La Ley CLOUD y las empresas europeas: ¿cuál es su ámbito de aplicación?

Vigilancia Legal No. 40 – Octubre de 2021

La Ley CLOUD y las empresas europeas: ¿cuál es su ámbito de aplicación?La desmaterialización de los datos y su almacenamiento en las “nubes” tienen consecuencias fundamentales y complejas sobre las obligaciones de las empresas.

Incluso cuando se almacenan en Europa, los datos no son inmunes a una solicitud de divulgación por parte de un tercer país en un contexto legal.

La cuestión, cada vez más actual, de la soberanía digital encuentra un eco particular en la evolución del derecho de los Estados Unidos, con la Ley CLOUD y su ámbito de aplicación extraterritorial.

¿En qué condiciones puede la filial europea de una empresa estadounidense, o por el contrario, la filial estadounidense de una empresa europea, verse obligada a comunicar sus datos a las autoridades estadounidenses?

La Ley CLOUD (Clarifying Lawful Overseas Use of Data) fue adoptada en Estados Unidos en marzo de 2018. Su objetivo es permitir a las autoridades penales estadounidenses acceder a datos de proveedores de servicios en la nube de ese país, independientemente de dónde se almacenen los datos y sin tener que iniciar procedimientos a través de asistencia jurídica mutua internacional.

Poco antes de la adopción de la ley CLOUD, Microsoft se había negado a proporcionar a las autoridades estadounidenses datos almacenados en su nube irlandesa, alegando la no aplicación de la legislación estadounidense a los datos almacenados en Europa, lo que había dado lugar a largos procedimientos judiciales.

La Ley CLOUD aclara y amplía su alcance para prevenir este tipo de situaciones.

El texto también permite que los estados extranjeros tengan acceso a datos de proveedores de servicios en la nube con sede en EE.UU., sin tener que presentar una solicitud de asistencia jurídica mutua, en caso de un acuerdo bilateral.

Un acuerdo de este tipo se concluyó recientemente entre Estados Unidos y el Reino Unido, el primero de su tipo.

La Ley CLOUD se aplica a cualquier empresa estadounidense en el sentido de la legislación estadounidense, es decir, una empresa constituida en los Estados Unidos y las empresas controladas por ella.

Por lo tanto, una filial europea o una empresa europea controlada por una empresa estadounidense puede estar sujeta a esta ley, lo que inevitablemente causará conflictos de leyes en la medida en que estas empresas también estén sujetas al RGPD.

Hay que tener en cuenta que el concepto también se dirige a las empresas europeas con "presencia" en Estados Unidos, lo que amplía considerablemente su alcance.

Así lo señala el Comité Europeo de Protección de Datos en una posición que data de 2019, así como el Ministerio de Justicia suizo en un estudio muy reciente del 17 de septiembre de 2021 sobre la Ley CLOUD.

Esta incertidumbre sobre el alcance de la Ley CLOUD es transmitida por el propio Departamento de Justicia de los Estados Unidos en un libro blanco de abril de 2019 sobre el tema, del que aquí hay un extracto (traducción no oficial):

“Si una corporación extranjera ubicada fuera de los Estados Unidos pero que proporciona servicios en los Estados Unidos tiene suficientes contactos con los Estados Unidos para estar sujeta a la jurisdicción estadounidense es una investigación específica de los hechos, que depende de la naturaleza, cantidad y calidad de los contactos de la corporación con los Estados Unidos.

Cuanto más deliberadamente haya dirigido una empresa su conducta hacia Estados Unidos, más probable será que un tribunal determine que la empresa está sujeta a la jurisdicción estadounidense.

Los tribunales estadounidenses que aplican este análisis en casos civiles que involucran sitios web, por ejemplo, se han centrado en el grado de interactividad de un sitio con los clientes en su jurisdicción, considerando factores tales como la función y la mecánica del sitio web, cualquier promoción específica para los clientes, la solicitud de negocios a través del sitio y el uso real por parte de los clientes. 

Esta interpretación podría exponer a un gran número de empresas europeas a demandas legales en Estados Unidos, incluso cuando las bases de datos se encuentran en Europa. Sin embargo, según el artículo 48 del RGPD, la legislación de un país extranjero no puede constituir una base jurídica suficiente para transferir datos personales a las autoridades de dicho país.

El texto del RGPD establece explícitamente que dichas transferencias de datos solo pueden tener lugar en el marco de un acuerdo internacional, como un acuerdo de asistencia jurídica mutua.

Este principio tiene como objetivo garantizar tanto la protección de los datos transferidos como un mínimo de seguridad jurídica.

¿Qué soluciones?

