ambas normativas no es banal y puede generar cierta incertidumbre en el sector empresarial, subrayando un hecho incuestionable: la mejor garantía de seguridad jurídica para una empresa es contar con proveedor que esté sujeto a su mismo marco normativo, que tenga sus mismos derechos y obligaciones extremo a extremo.
Al fin y al cabo, si una empresa tiene que cumplir una legislación determinada en el mundo físico ¿no es más fácil y más seguro para su negocio que su proveedor esté también sujeto a esa misma legislación en el mundo digital?
Miguel Ángel Benito. Director de Relaciones Corporativas de Arsys.
