El cloud forma parte de las necesidades más directas de las administraciones públicas. Una necesidad que se vincula a una vertiente de la modernización de las Administraciones públicas, y que permitirá la introducción de nuevas formas de funcionar en su día a día. Una necesidad que motivará, al mismo tiempo, la exigencia de personal especializado en la gestión del cloud para poder obtener todas las funcionalidades.
El cloud constituye una de las realidades que ha puesto encima de la mesa la cuarta revolución industrial, que constituye la base sobre la que funciona la economía digital y que va a suponer un reto considerable sobre las funciones y exigencias de las Administraciones públicas.
Aquí nada separa al sector público del privado. Y dentro del sector público, afecta desde el Gobierno de la nación al más pequeño de los ayuntamientos, pasando por el sector público empresarial, el institucional o el fundacional Una necesidad que está muy vinculada a la legislación de contratos del sector público, con lo cual es preciso abordar, de forma inicial, una serie de cuestiones.
Pero debemos empezar con una cuestión técnica ¿qué es el cloud? O para ser más exactos qué cloud necesita una administración pública
I. CLOUD, BIENES Y SERVICIOS: ¿QUÉ TIPO DE CONTRATO HAY QUE UTILIZAR?
El cloud, o, para ser más preciso el cloud computing, pone a disposición del usuario espacio de almacenamiento para datos (lo que constituye la versión más simple y que, en el fondo, es una especie de pen drive gigantesco) y, sobre todo, capacidad de procesamiento y tratamiento de estos datos en un centro remoto al que se accede a través de internet mediante una conexión cifrada segura.
Normalmente, el cloud se suele comercializar como un servicio, a través de tres modalidades esenciales: SaaS (Software como servicio), PaaS (Plataforma como servicio) y IaaS (Infraestructura como servicio). No obstante, la vinculación que tiene con la infraestructura donde se alojan los datos, hay una conexión directa con el régimen de los bienes; tal como veremos inmediatamente. De hecho, desde una perspectiva político-jurídica es lo que plantea un conflicto más relevante.
Esto es de lo que hemos de partir a la hora de analizar un proyecto público de cloud. Pero, hay una forma reduccionista de observar el cloud: son los dispositivos de almacenamiento de información en donde se depositan los datos del sector público: por decirlo gráficamente, los hierros. Desde esta perspectiva, el cloud no es más que un bien (el hierro) y cuya adquisición nos conduce a un contrato de suministros. Desde luego, constituye una versión muy reducida de lo que supone y que limita considerablemente los beneficios y posibilidades para el sector público.
El cloud es, esencialmente, un conjunto de servicios que se prestan al adjudicatario del contrato. En efecto, en los contratos de cloud se acostumbran a incluir seis servicios básicos y dos servicios avanzados: servicios de computación (dentro de los cuales, se incluyen, además, números servicios incorporados como modalidades de la computación, que se estructuran a la carta), almacenamiento, servicios de red, servicios de recuperación de datos perdidos en caso de daño, servicios de seguridad y servicios de comunicaciones para la empresa suelen estar incluidos en todos los contratos de cloud. A su vez, servicios avanzados de Big Data, de Inteligencia Empresarial y servicios de cloud híbrido pueden incorporarse, y, de hecho, la mayor parte de los operadores estadounidenses que “controlan” el mercado de cloud suelen ofrecerlo a sus clientes.
La legislación estadounidense de control de datos, la CLOUD ACT, de hecho, no se fija en el hierro sino en su contenido, y, por ello, en los servicios que se prestan con la infraestructura física. Desde el punto de vista de la ordenación del contrato, se puede decir que el arrendamiento del bien es instrumental con respecto a los aspectos relativos a los servicios que se prestan en el cloud; que es lo realmente importante desde la perspectiva de la economía del contrato y de la articulación de las prestaciones de ambas partes.
