Cloud Computing y Privacidad: UE vs EEUU visto desde Europa
Hallar el equilibrio adecuado entre la lucha contra el terrorismo y la protección de la intimidad de los ciudadanos se ha convertido en el principal caballo de batalla en la negociación de acuerdos transatlánticos entre la Unión Europea y Estados Unidos. Nos centraremos ahora en la Privacidad.
Por su parte, EEUU mantiene una línea legislativa muy orientada a la lucha contra el terrorismo y a la seguridad, por lo que hoy por hoy, casi únicamente es posible realizar movimiento de datos entre EU y EEUU en los supuestos tasados del Acuerdo Safe Harbour, y sólo con las entidades estadounidenses adheridas a los principios que conforman dicho acuerdo, o en base a Acuerdos singulares que se formalicen al efecto (p.e. SWIFT).
En este sentido, recordemos que los ministros de Asuntos Exteriores de la Unión Europea pusieron fin definitivamente al acuerdo provisional de transferencia de datos bancarios con Estados Unidos a través de la red SWIFT, tras el rechazo expresado por la Eurocámara el 11 de febrero de 2010. Para los eurodiputados, el acuerdo no ofrecía garantías suficientes en cuanto a protección de los datos de los ciudadanos europeos.
Analicemos este supuesto, cuyas consecuencias serían previsiblemente aplicables a otros similares, ocho de cada diez transacciones financieras que se realizan en 208 países del mundo pasan a través de la empresa SWIFT. Tras los atentados contra las Torres Gemelas en Nueva York, Estados Unidos recurrió a SWIFT para rastrear transacciones bancarias, sobre la base de un programa de su departamento de Estado para el seguimiento de la financiación del terrorismo. A lo largo de 2009, SWIFT estableció en Suiza un centro específico de almacenamiento de sus datos europeos; hasta ese momento, todo se concentraba en un servidor estadounidense.
En relación al Cloud Computing y al acceso a la información en él alojada, resulta de especial interés dentro de la normativa interna EEUU la Patriot Act, y su ámbito de aplicación práctica como ley estadounidense.
Por parte Europea, estamos ante un proyecto de Reglamento UE, que se centra en 3 aspectos:
El primero es la seguridad jurídica; en este sentido se amplía el alcance de la normativa europea a todas las empresas extranjeras que comercialicen bienes o servicios a consumidores de la UE (incluso si sus servidores se encuentran fuera de la UE). Con una clara influencia en los servicios de Cloud Computing.
El segundo sería la simplificación normativa: se establece que las empresas con actividad en varios estados estarán sometidas a una única autoridad de protección de datos, la del domicilio de su sede principal. Pero ¿qué pasa si el Proveedor de servicios de Cloud Computing está fuera de la UE? Para ello, deberemos de estar a las Normas Corporativas Vinculantes como posible solución. Pero la solución de las Normas Corporativas Vinculantes no es novedosa, ya la hemos estado aplicando desde hace tiempo en la transferencia internacional de datos.
El tercero se refiere a la clarificación de las normas sobre las transferencias internacionales de datos personales. El reglamento se propone crear un modelo único de Normas Corporativas Vinculantes (que permiten a multinacionales y grupos de empresas realizar transferencias intragrupo fuera de la UE) que sólo precisen una única autorización a nivel UE.
Aunque la aplicación práctica de este reglamento habrá que ir viendo como se materializa una vez que entre en vigor y atendiendo a las múltiples y muy específicas peculiaridades del Cloud Computing y a la existencia de normativas estatales que pueden colisionar con la regulación normativa europea de la protección de la privacidad, como es el caso de la Patriot Act Norteamericana.
En la actualidad, sin necesidad de buscar explicaciones confusas o complicadas, los proveedores de servicios de Cloud Computing son encargados del tratamiento en aplicación de la normativa de protección de datos.
Consiguientemente, será necesario formalizar un contrato de encargo del tratamiento con estos proveedores de servicios ya que el responsable del fichero es el obligado de formalizar dicha relación en un contrato y de exigir unos requerimientos mínimos conforme se establece en el artículo 12 de la LOPD o en su caso el artículo 17 de la Directiva 95/46/CE. Esto es:
Implantar las medidas de seguridad necesarias para garantizar la seguridad de la información que tratan.
Deben suscribir el pertinente contrato de acceso regulando las condiciones del tratamiento que desarrollarían en nombre del responsable.
En su caso, detallar dichos tratamientos en su documento de seguridad.
Resulta de extraordinaria importancia resaltar la obligación de vigilancia que tiene sobre el cumplimiento de dicho contrato el Responsable del tratamiento.
Dentro de este marco normativo global de Privacidad, nos encontramos con una realidad, como es que la gran mayoría de los proveedores más importantes de servicios de Cloud Computing se encuentran en los EEUU. Por lo tanto, ¿cómo nos puede influir esta realidad a la hora de utilizar los servicios de Cloud Computing? ¿Cómo podríamos ajustar en la práctica lo visto hasta ahora?
