Cloud Act vs. RGPD: la lucha por la protección de datos se lanza …
La ley CLOUD Act (Clarifying Lawful Overseas Use of Data Act) es una ley aprobada y promulgada por los Estados Unidos el 23 de marzo de 2018. ¿El principio de esta ley? Facilitar la recopilación de datos del gobierno de Washington (personales y de otro tipo) alojados por proveedores de servicios en la nube de los EE.UU ¿Y el RGPD en todo esto, me preguntarás? Bueno, tendrías toda la razón, ahí es donde está el problema.
¿Qué es el Cloud Act?
En respuesta a los ataques del 11 de septiembre, Washington ya había votado el Patriot Act. Esta ley, originalmente antiterrorista, obliga a los proveedores de servicios bajo la bandera con estrellas, como Amazon, Facebook, Salesforce, Microsoft a poner los datos sobre individuos a disposición del gobierno y sus agencias. Los acontecimientos posteriores nos mostraron las derivaciones de seguridad y espionaje de esta ley. De hecho, la práctica masiva de escuchas telefónicas, la lectura regular de mensajes personales se ha desarrollado bajo la apariencia del Patriot Act. La única forma de eludir esta ley para los proveedores es acoger datos fuera de los 50 estados de EE. UU.
Con la ley CLOUD Act, se elimina la incertidumbre legal que deja este tema de extraterritorialidad. Desde el 23 de marzo, todos los datos, me refiero a TODOS los datos alojados por un proveedor estadounidense se pueden requisar, sin importar dónde se alojen estos datos. Peor aún … una compañía española con una representación en el país del Tío Sam también estaría obligada a proporcionar sus datos, incluso en sus actividades en España.
¿Y la protección de datos en este contexto?
Mientras que la Unión Europea se despierta después de la entrada en vigor del RGPD (con una sensación de resaca, debe admitirse, siguiendo todos los correos electrónicos recibidos entre el 23 de mayo y la medianoche de 24), así que aquí ¡esta CLOUD Act! ¿Qué hemos de pensar? Y, sobre todo, ¿qué podemos hacer?
¿Hay una jerarquía entre las leyes? ¿Es el RGPD más poderoso que el CLOUD Act? En este punto, los expertos discuten. David Chassan, director de operaciones de Outscale, nos dice: “El Cloud Act claramente representa una amenaza y un riesgo para nuestros datos, nuestra propiedad intelectual y nuestra seguridad. No importa dónde está el centro de datos. Todos los datos de un proveedor de la nube estadounidense están disponibles para el estado federal de EE. UU. Algunas personas diferencian claramente la visión teórica que implicaría la necesidad de obtener el acuerdo de un juez europeo antes de tener acceso a los datos, la visión práctica de decir que todo esto dependerá del contexto geopolítico y la urgencia de la demanda.
¿Qué hacer para contrarrestar el Cloud Act?
Hay un punto por el cual los expertos están de acuerdo. El almacenamiento de datos, ya sea personal o no, es un eslabón esencial en la cadena de confianza de la que hemos escuchado mucho alrededor del 25 de mayo. Para continuar en este clima de confianza, este almacenamiento no puede confiarse a los actores que dependen de una legislación contraria al RGPD, los actores estadounidenses en este caso. Incluso si estos muestran una buena voluntad mediante la publicación de grandes inversiones para la construcción de centros de datos en el viejo continente. Estos centros de datos seguirán sujetos a la CLOUD Act. Es una pena, ¡fue bien probado! Después, tranquilizarte, hay algunos actores europeos muy competitivos a los que puedes recurrir. En el sector del CRM Cloud en particular … #EuropeanCRMChampion
Antes que te vayas:
