La Cloud Act de Estados Unidos se aprobó en 2018, pero a día de hoy todavía sigue dando que hablar, especialmente en relación con la protección de datos personales y como puede ponerla en riesgo. En las siguientes líneas analizaremos este tema y sus implicaciones para las empresas estadounidenses que operan en la UE.
En este artículo hablamos de:
¿Qué es la Cloud Act?
La Cloud Act es una ley que permite a las autoridades de EE. UU., por motivos de seguridad nacional, solicitar cualquier tipo de datos e información almacenada en los servidores o nube de una empresa o proveedor estadounidense, independientemente del país en el que se encuentre y de si es sobre personas físicas o jurídicas.
Pese a que incluye la palabra «cloud», en realidad no se trata de una ley sobre el almacenamiento y uso de la nube, sino que son las siglas en inglés de «Ley Aclaratoria del Uso Legal de Datos en el Extranjero».
Esta ley, como decíamos al principio, se aprobó en 2018 por la administración Trump y su objetivo es agilizar ciertas investigaciones, cuando estas requieren acceder a servidores o nubes alojadas fuera de EE. UU., pero que pertenecen a proveedores estadounidenses, como es el caso, por ejemplo, de Microsoft, Amazon o Google. Razón por la que se dedica una sección informativa en AWS sobre Cloud Act, con la que Amazon quiere resolver las dudas de sus usuarios fuera de EE. UU. respecto al alcance de esta ley en otros países.
Implicaciones de la Cloud Act en la era digital
Las implicaciones de la Cloud Act de USA en la era digital son evidentes, a través de ella, las fuerzas de seguridad de estadounidenses (policía, FBI, NSA…), en el proceso de una investigación criminal, no dependen ya de los llamados tratados de asistencia legal mutua entre países (MLAT) para poder solicitar el acceso a datos alojados en el extranjero, un trámite que podía demorar hasta 10 meses.
Estos datos a los que pueden solicitar acceso pueden ser sobre organizaciones o ciudadanos tanto estadounidenses como extranjeros.
Sin embargo, esto no quiere decir que estos cuerpos de seguridad estadounidenses puedan demandar el acceso a los datos gestionados y almacenados por cualquier empresa alojada en el extranjero, solo pueden hacerlo cuando las compañías tienen su origen y sede principal en EE. UU. y cuando un juez de allí emite una orden para ello.
Es decir, si la empresa a la que se le pide acceso a sus datos es Microsoft, aunque estos estén alojados en un servidor o nube alojada en Europa, por la Cloud Act, si recibe una orden judicial para ello, tendrá que conceder dicho acceso (existe la posibilidad de negarse, pero es un procedimiento complejo). Ahora, si la empresa es europea, la Cloud Act no le afecta.
Si bien es evidente que facilitar un proceso de investigaciones criminales es encomiable, lo cierto es que la Cloud Act tiene implicaciones un poco menos loables, ya que a través de ella se puede acceder a todo tipo de información confidencial o sensible, que podría favorecer intereses económicos estadounidenses, lo único que es necesario es que un juez de una orden, amparándose en la seguridad nacional.
Cloud Act y RGPD
Con lo que hemos visto hasta ahora, parece evidente que la Cloud Act y el RGPD están en conflicto cuando los datos que pueden verse afectados por esas reclamaciones de acceso de los cuerpos de seguridad de EE. UU., son datos de carácter personal, más ahora que el Privacy Shield ha sido anulado por las autoridades europeas y las transferencias internacionales de datos a EE. UU. dependen de la aprobación de las cláusulas contractuales tipo.
La mayoría de proveedores norteamericanos, entre los que se cuentan Amazon, Microsoft, Apple y Google, mostraron su aprobación respecto al Cloud Act, de manera que ante una petición de acceso a sus datos alojados en los servidores de sus filiales europeas, es fácil suponer que lo permitirán.
¿Qué ocurre si entre esos datos hay datos personales? Es una clara vulneración del RGPD, que pone en riesgo la privacidad de los datos de los ciudadanos de la UE, sin embargo, no parece que haya una solución posible, más allá de imponer una sanción a esas empresas que faciliten ese tipo de información. De hecho, es una cuestión que aún se está debatiendo en la UE.
Francia y su prohibición de usar Office 365 por temor a la injerencia de EE. UU.
Esta situación de incertidumbre respecto al Cloud Act y la posible injerencia de EE. UU. a través de él, ha llevado al departamento de sistemas de la información de Francia a prohibir a los funcionarios públicos a usar las funciones on line y en la nube de Microsoft 365 (aunque se puede seguir usado de forma off line), de acuerdo a una circular interna publicada por el medio francés Acteurs Publique.
De acuerdo a esa circular, Microsoft 365 no cumpliría con la doctrina Cloud au Centre (la nube en el centro) francesa, con la que se garantiza el cumplimiento de la protección de datos personales.
Lo que las autoridades francesas temen es que a través de la Cloud Act, al ser Microsoft 365 un producto de una empresa estadounidense, las autoridades de EE. UU. pudieran tener acceso a datos personales de ciudadanos franceses, ya que este programa se utiliza en las administraciones públicas del país y en él se pueden tratar datos personales.
¿Cómo evitar los problemas de la Cloud Act USA respecto a la protección de datos?
La única forma de evitar estos problemas que trae consigo la Cloud Act respecto a la protección de datos personales, mientras la UE discute y debate implicaciones, es buscar un proveedor de servicios en la nube o de alojamiento en servidores que sea europeo, ya que no estará sujeto a esta ley estadounidense y podrá negarse, al menos hasta que reciba orden de un juez europeo, a facilitar el acceso a ningún tipo de información.