De hecho, normalmente, el hierro, la infraestructura física no suele ser un valor relevante en el contrato, sobre todo en un momento en el que el precio por unidad de información está en constante caída. Esta consideración básica como contrato de servicios (aunque tenga un componente de contrato mixto) no se elude por el hecho de que, en condiciones normales, el cloud es un contrato por el que se aplicaría el artículo 16.3 a) LCSP, esto es aquellos contratos en los que el empresario se obligue a entregar una pluralidad de bienes de forma sucesiva y por precio unitario sin que la cuantía total se defina con exactitud al tiempo de celebrar el contrato, por estar subordinadas las entregas a las necesidades del adquirente.
Por ello, no deja de resultar chocante el planteamiento del Informe 13/2021, de 10 de junio, de la Junta Consultiva de Contratación Pública del Estado. Aunque dicha calificación pueda ser acertada para algunos contratos concretos, aplicando el artículo 16.3 b) de la Ley 9/2017, de Contratos del Sector Público, no es, ciertamente, acertada para la mayor parte de los contratos de cloud.
Planteamiento que sorprende cuando la explicación del cloud está perfectamente delimitada en la formulación de la cuestión en donde se incide en el aspecto de los servicios que se prestan. Todo ello en un doble sentido: la obtención de las finalidades es un servicio derivado de la computación (incluso, en los más sencillos) y, segundo, la protección frente a los dos riesgos (hackeo y transferencia internacional de datos) se han de paliar mediante servicios.
II. ¿QUÉ LEGISLACIÓN HA DE UTILIZAR EL SECTOR PÚBLICO PARA PROVEERSE DE SERVICIOS DE CLOUD?
En principio, la contratación de servicios de cloud se deberá hacer aplicando las reglas de la LCSP. Las múltiples modalidades de adquisición de servicios que recoge la norma, incluidas las modalidades de autoprovisión (pensemos en la compañía de telecomunicaciones del Estado, Correos Telecom), están a disposición del poder adjudicador para la ejecución de este servicio. Ahora bien, no nos podemos quedar aquí.
En efecto, no toda la contratación de servicios de cloud aplicará la LCSP sino que tendremos que introducir las reglas de la Ley 24/2011, de 1 de agosto, de contratos del sector público en los ámbitos de la defensa y de la seguridad. De hecho, parte de los contratos más atractivos que van a surgir en el futuro se tienen que desarrollar en el ámbito militar y de la seguridad. Un ámbito en el que se incrementan las necesidades de seguridad, por lo que el papel del Centro Criptográfico Nacional será especialmente significativo.
Partiendo de la norma aplicable, hay que tener muy presente que la aplicación de la normativa pública no debe suponer necesariamente la licitación pública abierta. Entendiendo el cloud desde la perspectiva de los servicios, hay que partir de que los contratos de cloud computing suponen la realización de un proyecto característico y propio para las entidades del sector público, no replicable en donde hay que preservar, además, secretos empresariales y administrativos. Por ello, resulta necesario plantearse si se pueden considerar los contratos de cloud contratos excluidos por razón de propiedad intelectual.
Dee la misma forma, en el ámbito de la seguridad, lo deberíamos excluir de la aplicación directa de la norma. En efecto, se trata de un contrato excluido de la Ley 24/2011, ya que el cloud se encuadra en su artículo 7.1. b) “Aquellos contratos que de regirse por la presente Ley, resultaría necesario revelar información contraria a los intereses esenciales de la Seguridad, o bien conforme al artículo 346 del Tratado de Funcionamiento de la Unión Europea, pudieran resultar perjudicados los intereses esenciales de la Defensa o la Seguridad Nacional”.
III. LA CLOUD ACT DE LOS ESTADOS UNIDOS Y LOS RIESGOS PARA EL SECTOR PÚBLICO: LIMITACIONES EN EL ACCESO A LA LICITACIÓN
El mercado del cloud está dominado por operadores estadounidenses: Amazon, Microsoft y Google/Alphabet. Una hegemonía que, durante algunos años, encontró un oponente en Huawei -que hizo una gran inversión en cloud- y los demás operadores chinos, con el resultado conocido por todos durante el transcurso de la Administración Trump. Una disputa económico-política en la que no podemos olvidar otros agentes, dentro del mundo occidental, como Israel.
