Dime donde está tu empresa Cloud y te diré qué leyes de privacidad tiene que cumplir: cómo cambia la legislación de protección de datos entre países

Bárbara Bécares

Cuando una compañía o cuando un cliente eligecon qué firma proveedora de servicios cloud quiere almacenar sus grandes datosdebe fijarse en el precio del servicio, las condiciones del mantenimiento de esos datos y también en el lugar donde guarda los datos. Un aspecto que va a determinar la privacidad que rodeará a esa información será el lugar de procedencia de la empresa que ofrece el almacenamiento en la nube. Y también el país o región donde tiene instalados sus centros de datos.

Estados Unidos, la Unión Europea y China, que son tres grandes mercados globales en cuanto a empresas que alojan datos en la nube, tienen regulaciones muy diferentes unas de otras, como es obvio. Y la geografía está siendo muy usada como un nuevo gancho de ventas por algunas compañías que manejan grandes volúmenes de datos privados.

Concretamentehay empresas que están ofreciendo a sus clientes profesionales, en sus servicios de pago, la opción de escogerdónde quieren que se guarden sus datos. Un valor añadido a un servicio. Un ejemplo de esto lo encontramos en la aplicación de videollamadas Zoom.

En abrilZoom anuncióque los clientes de pagopueden elegir directamente a qué región quieren que se transfieran sus datos. Daban ocho opciones: Estados Unidos, Canadá, Europa, India, Australia, China, América Latina y Japón/Hong Kong. Los usuarios gratuitos no pueden elegir.

Eric Yuan, CEO de la firma ha dicho queni siquiera los datos de los clientes gratis pasarían por China,país de origen del directivo y un lugar en el que la regulación con los Big Data no está muy clara, como verás más adelante.

Por otro lado, y con una estrategia diferente, se encuentraMicrosoft que también quiere ofrecer un servicio añadido a sus clientes según la geografía. La firma de Redmond, tieneen su web un directorioen el que da la opción a los usuarios de obtener información para escoger en Azure “la geografía que mejor se adapte a sus necesidades, desde el cumplimiento de las normas hasta las características de resistencia”, como explica en su web. Para ello, hay un servicio donde se puede seleccionar un lugar (país o región) donde Azure tiene centros de datos y se puede comparar con la legislación de otros lugares.

En Europa, la compañía OVHcloud y otras nacidas en el continente que solo tienen centros de datos en Europa, centran parte de su estrategia de venta en repetir la importancia de tener una “conciencia fuerte sobre la soberanía del dato", y recordando que las leyes de protección de datos en Europa son más estrictas en cuanto a privacidad que las que hay en otras regiones del mundo.

OVHcloud se ha unido a otras compañías europeas y a entidades públicas de la regiónpara lanzar el proyecto GAIA-Xque, precisamente,pone el énfasis en el aspecto geográfico y legalpara promocionar sus servicios en la nube.

Ahora la cuestión está sobrecuáles son las características particularesla legislación de Estados Unidos, la de China o la que rige la Unión Europea.

Las Leyes de Patriot Act y de Cloud Act en Estados Unidos

El 23 de marzo de 2018 se aprobó en Estados Unidos la bautizada comoCloud Actque a día de hoy sigue vigente. La “Ley Aclaratoria del Uso Legal de Datos en el Extranjero” (así es el nombre completo de la norma)permite al gobierno de Washington acceder a cualquier datoque esté hospedado en cualquier proveedor americano. Deben alegarse motivos de seguridad nacional y un juez tiene que aprobar que esta petición sea correcta.

El punto que más interesa dentro del tema que se trata aquí es que las autoridades de Estados Unidos, desde la policía local a las agencias federales,tienen el derecho de pedir a las empresas del sector tecnológico datos de usuariosy de empresas que ellos manejen.

Esos datos que las autoridades tienen derecho a pedir, pueden estar guardados tanto en nubes del país norteamericano,como en nubes de empresas de ese país que estén situadas en países extranjeros. Ahora bien, lo que no pueden pedir las autoridades de Estados Unidos es esa información a empresas de otros países situada fuera de EEUU.

Para ser más concretos: si una empresa opera en Europa pero forma parte de un grupo de empresas de EEUU, esta ley sí se aplica. Esto es porque la regulación dicta quela firma matriz y sus subsidiarias están sujetas a regulación de Washington. Si una empresa europea tiene sus centros de datos en Estados Unidos, también se le aplica esta ley.

Esta Cloud Act se aprobó casi sin darle mucha publicidad, durante los presupuestos generales presentados por Donald Trump hace un par de años. Habrá que verqué sucede con el cambio de gobierno en el país Norteamericano, a este respecto.

Al mismo tiempo, hay que recordar que otra ley muy polémica por el mismo asunto, es más antigua y se llamaPatriot Act.

Joe Biden no se ha pronunciado sobre la Cloud Act o, al menos no se puede encontrar ninguna mención del demócrata a esta ley de 2018. Sin embargo, sí ha hablado de la Patriot Act. Después del atentado de las Torres Gemelas,Joe Biden votó a favor de esta leytras hacer una defensa de la misma. Así que todo apunta a que va a seguir como está.