Desde una perspectiva política, en primer lugar, cabe señalar que la Comisión Europea está negociando actualmente un acuerdo con Estados Unidos destinado a facilitar el acceso a las pruebas electrónicas en las investigaciones penales, mientras que el Consejo de Europa está desarrollando un segundo protocolo al Convenio de Budapest sobre la Ciberdelincuencia... dos textos que aclararían el marco jurídico relativo a estas transferencias de datos en cumplimiento del derecho europeo.

Más concretamente, la Ley Cloud prevé que una empresa que se enfrente a un conflicto de leyes puede invocar la ley a la que está sujeta, en este caso el RGPD, para impugnar la solicitud estadounidense ("riesgo material de violar leyes extranjeras").

Sin embargo, esto implica procedimientos que pueden resultar largos y costosos, sin certeza sobre su resultado.

En la práctica, se pueden adoptar medidas técnicas para proteger los datos, inspirándose en las recomendaciones del Comité Europeo de Protección de Datos.

Almacenamiento de datos en Europa, no conservación de datos "en claro", medidas de cifrado específicas como las detalladas por el SEPD en su dictamen de junio de 2021 relativo a las herramientas de transferencia de datos fuera de la Unión Europea (p. 30), y la conservación de claves de cifrado en la Unión Europea.

La Ley CLOUD no prohíbe el cifrado (aunque Estados Unidos exige a las empresas que cooperen con las autoridades gubernamentales en este tema) y no adopta una posición sobre las normas de descifrado de terceros países.

Por último, cabe añadir que las primeras nubes europeas han recibido recientemente el visto bueno de las autoridades europeas de protección de datos: la primavera pasada, la CNIL aprobó el primer código de conducta europeo dedicado a los proveedores de servicios de infraestructura en la nube.

También acaba de autorizar al Laboratorio Nacional de Metrología y Ensayos (LNE) y a Bureau Veritas Italia Spa para realizar controles de cumplimiento de este código de conducta.

Sin considerar el "todo local" como la panacea absoluta, las nubes europeas tienen el mérito de ofrecer una mayor seguridad jurídica, siempre que un acuerdo internacional no aclare la situación.

Y también

Francia:

La CNIL ha notificado formalmente a la empresa Prueba de Francia Para proteger los datos sanitarios (pruebas de detección) que recopila en nombre de las farmacias. También ha contactado con más de 300 farmacias para verificar su cumplimiento del RGPD.

La autoridad también publicó a principios de octubre un Libro blanco sobre datos y métodos de pagoy una consulta pública sobre un proyecto de guía de contratación.

Por último, la CNIL está estudiando la posibilidad de Uso del reconocimiento facial en los Juegos Olímpicos a partir de 2024.

Europa

La Autoridad Holandesa de Protección de Datos El 21 de octubre, el Reino Unido rechazó una solicitud de autorización para incluir en la lista negra presuntos fraudes en las telecomunicaciones y los pagos en línea.

autoridad española multado con 16.000 euros al responsable de implantar un sistema de identificación biométrica en el lugar de trabajo sin una evaluación de impacto previa.

A raíz de una brecha de seguridad en el contexto del uso del sistema de reconocimiento facial Clearview AI,Autoridad de Protección de Datos de Finlandia Consideró que la policía había utilizado este software sin base legal y le ordenó cumplir la ley e informar a las personas afectadas.

El Tribunal Administrativo Provincial de Varsovia Se consideró ilegal que un banco procesara datos personales con base en el artículo 6(1)(f) del RGPD (ponderación de intereses), únicamente por su posible utilidad futura. Fuente de las decisiones nacionales: gdprhub

Amazon ha firmado un contrato con la Servicio Secreto Británico (GCHQ, MI5, MI6), a través del cual la compañía alojará y operará análisis de inteligencia artificial sobre datos sensibles de las agencias de inteligencia. 

En SuizaEl servicio de mensajería segura y VPN Proton ganó el 22 de octubre una apelación contra la obligación que se le había impuesto de monitorear y almacenar los datos de sus usuarios.

El Parlamento Europeo El 6 de octubre, el Senado de Estados Unidos adoptó una resolución que rechaza el reconocimiento facial y el análisis predictivo basado en inteligencia artificial en la labor policial.

Internacional :

El 43º Conferencia Internacional de Autoridades de Protección de Datos Se llevó a cabo en la Ciudad de México y vía videoconferencia del 18 al 21 de octubre.

La conferencia adoptó varias resoluciones, incluida una sobre los derechos digitales de los niños y otra sobre el acceso de las autoridades a los datos del sector privado.

La Autoridad de Protección de Datos de Corea del Sur recomienda una compensación tras una violación de seguridad de Facebook (Meta) de $257 a cada usuario cuyos datos fueron transmitidos indebidamente a terceros.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.