Resolución del Parlamento Europeo, de 10 de diciembre de 2013, sobre la liberación del potencial de la computación en la nube en Europa (2013/2063(INI))
El Parlamento Europeo,
– Vista la Comunicación de la Comisión, de 27 de septiembre de 2012, titulada «Liberar el potencial de la computación en nube en Europa» (COM(2012)0529),
– Vista la Comunicación de la Comisión, de 3 de marzo de 2010, titulada «Europa 2020: Una estrategia para un crecimiento inteligente, sostenible e integrador» (COM(2010)2020),
– Vista la Comunicación de la Comisión, de 19 de mayo de 2010, titulada «Una Agenda Digital para Europa» (COM(2010)0245),
– Vista su Resolución, de 5 de mayo de 2010, sobre una nueva Agenda Digital para Europa: 2015.eu(1),
– Vista la Decisión nº 243/2012/UE del Parlamento Europeo y del Consejo, de 14 de marzo de 2012, por la que se establece un programa plurianual de política del espectro radioeléctrico,
– Vista la propuesta de la Comisión, de 25 de enero de 2012, para un Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (COM(2012)0011),
– Vista la propuesta de la Comisión, de 19 de octubre de 2011, para un Reglamento del Parlamento Europeo y del Consejo, por el que se crea el Mecanismo «Conectar Europa» (COM(2011)0665),
– Vista la Directiva 1999/5/CE del Parlamento Europeo y del Consejo, de 9 de marzo de 1999, sobre equipos radioeléctricos y equipos terminales de telecomunicación y reconocimiento mutuo de su conformidad,
– Visto el documento del Instituto Europeo de Normas de Telecomunicación (ETSI) sobre una cartografía de normas en la nube,
– Vista la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo,
– Vista la Directiva 1999/44/CE del Parlamento Europeo y del Consejo, de 25 de mayo de 1999, sobre determinados aspectos de la venta y las garantías de los bienes de consumo(2),
– Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(3),
– Vista la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior(4),
– Vista la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información(5),
– Visto el artículo 48 de su Reglamento,
– Vistos el informe de la Comisión de Industria, Investigación y Energía y las opiniones de la Comisión de Asuntos Jurídicos, de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, de la Comisión de Asuntos Económicos y Monetarios y de la Comisión de Mercado Interior y Protección del Consumidor (A7‑0353/2013),
A. Considerando que aunque los servicios de computación remota en varias formas, conocidos hoy comúnmente como «computación en la nube», no sean una novedad, la magnitud, las prestaciones y el contenido de la computación en la nube constituyen un avance significativo en las tecnologías de la información y la comunicación (TIC);
B. Considerando que, a pesar de ello, la computación en la nube ha captado la atención en los últimos años debido al desarrollo de modelos de negocio a gran escala nuevos e innovadores, al fuerte impulso dado por los proveedores de servicios en la nube, a las innovaciones tecnológicas y las mayores capacidades de computación, a los precios más bajos y las comunicaciones de alta velocidad, así como a los potenciales beneficios económicos y de eficiencia —también en lo que respecta al consumo de energía— que los servicios en la nube ofrecen a todo tipo de usuarios;
C. Considerando que el despliegue y el desarrollo de los servicios en la nube en regiones poco pobladas y remotas puede contribuir a reducir su aislamiento, al tiempo que plantea grandes desafíos dada la insuficiente disponibilidad de la infraestructura necesaria;
D. Considerando que los beneficios de los servicios en la nube para los proveedores consisten en, entre otros, cuotas de servicio, monetización de la infrautilización y del exceso de recursos de computación, economías de escala, la posibilidad de una base de clientes cautivos (el llamado efecto «cautividad») y de usos secundarios de la información del usuario, como la publicidad, teniendo debidamente en cuenta los requisitos en materia de privacidad y protección de los datos personales; considerando asimismo que el efecto «cautividad» puede conllevar desventajas competitivas que, en cualquier caso, podrán afrontarse con unas medidas de normalización razonables y una mayor transparencia en materia de acuerdos de licencia de propiedad intelectual;
E. Considerando que los beneficios de los servicios en la nube para los usuarios son unos costes potencialmente menores, el acceso ubicuo, la practicidad, la fiabilidad, la escalabilidad y la seguridad;
F. Considerando que la computación en la nube también entraña riesgos para los usuarios —en particular en lo que a datos sensibles se refiere—, de los que estos han de ser conscientes; que si la computación en la nube se lleva a cabo en un país determinado, las autoridades de dicho país pueden acceder a los datos; que la Comisión debe tener esto en cuenta a la hora de elaborar propuestas y recomendaciones relativas a la computación en la nube;
G. Considerando que los servicios en la nube obligan a los usuarios a entregar información al proveedor de almacenamiento en la nube o a un tercero, lo que plantea cuestiones relativas al control continuo sobre la información de usuarios individuales y al acceso a la misma, así como a su protección frente al mismo proveedor, otros usuarios del mismo servicios y otras partes; que algunas de las cuestiones relacionadas con este problema podrían resolverse fomentando aquellos servicios que solo permiten que sean los usuarios quienes tengan las claves de la información almacenada, sin dar acceso a dicha información a los proveedores de almacenamiento en la nube;
