Google ha anunciado un paquete de controles adicionales para los usuarios de su suite de productividad, Google Workspace (neé G Suite), en Europa, que se implementará a fines de este año y el próximo.
Dice que este control adicional permitirá a las organizaciones, tanto del sector público como del privado, “controlar, limitar y monitorear las transferencias de datos hacia y desde la UE a partir de fines de 2022”, anunciando las capacidades entrantes en una publicación de blog.
La medida parece tener la intención de responder al mayor riesgo legal en torno a las exportaciones de datos personales, luego de un fallo legal histórico de la UE en julio de 2020, que corre el riesgo de frenar el uso regional de los servicios en la nube de EE. UU.
A principios de este año, varias agencias de protección de datos iniciaron una acción de aplicación coordinada centrada en el uso de servicios en la nube por parte de organismos del sector público, con el objetivo de investigar si se aplican medidas adecuadas de protección de datos, incluso cuando los datos se exportan fuera del bloque. Y la Junta Europea de Protección de Datos (EDPB), que está dirigiendo la acción, debe publicar un informe de “estado actual” antes de fines de 2022, coincidiendo con el cronograma de Google para implementar (algunos de) los nuevos controles.
En los últimos meses, también ha habido decisiones de las agencias de protección de datos que encuentran que ciertos usos de herramientas como Google Analytics son incompatibles con las leyes de privacidad del bloque.
Google se refiere a las capacidades adicionales entrantes que obtendrán los usuarios en Europa como “Controles soberanos para Google Workspace”, en lo que también suena como un eco consciente de un concepto al que a los legisladores de la UE les gusta referirse como “soberanía digital”.
Los legisladores de la UE usan esa frase para hablar sobre la región ganando autonomía sobre la infraestructura digital, gran parte de la cual es proporcionada por empresas tecnológicas estadounidenses. Pero, aquí, Google parece estar tratando de tejer una versión alternativa de ‘soberanía’ al sugerir que las medidas técnicas y las configuraciones de usuario por sí solas pueden proporcionar suficiente autonomía para la UE, independientemente de que la tecnología en sí siga siendo suministrada por un gigante estadounidense, en el espera que los clientes del bloque sigan comprando sus herramientas.
“Las organizaciones europeas están trasladando sus operaciones y datos a la nube cada vez más para permitir la colaboración, impulsar el valor comercial y la transición al trabajo híbrido. Sin embargo, las soluciones en la nube que respaldan estas poderosas capacidades deben cumplir con los requisitos críticos de seguridad, privacidad y soberanía digital de una organización. A menudo escuchamos de los legisladores y líderes empresariales de la Unión Europea que garantizar la soberanía de sus datos en la nube, a través de la regionalización y controles adicionales sobre el acceso administrativo, es crucial en este panorama en evolución”, escribe en la publicación del blog.
“Hoy anunciamos Sovereign Controls para Google Workspace, que proporcionará capacidades de soberanía digital para organizaciones, tanto en el sector público como privado, para controlar, limitar y monitorear las transferencias de datos hacia y desde la UE a partir de finales de 2022, con capacidades adicionales entregadas a lo largo de 2023. Este compromiso se basa en nuestras capacidades existentes de cifrado del lado del cliente, regiones de datos y controles de acceso”.
¿Qué capacidades adicionales ha anunciado Google ahora? A corto plazo, parece haber una expansión del cifrado del lado del cliente que Google anunció para Workspace el verano pasado.
“Las organizaciones pueden optar por utilizar el cifrado del lado del cliente de forma generalizada en todos sus usuarios, o crear reglas que se apliquen a usuarios específicos, unidades organizativas o unidades compartidas”, dice Google. “El cifrado del lado del cliente ya está disponible en general para Google Drive, Docs, Sheets y Slides, con planes para extender la funcionalidad a Gmail, Google Calendar y Meet para fines de 2022”.
Google también está anunciando una expansión de los controles de ubicación de datos, aunque su marco de tiempo para esta mejora de la capacidad es más lento, y está programado para “finales de 2023”.
