APECDATA: "Las empresas norteamericanas lo tienen difícil para cumplir con GDPR"
Roberto Beitia, presidente de la Asociación de Proveedores Españoles de Cloud y Data Center, analiza el estado actual de la soberanía del dato en el continente europeo.
A principios de 2022 nacía la Asociación de Proveedores Españoles de Cloud y Data Center (APECDATA) con el objetivo de impulsar la soberanía europea de datos. En un principio fue formada por nueve compañías, que ahora son 14 –Aitire, Aspa.Cloud, Comvive, Gigas, Grupo Trevenque, Hispaweb, Idecnet, Ipcore, Nexica, Sarenet, Stackscale, SW Hosting, Tedra y Voz.com–, en un proyecto que preveía aumentar la capacidad de acción conjunta, establecer acuerdos para realizar compras de energía y equipamiento, y colaborar técnicamente para conformar una oferta de nube federar en línea con las propuestas de GAIA-X, de la que también forman parte.
En medio de este debate sobre la privacidad y la residencia de los datos, y atendiendo a la estrategia de las grandes tecnológicas norteamericanas, que están estableciendo regiones soberanas en la Unión Europea (UE), Roberto Beitia, presidente de la asociación y de la operadora vasca Sarenet, atiende a ComputerWorld a través del correo electrónico. “En un escenario en el que es posible recopilar gran cantidad de información de ciudadanos y organizaciones, y con unas empresas hiperescalares con vocación de ser las encargadas del tratamiento de todos esos datos, es más importante que nunca garantizar que dicho tratamiento se haga con las reglas europeas de protección de datos”, dice.
¿Cuál la visión de APECDATA en torno a los movimientos de nube soberana de los grandes hiperescalares?
De entrada, las empresas norteamericanas lo tienen difícil para cumplir con el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas). Entre otras cosas porque las leyes Cloud Act (Clarifying Lawful Overseas Use of Data) y FISA (Foring Intelligence Surveillance Act) facultan a las autoridades de inteligencia y de seguridad estadounidenses a exigir a los proveedores de servicios de comunicación electrónica a distancia de dicho país, es decir, Google Cloud, Amazon Web Services o Microsoft Azure y sus filiales, que les concedan el acceso a los datos de carácter personal de los ciudadanos extranjeros, residentes o no en dicho país. Conviene tratar esta cuestión con perspectiva observando su evolución los últimos años: el Tribunal de Justicia de la UE invalidó en 2015 el primer acuerdo de transferencia de datos entre la UE y EEUU llamado Safe Harbour. La razón de la denuncia fue que las agencias de inteligencia estadounidenses tenían acceso a la información personal de los europeos a través del programa PRISM que sacó a la luz E. Snowden. La UE y EEUU firmaron un nuevo acuerdo para las transferencias de datos, el Privacy Shield, que entró en vigor en 2016. El Tribunal de Justicia de la UE lo invalidó en 2021. Las razones eran que las leyes estadounidenses permiten que sus agencias de seguridad accedan a las bases de datos de sus empresas de nube, lo que viola los derechos de los ciudadanos europeos.
En julio de 2023 la Comisión Europea confirmó que el acuerdo “Marco de Privacidad de Datos UE-EEUU (Data Privacy Framework US-EU)” proporcionaba un nivel adecuado de protección de los datos personales a pesar de que el Consejo Europeo de Protección de Datos (CEPD) expresó varias preocupaciones, entre ellas las relacionadas con la 'recogida masiva temporal' y el posterior almacenamiento y puesta en común de los datos recogidos en bloque dentro del marco jurídico estadounidense. También preocupa la composición del llamado Tribunal de Revisión de la Protección de Datos que, aunque está formado por miembros ajenos al gobierno estadounidense, existen dudas sobre su proceso de nombramiento, lo que puede dar lugar a problemas de equidad y transparencia en la toma de decisiones. Por su parte, el Parlamento Europeo ha destacado una debilidad adicional del marco, que radica en su incapacidad para abordar los datos a los que acceden las autoridades públicas a través de vías alternativas, lo que incluye métodos como la Cloud Act o la FISA estadounidenses, la adquisición de datos a través de transacciones comerciales o los acuerdos voluntarios de intercambio de datos.
Según el activista austriaco Maximiliam Schrems, que denunció los anteriores acuerdos, se necesitan cambios sustanciales en la legislación estadounidense sobre vigilancia para que un acuerdo de este tipo sea realmente eficaz, y ha señalado su intención de llevar el nuevo acuerdo ante el Tribunal de Justicia de la UE.
¿Qué diferencias ofrece un proveedor de nube europeo?
Desde un punto de vista general, un proveedor local ofrece, además de la evidente cercanía, un servicio de atención al cliente personalizado y flexible, mientras que los proveedores más lejanos ofrecen servicios muy automatizados y estandarizados con muchas capacidades, pero con una atención al cliente en general costosa. La diferencia fundamental se refiere a algo ya comentado: un proveedor de la UE ofrece la garantía del cumplimiento de GDPR.
"Un proveedor local ofrece, además de la evidente cercanía, un servicio de atención al cliente personalizado y flexible"
Otra de las preocupaciones fundamentales a la hora de contratar servicios de nube es la figura del vendor locking.
Como la mayoría de los lectores sabe, el vendor locking consiste en proveer servicios con una serie de particularidades que hacen muy difícil, si no imposible, trasladar dicho servicio a otro proveedor. Para evitarlo, es necesario utilizar tecnologías estándar tipo Open Stack, Kubernetes, etc.; incluso repartir los servicios de nube entre varios proveedores. En la compañía que presido apostamos decididamente por esta solución, al igual que el resto de asociados a APECDATA.
En definitiva, ¿la regulación europea está más avanzada que la de otros bloques geopolíticos como Estados Unidos?
La regulación europea es la más avanzada en lo que refiere a la soberanía del dato por varias razones. Ha promulgado sus propias medidas de soberanía de datos dentro de GDPR común a toda la unión y de obligado cumplimiento, con Agencias de Protección de Datos (APD) a nivel nacional y con sanciones para castigar a los incumplidores. Por su parte el Comité Europeo de Protección de Datos coordina las APD nacionales de los países del Espacio Económico Europeo.
Recientemente han entrado en vigor las Leyes europeas de Servicios Digitales y Mercados Digitales para regular la actuación de “guardianes” de datos, es decir, los portales de compra online que recopilan información de los clientes.
Han sido aprobadas la Ley de Gobernanza de Datos (Data Governance Act), para fomentar y regular el intercambio de datos sectorial y administrativo con el objeto crear un “espacio europeo de datos”, y la Ley de Datos (Data Act), que pretende crear un marco que fomente el intercambio de datos entre empresas y gobiernos.
También cuenta con un Supervisor europeo de la Protección de Datos nombrado por el Parlamento europeo y el Consejo, y con el Consejo de la Abogacía Europea que opina sobre estas cuestiones. Por tanto, en Europa los datos personales son objeto de protección, mientras en otras economías avanzadas esos datos son objeto de comercio. Cabe mencionar también la iniciativa GAIA-X, una asociación privada sin ánimo de lucro creada por empresas europeas, que cuenta con el apoyo de la UE y que promociona el uso de estándares comunes y abiertos para gestionar la gobernanza de los datos y permitir la interoperatividad de los mismos, la nube federada, etc. APECDATA es miembro de dicha asociación.
