El almacenamiento de datos en línea está en racha. Los líderes del mercado son, por supuesto, estadounidenses. Con proveedores como Google Drive, iCloud y Dropbox, las empresas del otro lado del Atlántico están a la cabeza.
Sin embargo, aunque sus servicios son de gran calidad, no es seguro que no sean culpables de nacionalismo. Almacenar los datos de su empresa en línea con proveedores de servicios estadounidenses podría ser un grave error.
Estados Unidos es actualmente la primera potencia mundial, ya sea en términos militares, económicos o industriales. Con ello, su gobierno se arroga prerrogativas que tiene todo el poder de imponer a toda la comunidad internacional.
En este caso, leyes estadounidenses como la Patriot Act y la Cloud Act son el brazo armado de una política de gobierno aplicada a los ciudadanos no estadounidenses. En otras palabras, en función de sus elecciones, la administración y el poder judicial estadounidenses tienen autoridad sobre usted y sus datos.
Podría pensar que los Estados Unidos de América, como punta de lanza de la democracia en el mundo, tienen el mejor sistema político, sobre todo en su teoría y práctica constitucional de controles y equilibrios. En otras palabras, la separación de poderes más lograda, tan apreciada por los teóricos del Estado como Montesquieu.
La realidad no es exactamente la misma. Las leyes de vigilancia masiva puestas en marcha por Estados Unidos desde la segunda mitad del siglo XX, que culminaron con la Ley de la Nube de 2018, no sólo parecen contrarias a su Constitución, sino también a la visión clásica del Estado de derecho. En otras palabras, cualquier otro Estado que introdujera una legislación semejante probablemente sería tachado inmediatamente de Estado policial.
Esto se debe a que, además de la Ley Patriota y la Ley Nube, Estados Unidos sigue basando su arsenal jurídico en una ley y un decreto presidencial: la Ley de Vigilancia de Inteligencia Extranjera y la Orden Ejecutiva. A la luz de estos textos legales, vamos a explicar por qué almacenar sus datos en una Nube gestionada por una empresa estadounidense es una elección arriesgada. Para ello, examinaremos la legislación que se le aplicará una vez que haya decidido dar el paso.
¿Qué es la Patriot Act y cómo funcionan sus condiciones de extraterritorialidad?
La Patriot Act es una ley estadounidense de seguridad nacional aprobada sólo 45 días después de los atentados del 11 de septiembre de 2001. En otras palabras, fue aprobada a toda prisa por un Congreso aún traumatizado por los sucesos de Nueva York.
El resultado es un cheque en blanco dado a las autoridades policiales para llevar a cabo investigaciones. ¿Por qué debería ser así? Porque, aunque se requiere una orden judicial, el juez ya no puede oponerse a ella alegando que no existe una «causa probable».
Como resultado, todos sus datos pueden ser incautados sin que usted sea siquiera informado o sin que un juez estadounidense pueda oponerse. No crea que la Constitución estadounidense es de gran ayuda, porque según el Departamento de Justicia de EEUU, la Ley Patriota se limita a codificar la jurisprudencia ya reconocida por el Tribunal Supremo.
En 1979, por ejemplo, dictaminó que el argumento de que los registros secretos eran inconstitucionales era «frívolo». Doce años antes, ya había dictaminado que los agentes de policía no tenían que comunicar al acusado el motivo, o los motivos, de un registro.
Sin embargo, la novedad de la Patriot Act para una empresa francesa o europea es su aplicación extraterritorial. En otras palabras, desde el momento en que su empresa sea sospechosa de tener vínculos con un individuo o grupo terrorista que amenace el territorio estadounidense o sus intereses, todo el arsenal administrativo puede ponerse en marcha contra usted.
No crea que puede salirse con la suya, aunque no tenga la intención de establecer vínculos con grupos terroristas, o con un cliente cuyas ideas radicales le hayan pasado desapercibidas. Veremos que la Ley Patriótica es mucho menos clara en la práctica de lo que parece. Antes de eso, veamos otra contrapartida en materia de seguridad: la Ley de la Nube.
