Políticas Públicas para el Cómputoen la Nube (Cloud):

Privacidad, Seguridad y Medio Ambiente

Foro Internacional: Sociedad, Derecho e InternetDía Mundial del Internet

Jorge J. Vega Iracelay

Director de Asuntos Jurídicos y CorporativosMicrosoft México 1

Agenda

El Cómputo en la nube, en pocas palabras.

Tendencias en las políticas generadas por el cómputo en la nube.

¿Requiere el cómputo en la nube un nuevo marco de políticas?

Preocupaciones sobre Privacidad, Seguridad y Medio Ambiente.

Flujo transfronterizo de datos, tensión en múltiples jurisdicciones.

2

Impacto de la Tecnología en las Decisiones de los Reguladores y Funcionarios que

crean Políticas Públicas

Source: modified from Guarding Our Future Protecting Our Nation ’s Infrastructure

Toffler Associates 2008

3

¿Qué es “cómputo en la nube”?Depende a quien le preguntas . . .

El cómputo en la nube ofrece poder de software y

computación a usuarios como un servicio brindado a través

de Internet

Servicios + aplicaciones de plataforma de software

mediante servidores de archivo remotos

Muchos “sabores” diferentes de cómputo en la nube

Consumidor vs. Empresarial

Nube pública, dedicada o privada

¿No es esto tercerización de servicios? 4

Resumen de Servicios en la Nube

Ubicación

Consideraciones

Aspectos Fundamentales

Infraestructura

Modelo Negocio

Propiedad

Administracion5

5

Beneficios del Cómputo en la Nube

6

Cómputo en la Nube en MicrosoftEl cómputo en la nube no es nuevo

para Microsoft.

Desde Hotmail a Xbox Live,

Microsoft tiene 16 años de

experiencia en el cómputo en la

nube.

Microsoft invierte más de 9 mil

millones de dólares al año en

investigación y desarrollo.

Microsoft está invirtiendo

fuertemente en infraestructura en la

nube y en productos y plataformas

inter-operables que aseguran

flexibilidad, seguridad, privacidad y

opciones para sus clientes.

7

La Diferencia de Microsoft

Mark Zuckerberg:

La privacidad ya no es una norma social

Mark Wolf:

La privacidad es como la virginidad, en realidad nadie la quiere

¿Cierto / falso?

8

Seguridad y Disponibilidad de

Nube• 99.9% tiempo funcionamiento,

SLA con respaldo de $

• 99.95%+ tiempo real de

funcionamiento

• Cumplimiento con SAS 70 y

ISO 27001

• Certificación Cyber Trust a

aplicaciones y física

• Acceso seguro 24x7 • Control de acceso biométrico• Vigilancia c/ video cámara• Centro de datos dentro de centro

de datos

Inversión de Nube• $2.3MM invertidos en la Nube

• >$1MM en centros de datos

ya construidos

• Mega CD: 9 - 11 campos

football con suficiente. Cable

para envolver la tierra varias

veces

• Más de 1,000 personas en

ingeniería y operaciones

• Reducciones de energía

innovadoras

El dinamismo de la Nube• >6,500 empresas suscritas

• Más de 7,000 revendedores

BPOS, creciendo a

100/semana

• Más de 25,000 pruebas BPOS

y creciendo

• Más de 2,000 aplicaciones

Azure y creciendo (publicado

el 1/4/2010)

Experiencia Operacional Demostrada en la Nube• BPOS: >1.5 millones de asientos vendidos en 36 países

• Protección en Línea Forefront para Exchange:>100 mil millones correos electrónicos procesados al

mes

• Azure: 100s de aplicaciones comerciales críticas en Azure a publicarse el 1/4/2010

• Office Live Meeting: 7 años, >1M pequeñas empresas , 5 mil millones minutos/años de conferencias

• Buscador Bing: 11 años, >3MM consultas/mes, Índices: 10MM+ documentos, 400M+ imágenes, 7M+

respuestas instantáneas

• MSN: 13 años, 550M usuarios/mes, 46 mercados, 21 idiomas, 10MM+ vistas página/mes

• Windows Live - Live ID: > 500M usuarios activos, 1MM+ autenticaciones/día, Hotmail: 15 años, 450+M

usuarios activos, bloqueo de 3.4MM correos no deseados al día, Messenger: 9.9MM mensajes/día,

