fbpx

Gaia X, un ecosistema europeo para la interconexión y la seguridad de los datos

05 May 2021

La protección y gestión de los datos es un tema de máxima actualidad que, en esta era de la información en que nos encontramos, produce grandes controversias y problemas a nivel técnico, normativo y transfronterizo.

Gaia X es el nombre del proyecto europeo que pretende arrojar un poco más de luz y uniformidad sobre la gestión de los datos en los medios electrónicos, en especial por parte de los proveedores de Cloud que operan actualmente. Aunque en algunos casos se ha definido Gaia X como una iniciativa para crear un Cloud europeo, esta definición no se ajusta realmente a los objetivos y características del proyecto. Por ello, vamos a dedicar este artículo a comprender más en profundidad de dónde nace la necesidad de crear Gaia X, cuáles son sus objetivos y qué podemos esperar en un futuro.

El punto de partida

Para comprender dónde comenzó todo tendríamos que remontarnos hasta el año 2001, en el que tuvo lugar el atentado de las torres gemelas del 11 de septiembre. Tras el suceso, George Bush Jr., presidente del gobierno de Estados Unidos en aquel momento, decidió elaborar la ley Patriot Act para la lucha contra el terrorismo a nivel mundial, tal y como indicaba el acrónimo utilizado Patriot (Providing Appropriate Tools Required to Intercept and Obstruct Terrorism – que traducido se refiere a la provisión de herramientas apropiadas requeridas para impedir y obstaculizar el terrorismo).

La problemática de esta ley es que otorgaba a los cuerpos estadounidenses competencias fuera de su territorio, y entre estas competencias se encontraba la de controlar la información de los ciudadanos norteamericanos no solo en su país, sino también fuera de sus fronteras. De esta forma, cualquier agente federal podría solicitar a los proveedores de tecnología los datos de sus clientes, sin tener que revelar esta circunstancia a los propietarios de los datos, lo que entraba en contradicción con leyes de protección de datos vigentes en Europa en aquel momento, y más tarde chocaría frontalmente con la normativa actualmente vigente, la GDPR (aprobada en 2016 y efectiva desde 2018). De hecho, compañías como Microsoft denunciaron haber recibido solicitudes de datos de algunos de sus clientes por parte de Estados Unidos en aquellos momentos.

Cloud Act

Más tarde, en 2018, EEUU publicó una revisión de esta ley, Cloud Act (Clarifying Lawful Overseas Use of Data Act), directamente asociada a los medios electrónicos y los problemas causados a los proveedores de Cloud y el uso de los datos (tras las denuncias de Microsoft contra el gobierno de Estados Unidos en los últimos años, en la que, si bien indica que deben existir acuerdos de intercambio de información con el resto de países para evitar conflictos de jurisdicción, ratifica la necesidad de que cualquier agencia pudiese solicitar datos a las compañías norteamericanas, en cualquier lugar del mundo que estuviesen. Parece un avance hacia un consenso internacional ante el derecho a la privacidad de los datos, pero no tendrá aplicación hasta que los acuerdos bilaterales se pongan en marcha.

Es conocido que, en territorios como Europa, los proveedores de servicios IT no pueden revelar datos propiedad de sus clientes, siendo la GDPR la directiva en vigor sobre la gestión de la información.

Ante este choque de competencias, en 2019 los gobiernos alemán y francés, junto con 22 empresas de ambos países de varios ámbitos, no solo tecnológico, deciden lanzar la iniciativa Gaia X en respuesta a la postura de Estados Unidos de otorgarse a sí mismos esta potestad extraterritorial.

Gaia X

El nacimiento de Gaia X

El proyecto Gaia X trata de establecer un ecosistema europeo en el que la privacidad de los datos sea el principal motor. Los datos son propiedad de una persona o una empresa que decidirá qué hacer con ellos (cómo se almacenan, distribuyen y comparten), lo que Gaia X denomina soberanía de los datos. Para lograr este objetivo, entienden que debe de haber un proyecto de colaboración a nivel europeo en el que intervengan empresas privadas y gobiernos para su definición y constitución. Será necesario, por tanto, establecer unas normas sobre cómo se deben “manejar” los datos y cómo se operan a todos los niveles (legal y tecnológico).

El nivel legal está resuelto, la GDPR está definida y en vigor desde 2018, y es la norma que se debe cumplir. A nivel tecnológico se plantea el reto de cómo crear un ecosistema para garantizar la soberanía de los datos (almacenamiento, transmisión, compartición, aseguramiento de confidencialidad y decisión por parte del dueño de las acciones que se deben y se pueden tomar con ellos) que actualmente no existe.

La idea de Gaia X es hacerlo desde cero, colaborando con empresas públicas y privadas de tecnología y consumidoras de ésta, para la creación de un entorno seguro de redes, de computación, de almacenamiento, de intercambio entre diferentes compañías, etc.

