INFORME sobre la liberación del potencial de la computación en la nube en Europa

24.10.2013 - (2013/2063(INI))

Comisión de Industria, Investigación y Energía
Ponente: Pilar del Castillo Vera
Ponentes de opinión (*):
Lidia Joanna Geringer de Oedenberg, Comisión de Asuntos Jurídicos
Judith Sargentini, Comisión de Libertades Civiles, Justicia y Asuntos de Interior
(*) Procedimiento de comisiones asociadas – artículo 50 del Reglamento

Procedimiento : 2013/2063(INI)
Ciclo de vida en sesión
Ciclo relativo al documento :  
A7-0353/2013
Textos presentados :
A7-0353/2013
Debates :
Textos aprobados :

PROPUESTA DE RESOLUCIÓN DEL PARLAMENTO EUROPEO

sobre la liberación del potencial de la computación en la nube en Europa

(2013/2063(INI))

El Parlamento Europeo,

–    Vista la Comunicación de la Comisión, de 27 de septiembre de 2012, titulada «Liberar el potencial de la computación en nube en Europa» (COM(2012)0529),

–    Vista la Comunicación de la Comisión, de 3 de marzo de 2010, titulada «Europa 2020: Una estrategia para un crecimiento inteligente, sostenible e integrador» (COM(2010)2020),

–    Vista la Comunicación de la Comisión, de 19 de mayo de 2010, titulada «Una Agenda Digital para Europa» (COM(2010)0245),

–    Vista su Resolución sobre una nueva Agenda Digital para Europa: 2015.eu[1],

–    Vista la Decisión nº 243/2012/UE del Parlamento Europeo y del Consejo, de 14 de marzo de 2012, por la que se establece un programa plurianual de política del espectro radioeléctrico,

–    Vista la propuesta de la Comisión, de 25 de enero de 2012, para un Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (COM(2012)0011),

–    Vista la propuesta de la Comisión, de 19 de octubre de 2011, para un Reglamento del Parlamento Europeo y del Consejo, por el que se crea el Mecanismo «Conectar Europa» (COM(2011)0665),

–    Vista la Directiva 1999/5/CE del Parlamento Europeo y del Consejo, de 9 de marzo de 1999, sobre equipos radioeléctricos y equipos terminales de telecomunicación y reconocimiento mutuo de su conformidad,

–    Visto el documento del Instituto Europeo de Normas de Telecomunicación (ETSI) sobre una cartografía de normas en la nube,

–    Vista la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo,

–    Vista la Directiva 99/44/CE del Parlamento Europeo y del Consejo, de 25 de mayo de 1999, sobre determinados aspectos de la venta y las garantías de los bienes de consumo[2],

–    Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos[3],

–    Vista la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior[4],

–    Vista la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información[5],

–    Visto el artículo 48 de su Reglamento,

–    Vistos el informe de la Comisión de Industria, Investigación y Energía y las opiniones de la Comisión de Asuntos Jurídicos, de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, de la Comisión de Asuntos Económicos y Monetarios y de la Comisión de Mercado Interior y Protección del Consumidor (A7‑0353/2013),

A.  Considerando que aunque los servicios de computación remota en varias formas, conocidos hoy comúnmente como «computación en la nube», no sean una novedad, la magnitud, las prestaciones y el contenido de la computación en la nube constituyen un avance significativo en las tecnologías de la información y la comunicación (TIC);

B.   Considerando que, a pesar de ello, la computación en la nube ha captado la atención en los últimos años debido al desarrollo de modelos de negocio a gran escala nuevos e innovadores, al fuerte impulso dado por los proveedores de servicios en la nube, a las innovaciones tecnológicas y las mayores capacidades de computación, a los precios más bajos y las comunicaciones de alta velocidad, así como a los potenciales beneficios económicos y de eficiencia —también en lo que respecta al consumo de energía— que los servicios en la nube ofrecen a todo tipo de usuarios;

C.  Considerando que el despliegue y el desarrollo de los servicios en la nube en regiones poco pobladas y remotas puede contribuir a reducir su aislamiento, al tiempo que plantea grandes desafíos dada la insuficiente disponibilidad de la infraestructura necesaria;

D.  Considerando que los beneficios de los servicios en la nube para los proveedores consisten en, entre otros, cuotas de servicio, monetización de la infrautilización y del exceso de recursos de computación, economías de escala, la posibilidad de una base de clientes cautivos (el llamado efecto «cautividad») y de usos secundarios de la información del usuario, como la publicidad, teniendo debidamente en cuenta los requisitos en materia de privacidad y protección de los datos personales; considerando asimismo que el efecto «cautividad» puede conllevar desventajas competitivas que, en cualquier caso, podrán afrontarse con unas medidas de normalización razonables y una mayor transparencia en materia de acuerdos de licencia de propiedad intelectual;

E.   Considerando que los beneficios de los servicios en la nube para los usuarios son unos costes potencialmente menores, el acceso ubicuo, la practicidad, la fiabilidad, la escalabilidad y la seguridad;

F.   Considerando que la computación en la nube también entraña riesgos para los usuarios —en particular en lo que a datos sensibles se refiere—, de los que estos han de ser conscientes; que si la computación en la nube se lleva a cabo en un país determinado, las autoridades de dicho país pueden acceder a los datos; que la Comisión debe tener esto en cuenta a la hora de elaborar propuestas y recomendaciones relativas a la computación en la nube;

G.  Considerando que los servicios en la nube obligan a los usuarios a entregar información al proveedor de almacenamiento en la nube o a un tercero, lo que plantea cuestiones relativas al control continuo sobre la información de usuarios individuales y al acceso a la misma, así como a su protección frente al mismo proveedor, otros usuarios del mismo servicios y otras partes; que algunas de las cuestiones relacionadas con este problema podrían resolverse fomentando aquellos servicios que solo permiten que sean los usuarios quienes tengan las claves de la información almacenada, sin dar acceso a dicha información a los proveedores de almacenamiento en la nube;

H.  Considerando que la mayor utilización de servicios en la nube prestados por un número limitado de grandes proveedores significa que mayores cantidades de información se acumulan en manos de dichos proveedores, con lo que aumenta la eficiencia pero crecen también los riesgos de pérdidas catastróficas de información, de puntos centralizados de fallos que podrían debilitar la estabilidad de Internet y de acceso a la información por parte de terceros;

I.    Considerando que deberían aclararse las responsabilidades de todas las partes implicadas en los servicios de computación en la nube, sobre todo en lo que respecta a la seguridad y al cumplimiento de los requisitos en materia de protección de datos;

J.    Considerando que el mercado de servicios en la nube se bifurca en dos líneas: la del consumidor y la empresarial;

K.  Considerando que, para las empresas, los servicios en la nube normalizados pueden, si satisfacen las necesidades particulares del usuario, resultar un medio atractivo de convertir los costes de capital en gastos de funcionamiento y de permitir una rápida disponibilidad y un ajuste de escala de almacenamiento y una capacidad de procesamiento adicionales;

L.   Considerando que, para los particulares, el hecho de que los proveedores de sistemas operativos para distintos tipos de dispositivos destinados a los consumidores, en particular, orienten cada vez más a estos consumidores (mediante el uso de configuraciones por defecto, etc.) hacia la utilización de servicios en la nube privados significa que estos proveedores están creando una base de consumidores cautivos y acumulando información sobre sus usuarios;

M.  Considerando que la utilización de servicios en la nube externos en el sector público debe evaluarse atentamente sopesando el incremento del riesgo en relación con la información sobre los ciudadanos y la garantía del desempeño de las funciones de servicio público;

N.  Considerando que, desde una perspectiva de seguridad, la introducción de servicios en la nube significa que la responsabilidad de mantener la seguridad de la información perteneciente a cada usuario individual se traslada del individuo al proveedor, creando así la necesidad de asegurar que los proveedores de servicios tengan la capacidad jurídica de ofrecer soluciones seguras y sólidas en cuestiones de comunicación;

O.  Considerando que el desarrollo de los servicios en la nube incrementará la cantidad de datos transmitidos y la demanda de banda ancha, de velocidades superiores de carga y de una mayor disponibilidad de la banda ancha de alta velocidad;

P.   Considerando que el logro de los objetivos de la agenda digital europea, en particular la incorporación y el acceso a la banda ancha para todos, los servicios públicos transfronterizos y los objetivos en materia de investigación e innovación, es un paso necesario para que la UE aproveche plenamente los beneficios que puede ofrecer la computación en la nube;

Q.  Considerando que se han producido recientemente algunos avances relacionados con infracciones de seguridad, sobre todo en lo que se refiere al escándalo de espionaje de PRISM;

R.   Considerando que existe una carencia de parques de servidores en territorio europeo;

S.   Considerando que el mercado único digital es un factor clave para lograr los objetivos de la Estrategia Europa 2020, que respaldará de forma significativa los esfuerzos por alcanzar los objetivos del Acta del Mercado Único y por hacer frente a la crisis económica y financiera que padece la UE;

T.   Considerando que el suministro, a escala de la UE, de redes de banda ancha, un acceso general y en condiciones de igualdad para todos los ciudadanos a los servicios de Internet y la garantía de la neutralidad de la red son condiciones fundamentales para el desarrollo del sistema europeo de computación en la nube;

U.  Considerando que el Mecanismo «Conectar Europa» pretende, entre otros aspectos, aumentar la incorporación de la banda ancha en Europa;

V.  Considerando que la computación en la nube debería estimular la integración de las PYME gracias a la reducción de las barreras de entrada al mercado (por ejemplo, mediante la reducción de los costes de infraestructuras de TI);

W. Considerando que para disponer de un sistema de computación en la nube europeo es indispensable garantizar una normativa en materia de protección de datos a escala de la Unión;

X.  Considerando que el desarrollo de la computación en la nube contribuirá a fomentar la creatividad en beneficio tanto de los titulares de derechos como de los usuarios; que, además, se deben evitar las distorsiones del mercado único en el proceso y reforzar la confianza de los consumidores y de las empresas en la computación en la nube;

Consideraciones generales

1.   Acoge con satisfacción la Comunicación de la Comisión sobre la liberación del potencial de la computación en la nube en Europa y aprueba la intención de la Comisión de desarrollar un enfoque coherente para los servicios en la nube, pero considera que, en algunos aspectos, habría resultado más oportuno recurrir a un instrumento legislativo para alcanzar los ambiciosos objetivos fijados por la estrategia;

2.   Destaca que las políticas que hacen posible una infraestructura de comunicaciones de alta capacidad y segura constituyen un elemento fundamental para todos los servicios que se basan en las comunicaciones, incluidos los servicios en la nube, y subraya que, debido al presupuesto limitado del Mecanismo «Conectar Europa», el apoyo al desarrollo de la banda ancha ha de complementarse con la asistencia ofrecida en virtud de otros programas e iniciativas de la Unión, incluidos los Fondos Estructurales y de Inversión Europeos;

3.   Hace hincapié en que los servicios en la nube deben ofrecer seguridad y fiabilidad adecuadas a los riesgos crecientes que se derivan de la concentración de datos e información en manos de un número limitado de proveedores.