Juntar en el mismo párrafo a China, Estados Unidos e Israel nos coloca bien a las claras el problema ante el que se encuentra cualquier entidad del sector público que quiere disponer de servicios de cloud o que quiera ofrecer servicios de cloud: la necesidad de preservar frente al acceso a estos datos por parte de potencias extranjeras.
Posiblemente, la gran diferencia entre Estados Unidos y los otros dos países estriba en que la normativa de captación de esta información es pública (el fin último es igual de oscuro en los tres casos). En efecto, la CLOUD ACT estadounidense, o, para ser más preciso, la Clarifying Lawful Overseas Use of Data -que no tiene nada que ver con el cloud, aunque se aplica a las actividades de almacenamiento y computación en la nube- tiene un ámbito de aplicación extraterritorial y de invasión en la privacidad que resulta incompatible con los estándares europeos de seguridad. Recordemos que es una norma que se aprobó en el contexto de los atentados del 11 de septiembre de 2001 y que forma parte material de la PATRIOT ACT aprobada por Bush tras la caída de las torres gemelas el 11 de septiembre de 2001.
En efecto, concretando los efectos de la norma, se aplica a todas las empresas de capital estadounidense, directo o indirecto. Y obliga a que se entregue la documentación requerida por el Gobierno de los EE.UU., con independencia de dónde se encuentren los servidores que almacenen la información. Por ello, la regla de la que hay que partir, es la de la inseguridad de los datos, aunque el gobierno estadounidense sea amigo, ya que hay intereses estratégicos separados entre uno y otro Estado.
Ni siquiera la recientemente aprobada Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, firmada por el Presidente Joseph R. Biden jr. el 7 de octubre de 2022 proporciona seguridad suficiente desde la perspectiva europea, ya que no supone la derogación de la Coud Act sino que determina amenazas que pueden suponer el desarrollo de actividades de seguridad. En la misma línea, y como una vertiente más de la globalización y la vigilancia global de los datos personales, en octubre del año pasado, los EE.UU. y el Reino Unido suscribieron un acuerdo internacional para facilitar de forma automática la información que radique en servidores de empresas de dichos Estados.
Todo lo anterior ha de suponer una limitación al acceso a aquellos operadores cuyos servicios que supongan el cumplimiento del mandato de la administración estadounidense (o china, o israelí). Dicho de otro modo, desde la perspectiva de la seguridad pública española (y por ende, de la europea) deberían incluirse en la contratación de los servicios de cloud una limitación de participación a aquellas empresas que no garanticen la protección frente al acceso a los datos y los procesos de computación de potencias extranjeras.Lo anterior ha de configurarse como un criterio de participación en la licitación y debe afectar a todas las empresas de terceros países que tengan legislación como la descrita.
De hecho, el Gobierno francés prohibió hace algunos meses la utilización de Microsoft Office 365 a los organismos públicos de este país, debido a la inseguridad en la custodia de la información ante las peticiones del Gobierno estadounidense por razones de seguridad. ¿Nos debemos plantear, en este sentido, que, por ejemplo, Google deje de proporcionar gratuitamentelas plataformas de correo electrónico y sus suites complementarias a las Universidades públicas españolas? Debemos pensar, en este sentido, que toda la política general de usuarios de Google es similar al que se suministra al usuario universitario.
Por último, en los casos de cloud del sector público, hay que recordar Cumplimiento de las exigencias de la Estrategia Nacional de Seguridad aprobada en el año 2021 y el papel relevante del Centro Criptográfico Nacional, dependiente del Centro Nacional de Inteligencia, para verificar el cumplimiento de las medidas de sean necesarias para garantizar un alto nivel de seguridad, para la protección del interés general y de los derechos de los particulares.
IV. PROTECCIÓN DE DATOS PERSONALES Y CONTRATOS DE CLOUD: LOS PROBLEMAS DE LAS TRANSFERENCIAS INTERNACIONALES DE DATOS
La problemática que se acaba de referir, vinculada a que el mercado del cloud está dominado por las empresas estadounidenses tiene una segunda consecuencia que también abona la limitación en el acceso a las licitaciones a las empresas que no garanticen la protección de los datos personales.
