Dime donde está tu empresa Cloud y te diré qué leyes de privacidad tiene que cumplir: cómo cambia la legislación de protección de datos entre países

Dime donde está tu empresa Cloud y te diré qué leyes de privacidad tiene que cumplir: cómo cambia la legislación de protección de datos entre países
Sin comentarios Facebook Twitter Flipboard E-mail

Cuando una compañía o cuando un cliente elige con qué firma proveedora de servicios cloud quiere almacenar sus grandes datos debe fijarse en el precio del servicio, las condiciones del mantenimiento de esos datos y también en el lugar donde guarda los datos. Un aspecto que va a determinar la privacidad que rodeará a esa información será el lugar de procedencia de la empresa que ofrece el almacenamiento en la nube. Y también el país o región donde tiene instalados sus centros de datos.

Estados Unidos, la Unión Europea y China, que son tres grandes mercados globales en cuanto a empresas que alojan datos en la nube, tienen regulaciones muy diferentes unas de otras, como es obvio. Y la geografía está siendo muy usada como un nuevo gancho de ventas por algunas compañías que manejan grandes volúmenes de datos privados.

Concretamente hay empresas que están ofreciendo a sus clientes profesionales, en sus servicios de pago, la opción de escoger dónde quieren que se guarden sus datos. Un valor añadido a un servicio. Un ejemplo de esto lo encontramos en la aplicación de videollamadas Zoom.

En abril Zoom anunció que los clientes de pago pueden elegir directamente a qué región quieren que se transfieran sus datos. Daban ocho opciones: Estados Unidos, Canadá, Europa, India, Australia, China, América Latina y Japón/Hong Kong. Los usuarios gratuitos no pueden elegir.

Eric Yuan, CEO de la firma ha dicho que ni siquiera los datos de los clientes gratis pasarían por China, país de origen del directivo y un lugar en el que la regulación con los Big Data no está muy clara, como verás más adelante.

Por otro lado, y con una estrategia diferente, se encuentra Microsoft que también quiere ofrecer un servicio añadido a sus clientes según la geografía. La firma de Redmond, tiene en su web un directorio en el que da la opción a los usuarios de obtener información para escoger en Azure "la geografía que mejor se adapte a sus necesidades, desde el cumplimiento de las normas hasta las características de resistencia", como explica en su web. Para ello, hay un servicio donde se puede seleccionar un lugar (país o región) donde Azure tiene centros de datos y se puede comparar con la legislación de otros lugares.

En Europa, la compañía OVHcloud y otras nacidas en el continente que solo tienen centros de datos en Europa, centran parte de su estrategia de venta en repetir la importancia de tener una “conciencia fuerte sobre la soberanía del dato", y recordando que las leyes de protección de datos en Europa son más estrictas en cuanto a privacidad que las que hay en otras regiones del mundo.

OVHcloud se ha unido a otras compañías europeas y a entidades públicas de la región para lanzar el proyecto GAIA-X que, precisamente, pone el énfasis en el aspecto geográfico y legal para promocionar sus servicios en la nube.

Ahora la cuestión está sobre cuáles son las características particulares la legislación de Estados Unidos, la de China o la que rige la Unión Europea.

Las Leyes de Patriot Act y de Cloud Act en Estados Unidos

El 23 de marzo de 2018 se aprobó en Estados Unidos la bautizada como Cloud Act que a día de hoy sigue vigente. La “Ley Aclaratoria del Uso Legal de Datos en el Extranjero” (así es el nombre completo de la norma) permite al gobierno de Washington acceder a cualquier dato que esté hospedado en cualquier proveedor americano. Deben alegarse motivos de seguridad nacional y un juez tiene que aprobar que esta petición sea correcta.

El punto que más interesa dentro del tema que se trata aquí es que las autoridades de Estados Unidos, desde la policía local a las agencias federales, tienen el derecho de pedir a las empresas del sector tecnológico datos de usuarios y de empresas que ellos manejen.

Esos datos que las autoridades tienen derecho a pedir, pueden estar guardados tanto en nubes del país norteamericano, como en nubes de empresas de ese país que estén situadas en países extranjeros. Ahora bien, lo que no pueden pedir las autoridades de Estados Unidos es esa información a empresas de otros países situada fuera de EEUU.

Para ser más concretos: si una empresa opera en Europa pero forma parte de un grupo de empresas de EEUU, esta ley sí se aplica. Esto es porque la regulación dicta que la firma matriz y sus subsidiarias están sujetas a regulación de Washington. Si una empresa europea tiene sus centros de datos en Estados Unidos, también se le aplica esta ley.

Esta Cloud Act se aprobó casi sin darle mucha publicidad, durante los presupuestos generales presentados por Donald Trump hace un par de años. Habrá que ver qué sucede con el cambio de gobierno en el país Norteamericano, a este respecto.

Al mismo tiempo, hay que recordar que otra ley muy polémica por el mismo asunto, es más antigua y se llama Patriot Act.

Joe Biden no se ha pronunciado sobre la Cloud Act o, al menos no se puede encontrar ninguna mención del demócrata a esta ley de 2018. Sin embargo, sí ha hablado de la Patriot Act. Después del atentado de las Torres Gemelas, Joe Biden votó a favor de esta ley tras hacer una defensa de la misma. Así que todo apunta a que va a seguir como está.