4.   Subraya que el Derecho de la Unión debe ser neutral y, a falta de razones imperiosas de interés general, no debe adaptarse ni para facilitar ni para entorpecer ningún modelo de negocio o servicio legales;

5.   Destaca que una estrategia sobre computación en la nube debería incluir aspectos colaterales, como el consumo de energía de los centros de datos y cuestiones ambientales ligadas a ello;

6.   Hace hincapié en las enormes posibilidades que ofrece el tener acceso a los datos desde cualquier dispositivo conectado a Internet;

7.   Destaca el interés obvio de la UE por tener más parques de servidores en su suelo, y ello desde una doble perspectiva: en términos de política industrial, esto daría lugar a mejores sinergias con los objetivos relativos al despliegue de las redes de acceso de nueva generación (NGA) establecidos en la agenda digital y, en lo que al régimen de protección de datos de la Unión se refiere, se fomentaría la confianza al garantizar la soberanía de la UE sobre los servidores;

8.   Subraya la importancia que tiene la alfabetización digital para todos los ciudadanos e insta a los Estados miembros a que desarrollen conceptos sobre cómo promover un uso seguro de los servicios de Internet, incluidos los servicios de computación en la nube;

La nube como instrumento para el crecimiento y el empleo

9.   Hace hincapié en que, habida cuenta del potencial económico de la nube para aumentar la competitividad global de Europa, puede convertirse en un potente instrumento para el crecimiento y el empleo;

10. Subraya, por consiguiente, que el desarrollo de servicios en la nube, a falta de una infraestructura de banda ancha o en caso de que esta sea insuficiente, podría agrandar la brecha digital que existe entre las zonas urbanas y rurales, lo que complicaría todavía más el logro de la cohesión territorial y del crecimiento económico regional;

11. Destaca que la Unión se enfrenta a presiones sobre el crecimiento del PIB múltiples y simultáneas en un momento en que el margen para estimular el crecimiento a cargo de los fondos públicos está limitado por elevados niveles de deuda y de déficit, y pide a las instituciones europeas y a los Estados miembros que movilicen todo posible catalizador del crecimiento; observa que la computación en la nube puede convertirse en un desarrollo transformador en todos los sectores de la economía, con especial relevancia en ámbitos como la atención sanitaria, la energía, los servicios públicos y la educación;

12. Hace hincapié en que el desempleo, incluido el desempleo juvenil y a largo plazo, ha alcanzado niveles inaceptablemente elevados en Europa y que es probable que siga manteniéndose alto en un futuro próximo, y en que es necesaria una acción decidida y urgente a todos los niveles políticos; observa que las cibercapacidades y las acciones de formación digital en el desarrollo de la computación en la nube pueden, como consecuencia, revestir una importancia extraordinaria a la hora de abordar el desempleo creciente, en especial entre los jóvenes;

13. Subraya la necesidad de que los usuarios tengan más cibercapacidades y de que se ofrezca formación para mostrar los beneficios que puede aportar la computación en la nube; reitera la necesidad de crear más sistemas de cualificación para los especialistas que gestionan los servicios de computación en la nube;

14. Destaca que las PYME son el núcleo de la economía de la UE y que son necesarias más acciones para fomentar la competitividad global de las PYME de la UE y para crear el mejor entorno posible para la incorporación de nuevos avances tecnológicos prometedores, tales como la computación en la nube, que pueden tener una repercusión enorme en la competitividad de las empresas de la UE;

15. Insiste en el impacto positivo de los servicios de computación en la nube para las PYME, en particular para aquellas establecidas en zonas remotas o ultraperiféricas o que se enfrentan a dificultades económicas, ya que dichos servicios contribuyen a reducir los costes fijos de las PYME al permitir el alquiler de capacidad y almacenamiento informáticos, y pide a la Comisión que prevea un marco adecuado que permita a las PYME aumentar su crecimiento y productividad, dado que las PYME pueden beneficiarse de la reducción de los costes iniciales y de un mejor acceso a los instrumentos de análisis;

16. Anima a la Comisión y a los Estados miembros a informar sobre el potencial económico de la computación en la nube, en especial a las PYME;

17. Señala que la UE debe aprovechar el hecho de que esta tecnología se encuentre en una fase relativamente inicial y apostar por su desarrollo, a fin de aprovechar las economías de escala que se espera proporcione y dinamizar así su economía, en especial en el sector de las TIC;

El mercado de la UE y la nube

18. Subraya que el mercado interior debe permanecer abierto a todos los proveedores que cumplen la legislación de la Unión, ya que el libre flujo mundial de servicios y de información aumenta la competitividad de la industria de la Unión y sus oportunidades, además de beneficiar a los ciudadanos;

19. Lamenta los indicios de un acceso masivo, invasivo e indiscriminado por parte de los gobiernos a información relacionada con los usuarios de la Unión y almacenada en nubes de terceros países, y pide que los proveedores de servicios de computación en la nube sean transparentes a la hora de gestionar la información que los consumidores les proporcionan al usar dichos servicios;

20. Insiste en que, a fin de contrarrestar el riesgo de que gobiernos extranjeros accedan directa o indirectamente a la información cuando el Derecho de la Unión no lo permita, la Comisión debe:

      i)  velar por que los usuarios sean conscientes de los riesgos, por ejemplo apoyando a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) a la hora de activar la plataforma de información de interés público en la Directiva de servicio universal, y

      ii) patrocinar la investigación, el desarrollo comercial o la contratación pública en el ámbito de las tecnologías pertinentes, como en el caso del cifrado y de la anonimización, que permitan al usuario proteger su información de una manera sencilla;

      iii) implicar a la ENISA en el proceso de verificación de las normas mínimas de seguridad y privacidad de los servicios de computación en la nube ofrecidos a los consumidores de la Unión y, sobre todo, al sector público;

21. Celebra la intención de la Comisión de establecer un sistema de certificación común para toda la UE, que supondría un incentivo para los desarrolladores y los proveedores de servicios de computación en la nube para invertir en una mayor protección de la privacidad;

22. Pide a la Comisión que, en cooperación con la industria de la Unión y otras partes interesadas, determine en qué ámbitos puede resultar especialmente atractivo a escala mundial la adopción de un enfoque específico de la Unión;

23. Hace hincapié en la importancia de garantizar un mercado de la Unión competitivo y transparente a fin de ofrecer a todos los usuarios de la Unión unos servicios seguros, sostenibles, asequibles y fiables; aboga por un método sencillo y transparente para identificar los defectos de seguridad, de manera que eso suponga un incentivo suficiente y adecuado para que los proveedores de servicios en el mercado europeo solventen dichos defectos;

24. Subraya que todos los proveedores de servicios en la nube que operan en la Unión deben competir en igualdad de condiciones, con las mismas normas aplicadas a todos;

La contratación pública, la contratación de soluciones innovadoras y la nube

25. Destaca que la contratación de servicios en la nube por parte del sector público presenta el potencial de reducir costes para las administraciones públicas y proporcionar servicios más eficientes a los ciudadanos, mientras que el efecto de impulso digital para todos los sectores de la economía resultaría extremamente beneficioso; señala que el sector privado también puede beneficiarse de esos servicios en la nube para la contratación de soluciones innovadoras;

26. Anima a las administraciones públicas a plantearse la integración de servicios en la nube seguros, fiables y protegidos en la contratación en materia de TI, a la vez que destaca sus responsabilidades específicas en lo que respecta a la protección de la información relativa a los ciudadanos, la accesibilidad y la continuidad del servicio;

27. Pide, en especial, a la Comisión que se plantee utilizar servicios en la nube, si procede, a fin de dar ejemplo a los demás;

28. Pide a la Comisión y a los Estados miembros que aceleren el trabajo de la Asociación Europea de Computación en la Nube;

29. Pide a la Comisión y a los Estados miembros que hagan de la computación en la nube un ámbito prioritario de los programas de investigación y desarrollo y que, en interés de los ciudadanos, la promocionen en la administración pública como una solución de administración electrónica innovadora y, en el sector privado, como una herramienta innovadora para el desarrollo empresarial;

30. Hace hincapié en que el uso de servicios en la nube por parte de los poderes públicos, incluidos los cuerpos de seguridad y las instituciones de la UE, requiere una especial atención y coordinación entre los Estados miembros; recuerda que debe garantizarse la seguridad e integridad de los datos y evitarse todo acceso no autorizado, incluido el de los gobiernos extranjeros y sus servicios de inteligencia, no cubierto por la legislación de la Unión o un Estado miembro; subraya que lo mismo es aplicable a las actividades de tratamiento de datos específicas de ciertos servicios básicos no gubernamentales, en particular el tratamiento de categorías específicas de datos personales, como el de los bancos, aseguradoras, centros de enseñanza y hospitales; destaca, además, que lo anterior es especialmente importante si se transfieren datos entre diferentes jurisdicciones (fuera de la Unión Europea); considera, por consiguiente, que tanto las autoridades públicas como los servicios no públicos y el sector privado deben recurrir en la medida de lo posible a los proveedores de servicios en la nube de la UE cuando traten datos e información sensibles hasta que se hayan establecido a escala mundial normas satisfactorias en materia de protección de datos que garanticen la seguridad de datos sensibles y de las bases de datos mantenidas por las entidades públicas;

La normalización y la nube

31. Pide a la Comisión que encabece la promoción de normas y especificaciones que apoyen unos servicios en la nube respetuosos con la privacidad, fiables, de gran interoperatividad, seguros y eficientes desde el punto de vista energético, como parte esencial de una futura política industrial de la Unión; destaca que la fiabilidad, la seguridad y la protección de los datos son elementos necesarios para gozar de la confianza de los consumidores y ser competitivos;

32. Destaca que las normas están basadas en ejemplos de mejores prácticas;

33. Insiste en que las normas deben permitir una portabilidad fácil y completa de datos y servicios, así como un elevado grado de interoperabilidad entre servicios en la nube, para aumentar, y no limitar, la competitividad;

34. Acoge con satisfacción la cartografía de normas que se ha confiado al Instituto Europeo de Normas de Telecomunicaciones (ETSI), y resalta la importancia de seguir manteniendo un proceso abierto y transparente;

Los consumidores y la nube

35. Pide a la Comisión que garantice que los dispositivos de los consumidores no recurran a servicios en la nube por defecto ni se limiten a un proveedor de servicios en la nube en concreto;

36. Pide a la Comisión que garantice que los acuerdos comerciales entre operadores de telecomunicaciones y proveedores de servicios en la nube estén en plena conformidad con la legislación de la UE en materia de competencia y permitan a los usuarios un acceso completo a todos los servicios en la nube utilizando una conexión a Internet ofrecida por un operador de telecomunicaciones;

37. Recuerda a la Comisión que sigue sin hacer uso de la prerrogativa que le otorga la Directiva 1999/5/CE (Directiva RTTE), consistente en exigir que los equipos incorporen salvaguardas que protejan la información de los usuarios;

38. Pide a la Comisión y a los Estados miembros que conciencien a los consumidores sobre todos los riesgos relativos al uso de los servicios en la nube;

39. Pide a la Comisión que garantice que, cuando se pida a los consumidores que acepten un servicio en la nube o se les ofrezca dicho servicio de otro modo, estos reciban primero la información necesaria para tomar una decisión con conocimiento de causa, sobre todo en lo que se refiere a la jurisdicción de la que dependen los datos almacenados en dichos servicios en la nube;

40. Hace hincapié en que la información facilitada de esta manera debe revelar, entre otros aspectos, quién es el proveedor final del servicio y de qué manera se financia este servicio; destaca además que si el servicio se financia utilizando la información de los usuarios para orientar la publicidad o permitir a otros que lo hagan, debe comunicarse este particular al usuario;

41. Subraya que la información debe presentarse en un formato normalizado, portátil, fácilmente comprensible y comparable;

42. Pide a la Comisión que examine medidas adecuadas para establecer un nivel mínimo aceptable de derechos de los consumidores en el ámbito de los servicios en la nube, que abarque, en particular, la protección de la privacidad, el almacenamiento de información en un tercer país, la responsabilidad ante la pérdida de datos y otras cuestiones de interés significativo para los consumidores;

43. Pide a la Comisión y a los Estados miembros que adopten medidas concretas sobre el uso y el fomento de la computación en la nube en relación con el libre acceso y con los recursos educativos abiertos;

La propiedad intelectual, el Derecho civil, etc. y la nube

44. Insta a la Comisión a que tome medidas para una mayor armonización de las leyes en los Estados miembros con el fin de evitar cualquier confusión jurisdiccional y fragmentación y para garantizar la transparencia en el mercado único digital;

