cloud act
Tiempo de lectura: 3 minutos

La jurisdicción sobre los datos en la nube es una cuestión compleja, ya que entran en juego múltiples factores, entre los cuales se encuentra el tratamiento y el almacenamiento de datos personales de consumidores y usuarios en países distintos a los de su residencia. Se trata de retos importantes, que las principales legislaciones actuales no abordan, por estar desactualizadas. Además, resulta complicado regular sobre entornos digitales y tecnológicos que evolucionan de forma muy rápida, ya que las leyes suelen requerir ciertos tiempos para su gestación y tramitación.

En este sentido, la nueva propuesta estadounidense está representada por la CLOUD Act recientemente aprobada por el Gobierno de Estados Unidos, introducida como enmienda en la votación de los Presupuestos del Estado. La ley actualiza la ya obsoleta Stored Communications Act (SCA) que fue aprobada en el lejano 1986, cuando Internet se encontraba en sus inicios.

Po otro lado, el nuevo Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que entra ahora en vigor tras dos años de periodo de implantación, también ha llegado para actualizar una anterior directiva sobre protección de datos que tenía fecha de 1995.

La CLOUD Act, ¿una Ley para la Nube?

Aunque lleve el nombre CLOUD, la ley no trata sobre infraestructura de nube – es el acrónimo de Clarifying Lawful Overseas Use of Data, Aclarando el uso legal de datos en el extranjero – sino más bien sobre la protección de datos en ella almacenados.

La CLOUD Act obliga por un lado a los proveedores de servicios estadounidenses a revelar todos los datos en su posesión, custodia o control, si son solicitados por las autoridades, también si los datos están alojados en terceros países.

Por otro lado, la Ley proporciona un mecanismo para que ciertos gobiernos extranjeros, sobre la base de investigación de delitos graves, puedan solicitar acceso al contenido de las comunicaciones de ciudadanos no estadounidenses que poseen proveedores de servicios de EE.UU. y que también están ubicadas al extranjero.

En ambos casos, la relación con terceros países se implementaría a través de acuerdos ejecutivos que les obligarían al cumplimientos de ciertos niveles de protección de derechos humanos.

Una nueva forma de legislar en la era digital

Según Jennifer Daskal, profesora asociada de la American University Washington College of Law, estamos frente a una nueva forma de legislar de forma internacional a través de la regulación nacional y que fomentaría mayores niveles de protección de derechos humanos en el mundo. Otro ejemplo es el mencionado Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que se aplicará también a las organizaciones ubicadas fuera de la UE, si procesan y mantienen los datos personales de usuarios que residen en la Unión.

Las principales compañías tecnológicas como Apple, Facebook, Google, Microsoft y Oath han recibido con aprobación la nueva CLOUD Act y han publicado una carta que elogia sus aspectos principales, como la protección de los derechos de los consumidores alrededor del mundo, el fomento del dialogo diplomático entre países y la reducción de los conflictos legales.

Por otro lado, la CLOUD Act ha recibido fuertes críticas por algunas organizaciones defensoras de derechos humanos que la ven como un ataque a la privacidad de los ciudadanos, así como una oportunidad para que Gobiernos extranjeros puedan obtener información sobre sus propios disidentes a través de compañías estadounidenses.

Los datos personales son un activo cada día más crítico para cualquier organización, sin embargo los principales Gobiernos del mundo se encuentran en el proceso de actualizar su legislación en la materia, lo que introduce importante desafíos.

Es por lo cual crucial para cualquier organización que almacene datos fuera de sus propios sistemas o países, comprender estas nuevas leyes y asegurarse de estar en condiciones para cumplirlas.

New Call-to-action