Opinión sobre el US CLOUD Act
En 2.018 tuvieron lugar dos hitos legislativos que nacieron para cambiar el paradigma de la privacidad y la seguridad de los Datos Personales tratados en el ámbito digital y tecnológico. Una de esas normas es el conocido Reglamento General de Protección de Datos de la UE (RGPD o GDPR por sus siglas en inglés) naciendo al otro lado del Atlántico en los Estados Unidos, la no tan conocida US CLOUD Act.
La US CLOUD Act está generando cierta atención y controversia debido a que, por su denominación incita erróneamente a creer que se trata de una norma reguladora del almacenamiento, infraestructura o computación en la nube, sino que es el acrónimo de Clarifying Lawful Overseas Use of Data, y también debido a las implicaciones que tiene en cuanto a la protección de datos.
¿Qué es la CLOUD Act?
Esta nueva ley reforma la Store Communications Act (SCA) o Ley de Comunicaciones Almacenadas de 1.986, modificándola de manera que gracias a la US CLOUD Act las autoridades de EE.UU pueden obtener a todos aquellos datos e información almacenada en los servidores de empresas tecnológicas con sede en EE.UU, independientemente de la localización del servidor, es decir, en suelo estadounidense o en territorio extranjero siempre y cuando se lo permita una Autorización Judicial o Gubernativa.
Esta reforma llevada a cabo por la US CLOUD Act se justifica en gran medida en el contexto de la lucha contra el terrorismo y como apéndice de la US Patriot Act, extendiendo esa capacidad de escucha y puertas traseras en los sistemas de telecomunicaciones del gobierno americano, limitándose en un principio al ámbito de la seguridad pública, la lucha antiterrorista y la lucha contra el crimen.
Los elementos que entran en la ecuación del ámbito de esta CLOUD Act por tanto son:
- Información digital almacenada en un servidor informático, sea en territorio estadounidense o en el extranjero.
- Esa información pertenece o es utilizada por empresas tecnológicas con sede en EE.UU.
- En el contexto de la seguridad pública, la lucha contra el crimen o el terrorismo, existe una necesidad de acceso a esa información por las autoridades estadounidense.
- Se faculta por una Autoridad Judicial o Gubernativa a la intervención de la información del servidor.
¿Y cómo nos afecta en la práctica la CLOUD Act?
El elemento de la transnacionalidad cambia las reglas del juego drásticamente. Hasta ahora, la regla general es que este tipo de prácticas para ser llevadas a cabo por los gobiernos pendían de la existencia de Tratados de Asistencia Jurídica Mutua que regulasen el acceso a los datos almacenados en un servidor extranjero, con los controles y garantías que se exigen en estos tratados. La CLOUD Act derriba este principio y lo reduce a la actuación y garantías de los órganos jurisdiccionales y gubernativos de los EE.UU.
Los principales afectados por la CLOUD Act son los proveedores de servicios digitales con sede o sujetos a la legislación estadounidense (empresas y filiales) que almacenen datos de cualquier índole y susceptibles de suscitar interés a las Autoridades Estadounidenses por motivos de Seguridad Nacional o lucha Antiterrorista, puesto que ya no pueden otorgar una garantía de privacidad y seguridad de la información almacenada en sus servidores a nivel global conforme a la normativa aplicable tanto del país del usuario como de donde radique el servidor.
La otra cara de la moneda son los usuarios, quienes pueden ver profundamente vulnerados sus derechos a la privacidad y a la protección de datos, no sólo en el sentido de que existe la posibilidad de injerencia de las autoridades estadounidenses en un servicio digital en el que tenga almacenado datos personales, viéndose incautados y comprometidos, sino también porque puede llegar a ser imposible para el usuario tener conocimiento de si el proveedor de servicios entregará o no sus datos a las Autoridades estadounidenses debido a que:
- La Autroidad (gubernativa o judicial) que otorgue autorización para intervenir los datos almacenados, puede asimismo a declarar el mantenimiento de la confidencialidad, obligando al proveedor de servicios a no informar.
- La capacidad para recurrir las órdenes de intervención y escucha están limitadas exclusivamente cuando el proveedor y el servidor se encuentren en suelo estadounidense y si se encuentra en el extranjero, el estado donde radique físicamente el servidor tiene que tener firmado un acuerdo de cooperación específico para la CLOUD Acto donde se prevea el recurso y su procedimiento.
¿Cómo incide la CLOUD Act en la Protección de Datos?
La dimensión transnacional de la CLOUD Act y el nuevo marco procedimental habilitante para las autoridades estadounidenses para la intervención de datos almacenados en los servidores produce una colisión frontal con el RGPD y la cultura europea de la Privacidad y la Protección de Datos.
Esto supone una vulneración de las garantías y la tutela del Derecho a la Protección de Datos que recoge el RGPD, que dispone en su Art. 48 que “Cualquier sentencia de un órgano jurisdiccional o decisión de una autoridad administrativa de un tercer país que exijan que un responsable o encargado del tratamiento transfiera o comunique datos personales únicamente será reconocida o ejecutable en cualquier modo si se basa en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el país tercero requirente y la Unión o un Estado miembro, sin perjuicio de otros motivos para la transferencia al amparo del presente capítulo.”
Igualmente el RGPD impide la discrecionalidad absoluta de las autoridades estadounidenses para la obtención de los datos almacenados en servidores ultramuros a EE.UU añadiendo garantías, no sólo mediante el requisito del tratado de Asistencia Jurídica Mutua, sino que además, el Art. 46 RGPD prevé que “[…] el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.” es decir, ha de prever canales de información y acciones legales para el interesado afectado por la incautación de datos personales.
Respecto a estas disposiciones del RGPD, existe un el tratado de la Privacy Shield que, conforme a su procedimiento y supuestos específicos, permite la transferencia de datos personales entre EEUU y la UE, tratado que fue suspendido por el Parlamento Europeo en el mes de junio de 2.018 y reanudado recientemente en el mes de octubre tras profundas reformas para reforzar las garantías procedimentales y disminuir el impacto de la CLOUD Act para los usuarios europeos. Estas garantías se siguen considerando insuficientes y demasiado relajadas por los expertos para la integridad y garantía de la privacidad de los ciudadanos y usuarios de la Unión.
En Letslaw, contamos con un equipo de experto que se encuentra al día de todas las novedades de Derecho Digital y Privacidad, tanto en materia legislativa como en guías y directrices, emitidas por las autoridades competentes para la protección de datos personales. .