45. Pide a la Comisión que revise otros actos legislativos de la UE para resolver las lagunas relacionadas con la computación en la nube; pide, en particular, que se aclare el régimen de los derechos de propiedad intelectual y que se revisen la Directiva sobre prácticas comerciales desleales, la Directiva sobre cláusulas contractuales abusivas y la Directiva sobre el comercio electrónico, que son los actos legislativos de la UE más importantes aplicables a la computación en la nube;

46. Pide a la Comisión que establezca un marco jurídico claro en el ámbito de los contenidos protegidos por derechos de autor en la nube, especialmente por lo que se refiere a las normas de concesión de licencias;

47. Reconoce que el desarrollo del almacenamiento por los servicios de computación en la nube de obras protegidas por derechos de autor no debe cuestionar el derecho de los titulares de derechos europeos a una compensación justa por la utilización de sus obras, si bien se pregunta si estos servicios pueden gozar de idéntica consideración que los soportes y materiales de registro tradicionales y digitales;

48. Pide a la Comisión que examine los distintos tipos de servicios de computación en la nube, así como la repercusión que el almacenamiento en la nube de obras protegidas por derechos de autor tiene sobre la recaudación de dichos derechos y, más en particular, los mecanismos de imposición de cánones por copia privada que son pertinentes para determinados tipos de servicios de computación en la nube;

49. Pide a la Comisión que, de forma conjunta con las partes interesadas, fomente el desarrollo de servicios descentralizados, basados en programas informáticos libres, gratuitos y de código abierto, que contribuyan a la armonización de las prácticas entre los proveedores en la nube y permitan que los ciudadanos de la Unión recuperen el control de sus datos y comunicaciones personales, por ejemplo a través de la codificación punto a punto;

50. Subraya que, debido a las incertidumbres en cuanto a la legislación y jurisdicción aplicables, los contratos son los principales instrumentos para establecer relaciones entre proveedores de servicios en la nube y sus clientes, por lo que existe una clara necesidad de directrices comunes de la UE en este ámbito;

51. Pide a la Comisión que trabaje conjuntamente con los Estados miembros para desarrollar, a escala de la UE, modelos de buenas prácticas para contratos, o «contratos modelo», que garanticen una total transparencia al presentar todas las condiciones contractuales en un formato muy claro;

52. Pide a la Comisión que elabore, en colaboración con las partes interesadas, regímenes voluntarios de certificación para sistemas de seguridad del proveedor que contribuyan a la armonización de las prácticas entre los proveedores en la nube y que conciencien en mayor medida a los clientes sobre lo que debieran esperar de los proveedores de servicios en la nube;

53. Destaca que, debido a problemas jurisdiccionales, es poco probable que, en la práctica, los consumidores de la UE puedan obtener reparación de los proveedores de servicios en la nube en otras jurisdicciones; pide, por consiguiente, a la Comisión que proporcione medios adecuados de recurso de los consumidores en el ámbito de los servicios, ya que existe un marcado desequilibrio de fuerzas entre los consumidores y los proveedores de computación en la nube;

54. Pide a la Comisión que garantice la rápida aplicación de la resolución alternativa de litigios y de la resolución de litigios en línea, y que asegure que los consumidores cuenten con los medios adecuados de recurso colectivo contra violaciones de la privacidad y la seguridad, así como contra las disposiciones contractuales ilegales en el ámbito de los servicios en la nube;

55. Lamenta la actual carencia de soluciones eficaces para los usuarios en caso de incumplimiento del contrato;

56. Pide que se informe sistemáticamente a los consumidores sobre las actividades de procesamiento de los datos personales que se van a incluir en la propuesta de contrato, y que se cuente también con el consentimiento obligatorio de los usuarios antes de modificar los términos del contrato;

57. Pide a la Comisión que, en el marco de los debates de su grupo de expertos, exija a los proveedores de servicios en la nube que incluyan en los contratos determinadas cláusulas fundamentales que garanticen la calidad del servicio, como la obligación de actualizar el software y el hardware cuando proceda, y de determinar lo que sucedería en caso de pérdida de datos, así como el tiempo que se tardaría en solucionar un problema o cuánto tardaría el servicio en la nube en eliminar material ofensivo si el usuario de la nube así lo solicitara;

58. Recuerda que, cuando un prestador de servicios en la nube utilice datos para una finalidad distinta a la indicada en el acuerdo de prestación de servicios, o comunique o utilice los datos de una forma contraria a las condiciones del contrato, se le considerará responsable del tratamiento y deberá responder de las infracciones y vulneraciones cometidas;

59. Destaca que los acuerdos de servicios en la nube tienen que establecer de manera clara y transparente los derechos y obligaciones de las partes en lo que concierne a las actividades de tratamiento de datos por parte de los proveedores en la nube; señala que los contratos no deben incluir una exención de las salvaguardias, derechos y garantías que ofrece la legislación de la Unión en materia de protección de datos personales; insta a la Comisión a presentar propuestas para restablecer el equilibrio entre los prestadores de servicios en la nube y sus clientes en lo que respecta a los términos y condiciones utilizados por los servicios en la nube, que incluyan disposiciones para:

      –  garantizar la protección contra la cancelación arbitraria de servicios y la supresión de datos;

      –  garantizar una probabilidad razonable de que el cliente recupere los datos almacenados en caso de cancelación del servicio o supresión de datos;

      –  ofrecer unas directrices claras a los prestadores de servicios en la nube para facilitar el cambio sencillo de sus clientes a otros servicios;

60. Destaca que el papel que desempeñan los prestadores de servicios en la nube en la actual legislación de la Unión debe determinarse en función de cada caso, dado que los prestadores pueden ser tanto encargados como responsables del tratamiento; insta a una mejora de los términos y condiciones para todos los usuarios, desarrollando para ello modelos internacionales de mejores prácticas para los contratos, y aclarando dónde almacena los datos el prestador de servicios y con arreglo a qué orden jurisdiccional dentro de la UE;

61. Recalca que hay que prestar especial atención a las situaciones en las que el desequilibrio en la relación contractual entre el cliente y el prestador de servicios en la nube lleva al cliente a suscribir contratos que tengan por objeto servicios normalizados e impongan la firma de un contrato en el cual el prestador define las finalidades, condiciones y medios del tratamiento[6]; subraya que, en tales circunstancias, se considerará responsable del tratamiento al prestador de servicios en la nube, que responderá de forma solidaria junto con el cliente;

La protección de datos, los derechos fundamentales, la aplicación de la ley y la nube

62. Considera que el acceso a un Internet seguro es un derecho fundamental de todo ciudadano y que la computación en la nube seguirá desempeñando un papel importante al respecto; reitera, por consiguiente, su llamamiento a la Comisión y al Consejo para que reconozcan inequívocamente las libertades digitales como derechos fundamentales y como requisitos previos indispensables para disfrutar de derechos humanos universales;

63. Reitera que, por norma general, el nivel de protección de datos en un entorno de computación en la nube no debe ser inferior al exigido en cualquier otro contexto de tratamiento de datos;

64. Subraya que la normativa de la UE en materia de protección de datos, al ser tecnológicamente neutra, se aplica ya plenamente a los servicios de computación en la nube prestados en la UE y que, por lo tanto, tiene que respetarse escrupulosamente; destaca que conviene tener presente el dictamen del Grupo de Trabajo del artículo 29 (GT29) sobre la computación en la nube[7], pues ofrece una orientación clara para la aplicación de los principios jurídicos y normas de la UE en materia de protección de datos para los servicios en la nube, como los conceptos de responsable del tratamiento / encargado del tratamiento, la limitación de los fines y la proporcionalidad, la integridad y la seguridad de los datos, la utilización de subcontratistas, la atribución de responsabilidades, las violaciones de la seguridad de datos y las transferencias internacionales; destaca la necesidad de colmar toda laguna de protección con respecto a la computación en la nube en la revisión en curso del marco jurídico de la Unión en materia de protección de datos con arreglo a las directrices adicionales del Supervisor Europeo de Protección de Datos y el GT29;

65. Reitera su grave preocupación por la reciente revelación de los programas de vigilancia de la Agencia de Seguridad Nacional de los EE. UU. y de programas similares utilizados por los servicios de inteligencia de varios Estados miembros, pues, de confirmarse la información ya divulgada, esos programas supondrían una grave violación del derecho fundamental de los ciudadanos y residentes de la UE a la privacidad y la protección de sus datos, así como del derecho a la vida familiar y privada, la confidencialidad de las comunicaciones, la presunción de inocencia, la libertad de expresión, la libertad de información y la libertad de empresa;

66. Reitera su gran preocupación por la divulgación directa y obligatoria de información y datos personales de la UE, tratados con arreglo a contratos de servicios en la nube, a autoridades de terceros países por prestadores de servicios en la nube sujetos a la legislación de un tercer país o que utilizan servidores de almacenamiento ubicados en terceros países, así como por el acceso directo a distancia a los datos e información personales tratados por autoridades policiales y servicios de inteligencia de terceros países;

67. Deplora que este acceso suela hacerse por medio de la aplicación directa por parte de las autoridades de terceros países de sus propias normas jurídicas sin utilizar instrumentos internacionales de cooperación judicial, como la asistencia judicial mutua u otras formas de cooperación judicial;

68. Hace hincapié en que esas prácticas suscitan la cuestión de la confianza en los proveedores de servicios en línea y en la nube de fuera de la UE, así como la de que los terceros países no se sirven de los instrumentos internacionales de cooperación jurídica y judicial;

69. Espera que la Comisión y el Consejo adopten las medidas necesarias para paliar esta situación y velar por el respeto de los derechos fundamentales de los ciudadanos de la UE;

70. Recuerda que todas las empresas que ofrecen servicios en la UE deben cumplir el Derecho de la UE sin excepción y son responsables de las infracciones que cometan;

71. Hace hincapié en que los servicios en la nube que pertenecen a la jurisdicción de un tercer país deben proporcionar a los usuarios ubicados en la UE una advertencia clara y visible de la posibilidad de que sus datos personales sean objeto de vigilancia por las autoridades policiales o de inteligencia de un tercer país con arreglo a órdenes o requerimientos secretos, seguida, en su caso, de la solicitud de que el interesado dé su consentimiento expreso para el tratamiento de sus datos personales;

72. Insta a la Comisión a que, cuando negocie acuerdos internacionales que impliquen el tratamiento de datos personales, tome nota en particular de los riesgos y problemas asociados a la computación en la nube para los derechos fundamentales y, en especial, pero no exclusivamente, para el derecho a la vida privada y a la protección de los datos de carácter personal, según se establece en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea; insta asimismo a la Comisión a que tome nota de las disposiciones nacionales de los socios negociadores que rigen el acceso de la policía y los servicios de inteligencia a los datos personales tratados a través de servicios de computación en la nube, en particular exigiendo que solo pueda concederse acceso a la policía y los servicios de inteligencia dentro del pleno respeto de las debidas garantías procesales y con arreglo a una base jurídica inequívoca, y requiriendo asimismo que se especifiquen las condiciones exactas de acceso y la finalidad de este, las medidas de seguridad aplicadas en la transferencia de datos y los derechos de los particulares, así como las normas de supervisión y un mecanismo de recurso efectivo;

73. Hace hincapié en la grave preocupación que suscitan los trabajos realizados en el Consejo de Europa por el Comité del Convenio sobre la Ciberdelincuencia con miras a desarrollar un protocolo adicional sobre la interpretación del artículo 32 del Convenio sobre la Ciberdelincuencia, de 23 de noviembre de 2001, sobre el «acceso transfronterizo a datos almacenados, con consentimiento o cuando estén a disposición del público»[8], con objeto de «facilitar la utilización y la aplicación efectivas» del Convenio a la luz de «novedades significativas de carácter jurídico, político o tecnológico»; pide a la Comisión y a los Estados miembros que, en vista del próximo examen por el Comité de Ministros del Consejo de Europa, aseguren la compatibilidad del artículo 32 del Convenio sobre la Ciberdelincuencia y su interpretación en los Estados miembros con los derechos fundamentales, incluida la protección de datos y, en particular, las disposiciones sobre los flujos transfronterizos de datos personales, con arreglo a lo previsto en la Carta de los Derechos Fundamentales de la UE, el acervo de la UE en materia de protección de datos, el Convenio Europeo de Derechos Humanos y el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108), que son jurídicamente vinculantes en los Estados miembros; pide a la Comisión y a los Estados miembros que rechacen firmemente toda medida que pueda poner en peligro la aplicación de esos derechos; expresa su alarma por el hecho de que la aprobación de tal protocolo adicional podría conllevar que las autoridades policiales accedieran a distancia sin restricciones a los servidores y ordenadores situados en otras jurisdicciones, sin recurrir a los acuerdos sobre la asistencia judicial mutua u otros instrumentos de cooperación judicial previstos para garantizar los derechos fundamentales de las personas, incluidos la protección de datos y el respeto de las garantías procesales;

