julio 2012

Había 5 entradas publicadas en julio 2012 (esta es la página 1 de 1).

Sube a mi nube, Nubeluz

Seguro que el término Cloud Computing ya no es exclusivo de las conversaciones entre los “techies” de la oficina. Sospecho que pocos son quienes realmente saben de qué va la cosa y quizás los CSP (Cloud Service Providers) estén apostando a que mientras más familiar sea el término, más fácil será convencernos de que no hay nada por qué preocuparse.

No somos pocos los que pensamos que los principales puntos críticos de esta tecnología recaen en la confidencialidad de la información y la responsabilidad derivada de incidentes relacionados con este servicio. En este sentido, vale la pena dar un vistazo para ver si existe regulación o algún tipo de guía sobre la nube.

España y Europa

Hace unas semanas la Agencia Española de Protección de Datos junto al Consejo General de la Abogacía Española publicaron el informe titulado “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal” (aquí). Este documento ofrece orientación sobre los aspectos a tomar en cuenta en caso quisiéramos contratar estos servicios, considerando como base 3 aspectos claves:

  • Responsabilidad sobre el tratamiento de los datos, así como la normativa y jurisdicción aplicables.
  • Seguridad y confidencialidad de los datos.
  • Aspectos técnicos y jurídicos del contrato que debe firmarse.

Documento por demás valioso tomando en cuenta que los abogados son depositarios de la información de sus clientes, y como tales, tienen el deber de guardar la privacidad de la misma, así como el secreto profesional.

A principios de año la European Network and Information Security Agency (ENISA) publicó “A guide to monitoring of security service levels in cloud contracts” (aquí), una guía práctica para verificar que se cumplan todos los aspectos relacionados con la seguridad de la información. Si bien está enfocada al sector público, funciona perfectamente para el privado.

La misma Agencia publicó tiempo atrás la Cloud Computing Risk Assessment (tiene versión en español) que presenta un exhaustivo análisis de las ventajas, riesgos y vulnerabilidades de la nube (como para que no nos cuenten cuentos). Además, incluye criterios para evaluar riesgos, comparar ofertas de distintos CSP y asegurar un adecuado nivel de servicios. Muy didáctico, porque lo desarrollan tomando como escenario un caso de migración de una MYPE hacia la nube.

Vayan hasta el final de este documento, que trae como anexo un análisis de cinco cuestionamientos legales que suelen preocuparnos a quienes miramos con cierta expectativa a este nuevo paradigma, como son:

  • Protección de datos (disponibilidad, integridad y garantías)
  • Confidencialidad
  • Propiedad intelectual
  • Negligencia profesional
  • Servicios de subcontratación y cambios de control.

Estados Unidos

Desde 2010 EE.UU cuenta con un plan llamado Cloud First y la Federal Cloud Computing Strategy, enfocados a reducir la infraestructura informática tradicional en manos de las entidades de gobierno, migrándola a la nube en aquellos casos que sea más eficiente términos operativos y económicos.

En esa línea, The Federal Risk and Authorization Management Program (FedRAMP) es un programa creado por (y para) el gobierno estadounidense que responde a le necesidad de estandarizar criterios de evaluación y supervisión de servicios ofrecidos en la nube. Funciona así:

  • Los CSP deben implementar los requisitos de seguridad de la FedRAMP (basados en Federal Information Security Management Act – FISMA y la NIST 800-53)
  • Contratar los servicios de una empresa que audite sus servicios y productos (hay una lista de auditoras certificadas).
  • Luego de pasar la auditoría la FedRAMP incluye al CSP en su registro de proveedores homologados.

El objetivo es evaluar sólo una vez a los proveedores y que las agencias de gobierno utilicen estos resultados tantas veces como sea necesario, evitando repetir procesos de selección una y otra vez.

Si bien el enfoque es para las agencias de gobierno norteamericanas, se rescatan criterios interesantes que se pueden implementar en el sector privado.

Epílogo

En verdad el hemisferio norte siempre está a la vanguardia en temas tecnológicos, así que quienes tenemos en la mira cambiar nuestra “gestión de activos” por una “gestión de servicios” contamos con un material valioso y de lectura obligatoria. No hay pretextos.

Sin embargo, situándonos por este lado del hemisferio, la regulación es casi nula, por lo que habría que utilizar otras herramientas antes de tomar una decisión tan importante y de tanto impacto. Ya será para la próxima.

Y no podrán botarte…

Es sabido que el uso de las nuevas tecnologías en el centro de trabajo es un aspecto que puede generar -y de hecho genera- una serie de tensiones entre empleadores y trabajadores, conflictos que muchas veces suelen terminar discutiéndose en los tribunales.