Esta Patriot Act contempla otorgar más poder al presidente en caso de terrorismo y una de sus grandes polémicas se encuentra el Title II de la ley. Este habla de llevar a cabo "Procedimientos de vigilancia mejorados" mediante el uso de la tecnología.

Los clientes empresariales podrían no tener que preocuparse por esta normativa. Si no están relacionados con terrorismo, a priori, no les afecta. El problema viene con cómo las autoridades hacen uso diferente de las normas, como ha sucedido en los últimos años.

El Patriot Act dio más poder de vigilancia a las agencias gubernamentales (podían ordenar, por ejemplo, una escucha sólo con que uno de sus principales motivos fuese la "inteligencia"). También quitó poder a los jueces, que desde entonces tan sólo pueden aprobar una petición si el FBI la certifica correctamente, y sin poder negarse a ella.

También se incluyó la Sección 214, que da vía libre a la cibervigilancia masiva con la posibilidad de recopilar metadatos de las comunicaciones de cualquier usuario, incluso a los que no son sospechosos de nada. Diversos senadores aletaron públicamente sobre la ·libre interpretación" que el gobierno de Barack Obama estaba haciendo de esta ley para recopilar datos.

En ese contexto estalló el gran escándalo del caso PRISM, en 2013, en el que Edward Snowden mostró cómo la NSA usaba las tecnologías para espiar a ciudadanos de todo el mundo. También se desveló que accedían a las informaciones almacenadas en centros de datos de empresas como Google o como Yahoo!.

La situación para los datos alojados en la Unión Europea

En la Unión Europea, las empresas que son originariamente europeas están sujetas a la legislación del Reglamento General de Protección de Datos. Por ello, las compañías de almacenamiento de grandes datos del Viejo Continente que tienen sus centros de datos en algún país de esta región suelen centrar su marketing en este aspecto.

En Europa se está trabajando en la promoción de la iniciativa GAIA-X. Esta plataforma ha sido creada a través de una alianza de actores públicos y privados de Europa. Como veíamos al principio de este artículo, de las cinco principales empresas de almacenamiento de datos, ninguna es europea. Esta unión busca dar fuerza a la soberanía digital dentro de la región. Gaia-X debería estar totalmente operativa a principios de 2021, con sede en Bélgica.

GAIA-X fue creada por 22 empresas y entidades (11 de Alemania y 11 de Francia) y también los gobiernos de estos países. Y ahora cuenta con muchas más firmas de diferentes países. En España destacan Amadeus y Gigas. El director de propiedad intelectual de Amadeus ha afirmado que "el nuevo petroleo son los datos y las empresas no quieren ceder sus datos”. El líder de la iniciativa es Thierry Breton, Comisario Europeo de mercado Interior.

Esta iniciativa se ajusta al discurso de Bruselas sobre la soberanía de los datos de los ciudadanos y las empresas de la Unión Europea. Margrethe Vestager, Comisaria europea de Competencia, ha hablado a menudo en sus últimas intervenciones públicas sobre la idea de que "para preservar nuestra economía social de mercado, será fundamental garantizar que las decisiones clave que dan forma a nuestro futuro digital se tomen en nuestra democracia europea".

Estas palabras pronunciadas recientemente por la funcionaria quieren justificar la idea de poner ciertas restricciones a empresas que tengan mucho poder entre los usuarios de Europa. Y también la de fomentar el uso de tecnologías locales.

El reglamento general de Protección de Datos es mucho más estricto en cuanto a privacidad que las leyes que hay en Estados Unidos. Pero aún así, la región también tiene su historial en el que se ha planteado la opción de acceder a los datos alojados en el cloud o a conversaciones de herramientas de mensajería en casos de terrorismo.

De hecho, Francia y Alemania han sido dos de las más activas en estas peticiones en el pasado.

En Europa son los países nórdicos los más atractivos para este mercado. Sus las bajas temperaturas, la energía barata y una economía estable y en crecimiento hacen de Dinamarca, Finlandia, Noruega o Suecia lugares interesantes para empresas que quieren abrir nuevos centros de datos.

Alojar los datos en China: regulación con poca información

La Ley de Ciberseguridad en Internet de China se presentó el 1 de junio de 2017 se presentó su nueva ley de protección de datos después de unos 3 años de elaboración.

Uno de los principales puntos clave de la llamada CSL que aquí interesan es que cualquier "información personal" o "datos importantes" que sean recopilados o generados por los operadores de red en China deben almacenarse en ese país de Asia.

En general, no hay mucha información concreta sobre la regulación. Microsoft detalla que la Ley de Ciberseguridad de la República Popular China rige la seguridad de la red y las actividades en el ciberespacio dentro del país y requiere que sean los propios operadores de red los que tomen las medidas apropiadas para salvaguardar la seguridad de la red, prevenir actividades ilegales y mantener la confidencialidad de los datos de la red.

Al mismo tiempo, los operadores de infraestructuras de información “están sujetos a requisitos especiales en relación con la adquisición de productos y servicios y la transferencia transfronteriza de datos”.

Esto se traduce, de acuerdo con informaciones aportadas por Microsoft, a que la "información personal" y los "datos importantes" que genera o recoge un operador dentro de la República Popular China deben almacenarse en el país, y la transferencia de datos fuera de ese país está sujeta a la aprobación del gobierno.

Inicio