74. Destaca que ha de prestarse especial atención a las PYME que dependen cada vez más de la tecnología de computación en la nube cuando procesan datos personales y que no siempre disponen de los recursos o los conocimientos técnicos necesarios para hacer frente de forma adecuada a las amenazas contra la seguridad;

75. Destaca que la cualificación del responsable y del encargado del tratamiento debe quedar debidamente reflejada en el verdadero nivel de control sobre los medios de tratamiento, a fin de asignar claramente las responsabilidades para la protección de los datos personales con el uso de la computación en la nube;

76. Destaca que los prestadores de servicios de computación en la nube deben tener plenamente en cuenta, en el tratamiento de datos personales, todos los principios establecidos en la legislación de la UE en materia de protección de datos, como la imparcialidad y la legalidad, la limitación de los fines, la proporcionalidad, la exactitud y los períodos limitados de conservación de datos;

77. Subraya la importancia de contar con sanciones administrativas eficaces, proporcionadas y disuasorias que puedan imponerse cuando los servicios de computación en la nube no cumplan las normas de protección de datos de la UE;

78. Destaca que para definir las salvaguardias más adecuadas de aplicación hay que evaluar caso por caso el impacto de la protección de datos de cada servicio de computación en la nube;

79. Destaca que un prestador europeo de servicios en la nube siempre deberá actuar de conformidad con la legislación de la UE en materia de protección de datos, aunque ello sea incompatible con las instrucciones dadas por un cliente o responsable del tratamiento establecido en un tercer país o cuando los interesados en cuestión sean (únicamente) residentes de terceros países;

80. Hace hincapié en la necesidad de abordar los retos planteados por la computación en la nube a nivel internacional, en particular la vigilancia de los servicios gubernamentales de inteligencia y las salvaguardias necesarias;

81. Destaca que los ciudadanos de la UE sujetos a la vigilancia de la información por parte de las autoridades de un tercer país deben disfrutar —al menos— de las mismas salvaguardias y recursos a disposición de los ciudadanos del tercer país en cuestión;

82. Lamenta el enfoque adoptado por la Comisión en su Comunicación, pues no menciona los riesgos y peligros asociados a la computación en la nube, y le insta a proseguir sus trabajos y a presentar una comunicación más completa sobre la computación en la nube que tenga en cuenta los intereses de todos los afectados y que, junto a una referencia normalizada al respeto de los derechos fundamentales y de las obligaciones en materia de protección de datos, incluya cuando menos lo siguiente:

      –  directrices para asegurar el pleno respeto de los derechos fundamentales y las obligaciones de la UE en materia de protección de datos;

      –  condiciones restrictivas en las que se puede permitir o no el acceso a los datos en la nube con fines policiales, de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea y la legislación de la UE;

      –  salvaguardias contra el acceso ilegal por parte de entidades extranjeras o nacionales, por ejemplo, modificando los requisitos para la adjudicación de contratos públicos y aplicando el Reglamento (CE) n° 2271/96[9] para contrarrestar la legislación extranjera que puede dar lugar a transferencias masivas ilegales de datos de la nube pertenecientes a ciudadanos y residentes de la UE;

      –  propuestas sobre cómo definir la «transferencia» de datos personales y cómo actualizar las cláusulas contractuales generales adaptadas al entorno de la nube, dado que a menudo la computación en la nube implica flujos de datos masivos de los clientes de la nube a los servidores de los prestadores de la nube y a centros de datos en los que participan muchas partes diferentes y que cruzan fronteras entre países pertenecientes y no pertenecientes a la UE;

83. Pide a la Comisión que examine la adecuación de una revisión del Acuerdo de Puerto Seguro entre la UE y los Estados Unidos, con el fin de adaptarlo a la evolución tecnológica, en especial en lo que respecta a los aspectos relacionados con la computación en la nube;

84. Encarga a su Presidente que transmita la presente Resolución al Consejo y a la Comisión.

  • [1]  Textos Aprobados, P7_TA(2010)0133.
  • [2]  DO L 171 de 7.7.1999, p. 12.
  • [3]  DO L 281 de 23.11.1995, p. 31.
  • [4]  DO L 178 de 17.7.2000, p. 1.
  • [5]  DO L 167 de 22.6.2001, p. 10.
  • [6]  Sobre todo en el caso de consumidores y PYME que utilicen servicios en la nube.
  • [7]  El dictamen 5/2012, WP 196 está disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm#h2-1.
  • [8]  http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T CY(2013)14transb_elements_protocol_V2.pdf http://www.coe.int/t/DGHL/cooperation/economiccrime/cybercrime/default_en.asp
  • [9]  Reglamento (CE) nº 2271/96 del Consejo, de 22 de noviembre de 1996, relativo a la protección contra los efectos de la aplicación extraterritorial de la legislación adoptada por un tercer país, y contra las acciones basadas en ella o derivadas de ella (DO L 309 de 29.11.1996, p. 1); http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31996R2271:ES:HTML).

EXPOSICIÓN DE MOTIVOS

Todas las empresas mundiales se dan cuenta cada vez más del aumento de la productividad que pueden lograr accediendo fácilmente a las aplicaciones de negocio con mejor rendimiento o impulsando drásticamente sus recursos de infraestructura a costes asequibles. En este sentido, según la Comisión Europea, se calcula que para 2014 los ingresos de la nube pueden alcanzar los 148 800 millones y que el 60 % de la carga de trabajo de todos los servidores será virtual.

Las perspectivas económicas y comerciales de la nube son realmente prometedoras y, por lo tanto, existen argumentos empresariales para su desarrollo, lo que en términos prácticos significa que con o sin intervención europea, la computación en la nube seguirá desarrollándose en un sentido u otro.

En el pasado, las instituciones de la Unión han dado algunos pasos pequeños pero bien recibidos, por ejemplo cuando la Comisión Europea publicó en 2010 la Comunicación «Hacia la interoperabilidad de los servicios públicos europeos» o el informe de la ENISA sobre las principales cuestiones de seguridad ligadas a la nube.

En consecuencia, se acoge con satisfacción la presentación de la estrategia de la Comisión en materia de computación en la nube. Sin embargo, no debemos olvidar que al desarrollar cualquier marco estratégico de acción, y en particular esta futura estrategia para la computación en la nube, se debe aspirar a ser lo más horizontal posible sin dar por descontadas algunas circunstancias que podría parecer que no afectan directamente a su desarrollo.

Por ello, las políticas en materia de infraestructuras resultan fundamentales: unas sólidas redes de comunicaciones fijas y móviles son un requisito previo a la hora de aprovechar al máximo todo el potencial de la nube y, por tanto, la ponente lamenta que la Comunicación sobre el Mecanismo «Conectar Europa» y, más en concreto, la propuesta de Reglamento sobre orientaciones para las redes transeuropeas de telecomunicaciones —medidas bienvenidas que tienen la capacidad de impulsar la muy necesaria inversión en redes de banda ancha en Europa— no podrán rendir adecuadamente si no reciben los recursos financieros adecuados.

Por otra parte, debido al fuerte carácter comercial de los sistemas en la nube, la futura estrategia debe abordar un número elevado de aspectos que van desde cuestiones tecnológicas relativas al desarrollo de los sistemas en la nube, la administración y la escalabilidad elástica, sin olvidar la flexibilidad que cualquier desarrollo de las TIC necesita para no obstaculizar la innovación al abordar asuntos de normalización, hasta cuestiones no técnicas tales como los aspectos jurídicos relativos a la privacidad y la seguridad de los datos, que plantean un obstáculo importante para una incorporación generalizada de las infraestructuras de nube.

En relación con estos últimos aspectos, el marco reglamentario propuesto para la protección de los datos que se está debatiendo en el Parlamento es positivo, dada la urgente necesidad, tal como se exigía en el informe de propia iniciativa de esta institución sobre una Agenda Digital para Europa, de adaptar el régimen de 1995 a la sociedad digital. No obstante, resulta fundamental que el resultado final no impida el desarrollo de servicios en la nube nuevos y avanzados, y que se fomente su aceptación. En este sentido, resulta importante que el marco de protección de los datos establezca una clara delimitación de los papeles y responsabilidades de quienes los controlan y los procesan. Asimismo, también acogemos con satisfacción la propuesta reciente de una directiva sobre la seguridad de las redes y de la información.

Son aspectos cruciales; no debemos olvidar que la nube, debido a su carácter externalizado, añade una característica adicional de inseguridad a nuestra percepción de la seguridad y de la protección de datos. En este sentido, el Foro Económico Mundial ha observado que el 90 % de los proveedores y usuarios de servicios en la nube consideran que los riesgos para la privacidad son una barrera «muy importante» para una aceptación generalizada de la computación en la nube.

Además, Europa debe estimular la investigación y el desarrollo tecnológico en el ámbito de la computación en la nube. El excelente bagaje de Europa en aspectos clave de la investigación y el desarrollo, tales como las GRID y las arquitecturas orientadas a servicios, puede dar a la UE una ventaja competitiva. En consecuencia, Horizonte 2020 debe desempeñar un papel principal.

En cuanto a las líneas de acción concretas de la Comunicación de la Comisión, pueden destacarse las siguientes:

1. Abrirse paso a través de la selva de normas

Se trata de un aspecto fundamental. Al final, los usuarios deben poder cambiar de proveedor de nube de una manera rápida y segura. En otras palabras: resultan esenciales la portabilidad total, un elevado grado de interoperabilidad y unas especificaciones abiertas. Deben invertirse esfuerzos para acabar con la retención de clientes. En consecuencia, la cartografía de las normas existentes encargada al ETSI supone, en esta fase, un buen inicio, pero debe garantizarse que el proceso sea lo más abierto y transparente posible. La ponente considera asimismo que las normas de la nube son, por definición, de carácter mundial, y que ninguna región del mundo puede abordar ella sola las normas de aplicación mundial. Europa debe centrarse en maximizar las oportunidades para sus PYME y sus consumidores en el mercado mundial. Necesitamos normas que tengan el potencial suficiente para convertirse en normas mundiales.

Además, la ENISA también puede desempeñar una función importante y la ponente está de acuerdo en que debería contribuir al desarrollo de regímenes de certificación voluntarios en toda la UE para la computación en la nube, respetando la fecha límite fijada en la Comunicación para establecer una lista de tales regímenes a más tardar en 2014.

2. Condiciones contractuales seguras y justas

A pesar de que la normativa común de compraventa europea se ocupa de los contratos de «contenido digital» para consumidores y pequeñas empresas, podría ser necesario un instrumento para abordar otros aspectos, especialmente la ubicación y la transferencia de los datos (debe prestarse la máxima atención a los dictámenes del Grupo de Trabajo del Artículo 29) y la terminología contractual común.

El principio subyacente en esta acción clave debe ser, con todo, que la nube ofrece diferentes servicios y modelos de negocio que no son de «talla única». Por lo tanto, al fijar «condiciones contractuales seguras y justas», queda claro que los contratos entre empresas y consumidores tienen un carácter sustancialmente distinto de los que firman las empresas entre sí. Del mismo modo, los retos a los que se enfrentan las administraciones públicas al pasarse a los servicios en la nube son muy distintos de los que esperan a los consumidores. Dicho de otro modo, nubes diferentes responden a necesidades y retos diferentes. Sin embargo, el Derecho contractual debe poder reflejar todos los aspectos.

