LA COMPUTACIÓN EN LA NUBE
Por Miguel Ángel Davara Rodríguez*
Se ha puesto de moda hablar del Cloud Computing como la más moderna estrategia en la red Internet que viene a presentar la posibilidad de utilizar aplicaciones potentes, plataformas, gran capacidad de almacenamiento e infraestructuras en red, por aquellos que, por su tamaño o por sus escasos recursos económicos, no pueden acercarse a ellas o ni siquiera han pensado en utilizar esas herramientas. Podemos decir que es una nueva filosofía de uso de software y de recursos lógico informáticos y de almacenamiento en Red que se conoce con el nombre de computación en la nube (cloud computing). Pero no solamente los pequeños, o de escaso poder económico, se ven atraídos por la nube. También los grandes, por diferentes motivos, encuentran acomodo en la nube.
Las aplicaciones informáticas que funcionan solamente en la nube se conocen con el nombre de cloudware y se habla de que puede ser el futuro de la red Internet. Sea o no sea así, lo cierto es que la denominada computación en la nube es uno de los términos de moda en las revistas tecnológicas y una de las principales apuestas de los grandes de la informática y las comunicaciones electrónicas y, además, es hoy en día una realidad social y económica que el Derecho no puede desconocer.
Se señala como una de las grandes ventajas de la computación en la nube que llevará al fin de las licencias ya que, como tan solo se paga el servicio, o dicho de otra forma, se paga solamente lo que se utiliza, se puede acceder a versiones específicas de programas especializados sin necesidad de pagar una licencia por cada una de ellas con lo que, los que hemos denominado más pequeños, o que no pueden acceder a estas aplicaciones a pesar de que les sería de gran utilidad, se encuentran con la posibilidad de acceso y utilización en las mismas condiciones que un «grande».
Como fácilmente se intuye, la «nube» es Internet y, resumiendo, podemos decir que estamos haciendo referencia a la tendencia de basar las aplicaciones que se utilizan en Internet en servicios que se alojan en la propia web, de forma externa a nuestro sistema de información.
Los datos y las aplicaciones que los tratan se encuentran on line surgiendo una nueva forma de pensar en la utilización de las técnicas electrónicas, informáticas y telemáticas.
No cabe duda de que esto proporciona al usuario una descarga de memoria, de programas y de gestión del propio sistema que le conduce a una mejor organización y mayor libertad de manejo y de gestión, al tiempo que facilitará a los más pequeños el acceso a grandes aplicaciones y, consecuentemente, a encontrar soluciones.
Pero esta apuesta decidida por el cloudware, en particular, y por el cloud computing, en general, que parece sin duda tener grandes ventajas, también va acompañada por inconvenientes que es necesario presentar llegando algunos a preguntarse si esta nube es o no tormentosa y cuáles pueden ser los perjuicios de esta tormenta.
EL CLOUD COMPUTING, NUESTRA MEMORIA EN LA RED
Sería muy pobre resumir el cloud computing como el acceso a programas para su utilización en la Red ya que esto nos llevaría a la idea, equivocada y totalmente alejada de nuestra materia, de buscar programas en Internet y «bajarlos» para su utilización en nuestro propio sistema. Esta no es la idea.
Desde la óptica del usuario el cloud computing se asocia a un servicio a través de Internet en el que los programas y las aplicaciones son suministrados como servicio y el usuario solamente ejecuta o utiliza con sus propios fines lo que usa de ejecución de ese software o de almacenamiento en la Red.
El cloud computing lleva aparejado la utilización del programa o parte del programa y su ejecución con nuestras cuestiones específicas, todo ello en la Red, que lo presta como un servicio on line. Como es lógico, esto implica también tener nuestros propios datos y recursos de información en la Red, con la consecuente descarga de nuestros sistemas y, consecuentemente, ya no necesitar programas de control, de sistema o de aplicación alojados en nuestro disco duro o diferentes tipos de memoria. Será la Red nuestra memoria.
La idea, por tanto, es que los datos, la información entendida como el tratamiento de los datos adecuados a un fin determinado, y los programas o aplicaciones que los utilizan y, consecuentemente, obtienen los resultados de ese tratamiento automatizado de la información, se encuentran almacenados en servidores y el usuario no necesita ir con su ordenador a cuestas o acceder a su disco duro sino que desde cualquier lugar, solamente con un acceso a Internet, puede acceder a su información, sin necesidad de tener conocimientos ni experiencia informática y utilizando para sus propios trabajos aplicaciones informáticas de gran potencia y utilidad. Podemos decir que es la idea del software y el almacenamiento de datos como servicio sin necesidad de recursos propios estáticos.
