La Cloud Act, una amenaza para la privacidad de los ciudadanos y las empresas europeas
FIRMA INVITADA

La Cloud Act, una amenaza para la privacidad de los ciudadanos y las empresas europeas

La nueva ley permite a los Estados Unidos acceder a datos de empresas y usuarios que estén situados en la Unión Europea, vulnerando las garantías del RGPD

Mientras en Europa estábamos centrados en la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el 23 de marzo se produjo en los Estados Unidos otra novedad legislativa que puede tener un gran impacto sobre la privacidad de los ciudadanos y las empresas de la Unión Europea: la aprobación de la Cloud Act. También conocida como Ley de la Nube, esta polémica norma se incluyó subrepticiamente en la votación de los presupuestos generales presentados por Donald Trump. Esto permitió que se aprobara sorteando el tempestuoso debate que presagiaba la oposición de las organizaciones de derechos humanos.

¿En qué consiste exactamente la Cloud Act? Sus siglas en inglés corresponden al título Ley Aclaratoria del Uso Legal de Datos en el Extranjero y su objetivo es poner al día las leyes de privacidad y vigilancia electrónica vigentes en los Estados Unidos, algunas de las cuales databan de 1986. Sin embargo, para sus detractores esta ley ha ido mucho más allá de sus competencias, al permitir que las autoridades norteamericanas (desde la policía local a las agencias federales) puedan pedir a las compañías tecnológicas datos de usuarios y empresas de otros países alojados en centros de datos situados fuera de su territorio.

Para entender qué significa exactamente esto, lo mejor es verlo con un ejemplo verídico. En 2013, el departamento de Justicia pidió a Microsoft la entrega de los correos electrónicos de una cuenta presuntamente relacionada con el tráfico de drogas en Estados Unidos. La compañía rechazó esta pretensión porque los datos estaban alojados en servidores situados en Irlanda. Por lo tanto, la solicitud debía tramitarse a través de las autoridades irlandesas, que son las que tienen jurisdicción sobre los datos personales en su país. En 2016, un tribunal de apelaciones dio la razón a Microsoft. Sin embargo, tras la aprobación de la Cloud Act, ante un caso similar Microsoft se vería obligada a suministrar esa información.

Estas prerrogativas extraterritoriales que la Cloud Act concede a las autoridades estadounidenses, incluso sin necesidad de la intervención de un juez, chocan frontalmente con las disposiciones recogidas en el artículo 46 del Reglamento General de Protección de Datos. Este apartado estipula que el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Así mismo, el artículo 48 de la misma normativa señala que "cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo”.

Además, la Cloud Act puede suponer el final del Privacy Shield (Escudo de Privacidad), el acuerdo alcanzado entre la UE y Estados Unidos en 2016 para permitir la transferencia de datos personales. Una resolución presentada en el Parlamento Europeo este mes de junio pide la suspensión del Escudo de Privacidad hasta que se clarifique el impacto de la Cloud Act y se garantice el respeto de la privacidad por parte de EE. UU.

Aparte de la posible vulneración de los derechos de privacidad de los ciudadanos europeos, la Cloud Act también puede convertirse en una poderosa arma para la “guerra económica” que el presidente Trump parece decidido declarar a la Unión Europea, a la que recientemente calificó como “enemigo comercial”. 

Por ejemplo, una agencia gubernamental podría solicitar a una compañía tecnológica, como Google o Facebook, el acceso a correos electrónicos o archivos de una empresa europea alojados fuera de Estados Unidos para comprobar, por ejemplo, si tiene relaciones comerciales con Irán o participa en alguna licitación en la que concurran empresas estadounidenses. Puede sonar paranoico, pero no olvidemos que entre 2008 y 2009 la Agencia de Seguridad Nacional de Estados Unidos pidió a los servicios de inteligencia alemanes 40.000 datos sobre empresas europeas que no tenían nada que ver con el terrorismo, según denunció la comisión parlamentaria organizada en Alemania a raíz de las revelaciones del ex-analista Edward Snowden.

La mejor manera de que los ciudadanos y empresas europeas puedan proteger su privacidad de las interferencias de Estados Unidos es optar por alojar sus datos personales en servicios en la nube de proveedores que estén situados en el territorio de la Unión Europea y pertenezcan a empresas europeas. Hay que tener en cuenta que los proveedores de servicios de nube de Estados Unidos que operan en la Unión Europea, aunque tengan sus centros de datos en territorio europeo y cumplan las leyes europeas, están sometidos a los dictados de la Cloud Act. Así que podrían tener que revelar datos de usuarios y empresas europeas si lo solicitan las autoridades norteamericanas. 

Jules-Henri Gavetti es CEO de Ikoula

Retina

17/08/2018
02

“En España se busca favorecer a quienes siempre han tenido el control”

De emprender a invertir como 'business angel' en Chicfy o Glovo y, finalmente, a crear su propio fondo, Encomenda Smart Capital. Para Carlos Blanco la experiencia es el activo más importante: “No es talento creativo lo que nos falta en España, el problema es que el capital riesgo es muy joven, está madurando”.

“En España se busca favorecer a quienes siempre han tenido el control”
Tres aplicaciones para leer con los oídos
05

Tres aplicaciones para leer con los oídos

Los audiolibros en CD o casete nunca arrancaron en España. Pero algo está cambiando gracias a las propuestas de una serie de 'apps' a las que merece la pena poner la oreja

08

La larga prehistoria de la Red

Aún no nos damos cuenta de lo que está suponiendo la Red. Por eso, el aurtor propone colocar este fenómeno junto a otros sucesos capitales de la evolución para prestar más atención a lo que estamos viviendo.

La larga prehistoria de la Red
La nueva fe es la confianza
10

La nueva fe es la confianza

El dinero, como la religión o las naciones, es una ficción colectiva. Creer en un ser superior, en formar parte del pueblo elegido o que un trozo de papel vale 50 euros, son todos actos de fe.

Normas