3. Promover un liderazgo común del sector público mediante una Asociación Europea de Computación en la Nube

La ponente considera que el sector público, incluida la propia Comisión, deben tomar la delantera, y ello no solo por el aumento de la productividad que puede alcanzarse accediendo fácilmente a las aplicaciones y tecnologías con mejor rendimiento a costes asequibles, sino porque, además, los ciudadanos podrían disfrutar de unos servicios públicos más eficientes e innovadores. Por poner un ejemplo, las perspectivas en materia de sanidad electrónica, educación y servicios de transporte son enormes.

La asociación para la computación en la nube es un instrumento positivo; sin embargo, debemos pasar a la fase siguiente. Se necesita urgentemente un mayor grado de coordinación y evitar el grave peligro de que, en un futuro próximo, el mercado del sector público esté aún más fragmentado, como ocurre con la identificación electrónica, para la que no se estableció coordinación alguna cuando los Estados miembros empezaron a desarrollar sus distintos sistemas nacionales.

La ponente opina que, a fin de aprovechar plenamente los beneficios de la tecnología en la nube y maximizar el uso de los recursos, el sector público debe actuar como motor, debido a su tamaño y a su presencia en casi todos los sectores en Europa. Debemos insistir en que las administraciones públicas lleven a cabo su proceso de transición digital y empiecen, de una manera proactiva, a coordinar sus iniciativas inmediatamente.

De manera similar, las instituciones europeas también deben empezar sin demora a evaluar las posibilidades y los retos que la tecnología en la nube puede ofrecerles. Debido a las muchas y complejas preguntas que deben resolverse (limitaciones presupuestarias estructurales, posible falta de desarrollo de mercado, aclaración de aspectos de seguridad interna, etc.), las instituciones deben elaborar una estrategia para las instituciones europeas.

La computación en la nube y el mercado único digital

El pleno desarrollo de la computación en la nube reviste una importancia estratégica a la hora de completar el mercado único digital. En este sentido, la estrategia en la nube afecta a muchos aspectos que crean la necesidad de una mayor convergencia y, posiblemente, la armonización, con objeto de eliminar todas las barreras existentes en ámbitos como el desarrollo de la banda ancha, la asignación de espectro, la protección de los consumidores, los derechos de propiedad intelectual, la protección de datos, las normativas para productos específicos y las transacciones de pago.

En consecuencia, el desarrollo de la nube en Europa posee un potencial extraordinario para convertirse en un potente catalizador que permita completar el mercado único digital.

OPINIÓN de la Comisión de Asuntos Jurídicos* (23.9.2013)

para la Comisión de Industria, Investigación y Energía

sobre la liberación del potencial de la computación en nube en Europa
(2013/2063(INI))

Ponente de opinión (*): Lidia Joanna Geringer de Oedenberg

(*) Procedimiento de comisiones asociadas – artículo 50 del Reglamento

BREVE JUSTIFICACIÓN

La ponente acoge con satisfacción la Comunicación de la Comisión, pero considera oportuno, a fin de garantizar que la próxima legislación será operativa, pedir a la Comisión que haga más restrictivas algunas disposiciones y examine el problema junto con toda la demás legislación que pueda ayudar a eliminar obstáculos y a desbloquear todo su potencial.

La computación en nube tiene un enorme potencial y debería proporcionar beneficios para las empresas, los ciudadanos y el sector público[1], pero, como nuevo modelo de red informática, plantea algunos riesgos legales y contractuales. Entre otras preocupaciones, como la seguridad o el encajonamiento (lock-in) del proveedor, es grande la inquietud entre los proveedores de servicios y los usuarios con respecto a la falta de estandarización que se requeriría para un mercado único en toda Europa, la diversidad de la legislación pertinente en toda Europa, la falta de claridad en las disposiciones contractuales en la actualidad, y la falta de normas claras sobre los derechos de propiedad intelectual (DPI).

Investigaciones recientes muestran que el 48 % de los ejecutivos, en los sectores tanto privado como público, son conscientes de que la aplicación de la computación en nube puede acelerar y facilitar su trabajo. No obstante, más de la mitad de ellos no han iniciado ningún procedimiento para minimizar los riesgos empresariales, como el robo de identidad.

La mayor amenaza en la nube son los llamados «internos», los que trabajan en los establecimientos de prestación de servicios en nube, que tienen acceso a los datos de los clientes, seguidos por otros inquilinos del proveedor de servicios en la nube, sobre todo en caso de avería de los mecanismos de aislamiento.

El mercado único digital de la UE sigue estando fragmentado debido a los diferentes regímenes jurídicos entre los Estados miembros, y cuando se trata de derechos de propiedad intelectual se ha logrado únicamente un limitado nivel de armonización a raíz de la Directiva sobre los derechos de autor. Por lo tanto, la acción debe estar dirigida a abordar la cuestión de los servicios en nube que dependen de un régimen de DPI uniforme para cruzar las fronteras. Las propuestas sobre la gestión colectiva de los derechos y el canon por copia privada deben tener en cuenta el desarrollo de las nuevas tecnologías, en particular los servicios de computación en nube, y aclarar las normas de protección de los DPI en un entorno digital.

De acuerdo con la reciente consulta pública de la Comisión sobre computación en nube, el régimen jurídico no estaba claro para los encuestados en el 90 % de los casos. Existe una confusión general entre las partes interesadas en materia de derechos y responsabilidades en situaciones transfronterizas de computación en nube, en particular en lo que respecta a cuestiones relativas a responsabilidad y jurisdicción. Junto con la fragmentación del mercado interior, esto exige una mayor armonización de las legislaciones en los Estados miembros, en particular mediante la eliminación de lagunas y deficiencias en la legislación aplicable de la UE, en particular la Directiva sobre prácticas comerciales desleales y la Directiva sobre cláusulas contractuales abusivas, en términos de protección de los consumidores, así como la Directiva sobre comercio electrónico en lo que respecta a las exenciones de cánones por copia privada.

Los consumidores y las PYME que deseen hacer uso de nubes públicas se enfrentan a menudo con contratos de «lo tomas o lo dejas», en la mayoría de los casos acuerdos de casilla de punteo. Por lo tanto, la Comisión debe considerar, junto con los Estados miembros, la posibilidad de introducir normas o modelos de contrato de mayor claridad. Hay una necesidad de directrices y de modelos contractuales normalizados que expongan los términos y las condiciones clave de importancia para los usuarios clave, y que, al mismo tiempo, aumenten la transparencia.

En consecuencia, los usuarios de nubes deberían, además, ser capaces de evaluar cualquier oferta de servicios en nube sobre la base de procedimientos normalizados con respecto a la seguridad y las garantías que proporciona el servicio, los denominados Acuerdos de Nivel de Servicio (ANS). Por lo tanto, se debería implementar a nivel europeo un sistema voluntario de certificación que permita a los usuarios evaluar y comparar, de manera simple, el nivel de cumplimiento de las normas, la interoperabilidad y los sistemas de seguridad de los servicios en nube, teniendo en cuenta las diferencias encontradas a este respecto en los tres niveles diferentes de servicio: infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y programas como servicio (SaaS). El primer caso se refiere a equipos de seguridad, líneas de suministro, datos, etc. En el segundo caso, la responsabilidad de la seguridad incumbe en gran medida al cliente, que debería proteger adecuadamente sus datos. En el tercer caso, la responsabilidad incumbe al proveedor.

Es necesario prever los medios adecuados de compensación para los usuarios en cuanto a los proveedores de servicios de computación en nube, en particular en el ámbito de los servicio al consumidor. Debido a problemas de jurisdicción, es poco probable que los consumidores europeos actualmente estén en condiciones de reclamar compensación del proveedor de servicios. Por consiguiente, la Comisión debe acelerar la puesta en práctica de la Resolución sobre la resolución alternativa y en línea de litigios y formas de compensación colectiva para facilitar la solución de los conflictos en esta área que afrontan los usuarios, sin ejercer demasiada presión adicional sobre los tribunales nacionales.

SUGERENCIAS

La Comisión de Asuntos Jurídicos pide a la Comisión de Industria, Investigación y Energía, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

1.  Insta a la Comisión a que tome medidas para una mayor armonización de las leyes en los Estados miembros con el fin de evitar toda confusión jurisdiccional y fragmentación y para garantizar la transparencia en el mercado único digital;

2.  Toma nota de la imperiosa necesidad de una legislación europea clara y uniforme en materia de computación en nube a fin de garantizar un entorno europeo competitivo, una innovación en aumento y un crecimiento acelerado;

3.  Pide a la Comisión que revise otros actos legislativos de la UE para resolver las lagunas relacionadas con la computación en nube; pide, en particular, la clarificación del régimen de los derechos de propiedad intelectual, y la revisión de la Directiva sobre prácticas comerciales desleales, la Directiva sobre cláusulas contractuales abusivas y la Directiva sobre el comercio electrónico, que son los actos legislativos de la UE más importantes aplicables a la computación en nube;

4.  Toma nota de la importancia de tener en cuenta el marco jurídico para la computación en nube en el contexto de la revisión en curso de las normas de la UE en materia de protección de datos, a fin de garantizar unas normas claras en lo que respecta al tratamiento de datos personales; toma nota de la importancia que reviste la libre circulación de estos datos en un marco jurídico seguro, que propiciará una mayor interoperabilidad de los datos y, sobre todo, una mayor confianza de los usuarios;

5.  Recuerda que la protección de la vida privada es un derecho fundamental, por lo que el desarrollo de nuevos servicios de computación en nube debe garantizar un elevado nivel de protección de los datos personales, en consonancia con los derechos y libertades fundamentales de la Unión;

6.  Pide la creación de un distintivo europeo para garantizar que, en caso de transferencia de datos personales de ciudadanos europeos a terceros países, las empresas implicadas y los terceros países en cuestión respeten el Derecho de la Unión así como el derecho fundamental a la protección de la vida privada;

7.  Pide a la Comisión que adopte las medidas necesarias y facilite la cooperación entre los operadores privados para el desarrollo de una computación en nube europea, que respete los principios y valores de la Unión;

8.  Pide a la Comisión que establezca un marco jurídico claro en el ámbito de los contenidos protegidos por derechos de autor en la nube, especialmente por lo que se refiere a las normas de concesión de licencias;

9.  Reconoce que el desarrollo del almacenamiento en nube de obras protegidas por los servicios de computación en nube no debe cuestionar el derecho de los titulares de derechos europeos a una compensación justa por la utilización de sus obras, si bien se pregunta si estos servicios pueden gozar de idéntica consideración que los soportes y materiales de registro tradicionales y digitales;

10. Pide a la Comisión que evalúe los distintos tipos de servicios de computación en nube, la repercusión del almacenamiento en la nube de obras protegidas sobre los sistemas de derechos de autor y, más en particular, sobre los mecanismos de canon por copia privada que son pertinentes para determinados tipos de servicios de computación en nube;

11. Subraya que, debido a las incertidumbres en cuanto a la legislación y jurisdicción aplicables, los contratos son los principales instrumentos para establecer relaciones entre proveedores de nube y sus clientes, por lo que existe una clara necesidad de directrices comunes europeas comunes en este ámbito;

12. Pide a la Comisión que trabaje conjuntamente con los Estados miembros para desarrollar modelos europeos de buenas prácticas para contratos, o «contratos modelo» que garanticen una total transparencia al presentar todas las condiciones contractuales en un formato muy claro;

13. Destaca la importancia de los servicios de computación en nube para las PYME, en especial para las establecidas en zonas remotas o periféricas o que atraviesan dificultades económicas, y pide a la Comisión que prevea un marco adecuado que permita a las PYME aumentar su crecimiento y productividad, ya que las PYME pueden beneficiarse de la reducción de los costes iniciales y de un mejor acceso a los instrumentos de análisis;

