Cómo afectará la Cloud Act a los usuarios de servicios cloud

El 23 de marzo de 2018 se produjo en Estados Unidos una novedad legislativa que llamó la atención de los juristas por su complejidad y sus profundas implicaciones: la llamada «Cloud Act» (Ley de la Nube) fue aprobada por el presidente Trump. 

Pero ¿en qué consiste la Cloud Act y por qué debería importarnos? Eso mismo me pregunté yo cuando llegué a OVH el 14 de mayo de 2018. Anteriormente había trabajado durante 20 años en empresas aeroespaciales y de defensa. Para mí, la nube (o el cloud en inglés) era algo que sobrevuelas cuando viajas en avión. Pero, por lo visto, en OVH tenía otro significado, así que tuve que aprender. Resulta que ni siquiera se llama «Cloud Act», sino «CLOUD Act» en mayúsculas, que son las siglas de Clarifying Lawful Overseas Use of Data Act (Ley Aclaratoria del Uso Legal de Datos en el Extranjero). Cualquier jurista reparará inmediatamente en dos palabras clave: «clarifying» (aclaratoria), que implica que no se trata de una ley revolucionaria, y «overseas» (en el extranjero), que nos indica que el legislativo estadounidense está abordando algo que sucede fuera de su territorio. De hecho, el contexto general en el que podemos enmarcar esta nueva ley es el equilibrio entre la necesidad de investigar los delitos graves de forma rápida y eficaz y la salvaguarda de los derechos de las personas, especialmente el derecho a la privacidad, concretamente en aquellos casos en los que los datos están alojados fuera de Estados Unidos.

La Cloud Act deja claro desde el principio que pretende facilitar el acceso por parte de las fuerzas de seguridad americanas (law enforcement agencies) a los datos alojados por los proveedores de hosting con el fin de «proteger la seguridad pública y combatir los delitos graves, incluido el terrorismo». No hay que olvidar, por tanto, que la ley se limita a este ámbito de aplicación, totalmente loable. Antes de que existiera internet, si las fuerzas de seguridad buscaban pruebas, mandaban a sus agentes al domicilio del sospechoso; si este último se encontraba fuera del territorio estadounidense, las autoridades de Estados Unidos no tenían derecho a entrar en su casa. En la era del cloud, acceder a los datos situados fuera de Estados Unidos es igual de difícil. Las fuerzas de seguridad dependen de los tratados de asistencia legal mutua entre países, conocidos en el ámbito jurídico como MLAT por sus siglas en inglés (mutual legal assistance treaty). Conseguir un MLAT para acceder a datos en el extranjero puede tardar hasta 10 meses, lo cual ralentiza considerablemente cualquier investigación criminal, así que el Congreso decidió aprobar la Cloud Act para acelerar un poco las cosas.

¿Pero qué dice exactamente la Cloud Act y a quién se aplica?

Aunque en la prensa se puede leer que se trata de otro ejemplo de ley estadounidense «extraterritorial», en un sentido estrictamente técnico no lo es: solo es aplicable a proveedores de cloud sujetos a la legislación estadounidense. Dicho de otra forma, la Cloud Act no se aplica a OVH España, por ejemplo; solo a las empresas estadounidenses y sus filiales. Y lo que establece es que un proveedor estadounidense debe otorgar acceso a las fuerzas de seguridad a los datos del cliente «sin importar en qué lugar del mundo estén almacenados esos datos». Ese es el aspecto extraterritorial. Y eso significa que las fuerzas de seguridad estadounidenses ya no dependen de los MLAT, sino que, por ejemplo, pueden pedir a un proveedor de servicios cloud estadounidense que entregue datos almacenados en un servidor europeo.

Ahora bien, para muchos usuarios de servicios cloud la pregunta del millón es la siguiente: si yo no soy ciudadano estadounidense, pero tengo mis datos alojados en una filial europea o canadiense de un proveedor de cloud estadounidense, ¿pueden las fuerzas de seguridad de ese país (el FBI, por ejemplo) acceder a mis archivos? Desafortunadamente, me temo que tengo que dar una respuesta de abogado: «puede que sí o puede que no». En primer lugar, está claro que la Cloud Act sería aplicable, independientemente de dónde estuvieran alojados los datos, ya que la matriz estadounidense estaría sujeta a la Cloud Act. En segundo lugar, el FBI tendría que conseguir primero la autorización de un juez estadounidense (warrant) y, por lo tanto, demostrar que los datos son necesarios para una investigación sobre una actividad delictiva grave —es importante señalar que este paso intermedio ofrece una mayor protección de los derechos civiles que su equivalente español, donde no siempre se requiere la intervención de un juez—. En tercer lugar, el proveedor de cloud tiene la posibilidad de defender el derecho de su cliente a la protección de los datos (aunque eso no significa que vaya a hacerlo necesariamente) de dos formas:

