Hasta ahora habíamos estado muy preocupados por cómo el GDPR iba a afectarnos. Sin embargo, un nuevo actor entró en escena el año pasado: la Ley Cloud Act, una normativa que EE.UU. aprobó para regular el almacenamiento de los datos en la nube. Inicialmente regularía el manejo de los datos de la empresa ubicada físicamente fuera de EE.UU., pero de la que es responsable una empresa estadounidense. Según Cloud Act, estos datos serían tratados como si estuvieran almacenados en servidores de los Estados Unidos.
Desde la compañía 1&1 IONOS destacan que desde los años ochenta las autoridades estadounidenses han tenido acceso a los datos de las empresas, pero solo si esta información se almacena allí. ¿Qué cambiará la Ley Cloud Act? La ampliación de este acceso a servidores extranjeros. Su objetivo pasa porque los acuerdos bilaterales permitan a las autoridades extranjeras apelar directamente a las empresas afectadas para el acceso a los datos almacenados, tanto en los Estados Unidos como en la Unión Europea. Y, de momento, EE.UU. es reticente a celebrar el correspondiente acuerdo bilateral con la UE ya que prefiere alcanzar acuerdos con cada uno de los estados miembros de la UE.
¿Qué casos pueden encontrarse las empresas? Entre los diferentes casos que abordan desde 1&1 IONOS destacan:
- Las empresas que operan en la UE y forman parte de un grupo de empresas de EE.UU., donde se aplica la Ley Cloud Act. No solo la sociedad matriz está sujeta a la ley de los EE.UU., también todas sus subsidiarias.
- Una sociedad con sede en la UE que tiene una subsidiaria en EE.UU., contaría con una transferencia de datos con este país, por lo que el GDPR podría prevalecer inicialmente como objeción en el caso de que haya una solicitud de datos por parte de una autoridad estadounidense. En este escenario, la estructura de la empresa es relevante. Por ello se aconseja definir una separación de datos en la empresa, ya que esto reduciría la relación con Estados Unidos.
- Para las compañías europeas con proveedores de servicios estadounidenses, la Ley Cloud Act les obliga a revelar sus propios datos y cualquier otro que esté bajo su posesión, custodia o control. Desde 1&1 IONOS resaltan que las obligaciones y medidas del prestador de servicios que se establezcan en un contrato para el tratamiento de datos personales de conformidad con el artículo 28 del GDPR, que sirven para proteger los datos personales, no pueden invalidar la ley americana. Los datos económicos tampoco están seguros en una nube relacionada con los Estados Unidos, aseguran. Y en caso de una solicitud de las autoridades de los EE.UU., el proveedor de servicios debe concederla, pero informar a su cliente de acceso por parte de terceros de acuerdo con el contrato de tratamiento.
Por todo ello, desde esta compañía recomiendan proveedores de cloud computing con sede en la Unión Europea que no almacene o procese datos fuera de la UE y elegir proveedores que no tengan ninguna asociación con proveedores de servicios norteamericanos. En caso contrario, el proveedor de la nube tendría que informar a sus clientes en una fase inicial y ofrecerles la oportunidad de exportar y borrar sus datos.
