La ´nube´ desata una tormenta legal

Un ibicenco alerta en su tesis del «incumplimiento masivo» de la ley de protección de datos por almacenar información en internet

J.M.L.R. | IBIZA

10·05·13 | 20:24

0
Noticia guardada en tu perfil
Ver noticias guardadas

Vicente Guasch muestra su tesis y la medalla de doctor en Derecho. V.M.

La tesis del ibicenco Vicente Guasch Portas (Ibiza, 1961), titulada ´Las transferencias internacionales de datos en la normativa española y comunitaria´, marcará un antes y un después en la manera en que las empresas protegen y guardan sus archivos. «La gente se está lanzando de cabeza a la computación en la ´nube´, pero incumpliendo radicalmente la legalidad», advierte este profesor de la Escuela de Turismo de Eivissa, licenciado en Ciencias Económicas por la Universitat de Barcelona y que desde el pasado viernes, cuando defendió su tesis, es doctor en Derecho por la UNED. Y ese incumplimiento puede costar al infractor, aunque este alegue desconocimiento, una dura sanción por parte de la Agencia de Protección de Datos: entre 300.000 y 600.000 euros. No es para tomárselo ni a broma ni a la ligera, alerta Guasch: «Esa es la sanción mínima que se puede aplicar. Es una cantidad que te puede arruinar de por vida».

Numerosos negocios recurren a las ´nubes´ para subir a ellas toda su información, desde facturas a contratos. Es un espacio virtual que funciona como un disco duro, pero en vez de estar ubicado físicamente en el ordenador personal está disponible en el limbo de la red. Basta con conectarse a internet para acceder a datos, programas o servicios. El problema, y de eso es de lo que alerta Guasch en su tesis, es que según dónde esté ubicado ese servidor virtual, en qué país, un empresario puede buscarse la ruina.

Prohibidas las perrerías en la UE

Guasch empezó a elaborar esta tesis al acabar, hace dos años, un máster que incluía una asignatura denominada ´Vida privada y protección de datos en la UE´: «Contemplaba toda la normativa europea al respecto. Un detalle me picó: dentro de Europa hay directivas comunitarias que si bien no tienen aplicación directa en los países, obligan a que los 27 estados hagan una normativa interna que recoja el contenido de la directiva. En ese ámbito, aquí, en España, tenemos la ley orgánica de Protección de Datos, que es el traspaso de la norma obligada comunitaria al derecho español». Es muy protectora e impide, en toda Europa, «transferir información de otra persona y difundirla. Prohíbe hacer con ella según qué perrerías», señala. «El problema -subraya- empieza cuando esos archivos salen de Europa.

Normalmente, en el resto del planeta no hay normativa de protección de datos. Pero fuera de aquí, la gente hace auténticas salvajadas, desde robar números de tarjeta de crédito a documentación patrimonial. Y encima no hay normativa que limite ese acceso o que lo contemple como algo ilícito, como sí ocurre aquí». Esos documentos se protegen por ley tanto en España como en la UE, pero si salen allende estas fronteras «se encuentran en la desprotección más absoluta».

Eso es lo que podría pasar si, por ejemplo, una empresa cuelga los datos de sus clientes en una ´nube´ cuyos servidores estuvieran ubicados en China, Estados Unidos o Australia. Y no solo eso: incluso «el simple hecho de utilizar un servidor web ubicado en el exterior del Espacio Económico Europeo para recoger un simple correo electrónico ya representa una transferencia internacional de datos» susceptible, por tanto, de ser sancionada. «A pesar de ser un hecho muy frecuente, a veces no somos conscientes de lo que entraña esa simple práctica», advierte. Es lo que sucede con las ´nubes´, que a su juicio se están utilizando a la ligera: «Es una tecnología de crecimiento exponencial con un grado de incumplimiento masivo de la normativa reguladora de las transferencias internacionales de datos», asegura. Que levante la mano quien la cumpla.

Bastaría con que un supuesto afectado denunciara que el número de su DNI o de cuenta bancaria se acumulan en el limbo de una ´nube´ con servidor físico en China o la India para que la Agencia Española de Protección de Datos iniciara una investigación. Y ojo, que según Guasch esa agencia no descarta ni una de las denuncias «para no incurrir en prevaricación». La sanción final no la abonaría la propietaria de la ´nube´, «sino el contratante» de la ´nube´.

Agujero negro legislativo

El doctor en Derecho ha detectado un agujero negro legislativo que podría tragarse a miles de empresas -vía sanción- si no rectifican sus vínculos con las ´nubes´ que han alquilado o el acceso a sus servidores. Guasch insiste en que lo que intenta la ley es que lo que salga fuera de España o de la UE tenga, de alguna manera, algún tipo de protección. Una de las formas de resolver este problema es «a través de un contrato en el que el receptor de los datos personales [por ejemplo, el propietario de la ´nube´] se comprometa a respetar la normativa española o de la UE aunque esté ubicado fuera de ella».