En efecto, un cloud gestionado desde fuera de España supone, siempre, una transferencia internacional de datos que entra dentro del ámbito de prohibición del Reglamento General de Datos, al que remite el artículo 40 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: “las transferencias internacionales de datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica y sus normas de desarrollo aprobadas por el Gobierno, y en las circulares de la Agencia Española de Protección de Datos y de las autoridades autonómicas de protección de datos, en el ámbito de sus respectivas competencias”.
Por su parte, el artículo 45 del RGPD determina que sólo “podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica”.
Y recordemos que el tribunal de justicia de la Unión Europea ha determinado, en dos ocasiones, que los Estados Unidos no es un territorio seguro a los efectos de la protección de datos: ocurrió con la sentencia del Tribunal de Justicia de 6 de octubre de 2015, por la que se anuló el safe harbour, y ha vuelto a ocurrir con la sentencia de 16 de julio de 2020, por la que se anuló la Privacy Shieldy los demás instrumentos complementarios para la transferencia de datos entre los Estados Unidos y la Unión Europea. Recordemos que estas resoluciones protegen, entre otros aspectos, las IP desde las que nos conectamos a Internet. El nuevo régimen aprobado por Biden dista de cumplir los estándares europeos, teniendo en cuenta que la CLOUD ACT no ha sido derogada y que una de las reglas para considerar que existe un nivel adecuado de protección es, precisamente, “el acceso de las autoridades públicas a los datos personales” (artículo 45.2 RGPD).
El problema es tanto más importante cuanto que muchos servicios de mantenimiento del cloud se desarrollan desde países no seguros. Y aquí hemos de tener presente que la definición de dato es muy amplia, incluyendo todos aquellos instrumentos que sirvan para la identificación del sujeto, por ejemplo, el nombre y una dirección de correo electrónico de la persona que emite el ticket de solicitud de servicios.
V. SOSTENIBILIDAD AMBIENTAL
Pese a la relevancia de los servicios en el ámbito del cloud, no podemos pensar que todo está virtualizado y que no hay ningún sustrato físico. Los servidores constituyen el elemento de mayor importancia en este ámbito.
Pues bien, son, por la cantidad de electricidad que consumen y las temperaturas que alcanzan, un potencial elemento contaminante que debe ser sometido a la reglamentación ambiental. En este sentido, los contratos de cloud deben prever tanto medidas de limitación del impacto como de cláusulas de adaptación tecnológica para incluir los avances tecnológicos adecuados que mitiguen su impacto ambiental.
VI. EL CLOUD Y LA FISCALIDAD
Desde el Sector público hay que potenciar la consecución de la soberanía digital y garantizar la participación en el reparto de la riqueza vía impuestos. Aquí se ha de garantizar la sostenibilidad del contrato entendida en el sentido de que las empresas adjudicatarias han de tributar en el lugar de producción de la riqueza.
Posiblemente, este sea un problema añadido que tienen algunos de los operadores dominantes del mercado de cloud, que transfieren sus ganancias a territorios que sean considerados paraísos fiscales o que se encuentren en una situación equivalente dentro de la Unión Europea.
VII. UN SERVICIO PRESTADO POR EL ESTADO
Las consideraciones anteriores nos llevan a dar un paso más. Parece claro la necesidad de que el cloud, por sus implicaciones, pase a ser una materia regulada en el interior de cada Estado. Una regulación que puede ser objeto de frustración como consecuencia de normas con las que el punto de conexión es mayor, ya sea por razones legales como sobre todo por su mayor capacidad de imposición.
Por ello, hay que empezar a considerar que los servicios de cloud para las entidades del sector público deben ser proporcionadas desde el Estado y para todas las entidades públicas. Sería la mejor forma de cumplir con el artículo 46 bis de la Ley de Régimen Jurídico del Sector Público, cuando dispone que
Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión del censo electoral, los padrones municipales de habitantes y otros registros de población, datos fiscales relacionados con tributos propios o cedidos y datos de los usuarios del sistema nacional de salud, así como los correspondientes tratamientos de datos personales, deberán ubicarse y prestarse dentro del territorio de la Unión Europea.
