Hace un año, en Europa, todo el mundo estaba pendiente de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Sin embargo, de forma paralela, en marzo de 2018 el senado de los Estados Unidos aprobó una nueva normativa para regular el almacenamiento de datos en la nube, la Ley Cloud Act. Esta nueva normativa regula el manejo de los datos de la empresa que está físicamente ubicada fuera de los EE.UU., pero de la que es responsable una empresa estadounidense. Según Cloud Act, estos datos serán tratados como si estuvieran almacenados en servidores de los Estados Unidos.
Desde los años ochenta, las autoridades estadounidenses tienen acceso a los datos de las empresas, pero sólo si esta información se almacena allí. Ahora, con la Ley Cloud Act, sin embargo, se amplía este acceso a servidores extranjeros. El objetivo de la ley Cloud Act es que los acuerdos bilaterales permitan a las autoridades extranjeras apelar directamente a las empresas afectadas para el acceso a los datos almacenados, tanto en los Estados Unidos como en la Unión Europea. De momento, EE.UU. es reticente a celebrar el correspondiente acuerdo bilateral con la UE, prefiere alcanzar acuerdos con cada uno de los estados miembros de la UE.
Escenarios y líneas de acción recomendadas
Ante las dudas de si es posible evitar el acceso a los datos por parte de las autoridades de EE.UU. o si entra en contradicción el RGPD y el CLOUD Act, 1&1 IONOS desglosa los escenarios a los que se enfrentan las empresas europeas:
1. Filial de una empresa estadounidense
Si se trata de una organización que opera en la UE y que forma parte de un grupo de empresas de EE.UU., la Ley Cloud Act se aplica. La sociedad matriz está sujeta a la ley de los EE.UU., al igual que todas sus subsidiarias.
2. Empresa de la UE con una filial en los EE.UU.
Para una sociedad con sede en la UE que tiene una subsidiaria en los EE.UU. y, por lo tanto, una transferencia de datos con los EE.UU., el RGPD podría prevalecer inicialmente como objeción en el caso de que de una solicitud de datos por parte de una autoridad estadounidense. En este escenario, la estructura de la empresa es relevante. Por ejemplo, es aconsejable definir una separación de datos en la empresa (si es posible), lo que puede reducir la relación con los Estados Unidos.
En este caso, las empresas locales se arriesgan a que las autoridades de EE.UU. puedan amenazar a la filial norteamericana con represalias para aumentar la presión sobre la sociedad matriz en la UE para que conceda acceso a los datos.
3. Empresa de la UE con proveedores de servicios de EE.UU.
La ley Cloud Act no sólo obliga a las empresas a revelar sus propios datos, sino a revelar cualquier dato en su posesión, custodia o control. En consecuencia, los escenarios 1 o 2 se aplican a cualquier proveedor de servicios (a menos que se considere que es un proveedor estadounidense) que es contratado para almacenar y procesar datos. Por ejemplo, para una empresa de la UE cuyos datos son procesados por un proveedor de hosting o proveedor de servicios en la nube con una “conexión” a los EE.UU., se aplica la ley Cloud Act.
Las obligaciones y medidas del prestador de servicios que se establezcan en un contrato para el tratamiento de datos personales de conformidad con el artículo 28 del GDPR, y que sirven para proteger los datos personales, no pueden invalidar la ley Cloud Act. Los datos económicos tampoco están seguros en una nube relacionada con los Estados Unidos. En caso de una solicitud de las autoridades de los EE.UU., el proveedor de servicios debe concederla, pero informar a su cliente de acceso por parte de terceros de acuerdo con el contrato de tratamiento.
4. Otros usos de los servicios cloud norteamericanos
Si un contrato de tratamiento de datos no puede liberar a un proveedor de servicios en la nube de su obligación de proporcionar la información en virtud de la Ley Cloud, ¿qué ocurre con servicios de datos para los que no existe contrato de tratamiento? En este caso, cualquier proveedor de servicios de EE.UU. cuya herramienta o plataforma utilizan las empresas se encuentra dentro de la categoría alcance de la ley Cloud Act.
5. Soluciones de nube de la UE para la UE
La situación es clara tanto para las filiales de un grupo estadounidense, como para las empresas de la UE. 1&1 IONOS propone elegir un proveedor de cloud computing con sede en la UE que no almacene o procese datos en cualquier lugar que no sean los centros de datos europeos. Puesto que los proveedores que están sujetos a la legislación de la UE deben actuar de acuerdo con el RGPD. Éste debe estar exento de cualquier influencia o “asociación” con los proveedores de servicios de EE.UU. En ese caso, no hay peligro de que se le obligue a revelar datos personales en base a la Ley Cloud Act. Si un proveedor de servicios de nube europeo es adquirido por una empresa de EE.UU., éste entra directamente en el ámbito de aplicación de la Ley Cloud Act. En este caso, el proveedor de la nube tendría que informar a sus clientes en una fase temprana y ofrecerles la oportunidad de exportar y borrar datos.
En este contexto, la Ley Cloud Act representa una clara contradicción para la UE, puesto que choca con El Reglamento General de Protección de Datos (RGPD). Las empresas en Europa se enfrentan ahora ante la tesitura de incumplir la Ley Cloud Act por un lado o el RGPD.