¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPD

Qué es el Cloud Act y qué relación tiene con la protección de datos

El Cloud Act de Estados Unidos se aprobó en 2018, pero a día de hoy todavía sigue dando que hablar, especialmente en relación con la protección de datos personales y como puede ponerla en riesgo. En las siguientes líneas analizaremos este tema y sus implicaciones para las empresas estadounidenses que operan en la UE.

¿Qué es el Cloud Act?

El Cloud Act es una ley que permite a las autoridades de EE. UU., por motivos de seguridad nacional, solicitar cualquier tipo de datos e información almacenada en los servidores o nube de una empresa o proveedor estadounidense, independientemente del país en el que se encuentre y de si es sobre personas físicas o jurídicas.

Pese a que incluye la palabra «cloud», en realidad no se trata de una ley sobre el almacenamiento y uso de la nube, sino que son las siglas en inglés de «Ley Aclaratoria del Uso Legal de Datos en el Extranjero».

Esta ley, como decíamos al principio, se aprobó en 2018 por la administración Trump y su objetivo es agilizar ciertas investigaciones, cuando estas requieren acceder a servidores o nubes alojadas fuera de EE. UU., pero que pertenecen a proveedores estadounidenses, como es el caso, por ejemplo, de Microsoft, Amazon o Google.

Implicaciones de esta ley en la era digital

Las implicaciones de esta ley en la era digital son evidentes, a través de ella, las fuerzas de seguridad de EE. UU. (policía, FBI, NSA…), en el proceso de una investigación criminal, no dependen ya de los llamados tratados de asistencia legal mutua entre países (MLAT) para poder solicitar el acceso a datos alojados en el extranjero, un trámite que podía demorar hasta 10 meses.

Estos datos a los que pueden solicitar acceso pueden ser sobre organizaciones o ciudadanos tanto estadounidenses como extranjeros.

Sin embargo, esto no quiere decir que estos cuerpos de seguridad estadounidenses puedan demandar el acceso a los datos gestionados y almacenados por cualquier empresa alojada en el extranjero, solo pueden hacerlo cuando las compañías tienen su origen y sede principal en EE. UU. y cuando un juez de allí emite una orden para ello.

Es decir, si la empresa a la que se le pide acceso a sus datos es Microsoft, aunque estos estén alojados en un servidor o nube alojada en Europa, por el Cloud Act, si recibe una orden judicial para ello, tendrá que conceder dicho acceso (existe la posibilidad de negarse, pero es un procedimiento complejo). Ahora, si la empresa es europea, el Cloud Act no le afecta.

Si bien es evidente que facilitar un proceso de investigaciones criminales es encomiable, lo cierto es que el Cloud Act tiene implicaciones un poco menos loables, ya que a través de él se puede acceder a todo tipo de información confidencial o sensible, que podría favorecer intereses económicos estadounidenses, lo único que es necesario es que un juez de una orden, amparándose en la seguridad nacional.

tarifas proteccion datos

El Cloud Act y la normativa de protección de datos europea

Con lo que hemos visto hasta ahora, parece evidente que el Cloud Act y el RGPD están en conflicto cuando los datos que pueden verse afectados por esas reclamaciones de acceso de los cuerpos de seguridad de EE. UU., son datos de carácter personal, más ahora que el Privacy Shield ha sido anulado por las autoridades europeas y las transferencias internacionales de datos a EE. UU. dependen de la aprobación de las cláusulas contractuales tipo.

La mayoría de proveedores norteamericanos, entre los que se cuentan Amazon, Microsoft, Apple y Google, mostraron su aprobación respecto al Cloud Act, de manera que ante una petición de acceso a sus datos alojados en los servidores de sus filiales europeas, es fácil suponer que lo permitirán.

¿Qué ocurre si entre esos datos hay datos personales? Es una clara vulneración del RGPD, que pone en riesgo la privacidad de los datos de los ciudadanos de la UE, sin embargo, no parece que haya una solución posible, más allá de imponer una sanción a esas empresas que faciliten ese tipo de información. De hecho, es una cuestión que aún se está debatiendo en la UE.

Francia y su prohibición de usar Office 365 por temor a la injerencia de EE. UU.

Esta situación de incertidumbre respecto al Cloud Act y la posible injerencia de EE. UU. a través de él, ha llevado al departamento de sistemas de la información de Francia a prohibir a los funcionarios públicos a usar las funciones on line y en la nube de Microsoft 365 (aunque se puede seguir usado de forma off line), de acuerdo a una circular interna publicada por el medio francés Acteurs Publique.

De acuerdo a esa circular, Microsoft 365 no cumpliría con la doctrina Cloud au Centre (la nube en el centro) francesa, con la que se garantiza el cumplimiento de la protección de datos personales.

Lo que las autoridades francesas temen es que a través del Cloud Act, al ser Microsoft 365 un producto de una empresa estadounidense, las autoridades de EE. UU. pudieran tener acceso a datos personales de ciudadanos franceses, ya que este programa se utiliza en las administraciones públicas del país y en él se pueden tratar datos personales.

¿Cómo evitar los problemas que el Cloud Act puede generar respecto a la protección de datos?

La única forma de evitar estos problemas que trae consigo el Cloud Act respecto a la protección de datos personales, mientras la UE discute y debate implicaciones, es buscar un proveedor de servicios en la nube o de alojamiento en servidores que sea europeo, ya que no estará sujeto a esta ley estadounidense y podrá negarse, al menos hasta que reciba orden de un juez europeo, a facilitar el acceso a ningún tipo de información.

¿Te gustaría recibir un presupuesto?

PROTECCIÓN DE DATOS

· Adaptación al RGPD y LOPD-GDD

· Textos legales para sitios web

· Consentimientos de clientes, pacientes...

IGUALDAD

· Auditoría retributiva

· Protocolo de acoso

· Registro del Plan de Igualdad

Escríbenos o llámanos al 914 896 419