H. Considerando que la mayor utilización de servicios en la nube prestados por un número limitado de grandes proveedores significa que mayores cantidades de información se acumulan en manos de dichos proveedores, con lo que aumenta la eficiencia pero crecen también los riesgos de pérdidas catastróficas de información, de puntos centralizados de fallos que podrían debilitar la estabilidad de Internet y de acceso a la información por parte de terceros;
I. Considerando que deberían aclararse las responsabilidades de todas las partes implicadas en los servicios de computación en la nube, sobre todo en lo que respecta a la seguridad y al cumplimiento de los requisitos en materia de protección de datos;
J. Considerando que el mercado de servicios en la nube se bifurca en dos líneas: la del consumidor y la empresarial;
K. Considerando que, para las empresas, los servicios en la nube normalizados pueden, si satisfacen las necesidades particulares del usuario, resultar un medio atractivo de convertir los costes de capital en gastos de funcionamiento y de permitir una rápida disponibilidad y un ajuste de escala de almacenamiento y una capacidad de procesamiento adicionales;
L. Considerando que, para los particulares, el hecho de que los proveedores de sistemas operativos para distintos tipos de dispositivos destinados a los consumidores, en particular, orienten cada vez más a estos consumidores (mediante el uso de configuraciones por defecto, etc.) hacia la utilización de servicios en la nube privados significa que estos proveedores están creando una base de consumidores cautivos y acumulando información sobre sus usuarios;
M. Considerando que la utilización de servicios en la nube externos en el sector público debe evaluarse atentamente sopesando el incremento del riesgo en relación con la información sobre los ciudadanos y la garantía del desempeño de las funciones de servicio público;
N. Considerando que, desde una perspectiva de seguridad, la introducción de servicios en la nube significa que la responsabilidad de mantener la seguridad de la información perteneciente a cada usuario individual se traslada del individuo al proveedor, creando así la necesidad de asegurar que los proveedores de servicios tengan la capacidad jurídica de ofrecer soluciones seguras y sólidas en cuestiones de comunicación;
O. Considerando que el desarrollo de los servicios en la nube incrementará la cantidad de datos transmitidos y la demanda de banda ancha, de velocidades superiores de carga y de una mayor disponibilidad de la banda ancha de alta velocidad;
P. Considerando que el logro de los objetivos de la agenda digital europea, en particular la incorporación y el acceso a la banda ancha para todos, los servicios públicos transfronterizos y los objetivos en materia de investigación e innovación, es un paso necesario para que la UE aproveche plenamente los beneficios que puede ofrecer la computación en la nube;
Q. Considerando que se han producido recientemente algunos avances relacionados con infracciones de seguridad, sobre todo en lo que se refiere al escándalo de espionaje de PRISM;
R. Considerando que existe una carencia de parques de servidores en territorio europeo;
S. Considerando que el mercado único digital es un factor clave para lograr los objetivos de la Estrategia Europa 2020, que respaldará de forma significativa los esfuerzos por alcanzar los objetivos del Acta del Mercado Único y por hacer frente a la crisis económica y financiera que padece la UE;
T. Considerando que el suministro, a escala de la UE, de redes de banda ancha, un acceso general y en condiciones de igualdad para todos los ciudadanos a los servicios de Internet y la garantía de la neutralidad de la red son condiciones fundamentales para el desarrollo del sistema europeo de computación en la nube;
U. Considerando que el Mecanismo «Conectar Europa» pretende, entre otros aspectos, aumentar la incorporación de la banda ancha en Europa;
V. Considerando que la computación en la nube debería estimular la integración de las PYME gracias a la reducción de las barreras de entrada al mercado (por ejemplo, mediante la reducción de los costes de infraestructuras de TI);
W. Considerando que para disponer de un sistema de computación en la nube europeo es indispensable garantizar una normativa en materia de protección de datos a escala de la Unión;
X. Considerando que el desarrollo de la computación en la nube contribuirá a fomentar la creatividad en beneficio tanto de los titulares de derechos como de los usuarios; que, además, se deben evitar las distorsiones del mercado único en el proceso y reforzar la confianza de los consumidores y de las empresas en la computación en la nube;
Consideraciones generales
1. Acoge con satisfacción la Comunicación de la Comisión sobre la liberación del potencial de la computación en la nube en Europa y aprueba la intención de la Comisión de desarrollar un enfoque coherente para los servicios en la nube, pero considera que, en algunos aspectos, habría resultado más oportuno recurrir a un instrumento legislativo para alcanzar los ambiciosos objetivos fijados por la estrategia;
2. Destaca que las políticas que hacen posible una infraestructura de comunicaciones de alta capacidad y segura constituyen un elemento fundamental para todos los servicios que se basan en las comunicaciones, incluidos los servicios en la nube, y subraya que, debido al presupuesto limitado del Mecanismo «Conectar Europa», el apoyo al desarrollo de la banda ancha ha de complementarse con la asistencia ofrecida en virtud de otros programas e iniciativas de la Unión, incluidos los Fondos Estructurales y de Inversión Europeos;
3. Hace hincapié en que los servicios en la nube deben ofrecer seguridad y fiabilidad adecuadas a los riesgos crecientes que se derivan de la concentración de datos e información en manos de un número limitado de proveedores.
