Libertades públicas Subir a 'la nube' un servicio público pone datos críticos al alcance de Donald Trump
Cuando una administración pública en España externaliza un servicio en 'la nube', incluso cuando utiliza una red social, se corre un riesgo doble: por un lado, se renuncia a la soberanía digital al aceptar una jurisdicción extranjera (de California, en el caso de los gigantes de internet); por otro, puede llegar a suponer toda una violación de la separación de poderes, la base de nuestra democracia.
Publicidad
mADRID, Actualizado:
'La nube' es el término amable para hablar de la externalización de servicios web como las comunicaciones, correo electrónico y almacenamiento de datos en manos de gigantes como Amazon, Google y Microsoft. Recientemente, el Poder Judicial publicaba una licitación para externalizar, precisamente, las cuentas de e-mail de sus trabajadores. Desde otros países europeos, como Alemania, las autoridades de protección de datos ya alertan del peligro que supone dejar la gestión de información sensible (incluso crítica) en manos de empresas estadounidenses. En juego no sólo está la privacidad de los datos críticos, sino quizá el mismo modelo democrático.
Publicidad
La decisión del Consejo General del Poder Judicial (CGPJ) de externalizar la gestión del correo electrónico con productos de Microsoft en 'la nube' se debe, según el informe técnico de la licitación, a la "falta de medios materiales y humanos" que sufre el Centro de Documentación Judicial (Cendoj), encargado hasta ahora de dicha gestión.
Mientras, en Alemania, el propio Comisionado Federal para la Protección de Datos (el equivalente a la Agencia Española de Protección de Datos), Uri Kellber, ya ha indicado su preocupación por los planes para equipar a miles de oficiales de la policía federal alemana con dispositivos de grabación de Motorola que envían datos a Amazon Web Services, es decir, 'la nube' de Amazon, tal y como informaba Politico la semana pasada.
La AGPD alemana dice que #Amazon no es seguro como proveedor de alojamiento en el que almacenar datos de la policÃa, por la posibilidad de que la Cloud Act sea usada; pero la policÃa dice que las cámaras compradas a Motorola están pensadas solo para AWS ð¤·ð»ââï¸ https://t.co/vnVP7YLGE0
— Jorge Morell Ramos (@Jorge_Morell) 15 de abril de 2019
Todo ello tiene como trasfondo la CLOUD Act ('Clarifying Lawful Overseas Use of Data', en español "aclaración del uso legal de datos en el extranjero"), una normativa estadounidense reciente que viene a ampliar dramáticamente el alcance geográfico de las solicitudes de datos por parte de EEUU a las empresas proveedoras. Algo que, por otro lado, recuerda a la Ley de Inteligencia de 2017 de China, que permite al gobierno solicitar datos en poder de empresas privadas (una de las excusas esgrimidas en la crisis de Huawei y el despliegue mundial del 5G).
Publicidad
En Alemania, la justificación del uso de 'la nube' para estos datos policiales se parece a la esgrimida por el departamento de informática del Cendoj: no hay medios. Según Politico, el Ministerio del Interior alemán afirma que la policía federal no tiene más remedio que usar Amazon para alojar las imágenes captadas por los dispositivos de Motorola. "[Amazon Web Services] es el único proveedor de 'nube' adecuado porque el software de Motorola no se puede usar en ninguna otra infraestructura en la nube sin modificaciones significativas", dijo un portavoz del ministerio.
Así las cosas, ¿hasta qué punto la contratación de servicios en 'la nube' puede suponer un riesgo para las administraciones públicas? Para el abogado Jorge Campanillas, especializado en TIC y privacidad, el problema es sobre todo "la pérdida de control" sobre los datos. "Poner los datos en máquinas a expensas de otro proveedor puede que sea más eficiente, pero es evidente que vas a tener menos control sobre ellos, el acceso a ellos y cómo se gestionan", afirma, en conversación telefónica con Público.
Publicidad
"Poner los datos en manos de un proveedor puede que sea más eficiente, pero es evidente que vas a tener menos control sobre ellos"
"Aunque se firmen los contratos correspondientes [que obligan en este caso a que los datos estén en servidores del Espacio Económico Europeo] en realidad es difícil saber que eso va a ser así con seguridad, aunque se puedan auditar los sistemas", comenta Campanillas. "No es lo mismo que tener la gestión de los datos aquí: seguramente 'la nube' dé un servicio de mejor calidad, igual también se reducen costes, pero el riesgo que persiste es, insisto, la perdida de control de la información, de los datos".