No obstante, esta tirantez no se ha traducido en el Perú en una gran jurisprudencia sobre la materia. Como antecedentes identificados, tenemos la Sentencia del Tribunal Constitucional en el conocido caso García Mendoza v. Serpost (Uso de Internet en el trabajo, pensando en voz alta) y un par de Proyectos de Ley presentados en el Congreso de la República para regular el uso de las nuevas tecnologías en centros laborales, curiosamente ambos por la parlamentaria Lazo de Hornung de Alianza Parlamentaria (Regulando las comunicaciones electrónicas en el trabajo).

Hace poco nuestro Tribunal Constitucional nos ha sorprendido con dos sentencias más sobre la materia.

En primer caso de Telefónica Centros de Cobro (Exp. No. 00114-2011-PA/TC), la empresa descubre que su Jefe Zonal de Piura viene utilizando una aplicación conocida como NetSend así como el sistema de envío de mansajes cortos (SMS) del teléfono celular corporativo para sostener conversaciones con un lenguaje «soez e impropio» y «ajenas a las que deben darse en un centro de trabajo ya que son de contenido sexual» con una empleada de la empresa. El otro caso, de Telefónica Gestión de Servicios Compartidos (Exp. No. 03599-2010-PA/TC), parece que está relacionado con el primero, y correspondería a la señorita que mantuvo las conversaciones soeces, impropias y de contenido sexual con su jefe, a la sazón Jefe Zonal de Piura, a través de la aplicación NetSend. En ambos procesos, el Poder Judicial en dos instancias decidió prudentemente declarar improcedente las demandas, por considerar que los hechos no podían ventilarse en un proceso de amparo. Pero ya sabemos que la ausencia de una etapa probatoria no intimida a nuestro Constitucional y rara vez se inhibe de decidir, aún cuando debiera hacerlo. Son las ventajas de encontrarse por encima del bien y del mal.

Ninguna de las dos sentencias van a pasar a la posteridad, como ocurre con la inmensa mayoría de las toneladas folios que expide al año nuestro Constitucional, en lo que vendría a ser una versión posmoderna y perversa del fordismo aplicado a los tribunales, pues la carga de trabajo es inversamente proporcional a la calidad de las resoluciones. El Tribunal Constitucional peruano ha ampliado conscientemente sus competencias casi al infinito lo que lo ha convertido en una suerte de instancia adiconal paralela a la judicial. Algo falla en el sistema y en particular con el Tribunal Constitucional a la cabeza, pero no es este el foro para discutirlo.

En lo que respecta a estas dos extrañas sentencias, ambas están conformadas por seis votos distintos. Tres se decantan por declarar fundadas las demandas, dos por que sean declaradas infundadas y una para que sean tramitadas y no declaradas improcedentes de forma liminar, como ocurrió inicialmente en las dos instancias anteriores.

No obstante, dado que incluso los votos que van por el camino de declarar a la demanda como fundada no son coincidentes, es poco lo que se puede extraer como conclusión respecto de cuál sería el criterio que los empleadores deberían seguir cuando se enfrenten a este tipo de casos. Pero la seguridad jurídica y la predictibilidad tampoco suele ser principios que inspiren a nuestro Tribunal Constitucional.

Para Mesía Ramirez el poder disciplinario que tiene el empleador no lo faculta para acceder al contenido de correos electrónicos o de aplicativos del tipo NetSend, sin autorización judicial. Cuestionable, incluso cita mal dos asuntos seguidos ante el Tribunal Europeo de Derechos Humanos (Asuntos Copland contra Reino Unido y Halford contra Reino Unido). Calle Hayen es de la misma opinión. Eto Cruz, parece destacar con acierto que la Ley no ha previsto ningún procedimiento ni garantía para la intervención de las comunicaciones de los trabajadores por la protección de determinados derechos constitucionales del empleador; sin embargo, considera que la demanda debe declararse fundada, pues el Reglamento de Trabajo de las demandadas carece de alguna alusión respecto del uso de las tecnologías de la información por parte de los trabajadores, ni las formas de utilización de las mismas, ni la capacidad de fiscalización, ni menos aún las sanciones correspondientes por el uso indebido. Razonable.