4. Subraya que el Derecho de la Unión debe ser neutral y, a falta de razones imperiosas de interés general, no debe adaptarse ni para facilitar ni para entorpecer ningún modelo de negocio o servicio legales;
5. Destaca que una estrategia sobre computación en la nube debería incluir aspectos colaterales, como el consumo de energía de los centros de datos y cuestiones ambientales ligadas a ello;
6. Hace hincapié en las enormes posibilidades que ofrece el tener acceso a los datos desde cualquier dispositivo conectado a Internet;
7. Destaca el interés obvio de la UE por tener más parques de servidores en su suelo, y ello desde una doble perspectiva: en términos de política industrial, esto daría lugar a mejores sinergias con los objetivos relativos al despliegue de las redes de acceso de nueva generación (NGA) establecidos en la agenda digital y, en lo que al régimen de protección de datos de la Unión se refiere, se fomentaría la confianza al garantizar la soberanía de la UE sobre los servidores;
8. Subraya la importancia que tiene la alfabetización digital para todos los ciudadanos e insta a los Estados miembros a que desarrollen conceptos sobre cómo promover un uso seguro de los servicios de Internet, incluidos los servicios de computación en la nube;
La nube como instrumento para el crecimiento y el empleo
9. Hace hincapié en que, habida cuenta del potencial económico de la nube para aumentar la competitividad global de Europa, puede convertirse en un potente instrumento para el crecimiento y el empleo;
10. Subraya, por consiguiente, que el desarrollo de servicios en la nube, a falta de una infraestructura de banda ancha o en caso de que esta sea insuficiente, podría agrandar la brecha digital que existe entre las zonas urbanas y rurales, lo que complicaría todavía más el logro de la cohesión territorial y del crecimiento económico regional;
11. Destaca que la Unión se enfrenta a presiones sobre el crecimiento del PIB múltiples y simultáneas en un momento en que el margen para estimular el crecimiento a cargo de los fondos públicos está limitado por elevados niveles de deuda y de déficit, y pide a las instituciones europeas y a los Estados miembros que movilicen todo posible catalizador del crecimiento; observa que la computación en la nube puede convertirse en un desarrollo transformador en todos los sectores de la economía, con especial relevancia en ámbitos como la atención sanitaria, la energía, los servicios públicos y la educación;
12. Hace hincapié en que el desempleo, incluido el desempleo juvenil y a largo plazo, ha alcanzado niveles inaceptablemente elevados en Europa y que es probable que siga manteniéndose alto en un futuro próximo, y en que es necesaria una acción decidida y urgente a todos los niveles políticos; observa que las cibercapacidades y las acciones de formación digital en el desarrollo de la computación en la nube pueden, como consecuencia, revestir una importancia extraordinaria a la hora de abordar el desempleo creciente, en especial entre los jóvenes;
13. Subraya la necesidad de que los usuarios tengan más cibercapacidades y de que se ofrezca formación para mostrar los beneficios que puede aportar la computación en la nube; reitera la necesidad de crear más sistemas de cualificación para los especialistas que gestionan los servicios de computación en la nube;
14. Destaca que las PYME son el núcleo de la economía de la UE y que son necesarias más acciones para fomentar la competitividad global de las PYME de la UE y para crear el mejor entorno posible para la incorporación de nuevos avances tecnológicos prometedores, tales como la computación en la nube, que pueden tener una repercusión enorme en la competitividad de las empresas de la UE;
15. Insiste en el impacto positivo de los servicios de computación en la nube para las PYME, en particular para aquellas establecidas en zonas remotas o ultraperiféricas o que se enfrentan a dificultades económicas, ya que dichos servicios contribuyen a reducir los costes fijos de las PYME al permitir el alquiler de capacidad y almacenamiento informáticos, y pide a la Comisión que prevea un marco adecuado que permita a las PYME aumentar su crecimiento y productividad, dado que las PYME pueden beneficiarse de la reducción de los costes iniciales y de un mejor acceso a los instrumentos de análisis;
16. Anima a la Comisión y a los Estados miembros a informar sobre el potencial económico de la computación en la nube, en especial a las PYME;
17. Señala que la UE debe aprovechar el hecho de que esta tecnología se encuentre en una fase relativamente inicial y apostar por su desarrollo, a fin de aprovechar las economías de escala que se espera proporcione y dinamizar así su economía, en especial en el sector de las TIC;
El mercado de la UE y la nube
18. Subraya que el mercado interior debe permanecer abierto a todos los proveedores que cumplen la legislación de la Unión, ya que el libre flujo mundial de servicios y de información aumenta la competitividad de la industria de la Unión y sus oportunidades, además de beneficiar a los ciudadanos;
19. Lamenta los indicios de un acceso masivo, invasivo e indiscriminado por parte de los gobiernos a información relacionada con los usuarios de la Unión y almacenada en nubes de terceros países, y pide que los proveedores de servicios de computación en la nube sean transparentes a la hora de gestionar la información que los consumidores les proporcionan al usar dichos servicios;
20. Insiste en que, a fin de contrarrestar el riesgo de que gobiernos extranjeros accedan directa o indirectamente a la información cuando el Derecho de la Unión no lo permita, la Comisión debe:
