Gabriel López Serrano: “El ecosistema jurídico debe modernizarse para adaptarse a la era digital”
28 de enero, Día Internacional de Protección de Datos
Con motivo de la celebración del 28 de enero, Día Internacional de Protección de Datos, y del anuncio del despliegue gradual del EU Data Boundary que ha puesto en marcha Microsoft el pasado 1 de enero del 2023, entrevistamos a Gabriel López Serrano, Attorney & Government Affairs Director en Microsoft España.
1.- Gabriel, para aquellos de nuestros lectores que no conozcan qué es y en qué consiste el EU Data Boundary que realizará Microsoft ¿podría presentárnoslo?
En España le llamamos “el perímetro europeo de datos” y es precisamente un área geográfica que comprende los países de la Unión Europea y adicionalmente los países miembros del Acuerdo de Libre Comercio Europeo como son: Islandia, Suiza, Liechtenstein y Noruega.
Con el Perímetro Europeo de Datos o EU Data Boundary a partir de Enero 2023 el tratamiento, el procesamiento y el almacenamiento de datos europeos se mantendrán dentro del perímetro.
Los servicios de Microsoft que están comprendidos en EU Data Boundary o perímetro Europeo de Datos son: Office 365, Dinamics y Azure.
Esto se venía haciendo por Microsoft desde hace ya algunos años, pero ahora, con la evolución de todas las conversaciones mantenidas a nivel tecnológico y regulatorio con nuestros clientes y reguladores europeos, llegamos a la conclusión de que era necesario hacer algo más.
La iniciativa es la evolución de nuestro compromiso de asegurarnos de que nuestros clientes tienen el control sobre sus datos y de que Microsoft está dispuesta a defender estos compromisos cuando y donde sea necesario. La historia nos avala: ya el 2014 fuimos requeridos por un Juez norteamericano para entregar datos almacenados en nuestros Data Center ubicados en Europa, concretamente en Irlanda. En ese juicio fuimos considerados en desacato por no darle trámite a esa orden en los términos en los que se había planteado, pues consideramos que esos datos, al estar residentes en territorio europeo, estaban sujetos a la normativa europea, y teniendo en cuenta que Irlanda tiene acuerdos vigentes con EEUU en materia de cooperación judicial en esa materia, entendíamos que lo lógico era que el juez norteamericano solicitase al juez irlandés la cooperación necesaria para la práctica de la prueba, ya que consideramos que los derechos de nuestros clientes frente a sus datos no cambian por el hecho de estar almacenados en un Data Center de un país frente a otro.
Pero el juez de primera instancia de EEUU consideró en ese momento que no debía ser así y por ello fuimos considerados en desacato. Apelamos entonces a la Corte Superior (de Nueva York) y con su pronunciamiento prevaleció el reconocimiento de que esa orden es internacional y por ello el caso quedaba sujeto al Derecho Internacional en lo referente a la práctica de la prueba. En su momento el Departamento de Justicia decidió insistir y el caso terminó llegando al Supremo, resolviéndose como una cuestión académica, no sin antes que la magistrada Ruth Bader Ginsburg, quien falleció posteriormente durante la presidencia de Donald Trump, expusiera el reconocimiento al carácter internacional de la orden.
Este pronunciamiento ha sido fundamental para entender y definir el EU Data Boundary, delimitando el balance adecuado sobre la ubicación de los datos, los mecanismos de cooperación judicial internacional y la capacidad que tienen las autoridades a acceder a datos de europeos.
Adicionalmente a nuestros desarrollos de ingeniería que implica el perímetro europeo de datos, Microsoft se compromete a nivel contractual a defender cuando legalmente proceda los datos de sus clientes empresariales y de sector público en contra de cualquier orden que incumpla el RGPD. Es importante recalcar que nuestro modelo de negocio no está basado en hacer negocio con los datos de nuestros clientes, no aspiramos a ser un banco, una compañía de automóviles o un despacho de abogados, aspiramos a dotar nuestros clientes de las mejores herramientas tecnológicas del mercado para que logren sus fines.
2.- ¿Qué efectos jurídicos comporta la proximidad de la residencia de los datos en su almacenamiento, procesamiento y resto de servicios online de Microsoft Cloud?
Efectivamente la ubicación cercana en el almacenamiento de los datos tiene varias consecuencias desde el punto de vista jurídico y ello cabe contemplarlo desde varios puntos de vista.
Partimos de la premisa de que nuestros servicios y nuestra tecnología está destinada a empoderar a nuestros clientes para la consecución de sus fines. Entre ellos muchos de nuestros clientes son despachos y asesorías que trabajan con nuestra tecnología incluidos los juzgados.
En ese sentido, en el contexto europeo y con nuestra iniciativa del EUDB dejamos claro que la regulación europea aplicará siempre a dichos datos. Nuestra intención es dotar de certidumbre y tranquilidad a nuestros clientes en tanto sus datos siempre estarán dentro de la jurisdicción europea.
