Límites a la prestación de servicios en la nube

Es común que las empresas y los particulares respalden su información en medios digitales de terceros, pero es importante conocer las implicaciones jurídicas.

.
 .  (Foto: Getty)

La era digital ha significado para los usuarios (personas físicas y morales) una ventana de oportunidades muy importante porque gracias al uso de la tecnología muchos de los aspectos cotidianos de la vida se han simplificado.

Hace no mucho, simplemente hace poco más de 20 años era necesario destinar ciertos espacios físicos para el almacenamiento de todo tipo de información.

Desde la antigüedad se volvió indispensable resguardar los datos. Los archivos han sido una constante en todas las épocas, en todas las civilizaciones y en cualquier lugar del mundo.

Las bibliotecas públicas, particulares o universitarias siempre han sido una muestra de la importancia de resguardar el conocimiento que se plasma a través de diferentes documentos.

La imprenta de Gutenberg significó un gran adelanto en su tiempo y revolucionó lo relativo a las comunicaciones. En nuestra era, Internet ha tenido un impacto similar al invento del oriundo de Maguncia, Alemania.

Por ejemplo, en la época colonial los jesuitas eran expertos en guardar cuanto documento encontraban, de ahí que las bibliotecas de las universidades de esa orden religiosa sean reconocidas por tener acervos históricos significativos.

Y así como los jesuitas en siglos anteriores, ahora parece que la famosa “nube” absorbe cuanto archivo ve a su paso, toda vez que existen individuos que mantienen toda su información en ese medio de almacenamiento.

Los adelantos tecnológicos desde la segunda mitad del siglo XX han tenido un desarrollo exponencial, cada día nos vemos sorprendidos por los diferentes dispositivos que son introducidos en el mercado y que pretenden mejorar algún aspecto práctico de la vida cotidiana.

El almacenamiento de información no ha sido ajeno a cambios tan particulares. Innovaciones como la copiadora, el fax y el escáner, cada uno en su momento, representaron un significativo avance para poder respaldar los distintos tipos de datos de las personas.

La llegada de la era digital permitió contar con dispositivos de almacenamiento portátil (tarjetas perforadas, disquetes, cd’s, dvd’s, usb’s y memorias extraíbles) que pretendían desplazar a los espacios físicos.

Sin embargo, todos seguían requiriendo de un espacio físico para el usuario y pese a que el cambio era considerable (los archivos contables y judiciales en algunos momentos llegaron a ocupar edificios enteros), pues en nuestros días una pluma puede contener millones de archivos. No obstante, ahora se habla mucho de la famosa “nube” como el sitio ideal para almacenar información, nos comenta el maestro Jesús Edmundo Coronado Contreras, coordinador de las áreas de Fiscal, Jurídico-Corporativo y Comercio Exterior de IDC Asesor Fiscal, Jurídico y Laboral y de la Comisión de Derecho Penal Internacional del Ilustre y Nacional Colegio de Abogados de México A.C.

¿Qué es la nube?

Sin importar el giro empresarial o a qué se dedique la persona, todos requerimos guardar determinada información, desde aquella que es de carácter personal o profesional.

La transformación digital ha ocasionado que las empresas en general consideren ya a la nube como una herramienta esencial para su funcionamiento y no tanto como en sus inicios, que era una especie de recurso adicional para respaldar determinados datos que se vinculaban con sus operaciones cotidianas. La nube puede ser conceptualizada como todos aquellos servidores desde Internet encargados de atender las diferentes necesidades de los usuarios en cualquier momento.

La nube como tal confluye en el llamado ciberespacio, ese lugar intangible que ya en diferentes entregas (Datos ¿El recurso más valioso?, IDC 397, ¿Es necesaria la ciberseguridad?, IDC 419, Identidad 2.0, IDC 423 y ¿Muerte digital?, IDC 428) hemos definido como un metaespacio jurídico o como un “Amazonas salvaje”, este último apelativo debido a la muchas veces latente falta de regulación o autorregulación imperante.

De lo anterior es que se desprende que difícilmente la nube le pertenece a algún Estado como tradicionalmente se le conoce. Por lo tanto, también surge la interrogante respecto a qué legislación le es aplicable o si se trata de diferentes legislaciones. 

