En Julio del año 2010 y en el marco del VI Encuentro Iberoamericano de Protección de Datos que se celebró en Cartagena de Indias, Pedro LESS, Gerente de Google, presentó una ponencia titulada "Computo en la Nube: seguridad y privacidad", para plantear una serie de "desafíos regulatorios" y de posibles "buenas prácticas" relacionados con esta nueva forma de procesamiento en línea de información.
En un contexto que visualiza la red Internet como una instancia madura, en la que se democratiza y facilita la publicación y el acceso a la información y al conocimiento, y en que los contenidos son generados por los usuarios para ser compartidos en forma colaborativa[1], el término "computador o cómputo en la nube" -donde "la nube" alude metafóricamente a Internet o al ciberespacio- habría surgido -en opinión de LESS- a consecuencia de un cambio de paradigmas en la forma en que se realiza el procesamiento computacional de información -datos, documentos, imágenes, videos, etc.-mediante la llamada "tecnología cloud" o de las oficinas virtuales. Y postula que los factores esenciales de este cambio de paradigma serían la mayor producción de contenidos, el aumento en el acceso y en el número de personas que se conectan a Internet y las mayores opciones de almacenamiento de información multimedial en servidores de gran capacidad.
Dicho lo anterior, definió funcionalmente "cómputo en la nube" como el procesamiento computacional basado en Internet, donde (i) el software o los programas y (ii) la información "hosteada" o alojada en data centers es enviada a través de Internet a computadoras personales, teléfonos celulares u otros dispositivos (ipod, blackberry), de manera tal que el usuario puede acceder (i) a las aplicaciones o programas para procesar información, o (ii) a los datos almacenados que serán procesados con ellas -por ejemplo emails, documentos, archivos de fotos, música, agendas, etc.- en cualquier momento y en cualquier lugar, desde cualquier dispositivo capaz de conectarse a Internet.
Jurídicamente una cuestión esencial es la de analizar la relación generada por la "aterritorialidad" de la nube versus la "territorialidad" del derecho que es inherente a todo ordenamiento jurídico de un Estado. Antes, con los servidores o data centers para hosting o housing "no en la nube" el tema central jurídicamente era localizarlos territorialmente para intentar aplicarles normas jurídicas específicas, y hacer efectiva la posible "responsabilidad" por delitos como pedofilia on line, por violación del copyright de las mercancías multimediales, por el no respeto de los derechos de los consumidores, ante la violación de la privacidad o de los datos personales de los usuarios de la red, etc.. Ahora, esa "territorialización" es más difícil porque los servidores son distribuidos o ubicados en diversos países a pesar de lo cual se enlazan en cosa de segundos.
Un ejemplo; una pregunta desde la perspectiva de la protección jurídica de la "privacidad" (…si es que creemos que ella existe y puede reivindicarse en el mundo digital actual); ¿aplicaría en la nube el derecho de acceso o Habeas Data del artículo 12 de la ley 19.628, para que los usuarios chilenos puedan conocer, autodeterminar y controlar el uso o evitar el abuso de sus datos personales recopilados por parte de los proveedores y propietarios o administradores de los sitios WEB?: …lo creemos posible sólo en caso que aquellos puedan ser identificados y estén ubicados, domiciliados o "territorializados" en Chile.
Un enfoque posible es el ámbito de las empresas comerciales y de la prestación de servicios remunerados en la nube. En este ámbito, parafraseando a NIST, "CC" sería un sistema para habilitar el acceso a un conjunto de servicios computacionales que suelen externalizarse (de servidores para almacenamiento, para transacciones o para servicios de uso de software) de manera conveniente y "por demanda", los que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción usuario-proveedor del servicio mínimas.
Si el ámbito es comercial o de servicios, las posibles implicancias jurídicas se resuelven más fácil, contractualmente o en base a la Teoría General de los Contratos, donde cualquier eventual "responsabilidad" debiera estar preestablecida por los contratos que se celebran entre los usuarios de la red y los proveedores; estos, a pesar de estar en la nube, se identifican y establecen bilateralmente aunque en la modalidad de contratos de adhesión (i) la jurisdicción aplicable en caso de conflictos y (ii) las obligaciones o condiciones de procesamiento en materia -por ejemplo- de seguridad y de restricciones de acceso, de resguardos en materia de "privacidad" de los datos personales de los usuarios o clientes (que es diverso de la "confidencialidad" de los sistemas), de alcance de los servicios ofrecidos, etcétera.
Un ejemplo; un antiguo ASP de "arriendo" de software es hoy lo mismo que prestar servicios de soporte de software desde la nube; …comercialmente se ofrecen programas computacionales desde plataformas de trabajo sin la necesidad de contratar algún software o programa computacional especifico para el procesamiento de documentos o datos, plataformas que se configuran como grandes bodegas en donde -además- puede almacenarse y luego recuperarse fácilmente mediante la red Internet la información que es procesada y generada por los usuarios que utilizan este servicio.
