Cloud Act y GDPR: ¿Podemos guardar nuestros datos en la nube?

¿Te ha llevado el uso de servicios en la nube a violar el GDPR? ¿Puedes guardar tus datos en AWS, Azure, etc., y seguir cumpliendo el GDPR? El American Cloud Act siembra dudas y crea una incerteza legal de la que hemos hablado con Jérôme Tassi, un abogado del Colegio de Abogados de París.

Introducción

El punto de inicio de este artículo (y el vídeo que lo acompaña) es un pensamiento que me presentó un amigo emprendedor. Le preocupaba que los datos de su empresa fuesen guardados por Microsoft, Google, o Amazon. Debido al Cloud Act, temía que sus datos acabaran en manos de sus competidores.

El Cloud Act: una legislación americana muy intrusiva

El Cloud Act («Clarifying Lawful Overseas Use of Data Act» en inglés) es una ley federal de Estados Unidos que se aprobó en marzo de 2018 y que permite al gobierno de dicho país acceder a los datos almacenados por empresas estadounidenses sin importar su ubicación geográfica. Me. Jérôme Tassi explicó que el Cloud Act nació como fruto de una disputa entre las autoridades federales de Estados Unidos y Microsoft. En un caso, este último se acogió a la ubicación de los datos (Irlanda) para negarse a entregarlos al gobierno americano.

Así fue como nació el Cloud Act, del desde del gobierno americano de ejercer un control completo según la nacionalidad de la empresa en lugar de por su ubicación geográfica. Puede que digas que, en Europa, se supone que estamos protegidos por el GDPR, ¿así que qué vínculo hay entre Cloud y GDPR?

¿Es el Cloud Act incompatible con el GDPR?

El artículo 48 del GDPR especifica que un hace falta un acuerdo internacional para transferir datos fuera de la Unión Europea. Puesto que actualmente no existe ningún acuerdo entre Estados Unidos y Europa, solo existe una posibilidad: una orden judicial. En otras palabras, se tiene que convencer a un juzgado americano de la existencia de un crimen federal para que solicite la transferencia de los datos almacenados fuera de Estados Unidos por parte de un proveedor de servicios americano. Esto reduce dramáticamente los riesgos, pero la vaguedad jurídica sigue ahí y hacen falta leyes específicas ante la falta de jurisprudencia.

¿Qué puedes hacer para cumplir el GDPR sin temer el Cloud Act?

El señor Tassi recomienda tener cuidado y, de ser posible, evitar almacenar los datos con Google, Amazon, o Microsoft. El gobierno francés ya ha tomado la iniciativa publicando una doctrina denominada «Cloud at the center» en inglés que prescribe la nube como el lugar en el que se deben almacenan los datos en la administración francesa pero prohíbe usar soluciones que no tienen la certificación «SecNumCloud». Microsoft, Amazon, y Google, los cuales poseen el 69% del mercado de almacenamiento en la nube, no cuentan con el beneficio de dicha certificación y, de hecho, están excluidos de la administración francesa.

Así que, si quieres estar seguro de que no te cuesta dormir, acude a una de las soluciones que sí se benefician de la certificación SecNumCloud. Hasta la fecha, solo hay 3 proveedores de servicio de confianza: Odrive, Outscale, y OVH.

La nube soberana

Actualmente se habla mucho sobre «la nube soberana», la «nube de confianza», y últimamente ha habido muchas noticias al respecto. Lentamente pero sin pausa, el interés en la independencia digital se va abriendo camino. La crisis del Covid ha mostrado claramente lo mucho que dependemos de China y sus componentes electrónicos, y la situación es la misma en el sector digital con Estados Unidos. Deutsche Telekom, por ejemplo, es el principal actor europeo de la nube, con un 2% de cuota de mercado, una minucia en comparación con el 32% de AWS (Amazon), el 20% de Azure (Microsoft), y el 9% de Google.

Los actores americanos se están organizando con el objetivo de contrarrestar el obstáculo europeo. Microsoft ha anunciado el lanzamiento de «Bleu» en colaboración con Orange y Capgemini, mientras que Google ha firmado con Thales. Así que será tecnología americana que se implementará en infraestructuras europeas. Uno quizás se pregunte si es la solución correcta, ya que la dependencia de la tecnología del tío Sam seguirá estando presente. Lo que Europa necesita es una soberanía propia, lo cual le permitiría liberarse, tal y como ha hecho China, de las tácticas de presión y las manipulaciones americanas.

Por Pierre-Nicolas Schwab Pierre-Nicolas es doctor en marketing y dirige la agencia de estudios de mercado IntoTheMinds. Sus principales campos de interés son BigData, comercio electrónico, comercio local, HoReCa y logística. También es investigador de marketing en la Universidad Libre de Bruselas y ejerce de entrenador y formador para varias organizaciones e instituciones públicas. Se puede contactar con él por correo electrónico o Linkedin.