¿Dónde se ubica?

Comúnmente suele afirmarse que el almacenamiento de datos en la nube se encuentra en un espacio cibernético no accesible para nadie, incluso fuera de la ley. No obstante, dicha apreciación es errónea.

Los datos que se almacenan en la nube están en ubicaciones físicas en discos duros o en centros de datos localizados en diversos países, como Microsoft que tiene cierta información en Irlanda, situación que quedó plasmada en el caso Warrant (United States of America vs. Microsoft Corporation), en donde las autoridades solicitaron a la compañía, correos electrónicos almacenados en un centro de datos situado en territorio irlandés.

Más allá del resultado de la sentencia, el asunto puso en claro que los datos contenidos en la nube tienen una ubicación física real, lo cual implica que están sometidos a una jurisdicción nacional.

Dicha situación genera un problema complejo porque puede generar implicaciones a nivel internacional y que no deberían solventarse en los tribunales locales, porque el contenido de las bases de datos puede involucrar a ciudadanos o empresas de diferentes países; inclusive puede afectarse la soberanía de otros países y conllevar un conflicto de leyes. Todo eso porque existen leyes que protegen la privacidad de los individuos en cada país.

¿Nube gris?

Si bien el resguardar toda la información en un espacio intangible y cuyos servidores pueden localizarse posiblemente en el extremo opuesto del mundo, puede representar una ventaja pero implica una serie de riesgos.

En nuestros días, la ciberdelincuencia es la amenaza delictiva más grande y posiblemente la más redituable a nivel mundial, incluso más que el narcotráfico. Los ciberdelincuentes se valen de los instrumentos tecnológicos para la comisión de hechos ilícitos, ya sea que sus ataques vayan dirigidos contra la tecnología o mediante ella ejecuten algún acto ilícito.

Los ciberdelitos tienen diferentes clasificaciones justamente por el tipo de ciberataque, ya que estos pueden ser:

  • simples
  • avanzados, o
  • complejos y coordinados

Los primeros son los que se destinan a objetivos concretos y cuyo impacto es limitado a la esfera individual; los segundos requieren el uso de sistemas más sofisticados para su ejecución, por lo general encaminados a menoscabar a ciertos corporativos; y finalmente, los terceros son los que llevan a cabo determinados grupos que desean generar consecuencias severas a entes gubernamentales, al sistema financiero en su conjunto o personas en concreto. Por su parte, el Consejo de Europa suele clasificar a los ciberdelitos en categorías, tanto para su estudio como para su persecución porque pueden ser:

  • contra un dispositivo (acceso no autorizado)
  • usando un dispositivo (fraude), o
  • cometidos usando cualquier tipo de dispositivo (pornografía infantil)

Es justamente esta última categoría la que se puede presentar como una amenaza real, concreta e inminente al momento de utilizar la nube porque los ciberataques pueden ir dirigidos a afectar los lugares de almacenamiento, ya sea para su sustracción o para su destrucción.

Los datos son uno de los recursos primordiales en la actualidad, como se expuso en Datos ¿El recurso más valioso?, IDC 397 y por ello es que resultan atractivos para la ciberdelincuencia.

Alrededor del mundo se han suscitado muchos casos de extorsión en los que tanto empresas como particulares han tenido que pagar cuantiosas cifras para recuperar su información o que esta no se vea alterada o expuesta.

El sector público también puede verse afectado porque muchas veces los conocidos como ciberterroristas atacan la estructura gubernamental con métodos violentos y con la intención de generar caos y terror dentro de sus víctimas.

Ese tipo de acciones pueden tener repercusiones diversas porque pueden conllevar a la afectación de derechos de terceros.



.
 .  (Foto: IDC)


¿Cuál servicio seleccionar?

Cada plataforma que ofrece el servicio de almacenamiento maneja determinados términos y condiciones para la prestación del mismo.

La mayoría contemplan diferentes versiones, muchas de ellas gratuitas para los usuarios, pero con limitaciones de espacio para resguardar información, acceso restringido a ciertos dispositivos y compartir  los archivos con otros usuarios.