Esta Patriot Act contempla otorgar más poder al presidente en caso de terrorismo y una de sus grandes polémicas se encuentra el Title II de la ley. Este habla de llevar a cabo “Procedimientos de vigilancia mejorados” mediante el uso de la tecnología.

Los clientes empresariales podrían no tener que preocuparse por esta normativa. Si no están relacionados con terrorismo, a priori, no les afecta. El problema viene concómo las autoridades hacen uso diferente de las normas, comoha sucedido en los últimos años.

El Patriot Act diomás poder de vigilancia a las agencias gubernamentales(podían ordenar, por ejemplo, una escucha sólo con que uno de sus principales motivos fuese la “inteligencia”). Tambiénquitó poder a los jueces, que desde entonces tan sólo pueden aprobar una petición si el FBI la certifica correctamente, y sin poder negarse a ella.

También se incluyó la Sección 214, que da vía libre a lacibervigilancia masiva con la posibilidad de recopilar metadatos de las comunicacionesde cualquier usuario, incluso a los que no son sospechosos de nada. Diversos senadores aletaron públicamente sobre la ·libre interpretación" que el gobierno de Barack Obama estaba haciendo de esta ley para recopilar datos.

En ese contextoestalló el gran escándalo del caso PRISM, en 2013, en el queEdward Snowden mostrócómo la NSA usaba las tecnologías para espiar a ciudadanos de todo el mundo. También se desveló que accedían a lasinformaciones almacenadas en centros de datosde empresas como Google o como Yahoo!.

La situación para los datos alojados en la Unión Europea

En la Unión Europea, las empresas que son originariamente europeas están sujetas a la legislación delReglamento General de Protección de Datos. Por ello, las compañías de almacenamiento de grandes datos del Viejo Continente que tienen sus centros de datos en algún país de esta regiónsuelen centrar su marketing en este aspecto.

En Europa se está trabajando en la promoción dela iniciativa GAIA-X. Esta plataforma ha sido creada a través deuna alianza de actores públicos y privadosde Europa. Como veíamos al principio de este artículo, de las cinco principales empresas de almacenamiento de datos, ninguna es europea. Esta unión busca dar fuerza a la soberanía digital dentro de la región.Gaia-X debería estar totalmente operativa a principios de 2021, con sede en Bélgica.

GAIA-Xfue creadapor 22 empresas y entidades (11 de Alemania y 11 de Francia) y también los gobiernos de estos países. Y ahora cuenta con muchas más firmas de diferentes países. EnEspaña destacan Amadeus y Gigas. El director de propiedad intelectual de Amadeus ha afirmado que “el nuevo petroleo son los datos y las empresas no quieren ceder sus datos”. El líder de la iniciativa es Thierry Breton, Comisario Europeo de mercado Interior.

Esta iniciativase ajusta al discurso de Bruselas sobre la soberanía de los datosde los ciudadanos y las empresas de la Unión Europea. Margrethe Vestager, Comisaria europea de Competencia, ha hablado a menudo en sus últimas intervenciones públicas sobre la idea de que “para preservar nuestra economía social de mercado, será fundamental garantizar que las decisiones clave que dan forma a nuestro futuro digitalse tomen en nuestra democracia europea”.

Estas palabras pronunciadas recientemente por la funcionaria quieren justificar la idea de poner ciertas restricciones aempresas que tengan mucho poderentre los usuarios de Europa. Y también la de fomentar eluso de tecnologías locales.

El reglamento general de Protección de Datos es mucho más estricto en cuanto a privacidad que las leyes que hay en Estados Unidos. Pero aún así, la región también tiene su historial en el quese ha planteado la opción de acceder a los datos alojados en el cloudo a conversaciones de herramientas de mensajería en casos de terrorismo.

De hecho,Francia y Alemania han sido dos de las más activasen estas peticiones en el pasado.

En Europa son los países nórdicos los más atractivos para este mercado. Sus las bajas temperaturas, la energía barata y una economía estable y en crecimiento hacen de Dinamarca, Finlandia, Noruega o Suecialugares interesantes para empresasque quieren abrir nuevos centros de datos.

Alojar los datos en China: regulación con poca información

La Ley de Ciberseguridad en Internet de Chinase presentó el 1 de junio de 2017se presentó su nueva ley de protección de datos después de unos 3 años de elaboración.

Uno de los principales puntos clave de la llamada CSL que aquí interesan es que cualquier “información personal” o “datos importantes” que sean recopilados o generados por los operadores de red en Chinadeben almacenarse en ese paísde Asia.

En general, no hay mucha información concreta sobre la regulación.Microsoft detallaque laLey de Ciberseguridad de la República Popular China rige la seguridad de la redy las actividades en el ciberespacio dentro del país y requiere que sean los propios operadores de red los que tomen las medidas apropiadas para salvaguardar la seguridad de la red, prevenir actividades ilegales y mantener la confidencialidad de los datos de la red.

Al mismo tiempo, los operadores de infraestructuras de información “están sujetos arequisitos especiales en relación con la adquisiciónde productos y servicios y la transferencia transfronteriza de datos”.

Esto se traduce, de acuerdo con informaciones aportadas por Microsoft, a que la “información personal” y los “datos importantes” que genera o recoge un operador dentro de la República Popular China deben almacenarse en el país, y latransferencia de datos fuera de ese país está sujeta a la aprobacióndel gobierno.