>314M cuentas activas, Spaces: 8M fotos cargadas/día, Suite: 265M descargas Windows Update: 12

años, Envía un petabyte de actualizaciones cada mes a millones de servidores y cientos de millones de

computadoras personalesLos Centros de Datos de Microsoft operan >200 servicios con cientos de millones de clientes en el

mundo.9

Tendencias Actuales: Privacidad en la NubeNumerosas violaciones a datos de alto perfil reflejan una inadecuada gobernanza de datos en las organizaciones;

Falta de conocimiento de los rastros que se dejan en Internet;

Identidad digital / conducta digital;

Las búsquedas y publicidad en línea son cada vez más el centro del escrutinio de la privacidad;

Redes sociales / blogs bajo el microscopio de la privacidad;

Algunos consumidores abogan por ir en contra del uso de servicios de almacenamiento en la nube, especialmente para los datos personales de salud y otros datos sensibles, debido a inquietudes de privacidad. Diversas leyes sobre privacidad dificultan el manejo de los datos, tanto para las organizaciones, como para los propios dueños de los datos.

10

¿“La Nube” requiere un nuevo marco de

privacidad?Los problemas de privacidad son los mismos que se han tenido con los servicios en línea en los últimos 16 años.

Pero conforme se mueven más datos a la nube, las grietas en el marco de trabajo se ven más expuestas.

Necesidad de definir claramente la función del proveedor de servicio.Conflictos jurisdiccionales. Deficiencias y ambigüedades en la ley. 11

Funciones del proveedor de servicios en la nube

Servicios al consumidor vs. Servicios empresariales

Controlador de datos vs. Procesador de datos

En ocasiones, un proveedor de servicios puede cumplir con ambas funciones

Las políticas y prácticas pueden ser diferentes dependiendo de las funciones

Por ejemplo, uso de datos por el proveedor de la nube

En algunos casos, no es claro donde trazar la línea entre procesador y controlador

¿Quién es responsable del cumplimiento, el proveedor del servicio o el cliente empresarial?

12

Preguntas que se debe hacer a un proveedor de servicios de la nube

¿Cuáles son las políticas del proveedor respecto al uso de datos?

¿Cuáles son las prácticas de seguridad de la compañía y qué certificaciones tiene?

¿Qué controles y opciones están disponibles?

13

Prácticas de uso de datos del proveedor de servicios

¿Cómo acceden y utilizan los proveedores de servicios en la nube

a los datos del cliente?

¿Los datos del cliente se escanean / minan para fines de

publicidad?

¿Está permitido el análisis de datos para mejorar el servicio?

¿Algún otro uso “secundario” de datos del cliente?

Vinculado a la cuestión de si el proveedor de servicio en la

nube es un “controlador de datos” o un “procesador de datos”

¿Es diferente para servicios de consumidor vs. empresariales?

Portabilidad de datos: ¿Qué facilidad existe de exportar datos a

almacenamientos locales y/u otro proveedor en la nube?

Modelo de software local + Nube vs. ofertas sólo de nube

¿Qué tan transparentes son los proveedores de servicios sobre

sus prácticas (y las opciones y controles disponibles)? 14

What is online behavioral

advertising?

Se define regularmente como rastreo de conducta de usuario entre múltiples sitios de Internet no relacionados y el uso de información de rastreo para publicidad dirigida

15

Formación de un Perfil de Usuario: 1993

16

Formación de un Perfil de Usuario: Hoy día

17

Privacidad y Publicidad Relacionada a Pautas deComportamiento

Fuentes y volúmen de datos recopilados y utilizados

Conducta de navegación en Internet

Rastreo de redes de publicidad a través de sitios

múltiples

Consultas de búsquedas

Otros datos

Naturaleza de datos recopilados y utilizados para ¨targeting¨

¿Identificable como “Anónima,” “Seudónima” o Personal?

Categorías sensibles de datos

Datos compartidos y agregación

Usos adicionales de datos sobre pautas de comportamiento

más allá de la publicidad

Protección de datos: ¿cuál es el riesgo de robo o pérdida?

