Earn money by answering our surveys

Register now!

Cloud Act y GDPR: ¿Podemos guardar nuestros datos en la nube?

Earn up to 50€ by participating in one of our paid market research.

Register now!

¿Te ha llevado el uso de servicios en la nube a violar el GDPR? ¿Puedes guardar tus datos en AWS, Azure, etc., y seguir cumpliendo el GDPR? El American Cloud Act siembra dudas y crea una incerteza legal de la que hemos hablado con Jérôme Tassi, un abogado del Colegio de Abogados de París.

Introducción

El punto de inicio de este artículo (y el vídeo que lo acompaña) es un pensamiento que me presentó un amigo emprendedor. Le preocupaba que los datos de su empresa fuesen guardados por Microsoft, Google, o Amazon. Debido al Cloud Act, temía que sus datos acabaran en manos de sus competidores.

banner definition

El Cloud Act: una legislación americana muy intrusiva

El Cloud Act («Clarifying Lawful Overseas Use of Data Act» en inglés) es una ley federal de Estados Unidos que se aprobó en marzo de 2018 y que permite al gobierno de dicho país acceder a los datos almacenados por empresas estadounidenses sin importar su ubicación geográfica. Me. Jérôme Tassi explicó que el Cloud Act nació como fruto de una disputa entre las autoridades federales de Estados Unidos y Microsoft. En un caso, este último se acogió a la ubicación de los datos (Irlanda) para negarse a entregarlos al gobierno americano.

Así fue como nació el Cloud Act, del desde del gobierno americano de ejercer un control completo según la nacionalidad de la empresa en lugar de por su ubicación geográfica. Puede que digas que, en Europa, se supone que estamos protegidos por el GDPR, ¿así que qué vínculo hay entre Cloud y GDPR?


 

¿Es el Cloud Act incompatible con el GDPR?

El artículo 48 del GDPR especifica que un hace falta un acuerdo internacional para transferir datos fuera de la Unión Europea. Puesto que actualmente no existe ningún acuerdo entre Estados Unidos y Europa, solo existe una posibilidad: una orden judicial. En otras palabras, se tiene que convencer a un juzgado americano de la existencia de un crimen federal para que solicite la transferencia de los datos almacenados fuera de Estados Unidos por parte de un proveedor de servicios americano. Esto reduce dramáticamente los riesgos, pero la vaguedad jurídica sigue ahí y hacen falta leyes específicas ante la falta de jurisprudencia.


¿Qué puedes hacer para cumplir el GDPR sin temer el Cloud Act?

El señor Tassi recomienda tener cuidado y, de ser posible, evitar almacenar los datos con Google, Amazon, o Microsoft. El gobierno francés ya ha tomado la iniciativa publicando una doctrina denominada «Cloud at the center» en inglés que prescribe la nube como el lugar en el que se deben almacenan los datos en la administración francesa pero prohíbe usar soluciones que no tienen la certificación «SecNumCloud». Microsoft, Amazon, y Google, los cuales poseen el 69% del mercado de almacenamiento en la nube, no cuentan con el beneficio de dicha certificación y, de hecho, están excluidos de la administración francesa.

Así que, si quieres estar seguro de que no te cuesta dormir, acude a una de las soluciones que sí se benefician de la certificación SecNumCloud. Hasta la fecha, solo hay 3 proveedores de servicio de confianza: Odrive, Outscale, y OVH.

Consejo: considera la idea de comprobar qué están haciendo tus proveedores

Adelantarse al Cloud Act y al GDPR también significa comprobar el estado de tus proveedores. Recuerda que la noción de la responsabilidad conjunta se introdujo en el artículo 26 del GDPR.

Debemos distinguir dos situaciones:

  • Si colaboras con empresas de terceros y defines conjuntamente los fines del tratamiento de datos, asegúrate de que se están tomando las precauciones necesarias en relación al almacenaje de datos.
  • Si usas servicios SaaS sensibles, solicita saber dónde se están almacenando tus datos. Existe una probabilidad de 9 sobre 10 de que sea en una nube estadounidense, en cuyo caso sería apropiado que leyeran este artículo.

La nube soberana

Actualmente se habla mucho sobre «la nube soberana», la «nube de confianza», y últimamente ha habido muchas noticias al respecto. Lentamente pero sin pausa, el interés en la independencia digital se va abriendo camino. La crisis del Covid ha mostrado claramente lo mucho que dependemos de China y sus componentes electrónicos, y la situación es la misma en el sector digital con Estados Unidos. Deutsche Telekom, por ejemplo, es el principal actor europeo de la nube, con un 2% de cuota de mercado, una minucia en comparación con el 32% de AWS (Amazon), el 20% de Azure (Microsoft), y el 9% de Google.

Los actores americanos se están organizando con el objetivo de contrarrestar el obstáculo europeo. Microsoft ha anunciado el lanzamiento de «Bleu» en colaboración con Orange y Capgemini, mientras que Google ha firmado con Thales. Así que será tecnología americana que se implementará en infraestructuras europeas. Uno quizás se pregunte si es la solución correcta, ya que la dependencia de la tecnología del tío Sam seguirá estando presente. Lo que Europa necesita es una soberanía propia, lo cual le permitiría liberarse, tal y como ha hecho China, de las tácticas de presión y las manipulaciones americanas.

Submit a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *