¿Te has preguntado alguna vez dónde van tus datos cuando usas una red social u otro tipo de plataforma digital? Como ya hemos comentado alguna vez, el Acta de Estados Unidos que permite el procesamiento legal de datos en el Extranjero (CLOUD Act) puede chocar con la ley de Protección de Datos en Europa para aquellos proveedores de Internet que deben cumplir el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
Si el servidor está en EEUU, ¿sabes quién tendrá acceso a esos datos o dónde y para qué los guardan? ¿Por qué nadie te informa de todo esto? La protección de datos en Estados Unidos es diferente a la europea. La Ley CLOUD permite que las empresas proveedoras de servicios de Internet y otros medios electrónicos que tengan su sede en los EEUU, puedan almacenar y transmitir tus datos sensibles.
Por contra, en Europa sí que existen entidades públicas dedicadas a la protección de tus datos personales. La legislación europea sobre protección de datos te ampara tanto si eres europeo como si no, y solo recoge tus datos imprescindibles, o eso dicen.
El alcance de la protección de datos en Estados Unidos
Así, la ley americana permite que los ficheros con tus datos sensibles caigan en manos de la policía o la Agencia Federal de Seguridad Nacional. Esto ya sucedió cuando esta solicitó a Alemania 40.000 datos de empresas europeas que no tenían ninguna relación con temas de terrorismo.
La ley CLOUD evitó su tramitación ordinaria, y, por tanto, esquivó todas las enmiendas y críticas de asociaciones de derechos humanos en EEUU, introduciéndola dentro de la aprobación de los Presupuestos Generales del Estado americano presentados por Donald Trump.
En virtud de la ley americana, todos estos proveedores de medios electrónicos pueden caer bajo el ámbito del GDPR si tienen sus bases de datos en ordenadores almacenados en Europa. De esta forma cumplen con lo permitido por la Ley CLOUD, pero exponiéndose a multas y otras sanciones por incumplimiento de las leyes sobre protección de datos en la Unión Europea que regulan tu privacidad.
Las consecuencias de la protección de datos en la Unión Europea
Así, una empresa estadounidense puede tener que elegir entre aplicar la ley CLOUD, pero exponiéndose a las sanciones europeas, o, por contra, no aplicarla en absoluto fuera de EEUU.
Es decir, la falta de armonización legislativa entre EEUU y Europa está provocando una inseguridad jurídica temible. En todo caso, en Europa la protección de datos de todos los usuarios es mucho más rigurosa, pues impone tu consentimiento previo y te ofrece la posibilidad de eliminar los ficheros con tus datos, entre otras garantías.
¿Cómo funciona este marco normativo en EEUU?
Los proveedores de estos servicios electrónicos que tengan su sede en territorio norteamericano pueden obtener unos warrants, (garantías, en español), del gobierno de los EEUU u otro gobierno extranjero que haya firmado acuerdos con los Estados Unidos.
Aquellos proveedores que decidan anular dicha ejecución de datos podrán hacerlo siempre que:
– No se trate de un ciudadano estadounidense.
– Dicho proveedor estuviese en riesgo de incumplir otra legislación, como por ejemplo, la de la UE.
Sin embargo, estos procedimientos para anular la posible recepción y posterior entrega de tus datos personales son bastante limitados por dos motivos:
Primero, los proveedores de servicios de Internet solo podrían ejercer la anulación de una orden CLOUD de búsqueda de datos si tú no eres estadounidense.
Sin embargo, el GDPR te protegería incluso si eres norteamericano y resides en Europa o, simplemente, estás de paso por aquí. Por ello, tus datos quedarían protegidos por el GDPR, pero al mismo tiempo podrían transmitirse a terceros o quedar insertos en un fichero de acuerdo a la misma Ley CLOUD. Es decir, un contrasentido regulador absoluto.
En segundo lugar, como el proveedor de servicios solo podrá anular una ley CLOUD para dicha emisión o recepción de datos sensibles, si dicha transferencia de datos viola las leyes de un gobierno extranjero que haya suscrito un acuerdo con EEUU, es posible que no puedan guardar o transmitir tus datos cuando esté implicado un gobierno que no haya firmado dicho acuerdo.
La problemática judicial
Si te vieras implicado en un juicio por tratamiento ilegal de tus datos estando el gobierno americano implicado, ¿sabes cómo te podría proteger la ley europea? Pues bien, un tribunal que esté estudiando una impugnación de la ley CLOUD solo podría concederla en el caso de que concurran ciertos factores.
Estos factores serían: los intereses legítimos de ambos gobiernos, el hecho de que exista la posibilidad de extraer tus datos a través de otras vías y la consideración de posibles multas o daños por aplicación de la ley no estadounidense cuando se apliquen al proveedor unos requisitos legales inconsistentes.
En resumen, y en virtud de todos estos factores, está claro que el ejercicio de la ley CLOUD puede violar tus garantías legales y todas las restricciones al tratamiento ilegal de tus datos que el GDPR europeo contempla, salvo que quienes operan con los datos sensibles se sometan a los especiales requisitos y condiciones de los Artículos 44 a 49 de su texto legal.
A este respecto, el GDPR es conciso: el artículo 48 deja claro que «una orden de un tribunal extranjero no hace que una transferencia de datos sea legal en virtud del GDPR», tal y como la misma Comisión Europea lo aclaró en el asunto de Microsoft Irlanda. El artículo 48 de la GDPR contempla «solicitudes de transferencia de datos y sanciones de gobiernos extranjeros realizadas de conformidad con un acuerdo internacional existente, como un tratado de asistencia legal mutua» (MLAT).
Por consiguiente, la transferencia de tus datos conforme al art. 48 debe producirse siempre dentro de un acuerdo internacional aceptable, tal y como sucede en la actualidad entre EEUU y Europa, aunque con los riesgos que te comentamos más arriba. Por ello, la protección de datos en Europa es más atractiva, siendo la alternativa más fiable para salvaguardar la privacidad de tus datos, depositar estos en nubes del viejo continente.