  • El proveedor de cloud podría informarle, alertándole sobre la existencia de una investigación. No hay ninguna disposición en la Cloud Act que le impida hacerlo, pero tampoco hay nada que le obligue, y en los casos más graves la autorización del juez sí obligará a mantener la confidencialidad.
  • El proveedor de cloud podría recurrir la autorización judicial. Se trata de un proceso bastante complicado, ya que, para ello, el proveedor puede, o bien solicitar la modificación o anulación de la autorización en virtud de las disposiciones de la Cloud Act, que son claras y precisas, pero que solo pueden aplicarse en aquellos países que hayan firmado un acuerdo bilateral con Estados Unidos (véase más abajo), o bien ampararse en un principio jurídico tradicional conocido como comity (literalmente, «cortesía»), similar a un mecanismo de cooperación entre autoridades, que, aunque no se ve afectado por la Cloud Act, es bastante complejo. Usted como cliente no puede ser parte en dicho recurso, sino que tendrá que confiar en el buen hacer de su proveedor y en que el juez —estadounidense— estime las alegaciones del proveedor, rechazando los argumentos del FBI. El principal fundamento en el que podría basarse el proveedor para oponerse a la autorización es que, si proporcionase los datos, estaría infringiendo la ley de otro país, lo cual sería el caso, casi con total seguridad, si usted es europeo, ya que la legislación europea protege sus derechos en lo relativo a los datos personales. Del mismo modo, muchos otros países han legislado para proteger los datos de sus ciudadanos, por lo que el proveedor podría invocar estas leyes si quisiera.

Todo esto hace que sea imposible saber si el proveedor de cloud estadounidense entregará o no sus datos. No obstante, recordemos que el objetivo de la Cloud Act es evitar situaciones como la que se produjo cuando Microsoft se negó a entregar los datos alojados en Irlanda que pertenecían a un ciudadano no estadounidense.

¿Cómo afecta la Cloud Act a OVH?

Como explicamos hace un tiempo en otro artículo, incluso antes de la Cloud Act, OVH ya había diseñado su organización para ofrecer a sus clientes la máxima protección. Ni OVH España ni OVH Francia están sujetas a la Cloud Act, ya que no son empresas estadounidenses. Si una agencia estadounidense quisiera obtener datos alojados por OVH España u OVH Francia, tendría que seguir el procedimiento MLAT.

Como es natural, la Cloud Act sí se aplica a OVH US, que sí es estadounidense. Sin embargo, es una filial de OVH independiente, que tiene sus propios órganos directivos, su propia estrategia, su propio marketing operativo... totalmente independientes del resto del grupo. Como filial, no puede decir a su matriz OVH Francia qué hacer. Es más, OVH US no tiene acceso a los datos alojados por otros miembros del grupo OVH. Si las fuerzas de seguridad estadounidenses tuvieran una autorización judicial que exigiera a OVH US entregar datos alojados por otras empresas del grupo, esta no podría proporcionárselos, porque dichos datos no están en su «posesión, custodia o control».

La Cloud Act es nueva y todavía no sabemos cómo va a funcionar en la práctica. La ley contempla que los Gobiernos extranjeros firmen acuerdos bilaterales para que su aplicación sea más fluida, pero ninguno lo ha hecho hasta ahora. Aunque a día de hoy son meras especulaciones, es posible que la Comisión Europea y Estados Unidos establezcan algún tipo de marco de cooperación. Otra posibilidad es que Europa apruebe su propia versión de la Cloud Act, de la que actualmente se está debatiendo un borrador. Tendremos que esperar para ver qué pasa.

Mientras tanto, OVH respeta el derecho de sus clientes a saber dónde están alojados sus datos y, en la medida en que la legislación lo permite, qué ocurre con ellos. Usted puede decidir si quiere que OVH US aloje sus datos —aunque tendrá que contratar sus servicios con OVH US, no con OVH España—, en cuyo caso estos estarían sujetos a la Cloud Act. O puede optar por alojar sus datos en Europa o Canadá, e incluso elegir el datacenter en que estos estarán almacenados físicamente. En OVH queremos que nuestros clientes puedan decidir y que además tomen decisiones informadas. Por eso la transparencia es parte de nuestra cultura, y por eso hemos publicado este artículo sobre este intrincado tema legal.

Adam Smith, Chief Legal Officer