El cloud constituye una de las realidades que ha puesto encima de la mesa la cuarta revolución industrial, que constituye la base sobre la que funciona la economía digital y que va a suponer un reto considerable sobre las funciones y exigencias de las Administraciones públicas. Por ello, conviene empezar a hablar de la construcción de un cloud soberano en nuestro país
El cloud, o, para ser más preciso el cloud computing, pone a disposición del usuario espacio de almacenamiento para datos (lo que constituye la versión más simple y que, en el fondo es una especie de pen drive gigantesco) y, sobre todo capacidad de procesamiento y tratamiento de estos datos en un centro remoto al que se accede a través de internet mediante una conexión cifrada segura.
Normalmente, el cloud se suele comercializar como un servicio, a través de tres modalidades esenciales: SaaS (Software como servicio), PaaS (Plataforma como servicio) y IaaS (Infraestructura como servicio). No obstante, la vinculación que tiene con la infraestructura donde se alojan los datos, hay una conexión directa con el régimen de los bienes; tal como veremos inmediatamente. De hecho, desde una perspectiva político-jurídica es lo que plantea un conflicto más relevante.
UN RETO NOVEDOSO PARA EL ESTADO
El tratamiento jurídico de los datos constituye un aspecto relativamente novedoso para los poderes públicos. Si nos fijamos en la perspectiva de la protección de datos personales, observaremos que la primera norma española es de 1992 y el Tribunal Constitucional dictó su primera gran sentencia en 1998. Pero el mundo ha cambiado mucho desde entonces y el tratamiento jurídico de los datos transciende los datos personales; aunque indudablemente siga constituyendo una parte relevante de la reflexión.
Desde la última década del siglo pasado, la globalización se ha extendido a todas las partes del mundo gracias, entre otros factores, al impacto de la revolución tecnológica. Su impacto en la economía ha sido de tal magnitud que, en la actualidad, cuando hablamos de las empresas más relevantes del mundo el acrónimo GAFAM (Google, Apple, Facebook, Amazon y Microsoft; aunque debiera incluir, asimismo, a IBM) exterioriza las más relevantes, con Apple a la cabeza de la cotización en la bolsa de Nueva York. De ellas, tres se dedican de forma extensiva al negocio del Cloud: Microsoft, Google y Amazon.
La capacidad que tienen en este momento de almacenamiento y procesamiento de los datos, su poderío económico y su carácter global constituyen un elemento crítico. Por ello, la gestión de los datos constituye un elemento central de la protección del Estado democrático y de los propios derechos fundamentales.
Más aún, el auge de la economía digital, el surgimiento de los mercados financieros tech y, en general, la dependencia tecnológica de la economía actual sitúa a los propietarios de las infraestructuras de datos en los agentes con mayor poder de control sobre la economía global. Es especialmente significativo, en este sentido, la vinculación que existe entre estos productores de cloud y los fondos financieros. Una economía, en definitiva, montada sobre el dato, sobre sus formas de apropiación y de explotación.
UN FALSO MITO: LA VIRTUALIZACIÓN ABSOLUTA DE LA CUESTIÓN
Desde este punto de vista, las cuestiones vinculadas a los datos y su tratamiento, a la realidad virtual en la que todos vivimos en algún momento del día tienden a perder su materialidad. De hecho, se suele ser más condescendiente con una relación paralela virtual que con una física.
Pues bien, desde esta perspectiva, hay un dato que no podemos olvidar: en todos los aspectos del cloud, de internet hay un factor que es totalmente material: los servidores donde se guarda la información y donde se realizan las actividades de tratamiento de acuerdo con los modelos que hemos visto con anterioridad.
El servidor es una realidad física, tangible, que está ubicada en un determinado país, es propiedad de una empresa y requiere un régimen relevante de intervención administrativa para su ubicación por las consecuencias derivadas para la protección del medio ambiente. La mayor parte de ellos están en países remotos, Suecia o Finlandia, o incluso se señala que Microsoft -el tercer gran agente de este mercado- va a instalar unos debajo del agua para evitar el calentamiento.
UNAS PRIMERAS CONSECUENCIAS JURÍDICO-POLÍTICAS DEL CLOUD
Los datos anteriores nos conducen a la exigencia de gestión de unos bienes, los servidores. Unos bienes cuyo régimen jurídico depende de dos factores: quién es su propietario y cuál es el lugar en el que se encuentren.
