Francia ha dado un paso más en proteger su soberanía digital. Según una circular interna a la que ha tenido acceso Public Actors, el director de la 'Direction interministérielle du numérique', considerado el departamento de sistemas de la información del estado francés, ha prohibido a los ministros el uso de Microsoft 365.
Según explica el organismo, Microsoft 365 "no cumple con la doctrina en la nube del centro" y por ello requiere a los distintos funcionarios públicos que no hagan uso de la versión en la nube. Sí podrán seguir utilizando el software Office, pero no así la solución colaborativa en la nube.
Objetivo: protegerse de la Cloud Act de EE.UU
La normativa llega para hacer frente a la Cloud Act de los Estados Unidos, donde pueden ordenar la divulgación de datos almacenados en Europa por empresas estadounidenses independientemente de su ubicación. El gobierno francés teme que Microsoft 365, alojado en Azure, pueda suponer una fuga de datos y por ello opta por obligar a la utilización de herramientas alojadas en servidores franceses.
La “Ley Aclaratoria del Uso Legal de Datos en el Extranjero” (así es el nombre completo de la norma) permite al gobierno de Washington acceder a cualquier dato que esté hospedado en cualquier proveedor americano. Deben alegarse motivos de seguridad nacional y un juez tiene que aprobar que esta petición sea correcta.
Las autoridades de Estados Unidos, desde la policía local a las agencias federales, tienen el derecho de pedir a las empresas del sector tecnológico datos de usuarios y de empresas que ellos manejen. Esos datos pueden estar guardados tanto en nubes del país norteamericano, como en nubes de empresas de ese país que estén situadas en países extranjeros.
Por ello, las autoridades francesas permiten a los ministros usar los programas offline, pero no los que están alojados en la nube de Microsoft: porque las autoridades de Estados Unidos pueden tener derecho a acceder a esos documentos si alegan seguridad de su país.
"Las soluciones colaborativas, ofimáticas y de mensajería que se ofrecen a los funcionarios públicos se enmarcan en sistemas de manejo de datos sensibles", explica el director interministerial para justificar esta medida. Datos como "los personales de los ciudadanos franceses, los datos económicos relativos a las empresas francesas, o aplicaciones comerciales relativas a funcionarios públicos del Estado".
Como reemplazo a la nube de Microsoft, los ministerios podrán utilizar la nube interna nacional o aquellas soluciones que hayan recibido la etiqueta 'SecNumCloud', emitida por la Agencia Nacional para la Seguridad de los Sistemas de Información, y que engloba empresas dirigidas por europeos y con servidores en Francia. Una etiqueta que por el momento solo tienen tres empresas: Oodrive, 3DS Outscale y OVHcloud.
Según apunta el comunicado, los funcionarios públicos también podrán utilizar las herramientas de Bleu, empresa creada por Orange y Capgemini y parte de la iniciativa Gaia-X. Una estructura con servidores franceses a través de la cual Microsoft podría llegar a ofrecer los servicios de Microsoft 365 para estos funcionarios.
En mayo, la Comisión Nacional de Informática y Libertades (CNIL) ya adoptó una posición similar donde consideró que era necesario encontrar soluciones alternativas a las herramientas colaborativas de empresas estadounidenses, al menos en el ámbito educativo universitario y la investigación. Ahora, desde el departamento de sistemas francés han dado la orden interna de avanzar en el proceso de desligarse del software en la nube de procedencia norteamericana.
Europa busca la soberanía tecnológica en la nube. Para ello, los gobiernos de Francia y Alemania están trabajando en un proyecto conjunto a otras 22 grandes empresas europeas para crear GAIA-X, una gran plataforma en la nube que permita hacer frente a las tres alternativas estadounidenses: Amazon Web Services, Microsoft Azure y Google Cloud.
Según describe Reuters, esta nueva plataforma será registrada como una nueva compañía en Bruselas y funcionará por el momento como una organización sin ánimo de lucro. Una plataforma en la nube en colaboración público-privada con la pretensión de ofrecerse a la Comisión Europea.
La Estrategia Digital Europea
La Unión Europea acaba de hacer oficiales la Estrategia Digital Europea y el Libro Blanco de Inteligencia Artificial. En el primero de los documentos, la UE busca explicar su visión de un "mercado único de datos" y "atajar los problemas identificados a través de medidas políticas y financiación. En el Libro Blanco de Inteligencia Artificial, el organismo busca poner sobre la mesa las "opciones de políticas" para promover la asimilación de la IA y abordar los riesgos asociados a ciertos usos de esta nueva la tecnología".