Se trata de servicios, de soluciones y de diferentes prestaciones software que se utilizan on line por medio de Internet.
No obstante, señalamos solamente unas aproximaciones a modo de definiciones e intentando centrar conceptos pero, ni existe una única definición sobre el cloud computing, ni las que existen tienen una convivencia pacífica, ni parece que se haya encontrado la orientación adecuada hacia un único modelo de cloud computing. Es más, podemos hablar de varios modelos que se aceptan en términos generales y que se representan en forma distinta según se analicen desde la óptica del usuario o del proveedor de servicios.
UNA NUBE DE MODELOS
En principio parece generalizada la idea de que existen tres modelos de cloud computing y que todos los podemos encuadrar en una idea común de oferta de productos, servicios y soluciones a través de Internet, pero si tenemos en consideración que no se trata solamente de aplicaciones software sino que, como ya hemos señalado, proporciona alojamientos, espacios de memoria virtuales e, incluso, programas de sistema o de utilidad que conforman lo que podíamos llamar un sistema operativo en red que amplía su potencialidad al desarrollo en la nube de nuevas aplicaciones por el propio usuario, esos tres modelos, repetimos que si tenemos todo ello en consideración, se convierten en múltiples modelos pudiendo hablar de modelos que incluyen modelos y a su vez una oferta a la carta que puede ser utilizada por muchos o diseñárnosla a la medida.
Los modelos típicos de los que se habla son, en primer lugar los del software como servicio, ampliando en segundo lugar a la creación de una plataforma virtual en la red, incluyendo herramientas de desarrollo que puede utilizar el propio usuario y, en tercer y último lugar, la que podíamos denominar infraestructura en red que abarca también máquinas virtuales y una compleja red de infraestructura, también virtual, interconectada y dinámica en su utilización y desarrollo, al mismo tiempo que con apoyo en programas de sistemas operativos y de seguridad de la información, también en un entorno de servicio y virtual.
Además, estos tres modelos se pueden también desplegar en la red de diferentes formas.
Desde la que podemos llamar nube de acceso universal, hasta la que denominaremos nube de acceso restringido, pasando por la intermedia que llamaremos nube mixta.
Entenderemos por nube de acceso universal aquella en que todos sus componentes, ya se trate de aplicaciones que se ejecutan en red, de almacenamiento virtual, de plataformas con desarrollo propios e, incluso, de todo tipo de infraestructura, se pone a disposición de cualquier persona sin necesidad de que cumpla requisito alguno sino, sencillamente, cumplir las normas de funcionamiento de la propia oferta que, naturalmente, no será gratuita, aunque en la actualidad muchas lo sean. Es la que podemos llamar nube de acceso al público en general o nube pública.
Por nube de acceso restringido, entenderemos aquella que, conteniendo las mismas características, se realiza, gestiona y pone a disposición de una única entidad u organización.
Por último tendríamos una gran cantidad de variaciones, de todos los órdenes y colores que podamos pensar, que denominaremos nube mixta.
No quiere esto decir que solamente se puedan plantear estos tres tipos de modelo que se despliegan en la red en las tres formas de acceso universal, acceso restringido o mixto que hemos señalado; lo cierto es que las posibilidades de presentación, acceso y gestión de aplicaciones, alojamientos, plataformas e infraestructuras pueden ser múltiples y no responder a ninguno de los modelos presentados y es precisamente esta dinámica que permite muchas combinaciones la que hace que este nuevo sistema ofrezca mayores posibilidades de éxito. La cuestión se hace difícil de presentar de una forma estructurada al tener esta dinámica y flexibilidad que, en nuestra opinión, la enriquece sobremanera.
HABLANDO DE VENTAJAS E INCONVENIENTES DE LA NUBE
Son distintas las opiniones que se vierten sobre las ventajas y los inconvenientes de la nube; es más, en ocasiones una ventaja que se presenta como tal resulta ser un inconveniente para un tercero y desde otra óptica.
Precisamente es el caso de la seguridad, que siendo un inconveniente a la vista de muchos, los problemas de seguridad que pueden tener las aplicaciones, plataformas e infraestructura en la red, para otros representa una ventaja enorme al poder aprovechar sinergias y potencias lógico informáticas que se aúnan en un proyecto común ofreciendo mayor seguridad al conjunto.
