Nuevo reglamento europeo sobre la libre circulación de datos no personales en la Unión Europea: un gran paso adelante en la lucha contra el ‘vendor lock-in’

El pasado 14 de noviembre de 2018, el Parlamento Europeo y el Consejo (compuesto por los Estados miembros de la Unión Europea) adoptaron el Reglamento para la libre circulación de datos no personales en la Unión Europea. Este reglamento, junto con el reciente RGPD, ofrece un marco para la circulación de datos, considerada como «la quinta libertad», por detrás de la libre circulación de personas, bienes, servicios y capitales. Para los proveedores de infraestructuras digitales en la nube, el reglamento, conocido como FFoD (del inglés «Free Flow of Non Personal Data», se aplicará a través de un código de conducta europeo en cuya elaboración ha participado OVH, como explica Alban Schmutz, vicepresidente de Desarrollo y Asuntos Públicos de OVH.

¿Qué opinión le merece este nuevo reglamento?

Alban Schmutz: Esta nueva reglamentación europea complementa al RGPD. Aunque su aprobación ha sido menos mediática, dado su carácter B2B, este reglamento marca un hito en la constitución de un espacio europeo único para la libre circulación de datos. Por un lado, la normativa elimina la mayoría de las restricciones geográficas que se aplicaban al almacenamiento y al tratamiento de datos no personales en Europa, algo que afectaba principalmente a las administraciones públicas. Por otro, permitirá que los clientes de servicios cloud (infraestructura o software) cambien de proveedor con mayor facilidad.

Se trata, sin duda, de una excelente noticia para los proveedores europeos y, sobre todo, para sus clientes. Además de construir un espacio real de libertad entre los miembros de la Unión Europea, la nueva reglamentación permitirá impulsar el mercado de datos europeo, con un crecimiento del PIB estimado del 4%, es decir, de unos 8000 millones de euros al año, según Deloitte.

¿Cómo afectará el nuevo reglamento a OVH y a sus clientes?

A. S.: El artículo 6 del reglamento es particularmente interesante, ya que beneficiará de forma directa a nuestros clientes. Este artículo aborda en profundidad la portabilidad de los datos no personales en Europa, de un proveedor de cloud a otro, sin ningún tipo de restricción. Supone un paso importante en la lucha contra las prácticas de vendor lock-in que aplican ciertos proveedores de cloud, que consisten en generar dependencia hacia ellos, bloqueando o desalentando posibles migraciones hacia otros proveedores. Ahora los responsables informáticos podrán comparar fácilmente las ofertas de los distintos proveedores y negociar en condiciones más justas. Para nosotros, constituye una medida fundamental perfectamente coherente con los valores que defendemos desde los inicios de OVH: la libertad de elección y la promoción de estándares abiertos. La portabilidad de los datos no personales es, de hecho, una forma de garantizar la reversibilidad. Lo ideal sería poder llegar aún más lejos, especialmente en lo relativo a la automatización técnica, aunque ese no es el objeto de esta regulación.

¿Cómo se garantizará la correcta aplicación del reglamento?

A. S.: La evolución legislativa de la libre circulación de datos no personales obliga a los actores del mercado europeo a adoptar códigos de conducta para garantizar su correcta aplicación. OVH, a través de CISPE (asociación de proveedores europeos de infraestructuras cloud), tomó la iniciativa a principios de 2018 con la redacción de su código sobre el IaaS (Infrastructure as a Service) en coordinación con EuroCIO (asociación europea de directores de tecnologías de la información). Esta labor se ha integrado en el trabajo que, desde abril de 2018, realiza el grupo impulsado por la Comisión Europea. Este grupo de trabajo, denominado SWIPO (del inglés switching and porting), incluye dos subgrupos que redactarán sendos códigos de conducta: uno sobre IaaS y otro relativo a SaaS. La versión final del código de conducta para los servicios cloud IaaS se publicará en las próximas semanas.

¿Cuándo comenzará a aplicarse?

A. S.: La votación del Parlamento Europeo tuvo lugar el 4 de octubre de 2018. El 9 de noviembre de 2018 lo votó el Consejo y, tras la adopción conjunta de la versión definitiva, se publicó en el Diario Oficial de la Unión Europea el 28 del mismo mes. El 4 de diciembre de 2018 presentamos oficialmente la versión final del código de conducta en el congreso ICT 2018 de Viena, organizado por la Comisión Europea. A partir de febrero de 2019 se publicarán documentos adicionales con ejemplos de uso, y los proveedores de cloud que se adhieran al código de conducta comenzarán a aplicarlo durante el próximo año.

¿Cuál es el siguiente paso?

A. S.: En primer lugar, más allá de nuestra contribución a las infraestructuras de cloud (IaaS), debemos garantizar que estas nuevas medidas se aplican a todas las modalidades de cloud, incluyendo el SaaS. Asegurar que todo el mercado del cloud es abierto y aplica principios de reversibilidad es indispensable para nuestros clientes, pero también para la innovación y la salud del ecosistema tecnológico europeo. Además, del mismo modo que muchos Estados no europeos han adaptado su legislación nacional para alinearse con el RGPD, este nuevo reglamento tendrá un efecto «bola de nieve» en todo el mundo, ya que los responsables informáticos de otros lugares del planeta no entenderían que sus proveedores no pudieran ofrecerles lo mismo que los europeos. Por último, la Unión Europea tiene ante sí una nueva oportunidad, tras el RGPD, de demostrar por segunda vez el impacto extraterritorial que puede llegar a tener su reglamentación.