MARKETING

COMUNICACIÓN

INTERNET

FORMACIÓN

RRHH

PUBLISHING & EVENTS

DIRECTORIO

PORTADA

Noticias de Despachos

Operaciones

Vida Colegial Comunidad Legal Sistema Judicial Internacional
Arbitraje Mediación TIC Abogados Jóvenes Entrevistas Colaboraciones/Opinión Reportajes Agenda BLOGS LP emprende

OPINION

 
El 99% de los proveedores de servicios en la nube en Europa no cumple con la futura legislación europea
MADRID, 22 de SEPTIEMBRE de 2014 - LAWYERPRESS

Por Pierre Boulat, jurista  y María López Nalda, periodista

Pierre Boulat, jurista  y María López Nalda, periodistaLos proveedores de servicios cloud que operan en Europa parecen ignorar el impacto que tendrá el paquete regulador que la UE está preparando en materia de protección de datos. Un estudio reciente de la empresa especializada en seguridad en la nube Skyhigh Networks, ha analizado más de 7.000 servicios en la nube, desde Microsoft Office 365 a Cisco o WebEx. Pues bien, tras analizar en detalle sus prestaciones, la firma estadounidense, con base en Cupertino, calcula que tan sólo uno de cada 100 proveedores de servicios en la nube respeta la futura regulación europea en estos momentos.

El paquete europeo sobre protección de datos incluye dos proyectos: por un lado, el Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, incluyendo tanto el sector público como el sector privado. Y, por otro lado, una Directiva sobre protección de datos que tiene por objeto prevenir, detectar o perseguir aquellos delitos de esta índole aplicando penas efectivas. 

Este conjunto de medidas está llamado a sustituir la actual Directiva de 95/46/CE, de 24 de octubre de 1995, que claramente se queda corta a la hora de garantizar los derechos de los usuarios en un contexto novedoso donde se han generado necesidades genuinas ante el imparable avance de las nuevas tecnologías.

Precisamente, las autoridades comunitarias han lanzado la voz de alarma ante la falta de regulación en este ámbito y la evidente obsolescencia de las actuales normativas. Sin ir más lejos, la comisaria europea de Justicia, Vivian Reding, advertía el pasado mes de junio la importancia de este paquete regulador ante los recientes casos filtración de datos y espionaje: “Hace un año, Edward Snowden nos abrió los ojos sobre la importancia de la protección de datos; debemos acelerar y dotarnos de una nueva regulación”.

Sobre el calendario, es previsible que este paquete de medidas sea aprobado este año para entrar en vigor en 2015.

 

El derecho al olvido el principal punto de discrepancia

Sin duda, uno de los puntos más controvertidos del futuro reglamento europeo es el derecho al olvido, del que precisamente hemos tenido un anticipo con la reciente sentencia Google pronunciada por el TJUE el 13 de mayo de este año. Este derecho se articula en el reglamento de la siguiente manera: en primer lugar, los proveedores deben notificar al usuario el posible almacenamiento y el uso de sus datos y así recibir, en su caso, su consentimiento previo. En segundo lugar, si los proveedores reciben una demanda de supresión de los datos de un usuario, deben borrar permanentemente todas las copias de dichos datos de la persona, incluyendo todas las copias que hayan podido ser almacenadas por terceros.

Skyhigh Networks estima que, a día de hoy, el 63% de los proveedores de la nube, o bien conservan datos indefinidamente, o no cuentan con una política de eliminación de datos. Por su parte, el 23% de los prestadores de estos servicios siguen manteniendo el intercambio de datos con terceros, lo que hace aún más difícil garantizar que todas las copias se eliminarán adecuadamente cuando sea necesario debido a las numerosas partes presentes en el trato de los datos en la nube.

 

Una legislación comunitaria geográficamente ambiciosa

De acuerdo con la nueva legislación, cualquier empresa que opere o tenga su sede en un país comunitario, o bien manipule datos relativos a los residentes de la Unión Europea, deberá someterse a su cumplimiento. Esta normativa exige, además, que una organización no almacene ni transfiera datos a países terceros con normas menos estrictas de las de la UE en materia de protección de los datos, al tiempo que debe recibir la autorización previa de una autoridad nacional de protección de datos antes de enviar cualquier tipo de información fuera de la Unión Europea.

Los datos actuales revelan que queda un largo camino por delante: en estos momentos, únicamente 11 países no pertenecientes a la UE cumplen con los futuros requisitos regulatorios, según el análisis de Skyhigh. Por poner un ejemplo clarificador, Estados Unidos, donde tienen su sede el 67% de los proveedores de servicios en la nube, no forma parte de esta lista. Eso sí, el acuerdo Safe Harbor alcanzado en 2001 entre las autoridades norteamericanas y la Comisión Europea, contempla determinadas excepciones en la transferencia de datos personales. 

 

La seguridad de los datos, una asignatura pendiente.

El futuro reglamento también tendrá en cuenta el aviso en 24 horas que deben efectuar los proveedores a las autoridades en caso de constatar una fuga de datos. Ahora bien: ¿cómo averiguar si se está produciendo una fuga de datos en un servicio en la nube? La respuesta es que difícilmente se puede saber.

El problema alcanza una magnitud considerable, especialmente si se tiene en cuenta que apenas el 3% de los servicios en la nube cuenta con contraseñas seguras, únicamente el 12% de los servicios ofrecidos en Europa utilizan el cifrado de datos y tan sólo el 5% de estos servicios cuentan con el certificado ISO/IEC 27001 relativa a los sistemas de gestión de la seguridad de la información. 

Si, como es de esperar, el paquete europeo de medidas para garantizar la protección de datos se adopta el próximo año, ha comenzado la cuenta atrás para los proveedores, un tiempo para mover montañas y cumplir, sí o sí, con la futura normativa. Como en tantas ocasiones, las multas marcarán el ritmo de su cumplimiento ya que, en caso contrario, tanto las empresas, la organización que se encuentre en posesión de los datos, el proveedor responsable de su tratamiento o los proveedores en la nube, podrán ser penados con sanciones de hasta 100 millones de euros, esto es, el 5% de su volumen de negocio anual global.

 

 

 

Buscar en lawyerpress.com

 

Suscribirse a nuestro Boletín semanal

Grupo Paradell

 

 

 

Nosotros  /  Contacto  / MARKETING  / COMUNICACIÓN  / INTERNET  / DIRECTORIO DE BUFETES  / 

copyright, 2014 - Strong Element, S.L.  -  Peña Sacra 18  -  E-28260 Galapagar - Madrid  -  Spain -  Tel.: + 34 91 858 75 55  -  Fax: + 34 91 858 56 97   -   info@lawyerpress.com  -  www.lawyerpress.com - Aviso legal