Es de todos sabido que la seguridad, en su concepción de ausencia de riesgo, debe ser entendida como el conocimiento de este riesgo y la adopción de las medidas que se consideren necesarias para moverse en un límite aceptable. Hay que conocer el riesgo y aceptar un nivel determinado apropiado para cada modelo de negocio.
Pero esta seguridad se debe plantear, cuando se trata de la nube, desde las ópticas de seguridad lógico informática y, cómo no, de seguridad jurídica.
El éxito que está teniendo esta cuestión, y el que se dice que se avecina, tiene gran base en modelos de seguridad que garanticen a un usuario que se puede trabajar con los programas y los datos en alojamientos virtuales en la Red y con su facilidad de desarrollo y adaptación a nuevas utilidades con una dinámica de aprovechamiento de sinergias y desarrollo comunes. No cabe duda de que al aplicar una economía de escala se pueden adoptar mejores medidas de seguridad y una mejor protección de los datos e informaciones; pero tampoco cabe duda de que el medio y la práctica habitual en la Red generan desconfianza en muchos y puede ser uno de los problemas que impidan un más rápido desarrollo.
La pregunta que a todos nos viene a la cabeza se centra en cúal será el ritmo de aceptación de las organizaciones cuando se trata de proporcionar y confiar el alojamiento y gestión de sus datos a terceros por Internet.
Además, hay que considerar también que esto puede representar una pérdida de control sobre programas y sobre gestión de nuestros propios datos aunque no, en absoluto, de resultados, pero a veces la desconfianza, o más bien el desconocimiento, incitan a la duda.
No obstante, lo que es seguro es que el gasto se reducirá en gran medida y las ventajas económicas se moverán en unos índices de reducción de costes que difícilmente se podrán obviar. Al tratarse de programas de los que solamente se pagará lo que se utilice y poder aprovechar plataformas que sería impensable tener de otra forma, así como disponer de infraestructuras cuyo diseño solamente sería posible para entidades y trabajos mucho mayores, pero que con esta posibilidad las utilizamos nosotros desde nuestra óptica empresarial con unos evidentes beneficios, el coste será reducido y la voluntad de trabajar en este sistema será grande.
Debe estudiarse en estándares concretos algunas recomendaciones sobre ventajas e inconvenientes y cómo abordar los riesgos de forma que resulte evidente las ventajas para los usuarios.
PROBLEMAS JURÍDICOS
No podemos olvidar, e incluso es prioritario para lograr la aceptación total de estos modelos en Red, la importancia de la seguridad jurídica, entendida como el conjunto de medidas legislativas que protege o cubre los riesgos que el ciudadano corre en la vida ejerciendo su libertad.
Podemos decir que, independientemente de Internet, y acaso también del desarrollo tecnológico, los servicios de la Sociedad de la Información, propiamente hablando, o los servicios que se proporcionan en el entorno de la Sociedad de la Información, en un sentido más genérico, necesitan de una normativa técnica y jurídica y de una implantación, acompañada de formación e información a todos los niveles, que garantice su introducción con la seguridad necesaria para que tomen fuerza y confianza impulsando su utilización equilibrada en todos los ámbitos.
Bajo ésta óptica se pueden plantear diversas cuestiones que afectan a la seguridad jurídica con el riesgo que llevan consigo y que es necesario conocer para la óptima aceptación de estos modelos.
Es muy sencillo centrar los problemas de gestión de los datos de carácter personal que se encuentran en un almacenamiento virtual en la Red, y no cabe duda de que es una cuestión que se debe debatir con detenimiento y prudencia, pero no son solamente los problemas de protección de datos los que se plantean. Se puede hablar también de derechos de propiedad intelectual sobre software, sobre bases de datos, como estructura protegida jurídicamente para recibir y permitir la recuperación óptima de datos, y de protección de productos multimedia con toda la problemática que se cierne sobre las teorías de patentes y de licencias, de acuerdo con el entorno jurídico en el que nos estemos moviendo.
Hay que tener en cuenta que estamos hablando de infraestructuras compartidas, en las que debe haber unos límites de seguridad jurídica dentro de una auténtica virtualidad. Es por ello que no deben resultarnos ajenos tampoco los problemas jurídicos de acceso electrónico a datos e informaciones, del pago electrónico y de la adecuación a una determinada normativa de procedimientos electrónicos.