Falta de transparencia y control

Niños y otra población vulnerable

¨Targeting¨ está yendo demasiado lejos (discriminación de

precios, determinación racial de perfiles)18

Una breve historia de escrutinio legal de los Estados Unidos (respuesta auto-reguladora)

1999: Combinación propuesta de datos en cadena de Clicks DobleClick con datos fuera de línea en Abacus conduce a investigaciones de AG estatales y escrutinio de FTC de la determinación de perfil en línea

2000: Formación de Iniciativa de Publicidad de Red (NAI) y principios auto-reguladores2002: Convenio de DoubleClick con AG estatales

2007: La adquisición de DobleClick por parte de Google concentra la atención de autoridades en publicidad en línea y consolidación de la industria2007: FTC lleva a cabo una reunión de “Town Hall” en la que se examina la publicidad relacionada a pautas de comportamiento y publica los principios propuestos para la auto-regulación

2008: Lineamientos de NAI revisados

2009: FTC publica principios finales

2009: IAB, DMA y otros publican reglas auto-reguladoras que van más allá de los principios NAI

2009-2010: Mesas redondas de privacidad de FTC, con un gran enfoque en publicidad en línea

2010: FTC publica reporte preliminar de privacidad con énfasis en ¨Do nottrack¨Microsoft y Mozilla anuncian nuevas características de navegadores “Do NotTrack” 2011: Acciones de aplicación de la ley FTC

19

Entorno regulador en EuropaEnfoque integral actual sobre la protección de datos.

1995 Directiva sobre Protección de datos

2002 Directiva «ePrivacy» (según enmienda en 2009)

Junio 2010 Dictamen de Artículo 29 “Working Party” (Parte de Trabajo) sobre publicidad relacionada con pautas de comportamiento.

Continúan tendencias previas de lecturas expansivas de las Normas

Definición de “datos personales” para incluir direcciones IP e identificaciones de “cookies”

Jurisdicción sobre la base de establecimiento de un ¨cookie¨ = “uso de equipo”

Interpreta Artículo 5(3) de la Norma ¨ePrivacy¨ como el requerimiento de consentimiento opcional previo para ¨cookies¨; las configuraciones de navegador son insuficientes

Capacidad para revocar el consentimiento

Limitación de tiempo del consentimiento (1 año)

Consentimiento ¨opt-in¨ adicional para categorías sensibles de datos

No hay uso de categorías de interés dirigidas a niños

Derecho del usuario para acceder y eliminar perfiles de conducta (y datos de conducta subyacentes)

Retención de datos limitada y justificada

Diciembre de 2010 cartas enviadas a redes de anuncios y compañías de buscadores

20

Pocas Mejores Prácticas de Auto-Regulación (industria

de TI)Transparencia

Texto / icono en o junto a anuncios

Avisos de privacidad fáciles de encontrar o comprensibles (por ejemplo, avisos en niveles, uso de lenguaje simple)

Obligación de anunciantes de avisos para paso de las prácticas de redes de anuncios

Otros medios de transmitir las prácticas de una compañía

Controles de Redes de anuncios

¨Opt-out¨ individual de redes de anuncios

Métodos para hacerlas más duraderas

Participación en páginas ¨opt-out¨ de toda la industria (NAI y DAA) 21

Controles de navegador

Controles de ¨Cookie¨

Características ¨Do-Not-

Track¨

Enfoque de encabezado

Listas de Protección de

Rastreo IE8 InPrivate y IE9

Gestión y seguridad de datos

Retención de datos

Seguridad de información

Anonimato

Pocas Mejores Prácticas de Auto-Regulación

(industria de TI)

22

Seguridad de datos¿Cuáles son los riesgos (y beneficios) de la nube?

Prácticas de proveedor de servicio

¿El proveedor de servicio tiene un programa documentado de

seguridad de la información y qué dice?

¿Qué certificaciones de seguridad tiene el proveedor de servicio?

Normas industriales

ISO: 27001 / IEC / SOX / PCIDSS / FISMA

Certificaciones internacionales

Legislación / funciones y responsabilidades

Requerimiento de leyes sólidas para ayudar a frustrar ataques a la

seguridad

¿Cuál es la responsabilidad de cada una de las partes, por

ejemplo, en caso de una violación a datos?

Necesidad de aclarar con anticipación

23

Sustentabilidad Ambiental

…while improving the bottom line24

Oferta de Sustentabilidad de MicrosoftTecnologías para Respaldar la Sustentabilidad Ambiental Corporativa

25

• Abastecimiento dinámico: Reducir recursos de cómputo desperdiciados mediante una

mejor igualación de capacidad del servidor con la demanda real.

• Múltiples Titulares: Uniformar cargas pico relativas al atender grandes números de

organizaciones y usuarios en infraestructura compartida.

• Utilización de servidor: servidores operativos a tasas de utilización más altas.

• Eficiencia de Centros de Datos: Mediante el uso de diseños avanzados de

infraestructura de centros de datos que reducen pérdida de energía mediante mejoras

Computación en la Nube y Sustentabilidad: Beneficios Ambientales de

Mudarse a la Nube; 30-90 % de ahorros en uso de energía y Emisiones de

Carbono

Copyright © 2010 Accenture

Todos los derechos reservados.