14. Pide a la Comisión que elabore, en colaboración con las partes interesadas, regímenes voluntarios de certificación para sistemas de seguridad del proveedor que contribuyan a la armonización de las prácticas entre los proveedores en nube y que conciencien en mayor medida a los clientes sobre lo que debieran esperar de los proveedores de servicios en nube;

15. Pide a la Comisión que, de forma conjunta con las partes interesadas, fomente el desarrollo de servicios descentralizados, basados en programas informáticos libres, gratuitos y de código abierto (FOSS), que contribuyan a la armonización de las prácticas entre los proveedores en nube y permitan que los ciudadanos europeos recuperen el control de sus datos y comunicaciones personales, por ejemplo a través de la codificación punto a punto;

16. Destaca que, debido a problemas jurisdiccionales, es poco probable que, en la práctica, los consumidores europeos puedan obtener reparación de los proveedores de servicios en nube en otras jurisdicciones; pide, por consiguiente, a la Comisión que proporcione medios adecuados de recurso de los consumidores en el ámbito de los servicios, ya que existe un marcado desequilibrio de fuerzas entre los consumidores y los proveedores de computación en nube;

17. Pide a la Comisión que garantice la rápida aplicación de la resolución alternativa de litigios y de la resolución de litigios en línea, y que asegure que los consumidores cuenten con los medios adecuados de recurso colectivo contra violaciones de la privacidad y la seguridad, así como contra las disposiciones contractuales ilegales en el ámbito de los servicios en nube.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación

17.9.2013

 

 

 

Resultado de la votación final

+:

–:

0:

23

0

0

Miembros presentes en la votación final

Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Giuseppe Gargani, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Antonio López-Istúriz White, Antonio Masip Hidalgo, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Dimitar Stoyanov, Alexandra Thein, Cecilia Wikström, Tadeusz Zwiefka

Suplente(s) presente(s) en la votación final

Eva Lichtenberger, Angelika Niebler, József Szájer, Axel Voss

Suplente(s) (art. 187, apdo. 2) presente(s) en la votación final

Olle Schmidt

  • [1]  Se prevé un aumento espectacular del mercado mundial, de 21 500 millones USD en 2010 a 73 000 millones USD en 2015; se calcula que la computación en nube va a incrementar el PNB de las cinco mayores economías en Europa entre el 1 y el 2 %; se espera crear 11,3 millones de empleos en la economía mundial para 2014 (datos procedentes de las previsiones para 2011-2015 en servicios TI de computación en nube a escala mundial y regional de International Data Corporation (IDC) y de Federico Etro, The Economics of Cloud Computing, 2011).

OPINIÓN de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior* (19.9.2013)

para la Comisión de Industria, Investigación y Energía

sobre la liberación del potencial de la computación en nube en Europa
(2013/2063(INI))

Ponente de opinión (*): Judith Sargentini

(*)    Procedimiento de comisiones asociadas – artículo 50 del Reglamento

SUGERENCIAS

La Comisión de Libertades Civiles, Justicia y Asuntos de Interior pide a la Comisión de Industria, Investigación y Energía, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

1.  Reitera que, además de su potencial y sus beneficios para las empresas, los ciudadanos, el sector público y el medio ambiente, en especial en materia de reducción de costes, la «computación en nube» conlleva importantes riesgos y desafíos, en particular para los derechos fundamentales (incluida la privacidad y la protección de los datos personales) y por ser mayor su efecto en caso de perturbaciones de su funcionamiento, tanto si están causadas por fallos, negligencia o actividad delictiva, como en caso de operación hostil por parte de otro país;

2.  Considera que el acceso a un internet seguro es un derecho fundamental de todo ciudadano y que la «computación en nube» seguirá desempeñando un papel importante a tal respecto; reitera, por consiguiente, su llamamiento a la Comisión y al Consejo para que reconozcan inequívocamente las libertades digitales como derechos fundamentales y como requisitos previos indispensables para disfrutar de derechos humanos universales;

3.  Reitera que, por norma general, el nivel de protección de datos en un entorno de «computación en nube» no debe ser inferior al exigido en cualquier otro contexto de tratamiento de datos;

4.  Subraya que la normativa de la UE en materia de protección de datos, pues es tecnológicamente neutra, se aplica ya plenamente a los servicios de computación en nube prestados en la UE y que, por lo tanto, tiene que respetarse escrupulosamente; destaca que conviene tener presente el dictamen del Grupo de Trabajo del artículo 29 (GT29) sobre la computación en nube[1], pues ofrece una orientación clara para la aplicación de los principios jurídicos y normas de la UE en materia de protección de datos para los servicios de nube como los conceptos de responsable del tratamiento / encargado del tratamiento, limitación de los fines y proporcionalidad, integridad y seguridad de los datos, la utilización de subcontratistas, la atribución de responsabilidades, las violaciones de la seguridad de datos y las transferencias internacionales; destaca la necesidad de colmar toda laguna de protección con respecto a la computación en nube en la revisión en curso del marco jurídico de la Unión en materia de protección de datos con arreglo a la directriz adicional del Supervisor Europeo de Protección de Datos (SEPD) y el GT29; considera que no toda la información sensible son datos personales e insta a la Comisión a proponer directrices para proteger los datos no personales sensibles en el contexto de la nube, sobre todo en el caso de datos gubernamentales y de organizaciones como bancos, aseguradoras, fondos de pensiones, centros de enseñanza y hospitales;

5.  Recuerda que, cuando un prestador de servicios en la nube utilice datos para una finalidad distinta a la indicada en el acuerdo de prestación de servicios, o comunique o utilice los datos de una forma contraria a las condiciones del contrato, deberá considerarse responsable del tratamiento y será responsable de las infracciones y vulneraciones cometidas;

6.  Destaca que los acuerdos de servicios en nube tienen que establecer de manera clara y transparente los derechos y obligaciones de las partes en lo que concierne a las actividades de tratamiento de datos por parte de los proveedores en nube; señala que los contratos no deben incluir una exención de las salvaguardias, derechos y protección que ofrece la legislación europea de protección de datos personales; insta a la Comisión a presentar propuestas para restablecer el equilibrio entre los prestadores de servicios en la nube y sus clientes en lo que respecta a los términos y condiciones utilizados por los servicios en la nube, que incluyan disposiciones:

  para garantizar la protección contra la cancelación arbitraria de servicios y la supresión de datos;

  garantizar una probabilidad razonable de que el cliente recupere los datos almacenados en caso de cancelación del servicio o supresión de datos;

  ofrecer unas directrices claras a los prestadores de servicios en la nube para facilitar el cambio sencillo de sus clientes a otros servicios;

7.  Destaca que el papel que desempeñan los prestadores de servicios en la nube en la actual legislación de la Unión debe determinarse en función de cada caso, dado que los prestadores pueden ser tanto encargados como responsables del tratamiento; insta a una mejora de los términos y condiciones para todos los usuarios mediante el desarrollo de modelos internacionales de mejores prácticas para los contratos y la aclaración sobre dónde almacena datos el prestador de servicios y con sujeción a qué jurisdicción dentro de la UE;

8.  Recalca que hay que prestar especial atención a las situaciones en que el desequilibrio en la relación contractual entre el cliente y el prestador de servicios en la nube lleva al cliente a suscribir contratos que tengan por objeto servicios normalizados e impongan la firma de un contrato en el cual el prestador define las finalidades, condiciones y medios del tratamiento[2]; subraya que, en tales circunstancias, el prestador de servicios en la nube se considerará «responsable del tratamiento» y será responsable junto con el cliente;

9.  Hace hincapié en que el uso de servicios en nube por parte de los poderes públicos, incluidos los cuerpos de seguridad y las instituciones de la UE, requiere una especial atención y coordinación entre los Estados miembros; recuerda que debe garantizarse la seguridad e integridad de los datos y evitarse todo acceso no autorizado, incluido el de los gobiernos extranjeros y sus servicios de inteligencia, no cubierto por la legislación de la Unión o un Estado miembro; subraya que lo mismo es aplicable a las actividades de tratamiento de datos específicas de ciertos servicios básicos no gubernamentales, en particular el tratamiento de categorías específicas de datos personales, como bancos, aseguradoras, centros de enseñanza y hospitales; insta a la Comisión a elaborar las directrices que deben seguir estas organizaciones cuando utilicen los servicios en la nube para tratar, transmitir y almacenar sus datos, incluida la adopción de normas abiertas a fin de evitar la dependencia de un prestador, y a dar preferencia a los programas informáticos de código abierto para mejorar la transparencia y la responsabilidad de los servicios utilizados; destaca, además, que lo anterior es especialmente importante si se transfieren datos entre diferentes jurisdicciones (en el exterior de la Unión Europea); considera, por consiguiente, que tanto las autoridades públicas como los servicios no públicos y el sector privado deben recurrir en la medida de lo posible a las nubes europeas cuando traten datos e información sensibles hasta que se hayan establecido normas globales satisfactorias de protección de datos que garanticen la seguridad de datos sensibles y de las bases de datos mantenidas por las entidades públicas;

10. Recuerda su grave preocupación por la reciente revelación de los programas de vigilancia de la Agencia de Seguridad Nacional de los EE.UU. y de programas similares utilizados por los servicios de inteligencia de varios Estados miembros, pues, de confirmarse la información ya divulgada, esos programas suponen una grave violación del derecho fundamental de los ciudadanos y residentes de la UE a la privacidad y la protección de datos personales, así como del derecho a la vida familiar y privada, la confidencialidad de las comunicaciones, la presunción de inocencia, la libertad de expresión, la libertad de información y la libertad de empresa;

11. Reitera su gran preocupación por la divulgación directa y obligatoria de información y datos personales de la UE tratados con arreglo a contratos de servicio en la nube a autoridades de terceros países por prestadores de servicios en nube sujetos a la legislación de un tercer país o que utilicen servidores de almacenamiento ubicados en terceros países y por el acceso directo a distancia a los datos e información personales tratados por autoridades policiales y servicios de inteligencia de terceros países;

12.  Deplora que este acceso suele hacerse por medio de la aplicación directa por parte de las autoridades de terceros países de sus propias normas jurídicas sin utilizar instrumentos internacionales de cooperación judicial como la asistencia judicial mutua o la cooperación judicial;

13.  Hace hincapié en que esas prácticas suscitan la cuestión de la confianza en los proveedores de servicios en línea y en nube del exterior de la UE y de que los terceros países no se sirven de los instrumentos internacionales de cooperación jurídica y judicial;

14. Espera que la Comisión y el Consejo adopten las medidas necesarias para paliar esta situación y velar por el respecto de los derechos fundamentales de los ciudadanos de la UE;

15. Recuerda que todas las empresas que ofrezcan servicios en la UE deben cumplir el Derecho de la UE sin excepción y son responsables de las infracciones que cometan;

16. Hace hincapié en que los servicios en la nube que pertenecen a la jurisdicción de un tercer país deben proporcionar a los usuarios ubicados en la UE una advertencia clara y visible de la posibilidad de que sus datos personales sean objeto de vigilancia de la información por las autoridades policiales o de inteligencia de un tercer país con arreglo a órdenes secretas o acciones inhibitorias, seguida, en su caso, de la solicitud de que el interesado dé su consentimiento expreso para el tratamiento de sus datos personales;

17. Insta a la Comisión a que, cuando negocie acuerdos internacionales que impliquen el tratamiento de datos personales, tome nota en particular de los riesgos y problemas asociados a la «computación en nube» para los derechos fundamentales, y en particular, pero no exclusivamente, para el desarrollo del derecho a la intimidad y la protección de datos personales, según se establece en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea; insta asimismo a la Comisión a que tome nota de las normas nacionales del socio negociador que rigen el acceso de la policía y los servicios de inteligencia a los datos personales tratados a través de servicios de «computación en nube», en particular exigiendo que solo pueda concederse acceso a la policía y los servicios de inteligencia dentro del pleno respeto de las debidas garantías legales y con arreglo a una base jurídica inequívoca y el requisito de especificar las condiciones exactas de acceso, la finalidad de tal acceso, las medidas de seguridad aplicadas en la transferencia de datos de particulares, así como las normas de supervisión y un mecanismo de recurso efectivo;