3.- En este sentido ¿Qué papel va a desempeñar el EU Data Boundary respecto al cumplimiento del RGPD y el control de los flujos de datos fuera de Europa?
Al día de hoy todos nuestro servicios cumplen con la normativa europea sobre protección de datos personales. El efecto inmediato del perímetro europeo de datos es acercar los mismos a nuestros clientes en Europa. Es preciso dejar claro que nuestros usuarios tienen acceso y control directo sobre sus datos.
La relación con el tema de las transferencias internacionales de datos es muy importante pues el EU Data Boundary tiene importantes efectos en el almacenamiento y procesamiento de los mismos al realizarse en Europa.
Existirán instancias donde sea necesario mantener la trasferencia de datos internacionales, siempre bajo el amparo de la Regulación Europea, como por ejemplo para garantizar la seguridad e integridad de los servicios contratados por nuestros clientes, pero siempre bajo un criterio de mínimos. Pues serán las instancias de seguridad necesarias para evitar aislar a Europa de la protección y resiliencia necesaria para los servicios.
Un ejemplo es el caso de Microsoft en Ucrania. Hemos trabajado de la mano del Gobierno Ucraniano para apoyarles en el mantenimiento de todos sus servicios digitales con el fin de que puedan seguir teniendo contacto con el exterior y funcionando los servicios esenciales del país.
Microsoft ha ayudado a transferir 17 de los 21 ministerios a la nube para que todos los datos de esos ministerios estén seguros fuera de Ucrania salvaguardando así su seguridad. Esto mismo nos recuerda lo que ocurrió con las infraestructuras digitales cuando estalló la pandemia. El contar con este tipo de tecnología dota a los datos de resiliencia en la permanencia de los propios servicios.
4.- A su juicio ¿Es eficaz y apropiado el actual el marco regulatorio europeo de aplicación al sector de los servicios cloud que afecta a España, o se echa en falta jurídicamente algo al respecto?
Hay obviamente varias opiniones al respecto. Creemos que sí es necesario contar con regulación que sea clara y protectora de derechos fundamentales. Nosotros siempre nos hemos sentado en la mesa con los reguladores haciendo valer la necesidad de contar con regulación en donde se precise.
Así, uno de los principios que consideramos es el de transparencia por lo que aporta y ofrece nuestra tecnología para identificar dónde están los riesgos y por tanto dónde debe haber actividad del regulador. En este sentido quisiera remarcar la actitud proactiva y colaboradora de Microsoft en el plano regulatorio. Como muestra, en el año 2022 hemos decidido discontinuar los servicios de reconocimiento de emociones de nuestros servicios de Inteligencia Artificial (IA) porque consideramos que no se trata de una tecnología que deba utilizarse de manera comercial por los riesgos que ello implica, aunque sí creemos que debe mantenerse y desarrollarse para temas de accesibilidad, por ejemplo, permitiendo a los invidentes percibir las emociones que reflejan las personas con las que interactúan. Es decir, en entornos específicos sí tiene sentido.
5.- En su compromiso con el apoyo a las necesidades digitales europeas, Microsoft ha adoptado cinco Principios Europeos de la Nube ¿Cuáles son?
Los cinco principios son:
-Hemos de asegurar que nuestros servicios cloud cumplen con las necesidades y responden a los valores europeos.
Microsoft fue de las primeras empresas que implementó a nivel global, no solo europeo, el RGPD. Además, fuimos de los pioneros en hablar de principios éticos aplicables a la IA y en emplear modelos prácticos de cómo han de aterrizarse los principios éticos en los desarrollos de IA.
-Queremos hacer lo necesario para que nuestra nube permita que los desarrolladores y proveedores europeos tengan éxito. Esto tiene que ver con el ADN de la empresa pues nuestra misión reza así “Empower every person and organization on the planet to achieve more” (empoderar a todas las personas y organizaciones del planeta para que puedan lograr más).
Esto se reafirma en el compromiso por parte de Microsoft en escuchar a nuestros consumidores, clientes y partners.
-Estamos dispuestos a trabajar con otros proveedores cloud europeos para que todos podamos crecer en este ecosistema de servicios digitales cloud, no creemos en entornos cerrados que impidan la competencia, ésta es necesaria pues entre todos formamos y mejoramos el ecosistema para nuestros clientes.
-Que las ofertas sobre servicios cloud respondan a las necesidades que sobre esos modelos soberanos los gobiernos han demandado. Esta es una de las razones del Perímetro Europeo de Datos o EU Data Boundary, que creemos supone una medida necesaria para facilitar el control soberano sobre los datos.
En este sentido Microsoft ha desarrollado en España colaboraciones con Telefónica y Minsait para hacer ello posible en entornos de alta seguridad con una oferta llamada Microsoft Cloud for Sovereignty.