¿Qué es la Ley de la Nube?
La Cloud Act se aprobó en 2018 para dar a las autoridades estadounidenses un mayor acceso a los datos de los usuarios de soluciones de almacenamiento de datos en línea.
Oficialmente, el Departamento de Justicia la presenta como una medida que permite a las autoridades de terceros países solicitar a cualquier empresa estadounidense que aloje datos, con el objetivo de acceder a ellos en el marco de un procedimiento penal.
Más en detalle, permite a cualquier administración estadounidense obtener datos sobre cualquier usuario, siempre que estén :
– almacenados en Estados Unidos
– o almacenados por una empresa estadounidense en cualquier país del mundo,
– todo ello sin que nadie lo sepa, aparte de la empresa requerida y el departamento gubernamental en cuestión.
Esta última pieza de la legislación estadounidense no es la única herramienta al servicio del gobierno de Estados Unidos.
¿Qué es la Ley de Vigilancia de la Inteligencia Extranjera (FISA)?
La FISA fue aprobada en 1978 por un Congreso que quería regular las prácticas de vigilancia de las autoridades federales. Al igual que la Patriot Act, esta ley pretendía codificar las prácticas existentes.
La sección 702, añadida en 2008, obliga a las empresas estadounidenses a facilitar la vigilancia selectiva de una persona fuera del territorio estadounidense.
Esta ley se dirige específicamente a los ciudadanos no estadounidenses sospechosos de poseer, recibir o comunicar información de interés para el contraespionaje. Su ámbito de aplicación, al igual que la Ley Patriota, está oficialmente dirigido a combatir el terrorismo internacional.
Orden Ejecutiva 12333
El Decreto Presidencial 12333, firmado por Ronald Reagan en 1981, es, como señala el Washington Post, un documento que ofrece posibilidades aún mayores que las de la sección 215 de la Ley Patriota.
Sin embargo, el Decreto Presidencial 12333 sólo se aplica esta vez a los ciudadanos estadounidenses que viven en el extranjero. Esto seguirá permitiendo a las agencias de inteligencia estadounidenses echar mano de sus datos si están interesadas en alguno de sus clientes estadounidenses.
En virtud de este decreto, todos los datos incautados por las agencias de inteligencia estadounidenses lo son sin ninguna orden judicial y, por tanto, sin ningún control por parte de un juez, ni siquiera del Congreso.
Como puede ver, la ley no siempre es la garantía del más débil frente al poder del más fuerte. Está lejos de proteger siempre las libertades individuales o, más ampliamente, las libertades públicas en su conjunto. Sobre todo cuando llegamos a considerar su aplicación y, por tanto, su interpretación.
La ley sólo existe a través de su interpretación
Una comprensión adecuada de la ley nunca puede lograrse simplemente leyendo una ley. ¿Por qué? Porque siempre es imposible aplicar la ley literalmente. En otras palabras, para comprender el alcance de una ley, hay que entender cómo se aplica. Este es el problema que plantean la Ley Patriota estadounidense y la Ley Nube.
Cuando la Ley Patriota se refiere a la «actividad sospechosa», ¿cómo se define dicha actividad? ¿Qué abarca este concepto? Sólo a través de la interpretación puede calificarse de sospechosa una actividad concreta. El problema es que cada administración interpreta esta ley a su manera, y en total secreto.
Esto significa que una vez que sus datos han sido almacenados por una empresa estadounidense, todos sus datos son accesibles a discreción de administraciones como la CIA, la NSA y el Tesoro, por nombrar sólo algunas. Aburrido, ¿verdad? Y no crea que es inmune a las investigaciones sólo porque no es un criminal o un terrorista.
El principal objetivo de este arsenal legal no es cazar terroristas, sino distorsionar la libre competencia. ¿Creía que Estados Unidos era el parangón del libre comercio? Se equivocaba.