Así, Gaia X no trata de crear una nube europea, sino de establecer este ecosistema de normas y colaboración, de forma que las compañías y administraciones creen “entornos compatibles” Gaia X, siguiendo estas normas y requerimientos, para hacer viable la soberanía del dato y permitir al contratante la movilidad de servicios entre los diferentes proveedores de manera simple y compatible.

Cabe destacar, además, que no se trata de una iniciativa europea como tal, sino de una iniciativa francoalemana a la que ya se han unido más de 300 empresas de todo el mundo… y sí, los grandes proveedores norteamericanos también están entre ellas. La Unión Europea (UE) sigue un camino alternativo, con un enfoque más amplio y algo diferente, aunque es posible que ambos proyectos terminen por encontrarse.

Impulso a los servicios Cloud europeos

En febrero de 2021 la UE ha publicado una comunicación estableciendo unos presupuestos de hasta 6 billones de euros hasta 2027, cuyo objetivo es la creación de un espacio único Europeo de datos para el 2030, en el que “los datos personales y no personales, incluidos los datos relevantes de negocio, sean seguros y los negocios tengan acceso sencillo a una cantidad casi infinita de datos industriales de alta calidad, acelerando el crecimiento y la generación de valor, al mismo tiempo que minimice la huella de carbono humana”.

Para ello, bajo el denominado High Impact Project on European data spaces and federated cloud infrastructures, el proyecto de la UE “financiará infraestructuras, herramientas de compartición de datos, arquitecturas y mecanismos de gobierno para potenciar la compartición de los datos y ecosistemas de Inteligencia Artificial ”. Esto se deberá instanciar en la construcción de infraestructuras y centros de procesado de datos, y la creación de nuevas herramientas software, financiados por la UE.

La Comisión Europea ha nominado 9 sectores objetivo (manufactura, clima, movilidad, salud, finanzas, energía, agricultura, leyes y compras públicas y talento) como los receptores de fondos para el establecimiento del espacio único de datos. El objetivo es superar “las barreras legales y técnicas para la compartición de datos entre organizaciones, combinando las herramientas e infraestructuras necesarias ”.

Con ello quieren impulsar la innovación y la creación de servicios alrededor de los datos para la generación de riqueza, lo que impulsará a su vez los servicios Cloud desde Europa.

Interconectividad en la nube

Actualmente el mundo de la computación Cloud y el almacenamiento de datos está dominado por compañías norteamericanas, mientras que no existe ninguna gran compañía europea de este tipo, lo que supone una desventaja competitiva gigantesca para el desarrollo futuro de la región.

La Unión Europea cuenta con diversas iniciativas paralelas asociadas a los datos, con un calendario definido para los próximos años. Como ejemplo, y relativo al ámbito de Gaia X, se espera que hacia el segundo trimestre de 2022 ya exista el primer Cloud Rulebook europeo (desde el punto de vista regulatorio), y a finales de ese mismo año se produzca la primera implantación de un Cloud Services Marketplace.

Cómo llevar a la práctica Gaia X

Dejando a un lado este proyecto liderado por la Comisión Europea y continuando con Gaia X, nos encontramos ante la cuestión de cómo crear este ecosistema en la práctica, qué tipo de normas deben crearse, qué arquitectura debe utilizarse de forma común, cómo se creará una interconexión entre nubes compatibles o cómo se logrará que el usuario decida dónde quiere que se encuentren sus datos. Entre otras cosas, los cambios llevarán a una reducción del vendor locking y una mayor capacidad para mover cargas de trabajo y datos entre diferentes proveedores.

A la hora de llevar al plano tecnológico la definición de la normativa y los protocolos a seguir, arquitecturas comunes a la hora de, por ejemplo, realizar la identificación de un usuario.

Gaia X

Casos de uso de Gaia X

Por otra parte, Gaia X ha establecido casos de uso por sector. Por ejemplo, en el sector financiero la privacidad de los datos estaría asegurada y se busca en qué aspectos supondría Gaia X una mejora con respecto a la situación actual o lo que pueda ofrecer una nube norteamericana. En este sentido destaca el hecho de que un proveedor de nube que ofrezca servicios sobre Gaia X debe poder asegurar el cumplimiento de la GDPR.

También será necesario establecer unas normas de observabilidad para asegurar el cumplimiento de los protocolos y definir cómo va a ser el onboarding de nuevos servicios, es decir, de qué forma se hará crecer el proyecto o qué requisitos se exigirá a las compañías que quieran entrar a ofrecer servicios en el marco de Gaia X y puedan ser integrados en el ecosistema y consumibles por parte de los usuarios o empresas contratantes.

Todo esto está siendo construido ahora mismo, en grupos de trabajo en los que participan las diferentes empresas asociadas a Gaia X, decidiendo normas, arquitecturas, casos de uso y protocolos a todos los niveles.