Desde el primer punto de vista, es importante tener presente la aplicación extraterritorial que están haciendo algunas legislaciones para obligar al propietario a cumplir con la legislación con independencia de dónde se ubiquen estos datos.
Es lo que ocurre, por ejemplo, con la Clarifying Lawful Overseas Use of Data de los Estados Unidos de América que obliga a su entrega a las autoridades estadounidenses que lo soliciten, pudiendo recurrir a procedimientos penales. Una norma que sigue la línea de la PATRIOT ACT de 2001 o la Freedom Act de 2015 que permiten a dos agencias de inteligencia estadounidense al examen de los datos personales. Recordemos, en este sentido, que el caso Snowden surge como consecuencia de la política que sigue la National Security Agency.
Cuando se cita la legislación estadounidense y se recuerda el poder que tienen sus agencias de seguridad, se está exponiendo la gravedad de un problema que se ve acrecentado por el hecho de que la mayor parte de los prestadores de servicios de cloud computing son de dicha nacionalidad. Y que tres de ellos constituyan gigantes en sí mismos, con un poder muy superior al de la mayoría de los Estados: Google, Amazon y Microsoft.
En la misma línea, y como una vertiente más de la globalización y la vigilancia global de los datos personales, en octubre del año pasado, los EE.UU. y el Reino Unido suscribieron un acuerdo internacional para facilitar de forma automática la información que radique en servidores de empresas de dichos Estados.
Pensemos, en este sentido, que no es suficiente que Google haya podido instalar servidores en España: pese a ello, los datos se trasferirán a las autoridades americanas. Y recordemos, por ejemplo, que (casi) todo el sistema universitario español tiene sus servidores y correo electrónico en manos de dicha empresa.
Al mismo tiempo, pensemos en cuántas Administraciones públicas pueden tener sus datos en servidores vinculados a empresas estadounidenses y que, por ello, pueden terminar en manos de las autoridades federales de aquel país. O, en la misma línea, cuántos secretos industriales habrá en la actualidad en servidores de las referidas empresas.
Dicho de otro modo, en este momento, es preciso arbitrar mecanismos para garantizar la soberanía digital de los Estados.
SOBERANÍA DIGITAL
Cuando nos planteamos la soberanía digital, de lo que estamos hablando es de mantener el control por parte de las autoridades de cada una de las Administraciones públicas de todos sus datos.
En el fondo, es lo que señala el nuevo artículo 46 bis de la Ley 40/2015, de Régimen Jurídico del Sector Público, en su redacción dada por el Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones cuando dispone lo siguiente:
Artículo 46 bis. Ubicación de los sistemas de información y comunicaciones para el registro de datos.
Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea.
Los datos a que se refiere el apartado anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.
Ahora bien, ¿cómo se arbitra el conflicto entre la legislación española del propietario del dato y la legislación estadounidense del propietario del servidor, aunque éste se encuentre en España?. Más aún, cuando se ve el acuerdo entre Telefónica y Google o el que tiene suscrito también Telefónica con Microsoft para impulsar el cloud en España ¿se ha pensado en cómo se resuelve esta cuestión?
Dicho de otro modo, si la propiedad del equipo es de las empresas norteamericanas, poco hay que discutir, en la medida en que están sometidas a la CLOUD Act y las consecuencias del incumplimiento serían especialmente graves para ellas. ¿Realmente podemos pensar que, pese a lo que dice la ley española, los datos no van a llegar a terceros países?
No sólo hemos de tener en cuenta estas consideraciones, sino que ya el Tribunal de Justicia de la Unión Europea ha considerado que los Estados Unidos no constituyen un punto seguro en materia de datos personales. Es la segunda vez que se declara: ocurrió con la sentencia del Tribunal de Justicia de 6 de octubre de 2015, por la que se anuló el safe harbour, y ha vuelto a ocurrir con la sentencia de 16 de julio de 2020, por la que se anuló la Privacy Shield y los demás instrumentos complementarios para la transferencia de datos entre los Estados Unidos y la Unión Europea. Recordemos que estas resoluciones protegen, entre otros aspectos, las IP desde las que nos conectamos a Internet.