Así, a modo de ejemplo, el artículo 215 de la Patriot Act permite que el director de la Agencia Federal de Investigaciones (FBI) obtenga una orden judicial, como parte de una investigación llevada a cabo contra el terrorismo internacional o cualquier actividad de inteligencia encubierta, que ordene a un ciudadano norteamericano presentar cualquier documento (libros, registros, expedientes, documentos) al que tenga acceso ese ciudadano. Se debe tener en cuenta que se puede dictar una orden Judicial bajo la Patriot Act para ser entregada a un ciudadano norteamericano, sin importar si hay sospecha real de haber cometido un acto terrorista (o de haber intentado cometerlo) o de haber participado en actividades secretas de inteligencia. En este caso, las autoridades norteamericanas no tienen la obligación de probar la existencia de hechos específicos que conducen a la creencia de que se cometió un delito o que está a punto de cometerse.
Conforme a dicho artículo, está prohibido para un particular o una empresa que haya recibido esa orden judicial divulgar la existencia de esa orden bajo pena de sanción. Incluso determina que el particular o la empresa que comunica la información al FBI después de habérsele emitido una orden judicial bajo Patriot Act tiene inmunidad total y no puede ser objeto de demandas por daños y perjuicios por ninguna tercera persona con relación, por ejemplo, a la comunicación de información privada o privilegiada relativa a esa tercera persona.
Asimismo, es preocupante observar que mientras que esta prerrogativa del FBI en teoría está sujeta a la aprobación previa de los Tribunales norteamericanos, los Tribunales en la práctica no tienen arbitrio con relación a la emisión de la orden solicitada. De hecho, siempre y cuando se cumpla con los requisitos para la emisión de la orden (es decir, la existencia de una investigación en curso sobre actividades terroristas o de inteligencia secreta), el juez debe emitir la orden. Asimismo, las autoridades norteamericanas no tienen la obligación de probar la existencia de hechos específicos que conducen a la creencia de que se cometió un delito o que está a punto de cometerse. Lo único que deben invocar las autoridades es el hecho de que la información a ser comunicada podría estar relacionada a una investigación en curso relativa a actividades terroristas o de inteligencia secreta; no es necesaria la prueba de un nexo real, probatorio.
Por lo tanto, el Cloud Computing hace posible que empresas, gobiernos, y particulares accedan y utilicen fácilmente información y por consiguiente lleven a cabo sus actividades en cualquier lugar y en cualquier momento. El flujo de información de un país a otro se denomina “flujo de datos transfronterizo”, inclusive de información personal y otros datos sensibles, considerada en la UE como Transferencia Internacional de Datos. No olvidemos que esa Transferencia Internacional de Datos con origen en UE, salvo en los supuestos de Acuerdos Internacionales va a requerir una autorización del órgano Supervisor de Protección de Datos que corresponda dentro de la UE y que, llegado el caso, puede llevarnos a supuestos en que no se autorice esa transferencia de datos.
En el Cloud Computing, el volumen de flujo de datos transfronterizo crece exponencialmente, en parte debido al fenómeno de la subcontratación de infraestructuras, software y otros servicios TI. La subcontratación consiste en la práctica por medio de la cual se contrata a un proveedor externo para que lleve a cabo un servicio como por ejemplo la administración de una base de datos. La subcontratación por lo general conduce a un ahorro en los costos y en una mejora en la calidad del servicio. ¿No es esa la base del auge del Cloud Computing?
Consiguientemente, una empresa ubicada en UE puede subcontratar servicios en Cloud Computing, como por ejemplo, el almacenamiento y la gestión de información personal y confidencial, a una organización con base en EEUU.
En base a lo que estamos viendo en relación a la Patriot Act y las facultades de control y acceso a la información que dicha norma otorga a las autoridades norteamericanas debe generarnos cierta preocupación, ya que existe riesgo de que la información pueda caer en manos de terceras personas a las que esa información no está dirigida. Esta posibilidad puede eludir la protección de información confidencial dispuesta bajo la normativa de la UE y llegado el caso a la no autorización a la transferencia internacional de datos.
Particularmente, la normativa UE obliga a la organizaciones ubicadas en UE y que confían en terceras personas proveedoras de servicios a que implementen medidas que garanticen un nivel de confidencialidad igual al que ellas deberían ofrecer. Habitualmente, la organización incluirá en el acuerdo de subcontratación una obligación contractual dirigida a la tercera persona proveedora, tendiente a respetar las normas de confidencialidad elaboradas por la normativa UE. Sin embargo, una vez que la información personal está en manos de la tercera persona proveedora establecida en EEUU, la información está sujeta a las leyes de ese país. Si surgiera un conflicto entre la obligación de confidencialidad bajo contrato y la obligación legal de divulgar (como por ejemplo una citación judicial emitida bajo la Patriot Act), en la práctica prevalecerá la ley del territorio.
Por consiguiente, existe el riesgo, al menos de acuerdo a facultades que otorga la Patriot Act, de que las agencias gubernamentales de los EEUU puedan tener acceso a la información personal de ciudadanos europeos, cuando esa información se subcontrata a un proveedor de servicios Norteamericano. En consecuencia, una empresa ubicada en UE que subcontrata la gestión de sus datos a una empresa Norteamericana como mínimo debería atender los requerimientos de la Directiva 95/46/CE y debería informar a sus clientes que su información confidencial podría estar a disposición del gobierno de los Estados Unidos en virtud de una orden judicial de ese país.
A priori, las Normas Corporativas Vinculantes a las que alude la normativa actual y futura de la UE como solución para estas transferencias internacionales de datos, con destino empresas Cloud Computing Norteamericanas, no parece suficiente para solventar esta problemática y posiblemente se produzca una revisión del Acuerdo Safe Harbour.