A principios de 2018, en Europa todo el mundo estaba pendiente de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Pero en marzo tuvo lugar en los Estados Unidos otra novedad legislativa que puede tener un gran impacto sobre la privacidad de los ciudadanos y las empresas de la Unión Europea.

La aprobación de la Cloud Act.

También conocida como Ley de la Nube, esta polémica norma se incluyó de manera encubierta en la votación de los presupuestos generales presentados por Donald Trump.

Aquí tienes una explicación de en qué consiste esta norma y cómo afecta a la privacidad de los ciudadanos europeos.

¿Qué es la Cloud Act?

La ley, aunque incluye el nombre Cloud, no regula la infraestructura de nube sino más bien la protección de datos en ella almacenados. El nombre es el acrónimo de Clarifying Lawful Overseas Use of Data, Aclarando el uso legal de datos en el extranjero.

Esta ley exige a los proveedores de servicios estadounidenses que revelen todos los datos en su posesión, custodia o control, si son solicitados por las autoridades. También si los datos están alojados en terceros países.

Por otro lado, la Ley proporciona un mecanismo para que ciertos gobiernos extranjeros, sobre la base de investigación de delitos graves, puedan solicitar acceso al contenido de las comunicaciones de ciudadanos no estadounidenses que poseen proveedores de servicios de EEUU y que también están ubicadas al extranjero.

En ambos casos, la relación con terceros países se implementaría a través de acuerdos ejecutivos que les obligarían al cumplimientos de ciertos niveles de protección de derechos humanos.

A través de un ejemplo se puede entender qué significa exactamente esto.

En 2013, el departamento de Justicia pidió a Microsoft la entrega de los correos electrónicos de una cuenta presuntamente relacionada con el tráfico de drogas en Estados Unidos. La empresa rehusó esta demanda al estar los datos alojados en servidores situados en Irlanda. Esa petición, por tanto, tendría que gestionarse a través de las autoridades irlandesas, que son las que tienen jurisdicción sobre los datos personales en su país. En 2016, un tribunal de apelaciones dio la razón a Microsoft.

Sin embargo, tras la aprobación de la Cloud Act, ante un caso similar, Microsoft se vería obligada a suministrar esa información.

Nueva ley para la era digital

Las empresas tecnológicas más importantes como Facebook, Apple, Microsoft, Google y Oath han recibido con aprobación la nueva Cloud Act. Y han publicado una carta que elogia sus aspectos principales, como:

  • protección de los derechos de los consumidores alrededor del mundo,
  • fomento del dialogo diplomático entre países y
  • reducción de los conflictos legales.

Esta nueva norma también ha sido objeto de importantes críticas por algunas organizaciones defensoras de derechos humanos que la ven como un ataque a la privacidad de los ciudadanos. Así como una oportunidad para que Gobiernos extranjeros puedan obtener información sobre sus propios disidentes a través de compañías estadounidenses.

Los datos personales son un activo cada día más crítico para cualquier organización. Sin embargo los principales Gobiernos del mundo se encuentran en el proceso de actualizar su legislación en la materia, lo que introduce importante desafíos.

Resulta fundamental que cualquier organización que almacene datos fuera de sus propios sistemas o países entienda estas nuevas leyes. Y garantice que se encuentra en condiciones para cumplirlas.

Relación con el RGPD

La Cloud Act puede suponer el final del Privacy Shield (Escudo de Privacidad), el acuerdo alcanzado entre la UE y Estados Unidos en 2016 para permitir la transferencia de datos personales.

En el mes de junio se presenta una resolución en el Parlamento Europeo, solicitando la suspensión del Escudo de Privacidad hasta que se clarifique el impacto de la Cloud Act. Y se garantice el respeto de la privacidad por parte de EEUU.

La Cloud Act, además de suponer una posible transgresión de los derechos de privacidad de los ciudadanos europeos, también puede convertirse en una poderosa arma para la “guerra económica” que el presidente Trump parece decidido declarar a la Unión Europea, a la que recientemente calificó como “enemigo comercial”.

Un organismo gubernamental podría pedir, por ejemplo, a una compañía tecnológica como Google o Facebook, el acceso a correos electrónicos o archivos de una empresa europea alojados fuera de Estados Unidos. Para comprobar si tiene relaciones comerciales con Irán o participa en alguna licitación en la que concurran empresas estadounidenses.

