En marzo tuvo lugar en los Estados Unidos otra novedad legislativa que puede tener un gran impacto sobre la privacidad de los ciudadanos y las empresas de la Unión Europea, la aprobación de la Cloud Act, También conocida como Ley de la Nube, esta polémica norma se incluyó de manera encubierta en la votación de los presupuestos generales presentados por Donald Trump.
Aquí tienes una explicación de en qué consiste y cómo afecta a la privacidad esta norma a los ciudadanos europeos.
¿Qué es la Cloud Act?
La ley, aunque incluye el nombre Cloud, no regula la infraestructura de nube sino más bien la protección de datos en ella almacenados. El nombre es el acrónimo de Clarifying Lawful Overseas Use of Data, Aclarando el uso legal de datos en el extranjero.
Esta ley exige a los proveedores de servicios estadounidenses que revelen todos los datos en su posesión, custodia o control, si son solicitados por las autoridades. También si los datos están alojados en terceros países.
Por otro lado, la Ley proporciona un mecanismo para que ciertos gobiernos extranjeros, sobre la base de investigación de delitos graves, puedan solicitar acceso al contenido de las comunicaciones de ciudadanos no estadounidenses que poseen proveedores de servicios de EEUU y que también están ubicadas al extranjero.
En ambos casos, la relación con terceros países se implementaría a través de acuerdos ejecutivos que les obligarían al cumplimientos de ciertos niveles de protección de derechos humanos.
A través de un ejemplo se puede entender qué significa exactamente esto.
En 2013, el departamento de Justicia pidió a Microsoft la entrega de los correos electrónicos de una cuenta presuntamente relacionada con el tráfico de drogas en Estados Unidos. La empresa rehusó esta demanda al estar los datos alojados en servidores situados en Irlanda. Esa petición, por tanto, tendría que gestionarse a través de las autoridades irlandesas, que son las que tienen jurisdicción sobre los datos personales en su país. En 2016, un tribunal de apelaciones dio la razón a Microsoft.
Sin embargo, tras la aprobación de la Cloud Act, ante un caso similar, Microsoft se vería obligada a suministrar esa información.
Nueva ley para la era digital
Las empresas tecnológicas más importantes como Facebook, Apple, Microsoft, Google y Oath han recibido con aprobación la nueva Cloud Act. Y han publicado una carta que elogia sus aspectos principales, como:
- protección de los derechos de los consumidores alrededor del mundo,
- fomento del dialogo diplomático entre países y
- reducción de los conflictos legales.
Esta nueva norma también ha sido objeto de importantes críticas por algunas organizaciones defensoras de derechos humanos que la ven como un ataque a la privacidad de los ciudadanos. Así como una oportunidad para que Gobiernos extranjeros puedan obtener información sobre sus propios disidentes a través de compañías estadounidenses.
Los datos personales son un activo cada día más crítico para cualquier organización. Sin embargo los principales Gobiernos del mundo se encuentran en el proceso de actualizar su legislación en la materia, lo que introduce importante desafíos.
Resulta fundamental que cualquier organización que almacene datos fuera de sus propios sistemas o países entienda estas nuevas leyes. Y garantice que se encuentra en condiciones para cumplirlas.
Relación con el RGPD
La Cloud Act puede suponer el final del Privacy Shield (Escudo de Privacidad), el acuerdo alcanzado entre la UE y Estados Unidos en 2016 para permitir la transferencia de datos personales.
En el mes de junio se presenta una resolución en el Parlamento Europeo, solicitando la suspensión del Escudo de Privacidad hasta que se clarifique el impacto de la Cloud Act. Y se garantice el respeto de la privacidad por parte de EEUU.
La Cloud Act, además de suponer una posible transgresión de los derechos de privacidad de los ciudadanos europeos, también puede convertirse en una poderosa arma para la “guerra económica” que el presidente Trump parece decidido declarar a la Unión Europea, a la que recientemente calificó como “enemigo comercial”.
Un organismo gubernamental podría pedir, por ejemplo, a una compañía tecnológica como Google o Facebook, el acceso a correos electrónicos o archivos de una empresa europea alojados fuera de Estados Unidos. Para comprobar si tiene relaciones comerciales con Irán o participa en alguna licitación en la que concurran empresas estadounidenses.
Puede sonar paranoico, pero no olvidemos que entre 2008 y 2009 la Agencia de Seguridad Nacional de Estados Unidos pidió a los servicios de inteligencia alemanes 40.000 datos sobre empresas europeas que no estaban relacionadas con el terrorismo, según denunció la comisión parlamentaria organizada en Alemania a raíz de las revelaciones del ex-analista Edward Snowden.
Protección frente a injerencias de EEUU
La mejor manera de que los ciudadanos y empresas europeas puedan proteger su privacidad de las interferencias de Estados Unidos es optar por alojar sus datos personales en servicios de almacenamiento en la nube de proveedores ubicados dentro del territorio de la Unión Europea. Y pertenezcan a empresas europeas.
Hay que tener en cuenta que los proveedores de servicios de nube de Estados Unidos que operan en la Unión Europea, aunque tengan sus centros de datos en territorio europeo y cumplan las leyes europeas, están sometidos a los dictados de la Cloud Act.
Así que podrían tener que revelar datos de usuarios y empresas europeas si lo solicitan las autoridades norteamericanas.
Ahora ya lo sabes. Cuidado con el proveedor de servicios en la nube que usas.
Escribe aquí tu comentario