i)
velar por que los usuarios sean conscientes de los riesgos, por ejemplo apoyando a la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) a la hora de activar la plataforma de información de interés público en la Directiva de servicio universal,
ii)
patrocinar la investigación, el desarrollo comercial o la contratación pública en el ámbito de las tecnologías pertinentes, como en el caso del cifrado y de la anonimización, que permitan al usuario proteger su información de una manera sencilla; y
iii)
implicar a la ENISA en el proceso de verificación de las normas mínimas de seguridad y privacidad de los servicios de computación en la nube ofrecidos a los consumidores de la Unión y, sobre todo, al sector público;
21. Celebra la intención de la Comisión de establecer un sistema de certificación común para toda la UE, que supondría un incentivo para los desarrolladores y los proveedores de servicios de computación en la nube para invertir en una mayor protección de la privacidad;
22. Pide a la Comisión que, en cooperación con la industria de la Unión y otras partes interesadas, determine en qué ámbitos puede resultar especialmente atractivo a escala mundial la adopción de un enfoque específico de la Unión;
23. Hace hincapié en la importancia de garantizar un mercado de la Unión competitivo y transparente a fin de ofrecer a todos los usuarios de la Unión unos servicios seguros, sostenibles, asequibles y fiables; aboga por un método sencillo y transparente para identificar los defectos de seguridad, de manera que eso suponga un incentivo suficiente y adecuado para que los proveedores de servicios en el mercado europeo solventen dichos defectos;
24. Subraya que todos los proveedores de servicios en la nube que operan en la Unión deben competir en igualdad de condiciones, con las mismas normas aplicadas a todos;
La contratación pública, la contratación de soluciones innovadoras y la nube
25. Destaca que la contratación de servicios en la nube por parte del sector público presenta el potencial de reducir costes para las administraciones públicas y proporcionar servicios más eficientes a los ciudadanos, mientras que el efecto de impulso digital para todos los sectores de la economía resultaría extremamente beneficioso; señala que el sector privado también puede beneficiarse de esos servicios en la nube para la contratación de soluciones innovadoras;
26. Anima a las administraciones públicas a plantearse la integración de servicios en la nube seguros, fiables y protegidos en la contratación en materia de TI, a la vez que destaca sus responsabilidades específicas en lo que respecta a la protección de la información relativa a los ciudadanos, la accesibilidad y la continuidad del servicio;
27. Pide, en especial, a la Comisión que se plantee utilizar servicios en la nube, si procede, a fin de dar ejemplo a los demás;
28. Pide a la Comisión y a los Estados miembros que aceleren el trabajo de la Asociación Europea de Computación en la Nube;
29. Pide a la Comisión y a los Estados miembros que hagan de la computación en la nube un ámbito prioritario de los programas de investigación y desarrollo y que, en interés de los ciudadanos, la promocionen en la administración pública como una solución de administración electrónica innovadora y, en el sector privado, como una herramienta innovadora para el desarrollo empresarial;
30. Hace hincapié en que el uso de servicios en la nube por parte de los poderes públicos, incluidos los cuerpos de seguridad y las instituciones de la UE, requiere una especial atención y coordinación entre los Estados miembros; recuerda que debe garantizarse la seguridad e integridad de los datos y evitarse todo acceso no autorizado, incluido el de los gobiernos extranjeros y sus servicios de inteligencia, no cubierto por la legislación de la Unión o un Estado miembro; subraya que lo mismo es aplicable a las actividades de tratamiento de datos específicas de ciertos servicios básicos no gubernamentales, en particular el tratamiento de categorías específicas de datos personales, como el de los bancos, aseguradoras, centros de enseñanza y hospitales; destaca, además, que lo anterior es especialmente importante si se transfieren datos entre diferentes jurisdicciones (fuera de la Unión Europea); considera, por consiguiente, que tanto las autoridades públicas como los servicios no públicos y el sector privado deben recurrir en la medida de lo posible a los proveedores de servicios en la nube de la UE cuando traten datos e información sensibles hasta que se hayan establecido a escala mundial normas satisfactorias en materia de protección de datos que garanticen la seguridad de datos sensibles y de las bases de datos mantenidas por las entidades públicas;
La normalización y la nube
31. Pide a la Comisión que encabece la promoción de normas y especificaciones que apoyen unos servicios en la nube respetuosos con la privacidad, fiables, de gran interoperatividad, seguros y eficientes desde el punto de vista energético, como parte esencial de una futura política industrial de la Unión; destaca que la fiabilidad, la seguridad y la protección de los datos son elementos necesarios para gozar de la confianza de los consumidores y ser competitivos;
32. Destaca que las normas están basadas en ejemplos de mejores prácticas;
33. Insiste en que las normas deben permitir una portabilidad fácil y completa de datos y servicios, así como un elevado grado de interoperabilidad entre servicios en la nube, para aumentar, y no limitar, la competitividad;
