La Ley CLOUD y el acceso de las agencias de seguridad norteamericanas a los datos en el extranjero

El Congreso de los Estados Unidos aprobó la Ley CLOUD que modifica las leyes de vigilancia informática. Su objetivo es facilitar el acceso de las fuerzas de seguridad del Estados a los contenidos de las comunicaciones electrónicas y otros datos relacionados.

1. El Congreso de los Estados Unidos aprobó la Ley CLOUD que modifica las leyes de vigilancia informática. Su objetivo es facilitar el acceso de las fuerzas de seguridad del Estados a los contenidos de las comunicaciones electrónicas y otros datos relacionados.

2. La Ley fue promulgada el 23 de marzo de 2018, el nombre CLOUD no corresponde a la COMPUTACIÓN EN LA NUBE (“CLOUD”) sino a su texto y contenido, es la “Ley de Clarificación del Uso de Datos en el Extranjero”.

3. La Ley aborda dos aspectos relacionados con el acceso transfronterizo a los datos de las comunicaciones por parte de las Agencias de Seguridad: (i) resuelve la cuestiones jurídicas discutidas en el caso contra la empresa Microsoft que está pendiente de decisión por la Suprema Corte, al permitir de una manera general que las Agencias de Seguridad estadounidenses obtengan contenido de comunicaciones y datos incluso si está almacenado en el extranjero; y (ii) permite a los proveedores de servicios de internet (“ISP”) norteamericanos colaborar con los procesos y órdenes judiciales del extranjero que buscan acceso a los datos de comunicaciones almacenados en los Estados Unidos, pero solo si el país de origen de la solicitud a los ISP ha celebrado un acuerdo con Estados Unidos.

4. En cuanto al acceso de las Agencias de Seguridad los Estados Unidos a los datos almacenados en el extranjero se debe tener en cuenta que antes de la promulgación de la Ley CLOUD, no era claro si el gobierno de los Estados Unidos podía obligar la divulgación del contenido de las comunicaciones que el ISP había almacenado en un país extranjero. En el reciente caso Microsoft, precisamente se discutieron las dos posiciones al respecto bajo la Ley Norteamericana, por una parte Microsoft argumentó que la orden judicial tendría efecto extraterritorial porque la información reposaba en sus servidores en el extranjero; por su parte, el gobierno norteamericano argumentó que la divulgación de información ocurriría finalmente en los Estados Unidos.

 

5. La ley CLOUD especifica que un ISP que tenga una orden u otro proceso judicial debe entregar los contenidos u las información en su “posesión, custodia o control”, independientemente de donde se almacena esa información. El ISP puede negar la divulgación solo si: (i) el suscriptor no es ciudadano norteamericano o reside fuera de los Estados Unidos; y (ii) si divulgar la información crearía un riesgo importante de que el ISP infringiera las leyes del “gobierno extranjero especificado”, es decir, de un gobierno que haya celebrado un acuerdo para facilitar el acceso transfronterizo a los datos.

6. En cuento a las solicitudes de aplicación de la ley extranjera a ISP de los Estados Unidos, antes de la promulgación de la Ley CLOUD, se prohibía que los proveedores aceptaran procesos judiciales extranjeros que pretendieran la divulgación de contenidos de comunicaciones almacenados en ese territorio. La Ley CLOUD permite que los ISP cumplan con dicho las ordenes judiciales extranjeras, pero solo si la solicitud: (i) no se dirige en relación con personas residentes en los Estados Unidos; y (ii) proviene de un país que ha llegado a un acuerdo específico en esta materia con los Estados Unidos.

7 . La Ley CLOUD especifica los requisitos que los países que deben tener para que puedan ser sujetos de estos acuerdos con Estados Unidos:

7.1. Los países deben otorgar protección a la privacidad y a los derechos fundamentales;

7.2  Las órdenes deben tener relación con delitos graves y que estén consagrados en la ley con supuestos similares -no necesariamente idénticos- a los de EE. UU;

7.3 Las ordenes deben provenir de un tribunal u otra autoridad independiente con funciones o control jurisdiccional.

8. Por ahora, el Reino Unido -con anterioridad a la vigencia de la Ley CLOUD- es el único país que ha firmado con los Estados Unidos un acuerdo que reúne las características exigidas para la aplicación de la misma.