A partir del rápido crecimiento de las tecnologías de computación en la nube, estamos comenzando a ver un cambio en la forma en que la ley y la regulación se mantienen. Un importante signo de interrogación que se cierne sobre el sector es su falta de orientación estandarizada. La computación en la nube no se rige por una "ley de la nube" específica, y no se aplica ninguna regulación directa a sus servicios. En cambio, el panorama legal y regulatorio está compuesto por una matriz de reglas diferentes, tan amplias como el alcance de la tecnología en sí, que abarca múltiples industrias y geografías.
Dada esta amplitud, ha habido un cambio gradual de las soluciones legislativas a la estandarización de la industria como un medio para cerrar la brecha entre la regulación y el ojo de la tormenta de innovación tecnológica.
Orientación regulatoria
Si bien no existe una legislación directa, algunos reguladores del Reino Unido, especialmente en el sector de servicios financieros, han publicado en los últimos años una guía sobre el uso de tecnologías en la nube. Esta guía se centra en cómo se puede usar la tecnología de conformidad con las normas reguladoras existentes, y si bien no ha establecido un proceso paso a paso para implementar tecnologías en la nube de conformidad con los requisitos reglamentarios, ha demostrado que los reguladores consideran que existe Esta no es una razón fundamental por la cual las empresas no pueden usar los servicios en la nube de manera regulatoria.
Sin embargo, sigue existiendo una barrera clave que impide la adopción a gran escala de soluciones en la nube en sectores muy regulados: existe una falta de certeza en cuanto a qué estándares probablemente serían aceptables para los reguladores. Parece que la clave es la estandarización.
Normalización
Un ejemplo es la publicación de la norma ISO 27018, por la Organización Internacional de Normalización, que cubre el procesamiento de datos personales en la nube. Este estándar ha sido una respuesta directa a uno de los objetivos clave de los reguladores de la UE: introducir un marco de cumplimiento auditable para los proveedores de servicios en la nube, que promueva la confianza y la rápida adopción de la computación en la nube en todos los sectores de la economía para aumentar la productividad (ver el Estrategia europea de computación en la nube de 2012 de la Comisión Europea).
ISO 27018 es el primer estándar internacional específico de privacidad para la nube y busca crear un conjunto común de categorías y controles de seguridad que pueda implementar un proveedor de servicios de computación en la nube pública que actúe como procesador de datos. Su objetivo es ayudar a los proveedores de servicios en la nube pública a cumplir con sus obligaciones aplicables cuando actúen como procesadores de datos y sean transparentes para sus clientes de servicios en la nube.
Si bien gran parte del contenido de ISO 27018 se basa en las leyes de protección de datos de la UE, el estándar va un poco más allá y aborda más aspectos de procedimiento, al garantizar que los proveedores de la nube implementen políticas para la devolución, transferencia y eliminación de datos personales a los clientes (por ejemplo, en el momento en que el servicio llega a su fin) y someter sus servicios a revisiones de seguridad de la información independientes a intervalos programados (o en los puntos en que se producen cambios de procesamiento significativos).
Ayudando a la elección del cliente
En la selección de un proveedor de servicios en la nube, es importante que un cliente encuentre uno que cumpla con sus obligaciones legales. Si bien cada cliente del servicio en la nube debe garantizar el cumplimiento de las leyes específicas a las que está sujeto, un conjunto de leyes que se aplicarán a la mayoría de los clientes en la nube serán las leyes de privacidad y protección de datos.
¿Qué sigue?
ISO 27018 proporciona una base práctica desde la cual comenzar a crear confianza en que los actores de la industria de la nube están manejando los datos personales adecuadamente, allanando el camino para una mayor claridad en la legislación y la regulación. Por ahora, este es un ejemplo de un estándar de la industria que cierra la brecha entre los marcos legales y el rápido crecimiento de la tecnología. Si dicha estandarización continúa, la ley y la regulación pueden tener la oportunidad de mantenerse al ritmo de la innovación.
Por Lee Rubin, asesor global de transacciones de abastecimiento y tecnología en Pillsbury Winthrop Shaw Pittman