Hoy he comenzado una nueva actividad: buscar cosas que hacer durante el despliegue de servicios en la nube. Y es que depdendiendo del sistema a desplegar puede llevarte desde unos segundos hasta, como es el que estoy desplegando ahora, cerca de una hora en finalizar.
Para aprovechar esos tiempos muertos, me he puesto a buscar dentro de las páginas de Channel 9 Spain vídeos sobre la nube y he dado con uno muy interesante y de interés general: Implicaciones legales del Cloud Computing (repito, muy recomendable, así que después de leer el post, no es perdais el video).
La ponencia de Pablo García Mexía, Catedrático UNIR-Derecho y Gobierno de Internet y Letrado de lsa Cortes, del 14 de enero de 2010 es realmente importante para clarificar las responsabilidades sobre la protección de datos en la nube y la jurisprudencia existente en estos momentos sobre la misma.
Después de ver la ponencia me he dado cuenta de la importancia de los grupos de afinidad para la localización geográfica de los datos. Según Pablo García, tiene especial relevancia donde estén físicamente los datos ya que se acogen a las leyes vigentes en dicho territorio, por lo que el principal consejo es que se ubiquen geográficamente donde haya un alto nivel de legislación sobre la protección de datos. Dicho territorio es claramente Europa.
Entonces si alquilamos servicios en la nube, ¿dónde están físicamente ubicados para tener garantías legales sobre el cuidado y tratamiento de los mismos?
Durante el asistente de creación de un servicio en la plataforma Azure, uno de los pasos es precisamente seleccionar dónde van a estar geográficamente ubicados los datos y servicios.
Este dato tiene principalmente dos finalidades u orientaciones:
- Técnica: dependiendo de donde ubiquemos físicamente el servicio, van a depender, por ejemplo, los tiempos de respuesta de nuestros servicios por latencia de la red -lo lógico es ubicarlos lo más cerca posible de los usuarios que vayan a usarlos-. Por otro lado, si vamos a crear un grupo de servicios que se van a comunicar entre sí, es lógico concentrarlos en un mismo datacenter también por dos razones: mejores tiempos de respuesta y menores costes (la plataforma Azure no cobra por el tráfico de red de entrada salida dentro de un mismo datacenter).
- Legal: tal y como comenta Pablo García, hoy en día depende de dónde estén ubicados los datos para estar bajo el amparo legal de la región a la que pertenece.
Una de las cosas que me dejó intrigado es la cláusula de salvaguarda que acompaña este paso del asistente y que he remarcado en amarillo: "La Selección de Región indica dónde serán hospedados los servicios. Microsoft puede, en el transcurso de la prestación de servicios o de otro tipo requerido por la ley, transferir los datos fuera de una región en particular. Para más información, consulte la declaración de privacidad".
Esta salvaguarda, que en un principio puede ir en contra de lo argumentado en este post, no tiene otra intención que la de evitar la posible pérdida de información mantenimiento réplicas de los datos en otros datacenters, que pueden estar o no, físicamente ubicados dentro de la misma región.
¿Y entonces cómo se garantiza legalmente la protección de los datos?
Echando un vistazo a dicha declaración de privacidad nos encontramos con la siguiente cláusula respecto a la Recopilación, utilización y uso compartido de la información:
"Salvo que se especifique otra cosa en un Servicio, la información recopilada por Microsoft o que se le envíe puede almacenarse y procesarse en Estados Unidos o en cualquier otro país en el que Microsoft, sus subsidiarias, filiales o proveedores de servicio posean instalaciones. Microsoft cumple las regulaciones de protección de la información del marco Safe Harbor establecido por el Departamento de Comercio de EE. UU. sobre la recopilación, el uso y la conservación de datos procedentes de la Unión Europea, el Espacio Económico Europeo y Suiza."
Y es aquí donde ya nos quedamos más tranquilos. El marco Safe Harbor es un proceso simplificado para las empresas de EE.UU. para cumplir con la Directiva 95/46/CE de la UE sobre la protección de datos personales, estando destinado a las organizaciones dentro de la UE o los EE.UU. que almacenan datos de los clientes. Los principios de Safe Harbor están diseñados para evitar la divulgación accidental o pérdida de información. El proceso fue desarrollado por el Departamento de Comercio de EE.UU., en consulta con la UE.
Conclusión
Si vas a usar servicios en la nube y vas a almacenar datos privados, intenta ubicarlos dentro del marco operación europeo. Si la empresa que te ofrece dichos servicios de nube no es europea, asegúrate de tener amparo legal sobre la manipulación de dichos datos. En el caso de que la empresa sea norteamericana, puedes saberlo si cumple con las regulaciones del marco Safe Harbor (puedes buscar la empresa a través de este enlace). Microsoft cumple con estas regulaciones.
Ya me siento más seguro.
P.D. si quieres conocer más acerta de la información técnica de las características ed seguridad de la plataforma Windows Azure, sigue este enlace.
Un post muy recomendable de David Salgado sobre Azure y la LOPD
ResponderEliminarhttp://geeks.ms/blogs/dsalgado/archive/2009/08/25/windows-azure-platform-y-la-lopd.aspx
Interesante :) Se me había escapado el post de David Salgado. Al final hemos llegado a la misma conclusión. He modificado el post para incluir el enlace a empresas que cumplen con las regulaciones del Safe Harbor. Gracias por la aportación.
ResponderEliminar