34. Acoge con satisfacción la cartografía de normas que se ha confiado al Instituto Europeo de Normas de Telecomunicaciones (ETSI), y resalta la importancia de seguir manteniendo un proceso abierto y transparente;
Los consumidores y la nube
35. Pide a la Comisión que garantice que los dispositivos de los consumidores no recurran a servicios en la nube por defecto ni se limiten a un proveedor de servicios en la nube en concreto;
36. Pide a la Comisión que garantice que los acuerdos comerciales entre operadores de telecomunicaciones y proveedores de servicios en la nube estén en plena conformidad con la legislación de la UE en materia de competencia y permitan a los usuarios un acceso completo a todos los servicios en la nube utilizando una conexión a Internet ofrecida por un operador de telecomunicaciones;
37. Recuerda a la Comisión que sigue sin hacer uso de la prerrogativa que le otorga la Directiva 1999/5/CE (Directiva RTTE), consistente en exigir que los equipos incorporen salvaguardas que protejan la información de los usuarios;
38. Pide a la Comisión y a los Estados miembros que conciencien a los consumidores sobre todos los riesgos relativos al uso de los servicios en la nube;
39. Pide a la Comisión que garantice que, cuando se pida a los consumidores que acepten un servicio en la nube o se les ofrezca dicho servicio de otro modo, estos reciban primero la información necesaria para tomar una decisión con conocimiento de causa, sobre todo en lo que se refiere a la jurisdicción de la que dependen los datos almacenados en dichos servicios en la nube;
40. Hace hincapié en que la información facilitada de esta manera debe revelar, entre otros aspectos, quién es el proveedor final del servicio y de qué manera se financia este servicio; destaca además que si el servicio se financia utilizando la información de los usuarios para orientar la publicidad o permitir a otros que lo hagan, debe comunicarse este particular al usuario;
41. Subraya que la información debe presentarse en un formato normalizado, portátil, fácilmente comprensible y comparable;
42. Pide a la Comisión que examine medidas adecuadas para establecer un nivel mínimo aceptable de derechos de los consumidores en el ámbito de los servicios en la nube, que abarque, en particular, la protección de la privacidad, el almacenamiento de información en un tercer país, la responsabilidad ante la pérdida de datos y otras cuestiones de interés significativo para los consumidores;
43. Pide a la Comisión y a los Estados miembros que adopten medidas concretas sobre el uso y el fomento de la computación en la nube en relación con el libre acceso y con los recursos educativos abiertos;
La propiedad intelectual, el Derecho civil, etc. y la nube
44. Insta a la Comisión a que tome medidas para una mayor armonización de las leyes en los Estados miembros con el fin de evitar cualquier confusión jurisdiccional y fragmentación y para garantizar la transparencia en el mercado único digital;
45. Pide a la Comisión que revise otros actos legislativos de la UE para resolver las lagunas relacionadas con la computación en la nube; pide, en particular, que se aclare el régimen de los derechos de propiedad intelectual y que se revisen la Directiva sobre prácticas comerciales desleales, la Directiva sobre cláusulas contractuales abusivas y la Directiva sobre el comercio electrónico, que son los actos legislativos de la UE más importantes aplicables a la computación en la nube;
46. Pide a la Comisión que establezca un marco jurídico claro en el ámbito de los contenidos protegidos por derechos de autor en la nube, especialmente por lo que se refiere a las normas de concesión de licencias;
47. Reconoce que el desarrollo del almacenamiento por los servicios de computación en la nube de obras protegidas por derechos de autor no debe cuestionar el derecho de los titulares de derechos europeos a una compensación justa por la utilización de sus obras, si bien se pregunta si estos servicios pueden gozar de idéntica consideración que los soportes y materiales de registro tradicionales y digitales;
48. Pide a la Comisión que examine los distintos tipos de servicios de computación en la nube, así como la repercusión que el almacenamiento en la nube de obras protegidas por derechos de autor tiene sobre la recaudación de dichos derechos y, más en particular, los mecanismos de imposición de cánones por copia privada que son pertinentes para determinados tipos de servicios de computación en la nube;
49. Pide a la Comisión que, de forma conjunta con las partes interesadas, fomente el desarrollo de servicios descentralizados, basados en programas informáticos libres, gratuitos y de código abierto, que contribuyan a la armonización de las prácticas entre los proveedores en la nube y permitan que los ciudadanos de la Unión recuperen el control de sus datos y comunicaciones personales, por ejemplo a través de la codificación punto a punto;
50. Subraya que, debido a las incertidumbres en cuanto a la legislación y jurisdicción aplicables, los contratos son los principales instrumentos para establecer relaciones entre proveedores de servicios en la nube y sus clientes, por lo que existe una clara necesidad de directrices comunes de la UE en este ámbito;
51. Pide a la Comisión que trabaje conjuntamente con los Estados miembros para desarrollar, a escala de la UE, modelos de buenas prácticas para contratos, o «contratos modelo», que garanticen una total transparencia al presentar todas las condiciones contractuales en un formato muy claro;