Los datos a que se refiere el apartado anterior no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.
El problema es sencillo de plantear. ¿cómo se arbitra el conflicto entre la legislación española del propietario del dato y la legislación estadounidense del propietario del servidor, aunque éste se encuentre en España?
Dicho de otro modo, si la propiedad del equipo es de las empresas norteamericanas, poco hay que discutir, en la medida en que están sometidas a la CLOUD Act y las consecuencias del incumplimiento serían especialmente graves para ellas. ¿Realmente podemos pensar que, pese a lo que dice la ley española, los datos no van a llegar a terceros países?Incluso se podría señalar que la empresa pública es el mecanismo más eficaz para garantizar la autoprovisión de servicios a las Administraciones públicas. Una actividad empresarial pública que encuentra su fundamento, por otra parte, en el articulo 128 de la Constitución.
La forma jurídica es lo de menos, aunque creo que debiera ser una empresa pública. De hecho, Correos Telecom ya tiene el desarrollo de actividades de cloud dentro de su objeto social. Lo relevante es el fondo de la cuestión. Porque el problema no está sólo en las normas aprobadas por los Estados Unidos de América, sino por las grandes compañías domiciliadas allí y que usan y abusan de nuestros datos personales, que los recogen y tratan. Dicho de otro modo, lo que estoy reivindicando es que el propietario de un cloud público (entendido como aquel en el que usuarios finales pueden acceder) sea propiedad de una entidad del sector público de cada Estado.
En efecto, sólo desde una entidad del sector público podemos disponer de la seguridad de que estamos gestionando de una forma eficaz y exigente de garantía de los datos críticos de seguridad nacional. Es también en infraestructuras públicas donde se deben proyectar los algoritmos públicos que permitan el uso de la Inteligencia artificial en relación con la actuación policial o cómo se utiliza la inteligencia artificial en relación con la administración tributaria, como vía para paliar las carencias de personal que padecen. Sería también un vehículo indirecto para proporciona el máximo nivel de seguridad, ya que tendrían, sin duda, la consideración de infraestructuras críticas.
Pero también sería ahí, donde deberían alojarse los datos para aspectos como el uso de los algoritmos en el mercado de valores para una protección mayor de los accionistas. Pensemos, por ejemplo en que los datos de una empresa hotelera con intereses en Cuba son capturados por la administración estadounidense que le aplica, a región seguido, la ley Helms-Burton. En definitiva, un conjunto amplio de cuestiones sobre el uso de los algoritmos y su valor para la protección del interés general y que han sido desarrollados en el libro dirigido por Alejandro Huergo “La regulación de los algoritmos”.
Pero no sólo ellos, los datos de salud pública, por ejemplo, tienen que estar alojados en servidores públicos. Y los datos personales que tienen los suministradores de bienes o servicios, que van desde la luz, al banco pasando por las telecomunicaciones.
En este punto, la dicotomía gran/pequeña empresa no es la más relevante. El problema que plantean las cinco grandes es que no se ha construido una alternativa en donde la propiedad de la infraestructura, las formas de gestión, los intereses que protegen e incluso la tecnología de almacenamiento sea pública. Es cierto que no es equivalente a otros servicios como el gas o la electricidad, pero cada vez se van pareciendo más. Pensemos en toda la documentación personal que tenemos en nuestro teléfono. O incluso pensemos en toda la información científica que está en los servidores de las empresas estadounidenses fuera de control del autor y del país en que se ha elaborado, como consecuencia de los contratos que tiene suscrita la Universidad española con Google.
Que pueda ser necesaria la ruptura de estos cinco gigantes por el poder que están acumulando entra dentro de lo que debiera ser los términos del debate. Ellos no son, sin embargo, la causa del problema sino su sintomatología más clara. Las necesidades del cloud computing, las ventajas económicas que proporciona, eliminan del mercado del cloud a las pequeñas empresas.
Y precisamente por ello, al mismo tiempo, se debiera empezar a discutir cómo desde el poder público se generan mecanismos para hacer posible el cloud computing.