Es más, la recopilación de datos no sólo afecta a los datos de sus clientes. No en vano, el Tesoro estadounidense también está interesado en la captura de datos. La FCPA le demostrará que el almacenamiento de sus datos digitales puede costarle definitivamente caro.
La ley FCPA, o el nuevo impuesto para las empresas no estadounidenses
La Ley de Prácticas Corruptas en el Extranjero, aprobada en 1977, permite a los tribunales estadounidenses condenar a las empresas a pagar sumas considerables en concepto de sanciones. En 2014, Alstom pagó 772 millones de dólares, Siemens 800 millones en 2008, Daimler 185 millones en 2010 y Alcatel-Lucent 137 millones en 2010. Éstas son sólo algunas de las cantidades más elevadas.
¿Cómo cree que se producen las pruebas? Por cualquier medio, incluso a través de los datos que tiene en su Nube. Si cree que está a salvo porque no tiene filiales ni empleados en Estados Unidos, debe saber que la FCPA se aplica en cuanto los intereses estadounidenses están en juego. También en este caso, la noción de «intereses estadounidenses» está abierta a la interpretación, y no es la suya la que importa.
A la luz de toda esta información sobre la legislación estadounidense, la opción de una Nube gestionada por una empresa francesa o europea, en territorio europeo, parece más que interesante. Sin embargo, sigue siendo necesario hacer balance del famoso RGPD.
El RGPD, a la luz de la legislación francesa y europea
El Reglamento General de Protección de Datos(RGPD) fue adoptado por la Unión Europea para garantizar la seguridad de los datos que los usuarios confían en Internet a las empresas que operan en suelo europeo.
Es importante examinar las obligaciones impuestas a la empresa responsable del tratamiento de los datos de sus usuarios y las sanciones correspondientes, antes de comprender su papel en la transferencia de datos, en particular a Estados Unidos.
Las obligaciones del responsable del tratamiento
En particular, el RGPD garantiza la protección de los derechos de los niños en el contexto de la recogida de datos. Mientras que la recogida de datos relativos a un niño menor de 13 años sigue estando prohibida, en el caso de los niños de entre 13 y 16 años sólo se permite con autorización paterna y si se refiere a un servicio directamente dirigido a los niños.
El RGPD también exige a los responsables del tratamiento que recojan únicamente los datos estrictamente necesarios para el fin para el que fueron recogidos, y que garanticen que pueden suprimir los datos a petición de la persona afectada.
El cumplimiento de todas las obligaciones impuestas por el RGPD puede dar lugar a la concesión de un certificado por parte de la autoridad de control. Este certificado es válido por un periodo renovable de tres años.
Para más información sobre los detalles del RGPD, la CNIL (Commission Nationale de l’Informatique et des Libertés) ha publicado una guía en línea destinada a las empresas muy pequeñas (MPE) y a las pequeñas y medianas empresas (PYME). Esta guía le enseñará a elaborar una lista de sus archivos, clasificar sus datos y protegerlos.
El incumplimiento de las obligaciones establecidas en el RGPD puede acarrear sanciones económicas muy cuantiosas.
Sanciones aplicables en caso de incumplimiento
En Francia, la CNIL se ocupa de un caso de tres maneras:
– tras una denuncia de los usuarios directamente en la página web de la CNIL,
– a raíz de una inspección de la página web o de la empresa
– a raíz de una violación de datos.
La CNIL dispone entonces de toda una gama de sanciones, desde un anuncio público en Légifrance y en la página web de la CNIL hasta una sanción económica de hasta 20.000.000 de euros o el 4% del volumen de negocios mundial del ejercicio anterior.
La CNIL multó a Google con 150 millones de euros por su política de cookies en Google y Youtube. La CNIL criticó a la empresa estadounidense por no permitir a los usuarios rechazar las cookies con la misma facilidad que aceptarlas.
El mismo día, el 31 de diciembre de 2021, la CNIL también multó a Facebook con 60 millones de euros por los mismos motivos que a Google.