18. Hace hincapié en la grave preocupación que suscitan los trabajos realizados en el Consejo de Europa por el Comité del Convenio sobre la Ciberdelincuencia con miras desarrollar un protocolo adicional sobre la interpretación del artículo 32 del Convenio sobre la Ciberdelincuencia de 23 de noviembre de 2001 sobre «acceso transfronterizo a datos almacenados, con consentimiento o cuando estén a disposición del público»[3] con objeto de «facilitar la utilización y la aplicación efectivas» del Convenio a la luz de «novedades significativas de carácter jurídico, político o tecnológico»; pide a la Comisión y a los Estados miembros, a la luz de su próximo examen por el Comité de Ministros del Consejo de Europa, que aseguren la compatibilidad del artículo 32 del Convenio sobre la Ciberdelincuencia y su interpretación en los Estados miembros con los derechos fundamentales, incluida la protección de datos y, en particular, las disposiciones sobre los flujos transfronterizos de datos personales, con arreglo a lo previsto en la Carta de los Derechos Fundamentales de la UE, el acervo de protección de datos de la UE, el Convenio Europeo de Derechos Humanos, el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108), que son jurídicamente vinculantes en los Estados miembros; pide a la Comisión y a los Estados miembros que rechacen firmemente toda medida que pudiera poner en peligro la aplicación de esos derechos; expresa su alarma por el hecho de que la aprobación de tal protocolo adicional podría conllevar que las autoridades policiales accedieran a distancia sin restricciones a los servidores y ordenadores situados en otras jurisdicciones sin recurrir a los acuerdos sobre la asistencia judicial mutua u otros instrumentos de cooperación judicial previstos para garantizar los derechos fundamentales de las personas, incluida la protección de datos y el respeto de las garantías legales;

19. Destaca que ha de prestarse especial atención a las pequeñas y medianas empresas que dependen cada vez más de la tecnología de «computación en nube» cuando procesan datos personales y que no siempre pueden tener los recursos o los conocimientos técnicos necesarios para hacer frente de forma adecuada a los amenazas contra la seguridad;

20. Destaca que la cualificación del responsable y del encargado del tratamiento debe quedar debidamente reflejada en el verdadero nivel de control sobre los medios de tratamiento, a fin de asignar claramente las responsabilidades para la protección de los datos personales con el uso de la computación en nube.

21. Subraya la importancia que tiene la alfabetización digital para todos los ciudadanos e insta a los Estados miembros a que desarrollen conceptos sobre cómo promover un uso seguro de los servicios de internet, incluidos los servicios de «computación en nube»;

22. Destaca que los prestadores de servicios de computación en nube deben tener plenamente en cuenta, en el tratamiento de datos personales, todos los principios establecidos en la legislación de la UE en materia de protección de datos —como imparcialidad y legalidad, limitación de finalidad, proporcionalidad, exactitud, periodos limitados de conservación de datos—;

23. Subraya la importancia de contar con sanciones administrativas eficaces, proporcionadas y disuasorias que puedan imponerse cuando los servicios de «computación en nube» no cumplan las normas de protección de datos de la UE;

24. Destaca que para definir las salvaguardias más adecuadas de aplicación hay que evaluar caso por caso el impacto de la protección de datos de cada servicio de computación en nube;

25. Destaca que un prestador europeo de servicios en nube siempre deberá actuar de conformidad con la legislación de la UE en materia de protección de datos, aunque ello sea incompatible con las instrucciones dadas por un cliente o responsable establecido en un tercer país o cuando los interesados en cuestión sean (únicamente) residentes de terceros países;

26. Hace hincapié en la necesidad de abordar los retos planteados por la computación en nube a nivel internacional, en particular la vigilancia de los servicios gubernamentales de inteligencia y las salvaguardias necesarias;

27. Destaca que los ciudadanos de la UE sujetos a la vigilancia de la información por parte de las autoridades de un tercer país deben disfrutar —al menos— de las mismas salvaguardias y recursos a disposición de los ciudadanos del tercer país en cuestión;

28. Lamenta el enfoque de la Comisión en su comunicación, pues no menciona los riesgos y peligros asociados a la computación en nube e insta a la Comisión a que prosiga sus trabajos sobre la computación en nube y presente una comunicación más holística acerca de la computación en nube que tenga en cuenta los intereses de todos los afectados y, junto a una referencia normalizada al consiguiente respeto de los derechos fundamentales y de las obligaciones en cuanto a la protección de datos, incluya cuando menos lo siguiente:

  directrices para asegurar el pleno respeto de los derechos fundamentales y las obligaciones de la UE en cuanto a la protección de datos;

  restricciones bajo las que se puede permitir o no el acceso a los datos en nube con fines policiales, de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea y la legislación de la UE;

  salvaguardias contra el acceso ilegal por parte de entidades extranjeras o nacionales, por ejemplo, modificando los requisitos para la adjudicación de contratos públicos y aplicando el Reglamento (CE) n° 2271/96[4] para contrarrestar la legislación extranjera que puede dar lugar a transferencias masivas ilegales de datos de la nube pertenecientes a ciudadanos y residentes de la UE;

  propuestas para garantizar la neutralidad de la red y la neutralidad del servicio con objeto de evitar la discriminación por motivos comerciales contra determinados servicios en nube;

  propuestas para garantizar que las acciones contra contenidos ilegales no perjudicarán el acceso a contenidos legales;

  propuestas sobre cómo definir la «transferencia» de datos personales y cómo actualizar las cláusulas contractuales generales adaptadas al entorno de la nube, dado que a menudo la «computación en nube» implica flujos de datos masivos de los clientes de la nube a los servidores de los prestadores de la nube y a centros de datos en los que participan muchas partes diferentes y que cruzan fronteras entre países pertenecientes y no pertenecientes a la UE;

  medidas para resolver el actual desequilibrio en el mercado de servicios en la nube entre los prestadores de servicios y la mayoría de los usuarios de sus servicios;

  medidas para promover la investigación sobre cómo los actuales marcos legislativos de la UE y los acuerdos internacionales se ajustan a hipótesis concretas de servicios de computación en nube, calibrando tanto el impacto económico como medioambiental de la computación en nube, pues sigue habiendo pocos estudios sobre estos aspectos.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación

18.9.2013

 

 

 

Resultado de la votación final

+:

–:

0:

43

3

1

Miembros presentes en la votación final

Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Ioan Enciu, Cornelia Ernst, Tanja Fajon, Hélène Flautre, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Ágnes Hankiss, Anna Hedh, Salvatore Iacolino, Sophia in ‘t Veld, Lívia Járóka, Timothy Kirkhope, Juan Fernando López Aguilar, Svetoslav Hristov Malinov, Clemente Mastella, Véronique Mathieu Houillon, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Csaba Sógor, Renate Sommer, Rui Tavares, Nils Torvalds, Wim van de Camp, Axel Voss, Renate Weber, Josef Weidenholzer, Tatjana Ždanoka, Auke Zijlstra

Suplente(s) presente(s) en la votación final

Alexander Alvaro, Cornelis de Jong, Mariya Gabriel, Marian-Jean Marinescu, Salvador Sedó i Alabart, Janusz Wojciechowski

Suplente(s) (art. 187, apdo. 2) presente(s) en la votación final

 

Nuno Teixeira

  • [1]  El dictamen 5/2012, WP 196 está disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm#h2-1.
  • [2]  Sobre todo en el caso de consumidores y pymes que utilicen servicios en la nube.
  • [3]  http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/TCY%202013/T CY(2013)14transb_elements_protocol_V2.pdf http://www.coe.int/t/DGHL/cooperation/economiccrime/cybercrime/default_en.asp
  • [4]  Reglamento (CE) nº 2271/96 del Consejo, de 22 de noviembre de 1996, relativo a la protección contra los efectos de la aplicación extraterritorial de la legislación adoptada por un tercer país, y contra las acciones basadas en ella o derivadas de ella (DO L 309 de 29.11.1996, p. 16); URL: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31996R2271:ES:HTML).

OPINIÓN de la Comisión de Mercado Interior y Protección del Consumidor (4.6.2013)

para la Comisión de Industria, Investigación y Energía

sobre la liberación del potencial de la computación en nube en Europa
(2013/2063(INI))

Ponente: Sabine Verheyen

SUGERENCIAS

La Comisión de Mercado Interior y Protección del Consumidor pide a la Comisión de Industria, Investigación y Energía, competente para el fondo, que incorpore las siguientes sugerencias en la propuesta de resolución que apruebe:

   Vista la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo[1],

   Vista la Directiva 99/44/CE del Parlamento Europeo y del Consejo sobre determinados aspectos de la venta y las garantías de los bienes de consumo[2],

   Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos[3],

   Vista la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior[4],

   Vista la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información[5],

A. Considerando que el mercado único digital es un factor clave para la consecución de los objetivos de la Estrategia Europa 2020 y un impulso importante para la materialización de los objetivos del Acta del Mercado Único y la reacción ante la crisis económica y financiera que padece la UE;

B. Considerando que el suministro, a escala de la UE, de redes de banda ancha, un acceso general y en condiciones de igualdad para todos los ciudadanos a los servicios de Internet y la garantía de la neutralidad de la red son condiciones fundamentales para el desarrollo del sistema europeo de computación en nube;

C. Considerando que el Mecanismo «Conectar Europa» pretende, entre otros aspectos, aumentar la incorporación de la banda ancha en Europa;

D. Considerando que las ventajas de la tecnología de computación en nube radican en el ahorro de costes, la creación de empleo y de nuevas oportunidades de negocios, la flexibilidad (adaptación de la capacidad de almacenamiento de datos según las necesidades), la movilidad (de trabajadores, empresas y ciudadanos), el refuerzo de la competitividad a través de potenciales economías de escala y el potencial de innovación de los nuevos servicios, que pueden generar beneficios económicos, principalmente para las PYME (pequeñas y medianas empresas);

E.  Considerando que la computación en nube debería estimular la integración de las PYME gracias a la reducción de barreras para la entrada en el mercado (como por ejemplo, la reducción de los costes de infraestructuras de TI);

F.  Considerando que para un sistema de nube europeo es indispensable garantizar normas jurídicas europeas en materia de protección de datos;

G. Considerando que el desarrollo de la computación en nube contribuirá a fomentar la creatividad en beneficio tanto de los titulares de derechos como de los usuarios; que, además, se deben evitar las distorsiones del mercado único en el proceso y reforzar la confianza de los consumidores y de las empresas en la computación en nube;

1.  Es consciente del gran potencial económico, social y cultural de la computación en nube, y se felicita por la iniciativa de la Comisión de poner en marcha una estrategia global para la nube, abordando así las cuestiones jurídicas que la computación en nube pueda suscitar;

2.  Hace hincapié en las enormes posibilidades que ofrece el tener acceso a los datos desde cualquier dispositivo conectado a Internet;

3.  Subraya que la dimensión estratégica a largo plazo de la computación en nube debería ser plenamente reconocida y respaldada, como una oportunidad para relanzar la economía europea (por ejemplo, incorporando la investigación y el desarrollo y el uso de la tecnología de computación en nube en la industria);

4.  Insiste, no obstante, en los problemas relacionados con el uso de la computación en nube, contribuyendo a que las empresas identifiquen, elijan y pongan en práctica soluciones en la nube adaptadas a sus necesidades y apoyando el desarrollo del acceso a las conexiones de Internet de banda ancha y alta velocidad;

5.  Subraya que el miedo del usuario a perder el control sobre sus datos y a depender de proveedores externos debido a la externalización de los datos puede minar la confianza del usuario en la computación en nube; insiste, por tanto, en que se debe garantizar plenamente la protección de los datos para crear y mantener la confianza de los usuarios, tanto públicos como privados, en la computación en nube;