52. Pide a la Comisión que elabore, en colaboración con las partes interesadas, regímenes voluntarios de certificación para sistemas de seguridad del proveedor que contribuyan a la armonización de las prácticas entre los proveedores en la nube y que conciencien en mayor medida a los clientes sobre lo que debieran esperar de los proveedores de servicios en la nube;
53. Destaca que, debido a problemas jurisdiccionales, es poco probable que, en la práctica, los consumidores de la UE puedan obtener reparación de los proveedores de servicios en la nube en otras jurisdicciones; pide, por consiguiente, a la Comisión que proporcione medios adecuados de recurso de los consumidores en el ámbito de los servicios, ya que existe un marcado desequilibrio de fuerzas entre los consumidores y los proveedores de computación en la nube;
54. Pide a la Comisión que garantice la rápida aplicación de la resolución alternativa de litigios y de la resolución de litigios en línea, y que asegure que los consumidores cuenten con los medios adecuados de recurso colectivo contra violaciones de la privacidad y la seguridad, así como contra las disposiciones contractuales ilegales en el ámbito de los servicios en la nube;
55. Lamenta la actual carencia de soluciones eficaces para los usuarios en caso de incumplimiento del contrato;
56. Pide que se informe sistemáticamente a los consumidores sobre las actividades de procesamiento de los datos personales que se van a incluir en la propuesta de contrato, y que se cuente también con el consentimiento obligatorio de los usuarios antes de modificar los términos del contrato;
57. Pide a la Comisión que, en el marco de los debates de su grupo de expertos, exija a los proveedores de servicios en la nube que incluyan en los contratos determinadas cláusulas fundamentales que garanticen la calidad del servicio, como la obligación de actualizar el software y el hardware cuando proceda, y de determinar lo que sucedería en caso de pérdida de datos, así como el tiempo que se tardaría en solucionar un problema o cuánto tardaría el servicio en la nube en eliminar material ofensivo si el usuario de la nube así lo solicitara;
58. Recuerda que, cuando un prestador de servicios en la nube utilice datos para una finalidad distinta a la indicada en el acuerdo de prestación de servicios, o comunique o utilice los datos de una forma contraria a las condiciones del contrato, se le considerará responsable del tratamiento y deberá responder de las infracciones y vulneraciones cometidas;
59. Destaca que los acuerdos de servicios en la nube tienen que establecer de manera clara y transparente los derechos y obligaciones de las partes en lo que concierne a las actividades de tratamiento de datos por parte de los proveedores en la nube; señala que los contratos no deben incluir una exención de las salvaguardias, derechos y garantías que ofrece la legislación de la Unión en materia de protección de datos personales; insta a la Comisión a presentar propuestas para restablecer el equilibrio entre los prestadores de servicios en la nube y sus clientes en lo que respecta a los términos y condiciones utilizados por los servicios en la nube, que incluyan disposiciones para:
–
garantizar la protección contra la cancelación arbitraria de servicios y la supresión de datos;
–
garantizar una probabilidad razonable de que el cliente recupere los datos almacenados en caso de cancelación del servicio o supresión de datos;
–
ofrecer unas directrices claras a los prestadores de servicios en la nube para facilitar el cambio sencillo de sus clientes a otros servicios;
60. Destaca que el papel que desempeñan los prestadores de servicios en la nube en la actual legislación de la Unión debe determinarse en función de cada caso, dado que los prestadores pueden ser tanto encargados como responsables del tratamiento; insta a una mejora de los términos y condiciones para todos los usuarios, desarrollando para ello modelos internacionales de mejores prácticas para los contratos, y aclarando dónde almacena los datos el prestador de servicios y con arreglo a qué orden jurisdiccional dentro de la UE;
61. Recalca que hay que prestar especial atención a las situaciones en las que el desequilibrio en la relación contractual entre el cliente y el prestador de servicios en la nube lleva al cliente a suscribir contratos que tengan por objeto servicios normalizados e impongan la firma de un contrato en el cual el prestador define las finalidades, condiciones y medios del tratamiento(6); subraya que, en tales circunstancias, se considerará responsable del tratamiento al prestador de servicios en la nube, que responderá de forma solidaria junto con el cliente;
La protección de datos, los derechos fundamentales, la aplicación de la ley y la nube
62. Considera que el acceso a un Internet seguro es un derecho fundamental de todo ciudadano y que la computación en la nube seguirá desempeñando un papel importante al respecto; reitera, por consiguiente, su llamamiento a la Comisión y al Consejo para que reconozcan inequívocamente las libertades digitales como derechos fundamentales y como requisitos previos indispensables para disfrutar de derechos humanos universales;
63. Reitera que, por norma general, el nivel de protección de datos en un entorno de computación en la nube no debe ser inferior al exigido en cualquier otro contexto de tratamiento de datos;