Igualmente, existen cuentas que al implicar el pago de una renta, que por regla general es mensual, otorga diversas facilidades a los usuarios, tales como espacio ilimitado, edición en tiempo real, eliminar archivos, subir cualquier clase archivos multimedia o de texto, multiplicidad de accesos simultáneos o de dispositivos, entre otros.

Incluso existen versiones encaminadas a perfiles profesionales o de empresa, justamente para que los grandes corporativos que se ven en la necesidad de convivir con muchos datos y que necesitan que sus trabajadores los utilicen puedan laborar y acceder a ellos.

¿Y la seguridad?

La seguridad en la nube corresponde tanto al proveedor del servicio como al cliente. Evidentemente en la práctica puede variar el grado de responsabilidad dependiendo del caso en concreto, toda vez que si la información es comprometida a causa del proveedor este debiera ser quien respondiera por la posible afectación que se pudiera generar.

En la práctica varía mucho esta situación, ya que se suele sujetar mucho a los términos y condiciones contratados con cada proveedor del servicio. Un ejemplo de ello es Dropbox, el cual no excluye su responsabilidad en los supuestos de una falta de cuidado de su parte. Igualmente, el cliente o usuario tiene un deber de cuidado en lo relativo a qué tipo de información carga en la nube y si la misma tiene alguna otra clase de respaldo (físico o digital) y si mantiene un cuidado en los accesos a su cuenta en la nube.

También existen políticas de cancelación del servicio. Por lo general, los usuarios pueden suspenderlo en cualquier momento, pero ciertos proveedores se reservan el derecho a hacer lo mismo en determinados supuestos, tales como:

  • infringir las condiciones pactadas para el servicio
  • falta de uso por un periodo determinado
  • mal uso del servicio, es decir, que tienda a emplearse para producir un menoscabo a la plataforma o a terceros, como son las infracciones a derechos de autor, o
  • falta de pago, si se tiene una cuenta que lo requiera

Igualmente, a dicha cancelación debe precederle una notificación por parte del proveedor. Ello para que el cliente o usuario pueda exportar sus archivos. Plataformas como Dropbox precisan en su política que hay ciertos casos en los que no llevan a cabo ese aviso a los usuarios:

  • infracción sustancial a las condiciones
  • cuando hacerlo genera una responsabilidad legal a la empresa, o
  • si la ley lo prohíbe

Estos supuestos resultan ambiguos porque resulta muy discrecional para la plataforma determinar que es una infracción sustancial o no a las condiciones pactadas.

En esta tesitura es importante conocer qué sucede con la información ubicada en la nube si es que se cancela el servicio por alguna de las situaciones descritas anteriormente.

Resulta importante también la facultad discrecional de muchas plataformas respecto a la conservación de la información porque si bien pueden eliminar o restringir el acceso a la nube a ciertos usuarios por los motivos antes enunciados, pero esos datos por cuánto tiempo deberían conservarla es una gran interrogante.

Situaciones de ese tipo pueden desencadenar varios tipos de controversias, las cuales deben solventarse de alguna manera. Por ello, nuevamente viene a colación cuál sería la legislación aplicable para esta clase de escenarios, toda vez que puede presentarse el supuesto de que sea una empresa norteamericana la que preste el servicio de almacenamiento, la cual tiene sus servidores en territorio europeo, sea una compañía de origen mexicano la que contrate el servicio y que los datos que estén contenidos dentro de sus archivos sean de ciudadanos de diferentes países latinoaméricanos.

En caso de suscitarse un conflicto entre el proveedor y el cliente por cualquier motivo y que la información contenida se vea comprometida, qué legislación sería aplicable y ante qué tribunal pudiera acudirse para solucionar dicho problema. 




.
 .  (Foto: IDC)

¿Soluciones globales o locales?

Si bien, ciertas plataformas prevén soluciones para las posibles contigencias que se pueden presentar, pero sigue latente la disyuntiva si este tipo de situaciones que implican entornos digitales deben solventarse a nivel local, es decir, en un país en concreto o si tendrían que existir mecanismos de índole internacional encargados especialmente para estas situaciones.

 Retomando el ejemplo de plataformas como Dropbox, esta refiere que para solucionar controversias se acuda a los tribunales estadounidenses, en especial California y en algunos supuestos remite a legislaciones de otros países, pero solamente si estas contemplan una vía para solventar el problema.