“Las regiones de datos ya permiten a nuestros clientes controlar la ubicación de almacenamiento de sus datos cubiertos en reposo”, escribe, y agrega: “Mejoraremos esta capacidad para fines de 2023 a través de una cobertura ampliada de almacenamiento y procesamiento de datos en la región junto con una copia en el país.”
También habrá más controles de acceso, para cumplir con lo que Google presenta como “estándares de soberanía digital en evolución”.
Dice que estos controles de acceso entrantes permitirán a los clientes:
- Restringir y/o aprobar el acceso al soporte de Google a través de Aprobaciones de acceso;
- Limite la atención al cliente al personal de soporte basado en la UE a través de la Gestión de acceso;
- Garantice la asistencia las 24 horas del día por parte del personal de ingeniería de Google, cuando sea necesario, con una infraestructura de escritorio virtual de entrada remota;
- Genere informes de registro “completos” sobre el acceso a los datos y las acciones a través de la función Transparencia de acceso.
Pero, nuevamente, estos controles adicionales no llegarán hasta fines de 2023.
Google no está comenzando desde cero aquí, ya que siguió los “controles de soberanía de datos” entrantes para los usuarios de la UE el otoño pasado, cuando también habló sobre ofrecer servicios en la nube en “los términos de Europa”.
Aunque, por supuesto, corresponderá a los reguladores del bloque juzgar si lo que ofrece cumple con el estándar legal requerido para que los flujos de datos en cuestión fluyan legalmente.
Google generalmente argumenta que el trabajo híbrido complica el requisito legal de “mantener el control de los datos dondequiera que residan”, antes de sugerir su enfoque, de “arquitectura nativa de la nube” (especifica que Google Workspace “funciona completamente dentro de un navegador, sin requerir cachés o software instalado en los dispositivos de los empleados”) combinado con un enfoque de seguridad consciente del contexto (“confianza cero”) que funciona mediante la geolocalización de usuarios y dispositivos, además de controles para que los administradores puedan establecer límites de uso compartido y definir reglas que gobiernan la comunicación del usuario, puede ayudar a sus clientes a navegar por estas agitadas aguas legales y al mismo tiempo permitir que funcionen las funciones de colaboración principales del software.
El uso en la UE de servicios en la nube de empresas con sede en los EE. UU. ha estado envuelto en inseguridad jurídica durante varios años, más recientemente desde julio de 2020 cuando el tribunal superior del bloque anuló el acuerdo de transferencia de datos del Escudo de la privacidad entre la UE y los EE. UU. por un choque fatal. entre la ley de vigilancia de EE. UU. y los derechos de privacidad de la UE.
Durante los cuatro años que duró, Privacy Shield simplificó las exportaciones de datos de la UE a los EE. UU. con un sistema de autocertificación para autorizar las exportaciones de datos personales de los europeos. Pero ese régimen terminó con la huelga del TJUE de julio de 2020.
Y aunque el tribunal no prohibió por completo las exportaciones de datos, aumentó la complejidad del uso de otros mecanismos de transferencia (como las cláusulas contractuales estándar), dejando en claro que las agencias regionales de protección de datos tienen el deber de intervenir y suspender las transferencias de datos si creen que la información de European está fluyendo hacia un destino donde está en riesgo. (El EDPB posteriormente publicó una guía sobre las llamadas “medidas complementarias” que pueden ayudar a elevar el nivel de protección, como el cifrado sólido).
El hecho de que el TJUE anulara el Escudo de privacidad UE-EE. UU. dejó en claro que EE. UU. es un destino de riesgo para los datos de la UE; por lo tanto, los servicios en la nube basados en EE. UU. han estado en el marco desde entonces.
Y aunque el fallo judicial no fue seguido de inmediato por órdenes de detener los flujos de datos, las agencias de la UE han intensificado las acciones y el cumplimiento en el tema de las transferencias de datos en los últimos meses. El Supervisor Europeo de Protección de Datos le dio una paliza al Parlamento Europeo a principios de este año por un sitio web de reserva de pruebas de COVID-19 (que usaba Google Analytics e incluía código para Stripe), por ejemplo.