Ambos documentos son accesibles a través de la web del Parlamento Europeo y, por el momento, solo están disponibles en inglés. Son documentos densos, así que en los próximos párrafos vamos a desglosar las ideas clave de cada uno de ellos.
Las claves de la Estrategia Digital Europa: problemas y medidas
De acuerdo a la UE, la Estrategia Digital Europea responde a estos problemas principales, que pasamos a exponer a continuación con un pequeño resumen:
La disponibilidad de los datos: "el valor de los datos radica en su uso y reutilización. Actualmente no hay suficiente datos disponibles para una reutilización innovadora, incluso para el desarrollo de la inteligencia artificial".
Desequilibrios en el poder del mercado: "además de la alta concentración en la prestación de servicios en la nube y las infraestructuras de datos, también hay desequilibrios de mercado en relación con el acceso y la utilización de datos, por ejemplo cuando se trata del acceso a los datos por parte de las PYMES".
Interoperabilidad y calidad de los datos: "debe fomentarse la aplicación de formatos y protocolos compatibles estándar y compartidos para reunir y procesar datos de diferentes fuentes de manera coherente e interoperable en todos los sectores y mercados verticales".
Gobierno de los datos: "para que estos espacios de datos sean operativos, se necesitan enfoques y estructuras organizativas (tanto públicas como privadas) que permitan la innovación impulsada por los datos sobre la base del marco jurídico existente".
Infraestructura de datos y tecnologías: "la UE necesita reducir sus dependencias tecnológicas en estas infraestructuras estratégicas".
Potenciación de los individuos para que ejerzan sus derechos: "los individuos valoran el alto nivel de protección que otorga el GDPR y la privacidad electrónica. Sin embargo, sufren de la ausencia de instrumentos y normas técnicas que hagan que el ejercicio de sus derechos sea sencillo y no excesivamente oneroso".
Habilidades y conocimientos de datos: "el nivel de conocimiento general de los datos en la fuerza de trabajo y en toda la población es relativamente bajo y existen lagunas en la participación (por ejemplo, de las personas de mayor edad)".
Ciberseguridad: "en la esfera de la seguridad cibernética, Europa ha desarrollado un amplio marco para ayudar a los Estados Miembros, las empresas y los ciudadanos a hacer frente a las amenazas a la seguridad cibernética y ataques, y Europa seguirá desarrollando y mejorando sus mecanismos para proteger sus datos y los servicios que se basan en ellos".
Dichos problemas quieren abordarse a través de medidas políticas y financiación que la Unión Europea resumen en cuatro acciones principales. La primera es la creación de un marco de gobernanza intersectorial para el acceso y la utilización de los datos. En ese sentido, la UE propone:
Crear un "marco legislativo operativo para la gobernanza de los espacios comunes de datos europeos". La idea es que se pueda usar para tomar decisiones en torno a qué datos pueden usarse en según qué situaciones, facilitar a utilización transfronteriza y dar prioridad a los requisitos de interoperabilidad.
Implementar una "ley de aplicación de los conjuntos de datos de alto valor" en el primer trimestre de 2021 basada en la Directiva de Datos Abiertos. Su objetivo es abrir los conjuntos de datos de referencia del sector público, es decir, ponerlos a disposición de los usuarios de forma gratuita en toda la UE, convirtiéndolos a un formato legible por las máquinas a través de APIs estandarizadas.
En la línea con lo anterior, la UE estudiará la necesidad de adoptar medidas legislativas sobre las cuestiones que afectan a las relaciones entre los agentes de la economía de la información a fin de ofrecer incentivos para el intercambio horizontal de datos entre los sectores.
Todo esto se contemplará en la Data Act (2021).
La segunda estrategia de la Unión Europea se resume en "Habilitadores" y básicamente consiste en inversiones en datos y en el fortalecimiento e infraestructuras de Europa para el "alojamiento, procesamiento y utilización de los datos y su interoperabilidad". Entre las medidas que se contemplan están las siguientes:
En el periodo 2021-2017, la Comisión invertirá en "Proyectos de Alto Impacto" en los espacios de datos europeos y en las infraestructuras de nubes federadas. Eso se resumen en invertir en infraestructura, herramientas de intercambio de datos, arquitecturas y mecanismos de gobernanza que faciliten el intercambio de datos y, por lo tanto, los ecosistemas de inteligencia artificial. Este proyecto sumará entre cuatro y seis billones de euros, de los cuales dos billones los pondrá la comisión y el resto la industria y los Estados Miembros. Se prevee que la primera implantación se ejecute en 2022.