Publicidad
"¿Por qué no se pasan directamente a Gmail de Google?", pregunta con ironía el abogado especializado en tecnología Javier de la Cueva, doctor en Filosofía y una de las voces más autorizadas en la materia. "Es más barato, de hecho es gratis, y sus términos y condiciones —sujetos al Reglamento Europeo de Protección de Datos— seguro que cumplen con los mínimos de exigencia en materia de privacidad de la Administración: de hecho, una administración pública, como la Universidad Complutense de Madrid, tiene su correo institucional en manos de Google".
Para Campanillas, "ese tipo de datos y servicios sensibles estarían mejor gestionados en manos del Estado, bien en Cendoj en el caso del Poder Judicial (como sucede hasta la fecha), bien mediante algún tipo de servicio centralizado".
Publicidad
Y mucho ojo, porque existen problemas que son aún más evidentes que las migraciones de servicios críticos a 'la nube': ¿qué sucede con el mero uso de las redes sociales por parte de las instituciones?
Prácticamente todas las administraciones públicas se han lanzado entusiasmadas en los últimos años a Twitter, Facebook, Instagram... "La propia Casa Real, es decir, nuestra Jefatura del Estado, tienen los logos de Facebook y Twitter en su sitio web oficial, y cuando el rey acepta los términos y condiciones de esas redes se somete a las leyes y a la jurisdicción de los tribunales de California", recuerda De la Cueva, que subraya que incluso el propio Tribunal Supremo se ha sumado alegremente a las redes, junto con el Poder Judicial. "¿Nadie ha pensado que el poder, hoy en día, está en las corporaciones?", se pregunta desesperado este experto jurista.
Publicidad
Vayamos más allá: la separación de poderes
En una larga conversación con este diario, De la Cueva explica por qué sostiene que el problema que se deriva de estas decisiones van mucho más allá de la privacidad de los datos y trasciende a un plano mucho más amplio y preocupante: la violación de la separación de poderes, pilar fundamental de cualquier democracia moderna.
Según este jurista, la separación de poderes en el siglo XXI, en la era digital, tiene que ver principalmente con la separación entre el Estado y las corporaciones. "Porque para mí ésta es la gran pregunta: ¿Cómo ha de ser la separación de poderes en las redes de la era digital?", afirma.
Publicidad
Ésta es la gran pregunta: ¿Cómo ha de ser la separación de poderes en las redes de la era digital?"
Para explicarlo, De la Cueva se remonta a los tiempos de la redacción de la Constitución de EEUU, cuando se sientan las bases de la separación de poderes: Legislativo, Ejecutivo, Judicial. Y con mecanismos de control entre sí "tremendamente lógicos" para que cada poder no sea "omnímodo". Y todo ello también con una separación de competencias entre los estados federales y el federal (central) en Washington. Ya entonces, James Madison, el cuarto presidente de EEUU, dijo en 1780 que los poderes tenían que ser independientes, hasta el punto de que no puede haber traspaso de información alguno entre dichos poderes (El Federalista número LI).
Publicidad
"En la era digital", razona este experto, "no se le puede dotar de poder omnímodo a nadie, y si con las redes se han diseñado poderes omnímodos, nos estamos cargando el pensamiento constitucionalista y la base misma de la democracia". No parece algo como para tomarse a la ligera. Porque para De la Cueva, "los diseñadores de las redes no tienen ni idea de Historia ni de Derecho Político, son unos manazas y no se enteran de lo que están haciendo".
Y luego van las administraciones y contratan servicios en 'la nube' o usan redes sociales, aparentemente sin tener en cuenta estas dos realidades: el peligro que supone para la separación de poderes real, y el hecho aparente de no haber tenido en cuenta las jurisdicciones que se aplican al usar unos servicios en la red.
Publicidad
Como guinda, De la Cueva coincide con Jorge Campanillas al recordar que el Estado, cuando externaliza servicios en la famosa 'nube', no tiene acceso físico al servidor ni al disco duro en donde se almacenan sus propios datos: pone la información en manos de un tercero, sometido además a una jurisdicción que no es la española. ¿Qué control real tendrá el Estado sobre esos datos?