-Reconocemos las necesidades de los gobiernos europeos a regular la tecnología y que Microsoft se presta a ayudar y colaborar en ese propósito. Ello es así pues nuestra compañía trabaja como uno más en asociaciones como en AMETIC o ADIGITAL, para poder entender lo que nuestros partners y otros miembros de la industria y aportar en el proceso de normativo. De esta forma nosotros también seremos capaces de utilizar valores uniformes a nivel industrial y mantendremos este dialogo público-privado tan necesario en el gran ecosistema de la economía digital, aportando dinamismo al mismo.
6.- La compañía ha inaugurado y sigue construyendo centros de datos por toda Europa ¿Se tendrá en cuenta a España en esa expansión de centros de datos de Microsoft?
Sí. El año pasado se anunció la creación de la Región Cloud en España. Por política de empresa nunca hablamos de inversiones a nivel local pero sí cabe comentar la que se realizará a nivel regional europeo que supondrá destinar un montante de 12.000 millones de euros.
¿Cómo afectará ello en España? Hemos de decir que España será una de las principales regiones favorecidas a nivel europeo. En este sentido destacamos la creación de un importante Data Center que estará enclavado en la Comunidad de Madrid.
7.- En la gestión de los servicios cloud se está ya aplicando soluciones de Inteligencia Artificial. ¿Se tendría también que requerir como requisito la residencia tecnológica de la IA que se aplica en la gestión y procesamiento de los datos, así como en el resto de servicios cloud?
La tecnología de IA está sustentada en sistemas complejos. La regulación europea de IA lo define como un sistema. Todo sistema contempla siempre partes y éste en particular permite que parte del mismo esté establecido en el perímetro del EU Data Boundary pero también pueda estar centralizado o descentralizado, siempre dependiendo de la aplicación.
La principal cuestión jurídica a la hora de abordar la IA está en el tema de la transparencia, y al igual que un juez tiene el deber de razonar y justificar sus decisiones, lo apropiado es que en las decisiones automatizadas medie un nivel de transparencia equiparable que permita saber por qué la máquina o el algoritmo están llegando a tal o cual conclusión.
Entendemos que cuando haya un impacto serio en los derechos fundamentales la automatización, que trae consigo la operatividad del sistema de IA, deberá de entenderse, justificarse y documentarse de forma adecuada comprendiendo a todo el ecosistema de servicios digitales cloud. Nos referimos a todos los componentes que forman parte de dicho sistema: las máquinas o hardware, el software, los datos, los algoritmos y las partes encargadas de curar los datos, los usuarios, etc…. Todo ello genera una necesaria reflexión que hay que acometer y que exige determinar dónde y qué es lo que hay que regular. En todo caso, en materia de derechos fundamentales y sistemas automáticos de decisión creemos que siempre es necesaria la intervención humana, hay decisiones que son tan importantes que no puede ser de otra forma.
Por ello la necesidad de que los sistemas cuenten con mecanismos de control. En Microsoft, contamos con un sistema de monitorización, vigilancia y auditoría para detectar, identificar y mitigar los riesgos, y llegado el caso poder gestionar su mitigación.
8.- Y para terminar pensando en nuestro público objetivo formado principalmente por profesionales jurídicos como abogados, notarios, asesores, gestores, etc. ¿Por qué les podría interesar conocer los servicios cloud de Microsoft y hasta qué punto les aporta valor su EU Data Boundary?
Naturalmente que son adecuados. Microsoft trabaja en entornos muy altamente regulados y contamos con la confianza de clientes importantes como, entre otros, son el propio Consejo General de la Abogacía o el hecho de contar con la experiencia de trabajar en proyectos con el Ministerio de Justicia y todo ello por considerar que aportamos valor, y diría más, que consideramos que nuestro aporte en estos entornos altamente regulados ha sido apreciado y reconocido por nuestros clientes.
Microsoft no es dueño de los datos de sus clientes y no se beneficia de la explotación de los datos de sus clientes. La inversión y esfuerzo principal que realiza nuestra compañía es siempre buscando que sus clientes se sientan seguros con su información y sus datos, y todo ello con soluciones tecnológicas y jurídicas, ofreciendo incluso garantías a nivel contractual, llegando incluso a adoptar la defensa jurídica necesaria que haya que prestar para defender sus datos frente a cualquier solicitud de datos en el planeta y que exija la entrega de los mismos.
Quisiera además apuntar que en el reciente encuentro interministerial de la OCDE sobre economía digital, al que he asistido, se concluyó en reconocer la necesidad de rescatar el valor del multilateralismo como un principio destinado a favorecer el desarrollo de los derechos digitales a nivel global.
En cualquier caso las máquinas no podrán sustituir el trabajo intelectual de un abogado o de un juez pues nuestro propósito es desarrollar herramientas de trabajo que les ayuden en su trabajo.
Finalmente, quisiera señalar que en el ecosistema jurídico debe replantearse todo lo que se está haciendo de forma analógica y no solo desde la perspectiva del despacho o del juzgado, sino también desde la etapa de formación de la carrera pues es necesario entender nuestra profesión de jurista de otra forma conforme a los avances tecnológicos.