Puede sonar paranoico, pero no olvidemos que entre 2008 y 2009 la Agencia de Seguridad Nacional de Estados Unidos pidió a los servicios de inteligencia alemanes 40.000 datos sobre empresas europeas que no estaban relacionadas con el terrorismo, según denunció la comisión parlamentaria organizada en Alemania a raíz de las revelaciones del ex-analista Edward Snowden.

Protección frente a injerencias de EEUU

La mejor manera de que los ciudadanos y empresas europeas puedan proteger su privacidad de las interferencias de Estados Unidos es optar por alojar sus datos personales en servicios en la nube de proveedores ubicados dentro del territorio de la Unión Europea. Y pertenezcan a empresas europeas.

Hay que tener en cuenta que los proveedores de servicios de nube de Estados Unidos que operan en la Unión Europea, aunque tengan sus centros de datos en territorio europeo y cumplan las leyes europeas, están sometidos a los dictados de la Cloud Act.

Así que podrían tener que revelar datos de usuarios y empresas europeas si lo solicitan las autoridades norteamericanas.

Ahora ya lo sabes. Cuidado con el proveedor de servicios en la nube que usas.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola.
    he visto tu blog y quisiera resolver algunas dudas al respecto del privacy shield y el nuevo cloud act para una empresa de una clienta.

    El caso de mi clienta:
    Ella quiere montar un sitio de servicios sin dirección física con todos sus textos legales, pero no quiere dar su dirección física, así pues, según ella, lo solventaría poniendo una dirección que sea postal proveniente de un servicio de redireccionamiento de correo postal, como por ejemplo myus.com (el cual le da una dirección física en USA). En principio los servicios estarían destinados para cualquier país del mundo.
    Los servicios que ella ofrecería no requieren de presencia física en ningún lado, así pues, si alguna vez tuviera que recibir alguna carta o paquete de forma postal, utilizaría el forwarding de myus.com a su dirección en España.
    Como toda buena emprendedora, mi clienta intenta minimizar sus gastos de la mejor forma. Así pues y como está empezando, y no dispone de clientes, le aconsejé que declaré sus cortas ganancias iniciales como actividad marginal antes de darse de alta en autónomos.
    Ella me aceptó esta última idea.

    Dado el caso de mi clienta, te enumero una serie de dudas que me surgen:
    1. ¿Crees que usar la dirección postal procedente de myus.com en los términos legales de su sitio sería legal?

    2. Dado el cloud act que parece más restrictivo que el privacy shield y el propio privacy shield en USA, ¿crees que podrían existir problemas ante una persona física como es mi clienta que no constituye ninguna empresa pero que si pretende recopilar datos de usuario como nombre y email a través de un formulario de contacto?

    3. ¿Si la pregunta 2 es afirmativa, bastaría con cambiar a un alojamiento que no esté en USA, por ejemplo, en UK?

    4. ¿Qué importancia le das al alojamiento del sitio en este caso?, que sería de una persona física en España, con dirección postal en otro país para disponer de dirección física a través de myus.com y que solo ejecuta sus servicios de forma remota. QUE NO FACTURARÍA DE MOMENTO, PUESTO QUE ESTÁ EN PERIODO DE OFRECER SUS PRIMEROS SERVICIOS.

    5. Si el alojamiento está en otro sitio que por ejemplo no esté bajo la privacy shield o el cloud act o el gdpr (cambiando el proveedor de redireccinamiento en tal caso por supuesto), ¿bastaría?

    Tus entradas me parecen interesantes, voy a suscribirme.
    Muchas gracias.
    Saludos.

    Cristina. S.

    1. Buenas tardes Cristina, me alegro de que el blog te parezca interesante. Te respondo a tus cuestiones: Respecto a la primera cuestión, no es suficiente poner en el aviso legal de la página web una dirección postal, es necesario identificar al propietario de la web con nombre, DNI/CIF y domicilio.
      Sobre el hecho de almacenar los datos en una empresa con sede en EE.UU. no hay problema si se verifica que esta cumple los requisitos de privacidad y se informa adecuadamente a los usuarios de la web sobre quién tiene acceso a sus datos. Es mejor que la empresa de alojamiento se encuentre en un país adherido a la normativa de protección de datos, como EE.UU. (supuestamente) o países de la UE.