64. Subraya que la normativa de la UE en materia de protección de datos, al ser tecnológicamente neutra, se aplica ya plenamente a los servicios de computación en la nube prestados en la UE y que, por lo tanto, tiene que respetarse escrupulosamente; destaca que conviene tener presente el dictamen del Grupo de Trabajo del artículo 29 (GT29) sobre la computación en la nube(7), pues ofrece una orientación clara para la aplicación de los principios jurídicos y normas de la UE en materia de protección de datos para los servicios en la nube, como los conceptos de responsable del tratamiento / encargado del tratamiento, la limitación de los fines y la proporcionalidad, la integridad y la seguridad de los datos, la utilización de subcontratistas, la atribución de responsabilidades, las violaciones de la seguridad de datos y las transferencias internacionales; destaca la necesidad de colmar toda laguna de protección con respecto a la computación en la nube en la revisión en curso del marco jurídico de la Unión en materia de protección de datos con arreglo a las directrices adicionales del Supervisor Europeo de Protección de Datos y el GT29;
65. Reitera su grave preocupación por la reciente revelación de los programas de vigilancia de la Agencia de Seguridad Nacional de los EE. UU. y de programas similares utilizados por los servicios de inteligencia de varios Estados miembros, pues, de confirmarse la información ya divulgada, esos programas supondrían una grave violación del derecho fundamental de los ciudadanos y residentes de la UE a la privacidad y la protección de sus datos, así como del derecho a la vida familiar y privada, la confidencialidad de las comunicaciones, la presunción de inocencia, la libertad de expresión, la libertad de información y la libertad de empresa;
66. Reitera su gran preocupación por la divulgación directa y obligatoria de información y datos personales de la UE, tratados con arreglo a contratos de servicios en la nube, a autoridades de terceros países por prestadores de servicios en la nube sujetos a la legislación de un tercer país o que utilizan servidores de almacenamiento ubicados en terceros países, así como por el acceso directo a distancia a los datos e información personales tratados por autoridades policiales y servicios de inteligencia de terceros países;
67. Deplora que este acceso suela hacerse por medio de la aplicación directa por parte de las autoridades de terceros países de sus propias normas jurídicas sin utilizar instrumentos internacionales de cooperación judicial, como la asistencia judicial mutua u otras formas de cooperación judicial;
68. Hace hincapié en que esas prácticas suscitan la cuestión de la confianza en los proveedores de servicios en línea y en la nube de fuera de la UE, así como la de que los terceros países no se sirven de los instrumentos internacionales de cooperación jurídica y judicial;
69. Espera que la Comisión y el Consejo adopten las medidas necesarias para paliar esta situación y velar por el respeto de los derechos fundamentales de los ciudadanos de la UE;
70. Recuerda que todas las empresas que ofrecen servicios en la UE deben cumplir el Derecho de la UE sin excepción y son responsables de las infracciones que cometan;
71. Hace hincapié en que los servicios en la nube que pertenecen a la jurisdicción de un tercer país deben proporcionar a los usuarios ubicados en la UE una advertencia clara y visible de la posibilidad de que sus datos personales sean objeto de vigilancia por las autoridades policiales o de inteligencia de un tercer país con arreglo a órdenes o requerimientos secretos, seguida, en su caso, de la solicitud de que el interesado dé su consentimiento expreso para el tratamiento de sus datos personales;
72. Insta a la Comisión a que, cuando negocie acuerdos internacionales que impliquen el tratamiento de datos personales, tome nota en particular de los riesgos y problemas asociados a la computación en la nube para los derechos fundamentales y, en especial, pero no exclusivamente, para el derecho a la vida privada y a la protección de los datos de carácter personal, según se establece en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea; insta asimismo a la Comisión a que tome nota de las disposiciones nacionales de los socios negociadores que rigen el acceso de la policía y los servicios de inteligencia a los datos personales tratados a través de servicios de computación en la nube, en particular exigiendo que solo pueda concederse acceso a la policía y los servicios de inteligencia dentro del pleno respeto de las debidas garantías procesales y con arreglo a una base jurídica inequívoca, y requiriendo asimismo que se especifiquen las condiciones exactas de acceso y la finalidad de este, las medidas de seguridad aplicadas en la transferencia de datos y los derechos de los particulares, así como las normas de supervisión y un mecanismo de recurso efectivo;
73. Hace hincapié en la grave preocupación que suscitan los trabajos realizados en el Consejo de Europa por el Comité del Convenio sobre la Ciberdelincuencia con miras a desarrollar un protocolo adicional sobre la interpretación del artículo 32 del Convenio sobre la Ciberdelincuencia, de 23 de noviembre de 2001, sobre el «acceso transfronterizo a datos almacenados, con consentimiento o cuando estén a disposición del público»(8), con objeto de «facilitar la utilización y la aplicación efectivas» del Convenio a la luz de «novedades significativas de carácter jurídico, político o tecnológico»; pide a la Comisión y a los Estados miembros que, en vista del próximo examen por el Comité de Ministros del Consejo de Europa, aseguren la compatibilidad del artículo 32 del Convenio sobre la Ciberdelincuencia y su interpretación en los Estados miembros con los derechos fundamentales, incluida la protección de datos y, en particular, las disposiciones sobre los flujos transfronterizos de datos personales, con arreglo a lo previsto en la