Otras decisiones posteriores de los supervisores de datos también han tenido problemas con el uso de ciertas herramientas de Google.
El fallo del TJUE siguió a las revelaciones de Snowden de 2013 del denunciante de la NSA Edward Snowden, quien publicó detalles de los programas de vigilancia masiva del gobierno de EE. UU. que aprovechan los servicios digitales comerciales, revelaciones que también llevaron a que el acuerdo anterior de transferencia de datos UE-EE. UU., Safe Harbor, fuera anulado en 2015 por un desafío legal anterior.
Entonces, mientras que la UE y los EE. UU. anunciaron llegar a un acuerdo político sobre un reemplazo de Privacy Shield en marzo, un tercer intento de salvar el mismo cisma legal sin duda enfrentará un nuevo desafío judicial. Y las probabilidades de que Privacy Shield 2.0 sobreviva a la evaluación del TJUE parecen bastante escasas, ya que falla la reforma sustancial de la ley de vigilancia de EE. UU. (que no parece estar sobre la mesa).
Todo lo cual hace que la estrategia de Google —ofrecer a sus clientes en la UE un paquete cada vez mayor de medidas técnicas y organizativas (como el cifrado del lado del cliente, la localización de datos y otros controles personalizados como el soporte técnico basado en la UE)— parezca un intento razonado de encontrar una manera de asegurar y preparar para el futuro los flujos de datos comerciales críticos a los ojos de los reguladores de la UE, independientemente de cualquier acuerdo político en el papel. (Aunque su publicación de blog también señala que Google Cloud “hará que las protecciones” ofrecidas por el nuevo marco de transferencia de datos de la UE estén disponibles “una vez que se implemente” (un evento que probablemente aún falte dentro de varios meses).)
“Seguimos comprometidos a equipar a nuestros clientes en Europa y en todo el mundo con potentes soluciones técnicas que les ayuden a adaptarse y mantenerse al tanto de un panorama regulatorio en rápida evolución. Hemos diseñado y creado Google Workspace para operar sobre una base segura, brindando capacidades para mantener a nuestros usuarios seguros, sus datos protegidos y su información privada. La soberanía digital es fundamental para nuestra misión en curso en Europa y en otros lugares, y un principio rector en el que los clientes pueden confiar ahora y en el futuro”, agrega Google.
Discutiendo el anuncio del gigante tecnológico, Dr. Lukasz Olejnikun investigador y consultor de seguridad cibernética independiente con sede en Europa, describe el último desarrollo como “una evolución interesante de un producto y servicio” que evalúa como casi seguro motivado por la ley y la política de la UE.
“Parece apoyar directamente las recomendaciones de EDPB, que también reflejan mi análisis anterior. Específicamente, el soporte para usar una configuración técnica y organizativa específica”, sugiere. “En cuanto al aspecto técnico, el procesamiento debe estar respaldado por el cifrado del lado del cliente, de manera que las claves nunca abandonen las instalaciones de una empresa ubicada en la UE. Workspace ya ofrece la capacidad de cifrado del lado del cliente. Hoy en día, todavía podría verse como un poco engorroso, y no está claro si los nuevos controles facilitarían algo. Ojala. Aún así, parece que lo nuevo es este control todo en uno”.
“La expansión de los centros de datos en el país es un desarrollo esperado, pero adicional que respaldaría la sentencia del TJUE”, también nos dice, y agrega: “Lo que todavía falta es una gestión de acceso a datos fácil de usar y usable. . Como los datos en Google Docs. Por ejemplo, hoy en día está lejos de ser simple enumerar fácilmente todos los documentos compartidos, para eliminar alguna configuración de uso compartido. Esperar que la gente haga esto archivo tras archivo, para archivos individuales, está lejos de ser utilizable a escala. Esto debe simplificarse, no en base a un archivo individual. Parece que, ¡tal vez! — ¿La nueva capacidad de control de acceso puede ofrecer ayuda aquí? Queda por ver cómo funciona en la práctica”.