26

27

Flujos transfronterizos de datosEficiencias y otros beneficios de cómputo en la nube se logran cuando los datos pueden fluir libremente entre fronteras.

Las leyes de privacidad que limitan estos flujos pueden ser un impedimento.

Restricciones europeas

¨Safe harbor¨, cláusulas modelo, reglas corporativas obligatorias (BCR, por sus siglas en inglés)

Estatutos de protección adecuados: Argentina y Uruguay 28

Tensiones jurisdiccionales

¿Dónde están los datos? ¿en qué fase?

¿Cómo pueden moverse los datos entre fronteras?

Tensiones creadas por diferentes países que establecen jurisdicción sobre datos

¿Cuánto importa la ubicación de los datos?

29

Afirmaciones extraterritoriales de jurisdicción por parte de gobiernos

Varios gobiernos han sido especialmente agresivos al establecer la jurisdicción sobre los datos (por ejemplo, Brasil e Italia)

En algunos casos, crean un conflicto directo de leyes.

Intercepciones electrónicas en los Estados Unidos a nombre de un gobierno extranjero.

Reglas de privacidad requieren la reducción al mínimo vs. obligaciones de retención de datos (especialmente en Europa).

En algunos casos, están en juego valores y reputación.

Acceso en general de procuración de justicia.

Inquietudes sobre recursos humanos (libertad de expresión vs. contenido ilegal).

En algunos casos, sólo se vuelve una pesadilla de cumplimiento.

30

Acceso a datos por parte de autoridades de justicia de los Estados Unidos

¿Cuál es el equilibrio correcto entre derechos de privacidad individual y la necesidad de que las entidades gubernamentales atrapen a delincuentes y terroristas?

¿Debería haber una diferencia si uno almacena datos en el hogar o en la nube?

La aplicabilidad de la 4a enmienda sobre la nube es poco clara.

Necesidad de que ECPA se reforme para aclarar / mantener / restablecer el equilibrio.

31

Acceso a datos en el extranjero por parte de las autoridades de procuración de

justicia de los Estados Unidos¨PATRIOT ACT¨: Las agencias de procuración de justicia de los Estados Unidos pueden solicitar a alguna entidad con presencia en los Estados Unidos que presente datos que se conservan fuera de los Estados Unidos, de esa entidad que tiene “posesión, custodia o control” de los datosCo- existencia con Tratados de Asistencia Mutua y Cartas Rogatorias¨Due process¨ y otros derechos legales evaluados por un Tribunal Federal.Canadá y el Reino Unido tienen leyes extraterritoriales similares.Las Ordenes de Vigilancia en comunicaciones electrónicas son mucho más altas en Italia o Alemania32

Otras posibles soluciones / mitigacionesMayor compromiso bilateral, multilateral y de múltiples participantes por parte de gobiernos, sector privado y la sociedad civil

Podría estar en cualquier punto, desde intervención caso por caso hasta un acuerdo de tratado formal.

¿Cuál es el mejor foro / mecanismo?

Mayor opción y control del usuario

Transparencia (y en algunos casos, opción) respecto de ubicación geográfica de datos

Exportación y portabilidad de datos

Modelo Software + servicios vs. oferta sólo de nube

Encriptación controlada por usuario

¿Qué más? 33

Conclusión

A pesar del trabajo activo de varios años, la guía legal es insuficiente.

La publicidad en línea relacionada con conductas es un área que continúa evolucionando rápidamente.

Urgida por un escrutinio regulador, la industria ha tomado medidas para desarrollar herramientas tecnológicas y mejores prácticas.

Continuar las pláticas y avanzar la ley a futuro para mantener el paso con las nuevas tecnologías. 34

Mark Zuckerberg:

«La privacidad ya no es una norma social »

Mark Wolf:

«La privacidad es como la virginidad, en realidad nadie la quiere»

¿Cierto/falso?

35

Recursos sobre Privacidad en la Nube

Recursos de Microsoft referentes a privacidad en http://www.microsoft.com/privacy/cloudcomputing.aspx

Discurso de Brookings Institute por Brad Smith: http://www.brookings.edu/events/2010/0120_cloud_computing.aspxhttp://www.microsoft.com/presspass/presskits/cloudpolicy

36

Para mayor información, favor de dirigirse a

www.microsoft.com/cloudservices