Jamal Labed – CEO & Co-fundador de EasyVista
Alain WEBER – Abogado Henri Leclerc & Asociados – Miembro del Consejo de la Orden
Marie CHAUMARD – Abogado Henri Leclerc & Asociados
La cuestión es por lo general abordada únicamente en los ámbitos de la seguridad técnica o física de los datos. Sin embargo, la seguridad jurídica de los datos también puede ser un asunto muy delicado.
Dado el predominio de compañías basadas en Estados Unidos en el campo del SaaS, es de vital importancia considerar los riesgos que supone la Patriot Act a la cual están sometidos, en contraste con los fabricantes de software y proveedores SaaS europeos.
Esta posición legal fue escrita en colaboración con la opinión de expertos legales en protección de datos, proporcionando un análisis detallado de este tema central.
Opinión Legal
La legislación resultante de la aplicación de la USA PATRIOT ACT (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) del 26 de octubre de 2001, prolongada hasta junio de 2015, impone a las empresas de derecho estadounidense y a sus filiales en el mundo, así como a los servidores hospedados en el territorio de los Estados Unidos, obligaciones que permiten a los servicios de seguridad estadounidenses acceder a datos de carácter personal.
1) Recordemos que un dato personal es:
” (…) toda información relativa a una persona física identificada o que puede ser identificada, directa o indirectamente, por referencia a un número de identificación o a uno o varios elementos que le son propios. Para determinar si una persona es identificable, es conveniente considerar el conjunto de los medios con vistas a permitir su identificación de los cuales dispone o a los cuales puede tener acceso el responsable del tratamiento o cualquier otra persona.
Constituye un tratamiento de datos de carácter personal cualquier operación o cualquier conjunto de operaciones sobre tales datos, independientemente del procedimiento utilizado, y en particular la recolección, el registro, la organización, la conservación, la adaptación o modificación, la extracción, la consulta, la utilización, la comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, el acercamiento o la interconexión, así como el bloqueo, el borrado o la destrucción.
Constituye un fichero de datos de carácter personal todo conjunto estructurado y estable de datos de carácter personal accesibles de acuerdo a criterios determinados.
La persona concernida por un tratamiento de datos de carácter personal es aquella con la cual se relacionan los datos que son objeto del tratamiento”.
Los datos que usted hospeda se encuentran por lo tanto concernidos.
2) Más precisamente, la sección 215 de la USA PATRIOT ACT y las secciones 504, 505 y 358 autorizan los registros, ya sea bajo el control de un Juez o fuera del control de un Juez. Estas acciones pueden mantenerse secretas durante un período de tiempo indeterminado.
3) De ello resulta que la persona concernida ignora los datos que han sido consultados o apropiados como resultado de los registros, así como el uso que se hace o que se hará de los mismos; ignora además las modalidades de conservación y la identidad de los servicios de información o de policía a los cuales han sido destinados.
4) La Unión Europea ha dictado textos que protegen los datos personales. La Directiva 95/46 CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 recuerda los principios según los cuales los sistemas de tratamiento de datos se encuentran al servicio del Hombre y deben – independientemente de la nacionalidad o de la residencia de las personas físicas – respetar las libertades y los derechos fundamentales de esas personas, y en particular su vida privada.
5) Se estableció el dispositivo particular denominado “Safe Harbour” o “Esfera de seguridad” relativo a las garantías con que se cuenta en caso de flujo de datos entre empresas estadounidenses y empresas europeas.
6) El sistema descansa en la auto-certificación de las empresas estadounidenses que declaran adherir a una serie de principios de protección de datos personales y de protección de la vida privada.
7) Estos principios, basados en los de la Directiva 95/46 del 26 de octubre de 1995, fueron negociados entre las autoridades estadounidenses y la Comisión Europea y publicados por el Ministerio de Comercio de los Estados Unidos.
8) La Comisión Europea adoptó el 26 de julio de 2000 una decisión de adecuación, que reconoce que los principios de « Safe Harbour » aseguran una protección adecuada a las necesidades de transferencia de datos de carácter personal desde la Unión Europea.
9) Sin embargo, la decisión de adecuación de la Comisión Europea con fecha 26 de julio de 2000 es anterior a la promulgación de la legislación resultante de la USA PATRIOT ACT, el 26 de octubre de 2001.
10) El secreto que rodea las actividades de los servicios de información que dependen del Gobierno de los Estados Unidos impide cualquier verificación en cuanto al respeto de los principios de la Directiva, en particular sobre las actividades de recolección, tratamiento y conservación de los datos, e impide todo control sobre esas actividades.
11) De ello resulta la ineficacia del « Safe Harbour » para garantizar la confidencialidad de los datos hospedados en sociedades de derecho estadounidenses o sus filiales, o en servidores situados en los Estados Unidos, en particular sobre plataformas Cloud.
12) Con el fin de compensar la ineficacia de « Safe Harbour », la Unión Europea propuso que se publique durante el 1er semestre de 2012 un reglamento titulado « General Data Protection Regulation » y una Directiva titulada « Police and Criminal Justice Data Production Directive ».
13) Estos instrumentos consideran, dentro de este ámbito, el aumento de las garantías que deberán ofrecer terceros países destinatarios de los datos, y en particular la consideración por la Comisión (con el fin de dictar decisiones de adecuación como se hizo en el caso de “Safe Harbour”), de la legislación relativa a la seguridad pública, la defensa, la seguridad nacional y la criminalidad, así como la existencia y la actividad efectiva en el tercer país de una autoridad independiente de protección de los datos de carácter personal, encargada de estos asuntos y cooperando con las autoridades de la Unión Europea.
*********************
En estas condiciones, queda de manifiesto que las disposiciones de la USA PATRIOT ACT antes mencionadas, específicamente las secciones 215, 504, 505 y 358, son incompatibles con las exigencias de protección y confidencialidad de la Unión Europea.
También cabe considerar que la decisión de adecuación de la Comisión sobre la cual se apoya el dispositivo de « Safe Harbour » ha caducado, dada la implementación de la legislación derogatoria resultante de la USA PATRIOT ACT.
Efectivamente, esa legislación anula todos los principios de protección de la confidencialidad de los datos, tal como dichos principios han sido acordados por la legislación europea, haciendo así ineficaz la confidencialidad pretendidamente vinculada con el tratamiento de los datos en el marco del dispositivo « Safe Harbour », en particular para los datos hospedados en plataformas Cloud.
En cambio, parece que la USA PATRIOT ACT es impotente para obligar a una sociedad europea – incluso si ésta tiene una filial en los Estados Unidos – a dar a conocer o permitir el acceso de las autoridades estadounidenses a los datos personales que ella hospeda en Europa o en cualquier otro país fuera de los EE.UU.
La filial situada en los EE.UU., en cambio, se encuentra sometida a la USA PATRIOT ACT para los datos que hospeda.
En otros términos, la presencia en los EE.UU. de una filial de una sociedad europea no permite alcanzar a la sociedad matriz o hermana de dicha filial, ni a los datos que ellas puedan hospedar fuera de los EE.UU.