Estas fuertes sanciones ponen de relieve por sí solas la importancia de la cuestión de la protección de datos en Europa. Sin embargo, en un mundo globalizado en el que, sobre todo en Internet, todas las redes se penetran mutuamente, la puesta en común de datos hace que la articulación de la protección de datos sea algo compleja.
Del Escudo de la privacidad al Shrem II, el juez se convierte en el guardián de los datos personales
Los datos recogidos en Europa pueden transferirse a terceros países. Este es particularmente el caso entre Europa y Estados Unidos, cuando una empresa matriz transfiere datos personales a una filial o a otro servidor.
De 2016 a 2020, la normativa aplicable a esta transferencia de datos de la Unión Europea a Estados Unidos se regía por el Escudo de la privacidad. Se trataba de un tratado bilateral que ofrecía garantías a los usuarios europeos sobre el tratamiento de sus datos personales en Estados Unidos.
Sin embargo, esta garantía de protección de datos no era tan efectiva en el lado estadounidense como el tratado nos quería hacer creer. Un abogado austriaco llamado Schrem llevó a Facebook Irlanda ante los tribunales, alegando que sus datos personales, que habían sido transferidos total o parcialmente a Estados Unidos, no estaban protegidos del mismo modo que los de todos los usuarios de la red social.
El Tribunal de Justicia de la Unión Europea, en una sentencia conocida como Schrems II, falló a favor del demandante y puso así fin al Escudo de la privacidad. Los principales argumentos de la sentencia se referían a la facilidad con la que las autoridades públicas estadounidenses y sus servicios de inteligencia podían acceder a los datos personales transferidos.
Dentro de la propia Francia, las asociaciones se han levantado contra la recogida de datos por parte del gobierno. Por ejemplo, el Conseil d’Etat tuvo que pronunciarse sobre la asociación entre el gobierno y la plataforma Doctolib en relación con las citas de vacunación contra el Covid 19.
El Conseil d’Etat rechazó la solicitud de las asociaciones, tras comprobar la calidad de la seguridad de los datos, alegando que no se recogían datos médicos.
Del mismo modo, asociaciones como La Quadrature du Net impugnaron ante el Conseil d’Etat el decreto de 25 de febrero de 2011 que imponía la retención de datos digitales a los proveedores de servicios de internet.
Los jueces administrativos rechazaron sus argumentos por motivos relacionados con la seguridad nacional, la defensa de los intereses fundamentales de la nación y la lucha contra la delincuencia.
Sin embargo, las fuerzas del orden europeas no pueden requisar un proveedor de acceso a internet o una empresa sin la autorización previa de un magistrado. Es este último quien evalúa la utilidad de tal solicitud en el marco de las investigaciones de las que le informan los investigadores.
Conclusión
En conclusión, la situación en Europa en materia de tratamiento de datos y acceso a los mismos por parte de las autoridades públicas, ya sean competencia de los Ministerios de Interior o de Justicia de los Estados miembros de la Unión Europea, está muy regulada. En Europa no existen leyes comparables a las de Estados Unidos.
En consecuencia, si una empresa desea almacenar datos en línea utilizando soluciones basadas en la nube, es importante seleccionar un proveedor de servicios europeo que almacene sus datos en suelo europeo.
En este caso, también es importante comprobar que la empresa no transfiere los datos a una filial con sede en un país fuera de la Unión Europea, especialmente Estados Unidos. Será muy difícil que las leyes extraterritoriales estadounidenses se apliquen a una empresa sin vínculos con Estados Unidos.
Almacenar datos a través de empresas estadounidenses abre la puerta de par en par al espionaje industrial y a las prácticas de competencia desleal más tecnológicas. Como hemos visto con Siemens, Alcatel-Lucent y Alstom, el gobierno estadounidense, respaldado por los tribunales, no se detendrá ante nada para debilitar la competencia a la que se enfrentan estas empresas.
Así que no nos andemos con rodeos.