Sin embargo, resulta ambiguo introducir en los términos y condiciones ese tipo de condición porque ya en un caso en concreto, si la legislación del usuario o cliente prevé mayores beneficios para este que para la plataforma, esta última estará de acuerdo con ajustarse a dicha normatividad o invocará la legislación californiana. ¿Cuál de ellas prevalecerá?

Propuestas de regulación

Existen tres propuestas de regular estos espacios. La primera de ellas es la autorregulación global del ciberespacio; la segunda es la heteroregulación (dónde cada legislación local puede determinar los alcances de la red) y la tercera sería la creación de un marco regulatorio global a partir de una constitución del ciberespacio, creando normas para una correcta convivencia dentro de este metaespacio jurídico.

Dicha interrogante es la que lleva a que se siga considerando la opción de crear estructuras, cuyo nivel de competencia sea el adecuado para dilucidar todas las problemáticas que se susciten en el ciberespacio.

Si bien, es innegable y como se han enunciado en líneas anteriores la nube se compone de servidores ubicados en algún lugar físico y por ello esto nos pudiera guiar para determinar qué legislación sería la aplicable en caso de una controversia; pero al ser los proveedores del servicio de la nube, empresas de una nacionalidad, y localizar los servidores en otro país además al ser los clientes o usuarios de tales servicios individuos o empresas de todo el mundo, es que el determinar qué legislación es aplicable y por lo tanto, qué tribunal pudiera dirimir cualquier eventualidad.

La experiencia de los tribunales internacionales, como es el caso de la Corte Penal Internacional, que es competente para juzgar a individuos por la comisión de crímenes de guerra, genocidio, crímenes de lesa humanidad o de agresión o de la Corte Internacional de Justicia que a diferencia de la primera ha solventado problemas entre países, han tenido resultados rampantes durante su existencia, por el sentido de varias de sus resoluciones, que hasta cierto punto han sido rodeadas de diversos cuestionamientos.

A causa de ellos, es que siguen existiendo muchos que consideran a la autorregulación del ciberespacio como una solución. Si se parte de la premisa de los magros resultados de los tribunales internacionales y que por parte de los usuarios existe un ánimo de solventar los problemas de manera eficaz y pronta, pareciera que la opción de usar mecanismos alternos y ad hoc para cada situación, fuera la opción más viable y adecuada.

No obstante, esa medida conlleva sus riesgos porque es complicado fijar posturas sobre qué normas se acatarán, qué principios y qué solución dejará conforme a todos los involucrados.

Un primer problema se presenta muchas veces cuando son las plataformas del servicio las que en automático fijan la normatividad aplicable, dejando sin opción al usuario que desconoce el contenido de dicha legislación y si esta le favorecerá o no realmente.

Existe la libertad de elegir o no esos términos, pero también es innegable que tampoco son tantas las plataformas que proveen ese tipo de servicios. En la práctica jurídica, hay quienes en lugar de denominarlo un contrato de prestación de servicios en la nube, se refieran a este convenio atípico como un contrato de adhesión.

Por cuestiones como las anteriores es que este tema sigue generando mucha incertidumbre por una parte y  por otra ha suscitado, como todos los temas digitales, mucha discusión y falta de acuerdos respecto a su regulación o no. 

Conclusión

La tecnología puede definirse como una espada de doble filo porque, así como trae beneficios también implica una serie de riesgos para todos los que confluyen en este conocido ciberespacio ya que toda la información que se maneja en este Amazonas está en fuerte riesgo ante los potenciales embates de los ciberdelincuentes.

En los próximos años las autoridades, empresas y los particulares deberán encontrar la manera de regular estos temas, ya que el ciberespacio está a cada momento más asociado con la actividad cotidiana.

La nube como parte de la “transformación digital”, es vital para las empresas, pero también es una de sus mayores preocupaciones por la información que resguardada.

Si bien implica una forma de simplificar y eficientar los procesos, haciendo competitivas a las organizaciones, porque ingresan a los recursos de cómputo, según sus necesidades, y los “dejan” cuando ya no los requieren; como se ha visto hasta el mometo también traen emparejados una serie de riesgos y cuestionamientos que resulta esencial tenerlos en consideración en nuestros días.


 

.
 .  (Foto: IDC)