6.  Destaca, en particular, la necesidad de garantizar la protección adecuada de los datos sensibles, como por ejemplo, la información relacionada con la salud;

7.  Considera que proteger la portabilidad de los datos, su integridad, confidencialidad, disponibilidad y reversibilidad, así como la interoperabilidad de los servicios, las plataformas y las infraestructuras supone un enorme desafío, ya que todo ello es fundamental para el fomento de la innovación y la competición; pide a la Comisión que garantice que los proveedores de servicios en nube no atan a los usuarios a sus servicios y que los usuarios conservan el pleno control de sus datos y pueden cambiar de proveedor, sin retrasos injustificados, de forma gratuita y sin pérdidas de datos; considera que es fundamental superar estos desafíos para aumentar la confianza de los consumidores, las empresas y el sector público en los servicios en nube y liberar todo su potencial;

8.  Recuerda que Europa debe aprovechar el hecho de que esta tecnología se encuentre en una fase relativamente inicial y apostar por su desarrollo, a fin de aprovechar las economías de escala que se espera proporcione y dinamizar así su economía, en especial en el sector de las TIC;

9.  Destaca la importancia de la computación en nube para las PYME —en especial para las establecidas en países con dificultades económicas o en zonas remotas o periféricas— como medio de combatir su aislamiento y hacerlas más competitivas, así como para las administraciones públicas, al permitirles aumentar la eficiencia y la flexibilidad de sus servicios y reducir gastos y burocracia;

10. Lamenta que, a causa de las diferentes normativas relativas a la computación en nube, se produzca una fragmentación del mercado único digital y se originen altos costes de transacción para los proveedores y los usuarios de la nube;

11. Pide, por consiguiente, a la Comisión que proponga medidas legislativas relativas a los requisitos de transparencia e impida las prácticas abusivas y desleales; pide además a la Comisión y a los Estados miembros que garanticen que el acervo en materia de consumo se aplique a los servicios de computación en nube de una forma global y uniforme en toda la UE;

12. Acoge con satisfacción los pasos de la Comisión hacia unas condiciones contractuales normalizadas para toda la UE, teniendo en cuenta las recomendaciones y las mejores prácticas nacionales, dado que tanto la elevada seguridad de los servicios como la seguridad jurídica de los usuarios y los proveedores de computación en nube son importantes para seguir reforzando la evolución de los servicios en nube; considera, no obstante, que ello no debe impedir al mercado desarrollar servicios en nube en respuesta a las necesidades de los consumidores, las empresas o los gobiernos;

13. Lamenta la propuesta de los Estados miembros de recortar en 8 200 millones de euros el Mecanismo «Conectar Europa» en el próximo marco financiero plurianual (MFP);

14. Pide a la Comisión que garantice un enfoque tecnológicamente neutral con el apoyo de normas abiertas e interoperables, con el fin de maximizar la competencia y la libre elección de los consumidores;

15. Celebra la intención de la Comisión de establecer un sistema de certificación común para toda la UE, que supondría un incentivo para los desarrolladores y los proveedores de servicios de computación en nube para invertir en una mayor protección de la privacidad;

16. Subraya que los usuarios no tienen por qué ser conscientes del hecho de que los servicios que utilizan se basan en la computación en nube; insiste, por tanto, en la necesidad de que los usuarios estén mejor informados sobre el tratamiento de sus datos, y en especial que conozcan quién, dónde y cómo se tratan dichos datos;

17. Destaca que el sector público desempeña un papel fundamental en el desarrollo de la computación en nube; celebra la creación de la Asociación Europea de Computación en Nube y las conclusiones aprobadas por su Comité de Dirección tras su primera reunión; insiste en la necesidad de elaborar recomendaciones y mejores prácticas nacionales y para toda la UE en lo relativo a la transferencia a la nube del uso público de TI, garantizando al mismo tiempo un alto nivel de concienciación en cuanto a la seguridad, especialmente en lo que respecta a los datos personales;

18. Insta a la Comisión a que garantice, mediante la adopción de cláusulas contractuales normalizadas o de normas corporativas vinculantes, que toda transferencia de datos personales de un usuario europeo de la nube a un tercer país debe estar sujeta a garantías y condiciones estrictas, de conformidad con la legislación de la UE en materia de datos personales;

19. Pide a la Comisión que examine la adecuación de una revisión del Acuerdo de Puerto Seguro entre la UE y los Estados Unidos, con el fin de adaptarlo a la evolución tecnológica, en especial en lo que respecta a los aspectos relacionados con la computación en nube;

20. Subraya que la computación en nube plantea la cuestión de decidir la legislación aplicable y definir las responsabilidades de todas la partes interesadas en lo que respecta a la aplicación de la legislación de la UE en materia de protección de datos, en especial en lo relativo a los datos de usuarios de la UE almacenados por empresas de terceros países con la ayuda de tecnología de computación en nube; pide, por consiguiente, a la Comisión y a los Estados miembros que garanticen que cualquier transferencia y tratamiento de los datos personales de los residentes de la UE por parte de un operador de servicios en nube establecido en un tercer país tendrá lugar de conformidad con la legislación de la UE en materia de protección de datos; pide, además, a la Comisión y a los Estados miembros que garanticen que a los usuarios de la nube en la UE se les informe cuando los operadores comuniquen sus datos a las fuerzas o cuerpos de seguridad de un tercer país; destaca, en particular, su preocupación en cuanto a los futuros acuerdos comerciales sobre las responsabilidades de los proveedores de servicios de Internet, que incluyen la protección de datos;

21. Pide a la Comisión y a los Estados miembros que simplifiquen el acceso legal transfronterizo a los contenidos y los servicios de la nube y consideren la posibilidad de ofrecer sistemas de licencia más flexibles; sugiere que la Comisión, durante la actual revisión de las normas de los derechos de autor, adopte propuestas específicas para garantizar que el futuro régimen aplicable promueva la distribución y la difusión de los servicios de computación en nube y la innovación;

22. Pide a la Comisión que garantice que los acuerdos comerciales entre operadores de telecomunicaciones y proveedores de servicios en la nube están en plena conformidad con la legislación de la UE en materia de competencia, y que permiten a los usuarios un acceso completo a todos los servicios en la nube utilizando una conexión de Internet ofrecida por un operador de telecomunicaciones;

23. Llama la atención de la Comisión sobre la naturaleza altamente estratégica de la ubicación de los centros de datos y las posibles consecuencias de tener dicha ubicación fuera del territorio de la UE, en particular en lo que respecta al almacenamiento de datos sensibles o de organismos públicos;

24. Pide a la Comisión y a los Estados miembros que hagan de la computación en nube una prioridad de los programas de investigación y desarrollo y que, en interés de los ciudadanos, la promocionen en la administración pública, como una solución de administración electrónica innovadora, y en el sector privado, como una herramienta innovadora para el desarrollo empresarial;

25. Pide a la Comisión que consulte periódicamente a las organizaciones de consumidores y a la industria y tenga debidamente en cuenta sus observaciones, en especial en lo relativo al establecimiento de normas contractuales para la computación en nube, y que informe periódicamente al Parlamento sobre los debates y las conclusiones del grupo de expertos;

26. Anima a la Comisión y a los Estados miembros a informar sobre el potencial económico de la computación en nube, en especial a las PYME;

27. Pide a la Comisión que proponga medidas relativas a los cánones sobre los derechos de autor que impulsen la innovación y fomenten la creatividad, tanto en beneficio de los titulares de derechos como de los usuarios, y que garantice que no se grava de nuevo el contenido digital sujeto a un acuerdo de licencia entre los proveedores de servicios y los titulares de derechos y adquirido legalmente por particulares o por empresas (en el respeto debido a las restricciones pertinentes en términos de uso profesional) cuando un proveedor de servicios exporte a la nube o almacene en la nube, siempre que la remuneración de los titulares de los derechos haya sido efectiva;

28. Toma nota del hecho tecnológico de que, si el tratamiento en la nube se realiza en un país concreto, las autoridades de dicho país, incluidos los servicios de seguridad, tendrán acceso a los datos; constata que esto tiene implicaciones desde una perspectiva de espionaje industrial; pide a la Comisión que tome este hecho en consideración a la hora de elaborar propuestas y recomendaciones relativas a la computación en nube;

29. Pide a la Comisión, en el marco de los debates de su grupo de expertos, que obligue a los proveedores de servicios en nube a incluir en los contratos determinadas cláusulas fundamentales que garanticen la calidad del servicio, como la obligación de actualizar el software y el hardware donde proceda, de determinar lo que sucedería en caso de pérdida de los datos y de determinar el tiempo que se tardaría en solucionar un problema o cuánto tardaría el servicio en la nube en eliminar material ofensivo si el usuario de la nube así lo solicitara;

30. Pide a la Comisión y a los Estados miembros que adopten medidas concretas sobre el uso y el fomento de la computación en nube en relación con el libre acceso y con los recursos educativos abiertos;

31. Pide a la Comisión que estudie y determine las mejores prácticas en cada Estado miembro en relación con el posible ahorro en el gasto público que se podría lograr mediante el uso de la computación en nube por la administración pública, en especial a través de la creación de nuevos modelos de contratación pública.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación

30.5.2013

 

 

 

Resultado de la votación final

+:

–:

0:

33

0

2

Miembros presentes en la votación final

Claudette Abela Baldacchino, Pablo Arias Echeverría, Adam Bielan, Preslav Borissov, Jorgo Chatzimarkakis, Birgit Collin-Langen, Lara Comi, Anna Maria Corazza Bildt, Cornelis de Jong, Vicente Miguel Garcés Ramón, Evelyne Gebhardt, Małgorzata Handzlik, Stanimir Ilchev, Sandra Kalniete, Edvard Kožušník, Toine Manders, Hans-Peter Mayer, Sirpa Pietikäinen, Phil Prendergast, Mitro Repo, Zuzana Roithová, Heide Rühle, Christel Schaldemose, Catherine Stihler, Róża Gräfin von Thun und Hohenstein, Barbara Weiler

Suplente(s) presente(s) en la votación final

Jürgen Creutzmann, Ashley Fox, Ildikó Gáll-Pelcz, Anna Hedh, Roberta Metsola, Marc Tarabella, Kyriacos Triantaphyllides, Sabine Verheyen, Josef Weidenholzer

  • [1]  DO L 304 de 22.11.2011, p. 64.
  • [2]  DO L 171 de 7.7.1999, p. 12.
  • [3]  DO L 281 de 23.11.1995, p. 31.
  • [4]  DO L 178 de 17.7.2000, p. 1.
  • [5]  DO L 167 de 22.6.2001, p. 10.

RESULTADO DE LA VOTACIÓN FINAL EN COMISIÓN

Fecha de aprobación

14.10.2013

 

 

 

Resultado de la votación final

+:

–:

0:

41

0

1

Miembros presentes en la votación final

Amelia Andersdotter, Josefa Andrés Barea, Jean-Pierre Audy, Ivo Belet, Jan Březina, Reinhard Bütikofer, Maria Da Graça Carvalho, Giles Chichester, Jürgen Creutzmann, Pilar del Castillo Vera, Christian Ehler, Vicky Ford, Adam Gierek, Norbert Glante, Fiona Hall, Edit Herczog, Romana Jordan, Philippe Lamberts, Bogdan Kazimierz Marcinkiewicz, Marisa Matias, Angelika Niebler, Jaroslav Paška, Vittorio Prodi, Herbert Reul, Jens Rohde, Paul Rübig, Salvador Sedó i Alabart, Francisco Sosa Wagner, Evžen Tošenovský, Ioannis A. Tsoukalas, Claude Turmes, Marita Ulvskog, Alejo Vidal-Quadras

Suplente(s) presente(s) en la votación final

Antonio Cancian, Rachida Dati, Ioan Enciu, Françoise Grossetête, Roger Helmer, Jolanta Emilia Hibner, Werner Langen, Zofija Mazej Kukovič, Alajos Mészáros