Este proyecto se presentará como parte de una "estrategia industrial" que contemplará un "amplio abanico de inversiones europeas en nuevas tecnologías".
También se pretende financiar la creación de unos "espacios de datos comunes e interoperables en toda la UE" en sectores estratégicos, para lo cual se facilitará un "Memorando de entendimiento con los Estados Miembros". Estos espacios se detallan más adelante.
Se lanzará un mercado europeo de servicios en la nube, integrando toda la oferta de servicios en la nube, en el cuarto trimestre de 2022
Se creará un reglamento de autorregulación de la nube en la Unión Europea, algo programado para el segundo trimestre de 2022.
La tercera estrategia consiste en el "empoderamiento de los individuos e inversión en habilidades y en PYMES". La medida más clara es que se actualizará el Plan de Acción de Educación Digital para reforzar el acceso y el uso de los datos, pero hay algunas acciones interesantes:
Se añadirán fondos para ampliar la reserva de talentos digitales a unas 250.000 personas que podrán desplegar las últimas tecnologías en las empresas de toda la UE. Para 2025, se quiere haber salvado la brecha de un millón de especialistas digitales, poniendo especial foco en las mujeres.
El programa de competencias reforzadas establecerá una vía que muestre cómo la acción de la UE y de los Estados miembros puede aumentar la proporción de la población de la UE con competencias digitales básicas, del 57% actual al 65% para 2025.
Finalmente, se explorará la mejora del derecho de portabilidad de las personas en virtud del artículo 20 del GDPR para darles "más control sobre quién puede acceder y utilizar los datos generados por las máquina".
En relación a los "espacios de datos europeos comunes en sectores estratégicos y dominios de interés público", la Unión Europea establecerá los siguientes nueve espacios, cada uno para un sector en concreto:
Espacio Común Europeo de Datos Industriales: "para apoyar la competitividad y el rendimiento de la industria de la UE".
Espacio de datos del Pacto Verde Europeo: "para utilizar el mayor potencial de datos en apoyo a las medidas prioritarias del Acuerdo Verde sobre el cambio climático, la economía circular, la contaminación cero, la biodiversidad, la deforestación y la garantía de cumplimiento".
Espacio Común Europeo de Datos de Movilidad: "para posicionar a Europa en la vanguardia de la desarrollo de un sistema de transporte inteligente, incluyendo coches conectados, así como otros medios de transporte".
Espacio Común Europeo de Datos sobre la Salud: "para los avances en prevenir, detectar y curar enfermedades".
Espacio Común Europeo de Datos Financieros: "para estimular, mediante la mejora de los datos compartir, la innovación, la transparencia del mercado, la financiación sostenible, así como el acceso a financiación para las empresas europeas y un mercado más integrado".
Espacio Común Europeo de Datos sobre Energía: "para promover una mayor disponibilidad y intercambio de datos entre sectores, de forma centrada en el cliente, segura y fiable".
Espacio Común Europeo de Datos sobre Agricultura: "para mejorar la sostenibilidad, rendimiento y la competitividad del sector agrícola mediante la elaboración y análisis de la producción y otros datos".
Espacio Común Europeo de Datos para la Administración Pública: "para mejorar la transparencia y la rendición de cuentas del gasto público y la calidad del gasto, la lucha contra la corrupción en el ámbito de la UE y nacional".
Espacio Común Europeo de Datos para la Administración Pública: "para reducir los desajustes de habilidades entre los sistema de educación y capacitación por un lado y las necesidades del mercado laboral por el otro".
Finalmente, la cuarta estrategia se refiere a "un enfoque internacional abierto, pero proactivo", para lo que se creará un "marco analítico europeo para la medición de los flujos de datos" que llegará en el cuarto trimestre de 2021 y cuyo objetivo es ofrecer un marco con instrumentos que permitan analizar de forma continua los flujos de datos y el desarrollo económico del sector de procesamiento de datos.