Vayamos ahora al bando que quedó en minoría. Álvarez Miranda, en lo que viene a ser de lejos el voto mejor sustentado, considera que «no puede asimilarse mecánicamente el tratamiento de las cuentas privadas a las laborales. (…) No puede entenderse que una sesión de chat realizada a través de una aplicación proporcionada por el empleador, como herramienta de trabajo, haya generado una expectativa razonable de confidencialidad. (…) Puede decirse que el e-mail laboral y el chat o mensajero interno, son medios de comunicación laboral, al igual que los clásicos memorandos, oficios o requerimientos, sólo que más rápidos, prácticos y ecoeficientes que estos últimos. Y no se puede desprender, razonablemente, por su propia naturaleza, que un oficio, memorando o requerimiento sea un medio de comunicación sobre el que quepa guardar una expectativa de secreto o confidencialidad». Para Urviola Hani, ni tipificación en el Reglamento de Trabajo ni nada por el estilo, el correo o cualquier herramienta informática es únicamente para fines laborales. Finalmente, Vergara Gotteli nos dirá que la demanda sí tiene relevancia constitucional por lo que no correspondía rechazarla liminarmente.

Como pueden ver, decisiones para todos los gustos. Por lo pronto el Jefe Zonal podrá seguir enviando menajes procaces a su subordinada, sólo que ahora, con total impunidad.

Foto: Sean MacEntee (CC BY)

Infografía: ¿Qué es el TPP?

Infografía sobre el TPP

El Trans Pacific Partnership Agreement es un nuevo tratado comercial que viene discutiéndose en privado y de cuyas negociaciones Perú forma parte. De lo poco que se conoce de este tratado, su capítulo sobre Propiedad Intelectual Para saber más sobre el Trans Pacific Partnership Agreement pueden leer el dossier que preparó la ONG Derechos Digitales de Chile.

Infografía elaborada por El Bello Público

Comisión de Justicia aclara dudas sobre el Pre Dictamen de la Ley de Delitos Informáticos

El Presidente de la Comisión de Justicia y Derechos Humanos, Alberto Beingolea, ha declarado al diario Perú 21 sobre las observaciones realizadas al texto del Pre Dictamen en este blog.

El legislador dijo que, en efecto, en la “Exposición de Motivos” de la propuesta de ley hay partes que han sido tomadas casi textualmente de otros trabajos sin que se haya consignado la fuente original, pero sostuvo que eso es solo referencial.

“Es un documento de trabajo. En el camino se hacen varios pre dictámenes. Al que se hace referencia es uno de octubre del año pasado”, dijo a Perú21 Beingolea, tras subrayar que lo sustantivo es el texto de la ley en sí, el cual –dijo– está “impecable” y es de “avanzada”, porque se ha consultado con reconocidos expertos en el tema del país y del extranjero.

Perú 21: Alberto Beingolea: “Pre dictamen no es un documento oficial” (02/07/12)

Sabemos que alguna versión de este Pre Dictamen fue objeto de discusión el último martes 26 de junio, conforme lo señala la Agenda de dicha sesión publicada en la página web del Congreso. Me alegra saber que estas omisiones no estarán presentes en el Dictamen final que, entiendo, debería de ser publicado muy pronto dado que cierta versión de este Pre Dictamen fue aprobada la semana pasada en la Comisión de Justicia, conforme lo declaró el congresista Octavio Salazar. Por cierto, no estaría mal preguntarle a cualquiera de los congresistas que acudió a esa Comisión qué versión del Pre Dictamen le fue entregada.

Creo que se comete una nueva omisión al señalar que el Pre Dictamen que se difundió a través de Internet y fue analizado data de octubre de 2011. Como puede apreciarse, en la página 17 del propio documento se refiere a la comunicación recibida del Ministerio de Justicia de fecha 20 de enero de 2012. Eso significa que la versión se filtró en Internet fue, en el peor de los casos, de enero de 2012.

La tarea de la Comisión de Justicia es demostrarnos en el dictamen que publique en los próximos días cuánto ha enriquecido su investigación desde que se ensayó este borrador. No creo que lo deban hacer para salvar el roche o quedar bien con todos. Creo que lo deben hacer porque la función de un Dictamen es otorgar los criterios y explicaciones necesarias para que el resto de parlamentarios, que pueden no ser abogados, entiendan las razones del proyecto. Ese es el verdadero reto y eso es lo que queremos ver.

Actualización (04/07/12):

Consultado sobre los hechos por Diario 16, el Presidente de la Comisión de Justicia y Derechos Humanos amplió su descargos refiriéndose a este blog. Aparentemente, los blogs no tienen derecho a opinar sobre este tema salvo que estén directamente interesados.

“Quisiera hacer otra aclaración. Me parece muy sospechoso que un bloguero se tome el trabajo y el tiempo de revisar este predictamen. Esta ley preocupa precisamente a las personas que cometen delitos informáticos, puede ser aquí donde comienza el ‘lobby’ de las personas a las que perjudica que esta ley se promulgue”, finalizó el congresista.