Posibles obstáculos en la creación de Gaia X

Si bien la iniciativa se ve necesaria y con muchas ventajas en el futuro, cuenta con algunos obstáculos que deberá superar si quiere llegar a cumplir sus objetivos:

  • Espacio temporal. El proyecto llega tarde, pues a finales de 2021 aún no existirá un piloto productivo y probablemente no haya servicios Gaia X reales hasta 2022. En estos 2 años los proveedores de Cloud actuales seguirán creciendo todavía más, por lo que el alcanzar el nivel y cantidad de servicios que proporcionan será complicado en un corto espacio de tiempo. Además, hay que incluir en este punto, el desfase de plazos entre lo que propone Gaia X y la Unión Europea, que puede crear divergencias relevantes entre ambas a nivel conceptual y de financiación.
  • Falta de vinculación con las Administraciones Publicas de forma explícita. Actualmente no hay una vinculación directa y explícita entre las AAPP a nivel europeo y nacional con Gaia X, aunque nos pueda parecer que la tendrá que haber. Por tanto, la inversión por parte de la Unión Europea no se centra en este proyecto, aunque públicamente lo ve con buenos ojos, sino que se corre el riesgo de continuar con dos iniciativas en lugar de unificarlas para que se desarrollen de forma conjunta. Algo que, teniendo en cuenta el avance de los proveedores norteamericanos o chinos en este ámbito, no podemos permitirnos. Es evidente que el mejor aliado del proyecto sería una ligazón directa con la Unión Europea y otros gobiernos de la región.
  • Nivel de inversión. Si bien se espera que las inversiones necesarias partan de los miembros de Gaia X, todos esperamos que la Unión Europea destine fondos del proyecto mencionado anteriormente. Realmente no se sabe qué inversiones habrá ahora y en el futuro. Esto es una de las claves del éxito de los grandes proveedores mundiales de Cloud, los niveles de inversión, continuos, que están realizando son muy superiores a los que las empresas tecnológicas clásicas realizan, de ahí que se hayan instaurado en el mercado de forma rápida “robándoles” negocio de forma constante e imparable, obligándoles a adaptar sus modelos de licenciamiento y servicios a los “hiperescalares” para poder subsistir a largo plazo.
  • Proyectos a nivel nacional. Actualmente, España cuenta con su propio plan de transformación y modernización de las Administraciones Públicas, con iniciativas como la creación de un Cloud local en España (recogido en el Plan de Digitalización de las Administraciones Públicas 2021-2025 recientemente liberado). Si esto sigue adelante, ¿crearán los países su propio Cloud o abrazarán la iniciativa europea? Lo segundo sería fundamental para garantizar la interconexión entre países y aprovechar los niveles de inversión de la UE pero se desconoce si este va a ser el camino. Por ejemplo, en España, existen decenas de datacenters de Administraciones Públicas solo en el área de Madrid, por lo que la fragmentación de los sistemas IT de Administración General del Estado es enorme, y eso sin contar a las Comunidades Autónomas. Sería necesario que, la nueva iniciativa publicada recientemente, aúne las decisiones de todos los estamentos públicos locales y se alinee con las iniciativas europeas.
  • La filosofía Marketplace. Una de las iniciativas que promueve Gaia X es la creación de un Marketplace europeo de servicios compatibles con Gaia X, sobre todo de cara a que las empresas medianas y pequeñas también tengan acceso a los servicios. Sin embargo, es imposible lograr que todas las compañías consuman en base a un autoservicio solamente. En la mayoría de las ocasiones, desde el punto de vista de IT no todo funciona en una modalidad 100% producto Cloud, sino que es necesario realizar integraciones y ajustes para que los sistemas existentes y los nuevos caminen de manera conjunta. Esto debería impulsar que compañías especializadas dediquen esfuerzos a ofrecer estos servicios de integración con lo que se crearía un nuevo espacio de generación de negocios.

¿Que puede aportar Gaia X?

En definitiva, Gaia X es un proyecto ambicioso que puede aportar grandes beneficios a Europa y a sus empresas y administraciones públicas si se lleva a cabo con éxito, pero que aún tiene barreras que superar y aspectos que pulir para hacerse realidad.

Lo que finalmente suceda será algo que decidirá el tiempo y las distintas acciones llevadas a cabo por Europa, sus países y empresas. De lo que no cabe duda es de que los nuevos tiempos y las nuevas tecnologías requieren cada vez más de un marco, unos proyectos y unas regulaciones que avancen lo suficientemente rápido para no quedar obsoletas antes de salir a la luz.

Santiago Cordero

Director en Governance & Infrastructure

Ingeniero Superior de Telecomunicaciones por la Universidad de Vigo lleva trabajando en el sector IT más de 20 años.

Ver todos los artículos de Santiago
Share This