«Si exporto -explica como ejemplo- archivos a México, que es un país que no ofrece protección de datos personales, el mexicano me debe firmar un contrato en el cual se comprometa a protegerlos en la misma medida que si operase en el interior de España. Y en caso de incumplir ese acuerdo contractual, él estaría obligado a indemnizar por los daños causados por ese incumplimiento».

En su tesis habla de qué información -y en qué condiciones- se puede transferir fuera de la UE o de España: «La ley no incluye lo que es la transmisión doméstica, que es cuando envío un dato mío a un amigo mío, por ejemplo. Pero prácticamente cualquier otra circunstancia sí está incluida en la ley. Hay pocas excepciones y están tasadas», recalca el doctor.

«El problema surge cuando no sabes dónde está el servidor físico que contiene esos archivos en la ´nube´. Puede estar en Estados Unidos, en Australia, en China o en cualquier otro sitio donde no exista el más mínimo respeto a la protección de datos. Allí, quien esté dando el servicio puede entrar a saco y filtrar ese contenido, que puede ser bancario. Y luego puede venderlo».

El servidor, en Europa

Si una empresa desea colgar sus archivos en la ´nube´, debe saber dónde está ubicado ese servidor para evitar ser sancionada. Y para que sea legal «basta con buscar un servidor que solo tenga equipamiento en cualquiera de los países de la Unión Europea. En esos casos no hay problema de ningún tipo porque dentro de la UE hay total libertad de movimiento de datos. Donde no hay libertad es al salir de la UE», insiste.

Se trata de un detalle que hasta ahora, hasta la presentación de la tesis de Guasch, no se ha tenido en cuenta y que puede provocar una auténtica revolución en la manera de proceder de las empresas a la hora de conservar y acceder a sus datos: «Se está incumpliendo radicalmente la ley. Lo que ocurre afecta a miles de negocios», destaca. Ante todo, el doctor recomienda a los empresarios que sean muy prudentes: «Si quieren depositar sus archivos en la ´nube´, lo que no pueden hacer es elegir un proveedor que subcontrate con suministradores de espacio de China o de Taiwan. El espacio debe estar en la UE. De lo contrario tendrán problemas. No hace falta que esté en España, basta con que se encuentre dentro de Europa».

Subasta mundial de espacio

Pero no siempre está claro dónde ubica su servidor la empresa con la que se contrata ese espacio virtual. Según explica, «cada día se celebra una especie de subasta mundial de espacio en la ´nube´ a determinados precios. Si el alojamiento lo gestiona un proveedor que lo que busca es maximizar sus beneficios, cambiará continuamente los archivos de sus clientes de servidor en servidor para que le salga lo más barato posible. Así, si el proveedor, independientemente de que envíe los datos a un sitio más o menos seguro, lo que quiere es ganar mucho dinero, lógicamente buscará los servidores que sean más económicos». ¿Cuál será el más barato? «El suministrador de espacio en la web que esté radicado en China o en sitios donde no se cumpla, absolutamente, ninguna legalidad. Los costes para ese suministrador serán los más económicos, pero tus datos peligran», alerta.

¿Dónde flotan iCloud o Drive?

¿Una empresa incumple la ley si, por ejemplo, usa iCloud, Drive o Skydrive? «No sé dónde radican esas ´nubes´. Ni idea. El mero empleo de correo electrónico en una ´nube´ por parte de una empresa ya significa incumplir la ley», advierte. «Hay una excepción para las empresas que, aunque están radicadas en Estados Unidos, se acogen a lo que se llama principios de puerto seguro, acuerdo al que llegó ese país con la UE. Su incumplimiento puede originar que un organismo americano le aplique una sanción dura. En esos casos se pueden enviar allí desde España sin limitación de ningún tipo», detalla.

De momento no existe ninguna sanción de la Agencia de Protección de Datos española por transferencias internacionales: «No las hay aún, pues es algo muy reciente, pero llegarán. Y en breve. Sus sanciones son durísimas, hasta el punto de que a veces acaban con el cierre de la empresa incumplidora, las llevan a la ruina. Si los empresarios fueran conscientes de este problema se lo pensarían dos veces antes de tirarse a la piscina», afirma tajante.

Algunos emprendedores se han percatado ya de que ese impedimento legal puede, a la vez, ser una fuente de ingresos: «Ya se están creando ´nubes´ en España, como una de una empresa de Zaragoza que desde hace años aloja páginas web y que ahora ha empezado a guardar datos. No reenvían la información a ningún otro sitio. La ´nube´ está en Zaragoza. Seguro que otras muchas empresas se han percatado ya del negocio».