Diario 16: Acusan de ‘pirateo’ a comisión de Justicia del Congreso (03/07/12)

¿Comisión de Justicia del Congreso pirateó la ley de delitos informáticos?

El Proyecto de Ley de Delitos Informáticos pronto entrará a discusión en el Congreso. La semana pasada se filtró el Pre Dictamen elaborado por la Comisión de Justicia y Derechos Humanos y despertó justificadas preocupaciones. El dictamen se discutió el último martes y se espera que en los próximos días aparezca el texto que finalmente será discutido por el Pleno.

Hasta ahora, todo lo que tenemos es el Pre Dictamen y el texto original de los proyectos de ley 0034/2011-CR y 0307/2011-CR. Podría decirse que ambos han sido combinados en el Pre Dictamen, donde por suerte han desaparecido propuestas tan controversiales como la responsabilidad penal accesoria de los Proveedores de Acceso a Internet por el conocimiento de la comisión de delitos sobre su red.

Tratando de entender mejor de qué trataba este proyecto me di el trabajo del leer las 17 páginas que preceden al texto mismo de la propuesta legal. Este preámbulo, presente en todos los proyectos de ley, es llamado “Exposición de Motivos” y sirve de justificación y explicación de los cambios propuestos por el proyecto y sus implicancias. En el caso de una Ley de esta implicancia, resulta importantísimo prestar atención a este estudio introductorio de la norma y es el único insumo del que disponemos para entender por qué se propone el proyecto.

Todo empezó cuando noté que el tono y la redacción del texto cambiaba según la sección del documento. Una sospecha me llevó a copiar parte de esa oración en Google. A la media hora, había detectado hasta siete páginas web distintas desde donde se había copiado literalmente o con muy pocas modificaciones el íntegro del texto de la Exposición de Motivos. Un descuido que, de ser cierto, en la mayoría de universidades equivaldría a un proceso disciplinario y quizás la suspensión definitiva.

Detalle de las páginas copiadas

En esta imagen, los textos resaltados en amarillo han sido encontrados idénticos en varios artículos publicados en páginas como Monografías.com, blogs sobre derecho argentino y libros sobre derecho informático. En ninguno de los casos, el Proyecto de Ley menciona que ha utilizado otros trabajos como fuentes. Las únicas partes que no han sido tomadas libremente de Internet son la que se refiere a la regulación de los delitos informáticos en Perú y la que señala los cambios que ha introducido el texto sustitutorio respecto de los proyectos de ley iniciales. Es decir, las únicas partes que no han sido tomadas desde Internet son las que no podían encontrarse ahí porque hablaban del propio Proyecto de Ley.

Para los incrédulos y curiosos, me he tomado el trabajo de preparar un PDF con las partes cuestionadas resaltadas y con enlaces a los artículos originales, donde también he resaltado las partes utilizadas. Pueden visitar los artículos originales aquí (1, 2, 3, 4, 5, 6, 7).

Pero no nos quedemos en esta anécdota, que ojalá sea corregida en el Dictamen Final. Reflexionemos mejor sobre lo siguiente. Después de casi un año de ingresados los Proyectos de Ley y de haber sostenido reuniones con expertos y distintos niveles del entidades estatales, más de la mitad de la exposición de motivos del Dictamen de la Comisión haya sido copiado y pegado de páginas sin ningún rigor académico como Monografías.com. ¿Es esa toda la investigación que merece un Proyecto de Ley de esta magnitud?

Foto: Congreso de la República (CC BY)

Actualización (02/07/2012, 3 pm):

Amplío algunos puntos para los interesados.

  1. El Proyecto de Ley 0034-2011/CR presentado por Juan Carlos Eguren en agosto de 2011 incluía en su página 3 una revisión de la legislación comparada y, como nota al pie, consignaba «Recogido de monografias.com». Esta referencia se perdió cuando el mismo texto fue reproducido en el Pre Dictamen que revisamos. Además, aparecieron otros textos que no estaban en ninguno de los dos proyectos de ley originales y que han sido encontrados en más de una página web como se detalla en el PDF anotado.
  2. Es difícil determinar la autoría original de los textos utilizados, ya que se encuentran replicados por todo Internet usados como parte de otros trabajos y hasta de otros Proyectos de Ley extranjeros (como este del Congreso Paraguayo, que data del 2009).
  3. Es difícil pensar que todas estas páginas web se copiaron del Pre Dictamen peruano dada la limitada circulación que ha tenido este documento y la multiplicidad de coincidencias con más de una página web. Algunas fuentes no registran fechas pero la que sí lo hacen datan de antes del año 2011.