El comercio electrónico y la contratación electrónica así como todas las características jurídicas que en las modernas regulaciones rodean a los prestadores y proveedores de servicios de la Sociedad de la Información y a los prestadores y proveedores de servicios de intermediación en red, así como el análisis de los contratos a suscribir, en forma electrónica o no, la identificación y autenticación electrónica, alrededor de la normativa sobre firma electrónica, los procedimientos electrónicos y el estudio de si todas las relaciones profesionales, mercantiles e incluso industriales que se acogen en la nube, pueden tener cabida en los modernos ordenamientos jurídicos.
No olvidemos tampoco cuestiones jurídicas referentes a la confidencialidad, a la negligencia profesional, a la responsabilidad civil y penal e, incluso, a la externalización de servicios y cambios de control en la actividad.
Los problemas jurídicos no cabe duda de que son múltiples y por ello hay que analizarlos y buscar soluciones que garanticen la necesaria seguridad jurídica.
ES CUESTIÓN DE CONFIANZA
El abaratamiento de costes y mejora en la gestión, así como la posibilidad de utilización de plataformas e infraestructuras dedicadas con alta potencia, empujarán con fuerza la aceptación del cloud computing.
La realidad económica y empresarial ha situado siempre a la informática, a la electrónica y a las comunicaciones en el lugar donde pueden ser mejor utilizadas. Les corresponde a los juristas estudiar el equilibrio de todos los elementos implicados en el tema, para proporcionar ese canto de distribución de justicia dentro de la convivencia social: la búsqueda constante de una convivencia social justa.
Todo apunta, por tanto, a la utilización de firmas electrónicas y técnicas criptográficas que apoyen y garanticen la seguridad, pero estas firmas y técnicas deben estar asociadas a los conceptos que se quieren utilizar y a la expresión de la relación jurídica que se establezca. Y, naturalmente, deben ir asociadas al documento en soporte electrónico.
No debemos olvidar que las transacciones electrónicas están necesitadas de confianza y de seguridad y la seguridad debe ser, precisamente, la que provoque la confianza.
Independientemente de Internet, y acaso también del desarrollo tecnológico, los servicios de la Sociedad de la Información, propiamente hablando, o los servicios que se proporcionan en el entorno de la Sociedad de la Información, en un sentido más genérico, necesitan de una normativa técnica y jurídica y de una implantación, acompañada de formación e información a todos los niveles, que garantice su introducción con la seguridad necesaria para que tomen fuerza y confianza impulsando su utilización equilibrada en todos los ámbitos.
Sin seguridad, tanto lógica como jurídica, no llegaremos a crear el entorno de confianza necesario para que las operaciones realizadas mediante transacciones electrónicas adquieran carta de naturaleza en nuestra sociedad. Una cosa es utilizar el móvil, el correo electrónico y el acceso a Internet desenfadadamente y otra muy distinta es tener confianza en estas herramientas para crear el espacio, real o virtual —que en nuestro caso es igual— necesario para conformar lo que vamos a denominar el «entorno adecuado de seguridad» en las referidas transacciones, con la lógica asunción del riesgo derivado y, consecuentemente, realizar actos con contenido jurídico económico utilizando la virtualidad de la red y programas, plataformas e infraestructuras bajo unos parámetros de funcionamiento y versatilidad específicos.
____________
* Miguel-Ángel Davara Rodríguez nacido en Madrid en 1946, es Ingeniero y Doctor en Derecho. Presidente y fundador de la firma de asesores jurídicos Davara & Davara, especialistas en Derecho de las Tecnologías de la Información y las Comunicaciones. Profesor Ordinario (Catedrático) de Derecho Informático y de Informática para Juristas de la Facultad de Derecho de la Universidad Pontificia Comillas de Madrid (ICAI-ICADE). Miembro de la Comisión de Internet de la Federación de los Colegios de Abogados de Europa. Miembro del Grupo de Asesores Legales en Tecnologías de la Información de la Unión Europea en Luxemburgo (DG Sociedad de la Información). Ha sido Jefe de equipo del Proyecto TACIS sobre legislación en el campo de la Información para la Federación rusa, realizando análisis e informes sobre los borradores legislativos en Tecnologías de la Información de la citada Federación. Director de la Revista Actualidad Informática Aranzadi. Director del Master en Derecho de las Tecnologías de la Información y las Comunicaciones y del Master en Derecho de Internet, de ICADE. Autor de 18 manuales propios, 20 libros más en colaboración y más de 300 artículos sobre Derecho e Informática