Mientras en Europa estábamos centrados en la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el 23 de marzo se produjo en los Estados Unidos otra novedad legislativa que puede tener un gran impacto sobre la privacidad de los ciudadanos y las empresas de la Unión Europea: la aprobación de la Cloud Act. También conocida como Ley de la Nube, esta polémica norma se incluyó subrepticiamente en la votación de los presupuestos generales presentados por Donald Trump. Esto permitió que se aprobara sorteando el tempestuoso debate que presagiaba la oposición de las organizaciones de derechos humanos.
¿En qué consiste exactamente la Cloud Act? Sus siglas en inglés corresponden al título Ley Aclaratoria del Uso Legal de Datos en el Extranjero y su objetivo es poner al día las leyes de privacidad y vigilancia electrónica vigentes en los Estados Unidos, algunas de las cuales databan de 1986. Sin embargo, para sus detractores esta ley ha ido mucho más allá de sus competencias, al permitir que las autoridades norteamericanas (desde la policía local a las agencias federales) puedan pedir a las compañías tecnológicas datos de usuarios y empresas de otros países alojados en centros de datos situados fuera de su territorio.
Para entender qué significa exactamente esto, lo mejor es verlo con un ejemplo verídico. En 2013, el departamento de Justicia pidió a Microsoft la entrega de los correos electrónicos de una cuenta presuntamente relacionada con el tráfico de drogas en Estados Unidos. La compañía rechazó esta pretensión porque los datos estaban alojados en servidores situados en Irlanda. Por lo tanto, la solicitud debía tramitarse a través de las autoridades irlandesas, que son las que tienen jurisdicción sobre los datos personales en su país. En 2016, un tribunal de apelaciones dio la razón a Microsoft. Sin embargo, tras la aprobación de la Cloud Act, ante un caso similar Microsoft se vería obligada a suministrar esa información.
MÁS INFORMACIÓN
Estas prerrogativas extraterritoriales que la Cloud Act concede a las autoridades estadounidenses, incluso sin necesidad de la intervención de un juez, chocan frontalmente con las disposiciones recogidas en el artículo 46 del Reglamento General de Protección de Datos. Este apartado estipula que el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. Así mismo, el artículo 48 de la misma normativa señala que «cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo”.
Además, la Cloud Act puede suponer el final del Privacy Shield (Escudo de Privacidad), el acuerdo alcanzado entre la UE y Estados Unidos en 2016 para permitir la transferencia de datos personales. Una resolución presentada en el Parlamento Europeo este mes de junio pide la suspensión del Escudo de Privacidad hasta que se clarifique el impacto de la Cloud Act y se garantice el respeto de la privacidad por parte de EE. UU.
Aparte de la posible vulneración de los derechos de privacidad de los ciudadanos europeos, la Cloud Act también puede convertirse en una poderosa arma para la “guerra económica” que el presidente Trump parece decidido declarar a la Unión Europea, a la que recientemente calificó como “enemigo comercial”.
Por ejemplo, una agencia gubernamental podría solicitar a una compañía tecnológica, como Google o Facebook, el acceso a correos electrónicos o archivos de una empresa europea alojados fuera de Estados Unidos para comprobar, por ejemplo, si tiene relaciones comerciales con Irán o participa en alguna licitación en la que concurran empresas estadounidenses. Puede sonar paranoico, pero no olvidemos que entre 2008 y 2009 la Agencia de Seguridad Nacional de Estados Unidos pidió a los servicios de inteligencia alemanes 40.000 datos sobre empresas europeas que no tenían nada que ver con el terrorismo, según denunció la comisión parlamentaria organizada en Alemania a raíz de las revelaciones del ex-analista Edward Snowden.
La mejor manera de que los ciudadanos y empresas europeas puedan proteger su privacidad de las interferencias de Estados Unidos es optar por alojar sus datos personales en servicios en la nube de proveedores que estén situados en el territorio de la Unión Europea y pertenezcan a empresas europeas. Hay que tener en cuenta que los proveedores de servicios de nube de Estados Unidos que operan en la Unión Europea, aunque tengan sus centros de datos en territorio europeo y cumplan las leyes europeas, están sometidos a los dictados de la Cloud Act. Así que podrían tener que revelar datos de usuarios y empresas europeas si lo solicitan las autoridades norteamericanas.
Jules-Henri Gavetti es CEO de Ikoula
Fuente: El País