Todo ello con el riesgo evidente de que la proliferación de servidores ubicados en diversos países facilite el acceso a la información por parte de los Estados, estando fuera del control del propietario de los datos. De hecho, para que el cloud computing funcione adecuadamente no sólo es posible sino muy conveniente la dispersión de las fases del proceso y del almacenamiento (que suele estar replicado): es lo que permite evitar las congestiones informáticas y se pueda garantizar que la información llega lo más cerca posible del inmediatamente.
Pero no es sólo el problema de la extraterritorialidad en la consecución de la protección de datos de interés general de las Administraciones públicas. Es el problema de la deslocalización de estas actividades de cloud y el consiguiente coste fiscal que está ocasionando a las arcas de cada uno de los Estados. Un problema al que se empieza a dotar de algún instrumento con la Ley 4/2020, de 15 de octubre, del Impuesto sobre Determinados Servicios Digitales.
EL CLOUD COMO SERVICIO PRESTADO POR EL ESTADO
Las consideraciones anteriores nos llevan a dar un paso más. Parece claro la necesidad de que el cloud, por sus implicaciones, pase a ser una materia regulada en el interior de cada Estado. Una regulación que puede ser objeto de frustración como consecuencia de normas con las que el punto de conexión es mayor, ya sea por razones legales como sobre todo por su mayor capacidad de imposición.
Por ello, hay que dar un paso más y considerar que los servicios de cloud para las entidades del sector público deben ser proporcionadas desde el Estado y para todas las entidades públicas. Incluso se podría señalar que la empresa pública es el mecanismo más eficaz para garantizar la autoprovisión de servicios a las Administraciones públicas
La forma jurídica es lo de menos. Lo relevante es el fondo de la cuestión. Porque el problema no está sólo en las normas aprobadas por los Estados Unidos de América, sino por las grandes compañías domiciliadas allí y que usan y abusan de nuestros datos personales, que recogen y tratan como si no hubiera un mañana.
Dicho de otro modo, lo que estoy reivindicando es que el propietario de un cloud público (entendido como aquel en el que usuarios finales pueden acceder) sea propiedad de una entidad del sector público de cada Estado.
En efecto, sólo desde una entidad del sector público podemos disponer de la seguridad de que estamos gestionando de una forma eficaz y exigente de garantía de los datos críticos de seguridad nacional. Es también en infraestructuras públicas donde se deben proyectar los algoritmos públicos que permitan el uso de la Inteligencia artificial en relación con la actuación policial o cómo se utiliza la inteligencia artificial en relación con la administración tributaria, como vía para paliar las carencias de personal que padecen. Pero también sería ahí donde deberían alojarse los datos para aspectos como el uso de los algoritmos en el mercado de valores para una protección mayor de los accionistas. En definitiva, un conjunto amplio de cuestiones sobre el uso de los algoritmos y su valor para la protección del interés general y que han sido desarrollados en el libro dirigido por Alejandro Huergo “La regulación de los algoritmos”.
Pero no sólo ellos, los datos de salud pública, por ejemplo, tienen que estar alojados en servidores públicos. Y los datos personales que tienen los suministradores de bienes o servicios, que van desde la luz, al banco pasando por las telecomunicaciones.
En este punto, la dicotomía gran/pequeña empresa no es la más relevante. El problema que plantean las cinco grandes es que no se ha construido una alternativa en donde la propiedad de la infraestructura, las formas de gestión, los intereses que protegen e incluso la tecnología de almacenamiento sea pública. Es cierto que no es equivalente a otros servicios como el gas o la electricidad, pero cada vez se van pareciendo más. Pensemos en toda la documentación personal que tenemos en nuestro teléfono. O incluso pensemos en toda la información científica que está en los servidores de las empresas estadounidenses fuera de control del autor y del país en que se ha elaborado.
Que pueda ser necesaria la ruptura de estos cinco gigantes por el poder que están acumulando entra dentro de lo que debiera ser los términos del debate. Ellos no son, sin embargo, la causa del problema sino su sintomatología más clara. Las necesidades del cloud computing, las ventajas económicas que proporciona, eliminan del mercado del cloud a las pequeñas empresas.
Y precisamente por ello, al mismo tiempo, se debiera empezar a discutir cómo desde el poder público se generan mecanismos para hacer posible el cloud computing.