Otra perspectiva de análisis es la de la gestión de los servicios públicos en la nube. Acá, "CC" sería ahora un sistema para habilitar el acceso a un conjunto de servicios públicos que pueden prestarse vía redes informáticas y/o telemáticas, de manera conveniente y "por demanda", y que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción ciudadano-servicio público mínimas.
Para Chile, a cualquier ámbito de gestión just in time de un servicio público mediante plataformas electrónicas él no podría alegar la no aplicación de normas locales -por ejemplo- como las leyes 19.628 sobre protección de datos personales, la 19.799 sobre firmas y documentos electrónicos, el DS 100 sobre sitios WEB del Estado, el DS 83 sobre seguridad de sistemas o la ley 19.880 sobre procedimientos administrativos electrónicos.
Jurídicamente una cuestión esencial es la de analizar la relación generada por la "aterritorialidad" de la nube versus la "territorialidad" del derecho que es inherente a todo ordenamiento jurídico de un Estado. Antes, con los servidores o data centers para hosting o housing "no en la nube" el tema central jurídicamente era localizarlos territorialmente para intentar aplicarles normas jurídicas específicas, y hacer efectiva la posible "responsabilidad" por delitos como pedofilia on line, por violación del copyright de las mercancías multimediales, por el no respeto de los derechos de los consumidores, ante la violación de la privacidad o de los datos personales de los usuarios de la red, etc.. Ahora, esa "territorialización" es más difícil porque los servidores son distribuidos o ubicados en diversos países a pesar de lo cual se enlazan en cosa de segundos.
Un ejemplo; una pregunta desde la perspectiva de la protección jurídica de la "privacidad" (…si es que creemos que ella existe y puede reivindicarse en el mundo digital actual); ¿aplicaría en la nube el derecho de acceso o Habeas Data del artículo 12 de la ley 19.628, para que los usuarios chilenos puedan conocer, autodeterminar y controlar el uso o evitar el abuso de sus datos personales recopilados por parte de los proveedores y propietarios o administradores de los sitios WEB?: …lo creemos posible sólo en caso que aquellos puedan ser identificados y estén ubicados, domiciliados o "territorializados" en Chile.
Un enfoque posible es el ámbito de las empresas comerciales y de la prestación de servicios remunerados en la nube. En este ámbito, parafraseando a NIST, "CC" sería un sistema para habilitar el acceso a un conjunto de servicios computacionales que suelen externalizarse (de servidores para almacenamiento, para transacciones o para servicios de uso de software) de manera conveniente y "por demanda", los que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción usuario-proveedor del servicio mínimas.
Si el ámbito es comercial o de servicios, las posibles implicancias jurídicas se resuelven más fácil, contractualmente o en base a la Teoría General de los Contratos, donde cualquier eventual "responsabilidad" debiera estar preestablecida por los contratos que se celebran entre los usuarios de la red y los proveedores; estos, a pesar de estar en la nube, se identifican y establecen bilateralmente aunque en la modalidad de contratos de adhesión (i) la jurisdicción aplicable en caso de conflictos y (ii) las obligaciones o condiciones de procesamiento en materia -por ejemplo- de seguridad y de restricciones de acceso, de resguardos en materia de "privacidad" de los datos personales de los usuarios o clientes (que es diverso de la "confidencialidad" de los sistemas), de alcance de los servicios ofrecidos, etcétera.
Un ejemplo; un antiguo ASP de "arriendo" de software es hoy lo mismo que prestar servicios de soporte de software desde la nube; …comercialmente se ofrecen programas computacionales desde plataformas de trabajo sin la necesidad de contratar algún software o programa computacional especifico para el procesamiento de documentos o datos, plataformas que se configuran como grandes bodegas en donde -además- puede almacenarse y luego recuperarse fácilmente mediante la red Internet la información que es procesada y generada por los usuarios que utilizan este servicio.
Otra perspectiva de análisis es la de la gestión de los servicios públicos en la nube. Acá, "CC" sería ahora un sistema para habilitar el acceso a un conjunto de servicios públicos que pueden prestarse vía redes informáticas y/o telemáticas, de manera conveniente y "por demanda", y que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción ciudadano-servicio público mínimas.
Para Chile, a cualquier ámbito de gestión just in time de un servicio público mediante plataformas electrónicas él no podría alegar la no aplicación de normas locales -por ejemplo- como las leyes 19.628 sobre protección de datos personales, la 19.799 sobre firmas y documentos electrónicos, el DS 100 sobre sitios WEB del Estado, el DS 83 sobre seguridad de sistemas o la ley 19.880 sobre procedimientos administrativos electrónicos.
[1] Esto lo reflejan los sistemas y plataformas tales como google, facebook, twitter, orkut, wikipedia, myspace, flickr, youtube, etcétera.
* La imagen no es nuestra y reconocemos la propiedad intelectual de quien la subió a la red Internet.
0 comments:
Post a Comment