Las víctimas de Safe Harbour

Hace tan sólo unas horas mantuve una interesante conversación sobre cómo Internet ha pasado de ser un espacio sin regulación alguna (sólo la que marcaban los protocolos de red gracias a los que funciona) a ir sumando normas y más normas legales. Y es normal, un espacio anárquico, en el que todo el mundo puede hacer lo que quiera no es, ni remotamente, una plataforma atractiva para ser empleada por las empresas como herramienta de trabajo, y menos aún para convertirla en el medio en el que almacenar y gestionar información crítica sobre sus actividades.

El problema es que, como ocurre en casi todo, hay casi tantas regulaciones por tema como estados, y en muchos casos unas entran en conflicto con otras. Esto, por ejemplo, para regular las condiciones que debe cumplir el agua embotellada, supone un problema menor (ya que se trata de un producto de consumo local). Pero en el caso de una red de alcance global, en la que los servicios que contratas pueden ser ofrecidos por una empresa que está a varias zonas horarias de distancia, complica las cosas.

Para facilitar esto, la Unión Europea y Estados Unidos crearon el año 2000 un marco llamado Safe Harbour, por el que todas las operaciones en la red entre particulares y empresas entre Europa y Estados Unidos debían cumplir unas determinadas condiciones acordadas entre ambos. Y todo ha ido bien desde su aprobación hasta que el alto tribunal europeo ha fallado en contra de Safe Harbour, afirmando que no protege los derechos de los ciudadanos de la Unión Europea.

En resumen, la sentencia viene a decir que los derechos de los ciudadanos europeos, en lo referido a la protección y privacidad de sus datos, no quedan garantizados por este acuerdo, por lo que, con efecto desde el 8 de octubre de este mismo año, las empresas deben afrontar cambios que garanticen que estos sí que se cumplen. Así, ciudadanos y empresas europeas ya no pueden tener sus datos alojados en servidores de Estados Unidos basándose en Safe Harbour y, claro, esto no solo atañe a aquellos que se generen a partir de ahora, sino también a los ya existentes. ¿Y de qué tipo de datos estamos hablando? Pues incluso algo tan sencillo como una dirección de email personal ya está protegido de distinta manera en Europa y en Estados Unidos, por lo que es información que ya no puede cruzar el Atlántico en base a Safe Harbour. Más resumido todavía: la información de ciudadanos europeos ya no se puede almacenar en servidores fuera de Europa.

El principal problema lo sufren empresas multinacionales que, a partir de ahora, tendrán que gestionar los datos de clientes, proveedores, etcétera, de distinta manera, según tanto el origen de los mismos, como en el lugar en el que se almacecen. Por resumirlo mucho, los datos con origen en Europa ya no se pueden almacenar en Estados Unidos, aunque en principio sí a la inversa, ya que el marco jurídico europeo es más garante. ¿Y a qué se debe todo esto? Pues es un efecto más, claro, de toda la información que se hizo pública gracias a Edward Snowden, y que permitió que las instituciones europeas tuvieran conocimiento de que las autoridades de Estados Unidos tenían poco menos que libre acceso a toda la información sobre ciudadanos no estadounidenses almacenada en su país.

Y aunque el grueso de los problemas recae, sobre todo, en empresas de Estados Unidos que operan en Europa (y, claro, que gestionan los datos de dichas operaciones en CPDs en su propio país), también las empresas europeas que emplean servicios norteamericanos se ven afectados por el fallo del tribunal europeo. Por no hablar de la evaluación a la que habrá que someter, a partir de ahora, servicios como servidores de copia de seguridad, otros que ofrecen redundancia geográfica en ambas orillas del charco, etcétera. Y eso afecta muy especialmente a todos los servicios relacionados con la nube. Sí, los servicios cloud van a tener que afrontar muchos cambios en búsqueda de una solución técnicamente viable, que se ajuste al nuevo marco legal post Safe Harbour y, claro, que económicamente no resulten tan lesivos como para comprometer su viabilidad. Sí, efectivamente, una de las áreas más pujantes del sector tecnológico en los últimos años, los servicios cloud, son probablemente los más afectados.

Tokenización no reversible

Desde el mismo momento en que las tecnológicas vislumbraron este riesgo y observaron situaciones similares, como la producida en Canadá que también tiene un marco legal más restrictivo que el de Estados Unidos, empezaron a trabajar en la búsqueda de una solución que permitiera que:

• Las empresas tengan todo el control sobre dónde y cómo se almacenan sus datos.
• Los datos de ciudadanos europeos se almacenen siempre en CPDs en Europa.

Esto, al hablar de un volumen de datos bajo o muy bajo puede parecer seancillo, pero en el momento en el que el volumen de los mismos comienza a crecer, también lo hace la complejidad de desarrollar un sistema eficiente para adaptarse a las nuevas reglas. Y tras un tiempo dedicados a ello, han llegado a la conclusión de que la tokenización no reversible es, posiblemente, el mejor sistema para garantizar que todos los datos son tratados, exactamente, como corresponde.

La creación de un token, en este contexto, se refiere al cifrado de un contenido concreto, es decir, a tomar un texto plano y, aplicándole un proceso matemático, convertirlo en un texto totalmente ilegible. Para tal fin se puede optar por sistemas reversibles (en los que se emplea un sistema de cifrado asimétrico, con dos claves vinculadas entre sí, una para cifrar y otra para descifrar) y los no reversibles (en los que se emplea la misma clave para ambos procesos, y ésta debe permanecer custodiada permanentemente por el responsable del proceso). Según los reguladores canadienses, el sistema asimétrico, pese a ser bastante seguro (no olvidemos que es el empleado para cifrar, actualmente, la gran mayoría de las comunicaciones seguras) no ofrece tantas garantías como el irreversible, que sólo se ve comprometido si falla la custodia de las claves de cifrado. Así que, para garantizar la seguridad de los datos de sus ciudadanos, las autoridades canadienses apuestan por la tokenización no reversible.

Con este sistema, si las empresas se aseguran de que los datos de los ciudadanos europeos, antes de cruzar las fronteras de la Unión, han sido tokenizados, ya no se estaría incumpliendo la legalidad aunque se almacenaran en CPDs fuera de nuestras fronteras, siempre y cuando la «llave» para descifrarlos esté siempre en manos del responsable de dichos datos, es decir, de la empresa de la que estos dependen. Y es que así, incluso aunque las autoridades estadounidenses tengan acceso pleno a los datos guardados en los servicios cloud en su país, sólo podrán acceder a datos cifrados con un sistema indescifrable para ellos.

Así pues, ahora muchas empresas deben adaptarse (y deben hacerlo rápidamente) al escenario post Safe Harbour y, aunque las autoridades europeas ya están trabajando para llegar a un nuevo acuerdo con Estados Unidos, como informa hoy mismo The New York Times, y dicho acuerdo podría ver la luz a principios del año que viene, de momento eso es sólo una intención y, ahora mismo y según el alto tribunal euaropeo, la situación actual es de ilegalidad. Por lo tanto, y a la espera de ese acuerdo, o a la de la futura aprobación del TTIP (que seguro que regula este aspecto por completo), lo más recomendable es adoptar medidas, y hacerlo rápido.

Imagen: Autor desconocido