Carta de los Derechos Fundamentales de la UE, el acervo de la UE en materia de protección de datos, el Convenio Europeo de Derechos Humanos y el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio 108), que son jurídicamente vinculantes en los Estados miembros; pide a la Comisión y a los Estados miembros que rechacen firmemente toda medida que pueda poner en peligro la aplicación de esos derechos; expresa su alarma por el hecho de que la aprobación de tal protocolo adicional podría conllevar que las autoridades policiales accedieran a distancia sin restricciones a los servidores y ordenadores situados en otras jurisdicciones, sin recurrir a los acuerdos sobre la asistencia judicial mutua u otros instrumentos de cooperación judicial previstos para garantizar los derechos fundamentales de las personas, incluidos la protección de datos y el respeto de las garantías procesales;
74. Destaca que ha de prestarse especial atención a las PYME que dependen cada vez más de la tecnología de computación en la nube cuando procesan datos personales y que no siempre disponen de los recursos o los conocimientos técnicos necesarios para hacer frente de forma adecuada a las amenazas contra la seguridad;
75. Destaca que la cualificación del responsable y del encargado del tratamiento debe quedar debidamente reflejada en el verdadero nivel de control sobre los medios de tratamiento, a fin de asignar claramente las responsabilidades para la protección de los datos personales con el uso de la computación en la nube;
76. Destaca que los prestadores de servicios de computación en la nube deben tener plenamente en cuenta, en el tratamiento de datos personales, todos los principios establecidos en la legislación de la UE en materia de protección de datos, como la imparcialidad y la legalidad, la limitación de los fines, la proporcionalidad, la exactitud y los períodos limitados de conservación de datos;
77. Subraya la importancia de contar con sanciones administrativas eficaces, proporcionadas y disuasorias que puedan imponerse cuando los servicios de computación en la nube no cumplan las normas de protección de datos de la UE;
78. Destaca que para definir las salvaguardias más adecuadas de aplicación hay que evaluar caso por caso el impacto de la protección de datos de cada servicio de computación en la nube;
79. Destaca que un prestador europeo de servicios en la nube siempre deberá actuar de conformidad con la legislación de la UE en materia de protección de datos, aunque ello sea incompatible con las instrucciones dadas por un cliente o responsable del tratamiento establecido en un tercer país o cuando los interesados en cuestión sean (únicamente) residentes de terceros países;
80. Hace hincapié en la necesidad de abordar los retos planteados por la computación en la nube a nivel internacional, en particular la vigilancia de los servicios gubernamentales de inteligencia y las salvaguardias necesarias;
81. Destaca que los ciudadanos de la UE sujetos a la vigilancia de la información por parte de las autoridades de un tercer país deben disfrutar —al menos— de las mismas salvaguardias y recursos a disposición de los ciudadanos del tercer país en cuestión;
82. Lamenta el enfoque adoptado por la Comisión en su Comunicación, pues no menciona los riesgos y peligros asociados a la computación en la nube, y le insta a proseguir sus trabajos y a presentar una comunicación más completa sobre la computación en la nube que tenga en cuenta los intereses de todos los afectados y que, junto a una referencia normalizada al respeto de los derechos fundamentales y de las obligaciones en materia de protección de datos, incluya cuando menos lo siguiente:
–
directrices para asegurar el pleno respeto de los derechos fundamentales y las obligaciones de la UE en materia de protección de datos;
–
condiciones restrictivas en las que se puede permitir o no el acceso a los datos en la nube con fines policiales, de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea y la legislación de la UE;
–
salvaguardias contra el acceso ilegal por parte de entidades extranjeras o nacionales, por ejemplo, modificando los requisitos para la adjudicación de contratos públicos y aplicando el Reglamento (CE) n° 2271/96(9) para contrarrestar la legislación extranjera que puede dar lugar a transferencias masivas ilegales de datos de la nube pertenecientes a ciudadanos y residentes de la UE;
–
propuestas sobre cómo definir la «transferencia» de datos personales y cómo actualizar las cláusulas contractuales generales adaptadas al entorno de la nube, dado que a menudo la computación en la nube implica flujos de datos masivos de los clientes de la nube a los servidores de los prestadores de la nube y a centros de datos en los que participan muchas partes diferentes y que cruzan fronteras entre países pertenecientes y no pertenecientes a la UE;
83. Pide a la Comisión que examine la adecuación de una revisión del Acuerdo de Puerto Seguro entre la UE y los Estados Unidos, con el fin de adaptarlo a la evolución tecnológica, en especial en lo que respecta a los aspectos relacionados con la computación en la nube;
o o o
84. Encarga a su Presidente que transmita la presente Resolución al Consejo y a la Comisión.
El dictamen 5/2012, WP 196 está disponible en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm#h2-1.
Reglamento (CE) nº 2271/96 del Consejo, de 22 de noviembre de 1996, relativo a la protección contra los efectos de la aplicación extraterritorial de la legislación adoptada por un tercer país, y contra las acciones basadas en ella o derivadas de ella (DO L 309 de 29.11.1996, p. 1);