La Cloud Act (Clarifying Lawful Overseas Use of Data Act), es una ley federal aprobada en EE. UU. en 2018, permite que las autoridades estadounidenses accedan a datos almacenados en el extranjero por empresas de este país, incluso si esos datos pertenecen a ciudadanos no estadounidenses y están almacenados en servidores fuera de EE.UU.
¿Qué tipo de DATOS puede solicitar EE. UU.?
Las autoridades estadounidenses pueden solicitar acceso a una amplia gama de datos almacenados por proveedores de servicios sujetos a la ley estadounidense.
Entre estos datos se encuentran el contenido de comunicaciones electrónicas, como correos electrónicos, mensajes de texto y archivos almacenados en la nube; los metadatos asociados a las comunicaciones tales como registros de llamadas, direcciones IP y ubicaciones, información sobre el origen, destino, fecha y hora de las comunicaciones; datos de uso de aplicaciones y servicios, que pueden incluir información sobre la actividad en línea de un usuario, o datos de servicios en la nube como los proporcionados por Microsoft, Google o Amazon.
¿Cómo puede EE. UU. acceder a estos datos?
El Cloud Act permite a las autoridades estadounidenses emitir órdenes de producción de datos a proveedores de servicios, incluso si los datos están almacenados fuera de EE.UU. Además, establece un marco para que EE. UU. celebre acuerdos ejecutivos con otros países, permitiendo el acceso directo a los datos sin necesidad de pasar por los canales tradicionales de asistencia legal mutua.
¿Qué implicaciones tiene esto para los ciudadanos europeos?
Para los ciudadanos europeos, esto plantea preocupaciones sobre la protección de datos personales y la soberanía digital. Aunque la legislación de la UE, como el Reglamento General de Protección de Datos (GDPR), establece normas estrictas sobre el tratamiento de datos personales, el Cloud Act puede permitir que las autoridades estadounidenses accedan a esos datos sin el consentimiento de los usuarios o sin la supervisión de las autoridades europeas.
¿Qué autoridades estadounidenses pueden solicitar datos de ciudadanos españoles?
Cualquier agencia de la ley o de inteligencia de EE. UU. con autoridad legal para solicitar acceso a datos puede hacerlo bajo el Cloud Act. Esto incluye agencias como el FBI, la DEA, el Departamento de Justicia (DOJ) y la Agencia de Seguridad Nacional (NSA). Estas agencias pueden emitir órdenes judiciales o citaciones para acceder a datos almacenados por proveedores de servicios sujetos a la jurisdicción de EE. UU., independientemente de la ubicación física de esos datos.
¿Cómo se realiza la solicitud?
Las solicitudes de acceso a datos bajo el Cloud Act generalmente requieren una orden judicial emitida por una corte estadounidense. Sin embargo, el Cloud Act también permite que EE.UU. celebre acuerdos bilaterales, denominados «acuerdos ejecutivos», con países extranjeros para facilitar el acceso directo a datos sin necesidad de pasar por los procedimientos tradicionales de asistencia legal mutua. Estos acuerdos están destinados a países que cumplen con ciertos estándares de protección de datos y derechos civiles. Hasta la fecha, EE. UU. ha firmado acuerdos ejecutivos con países como el Reino Unido y Australia.
¿España tiene un acuerdo con EE. UU. bajo el CLOUD Act?
No. España no ha firmado un acuerdo ejecutivo con EE. UU. bajo el Cloud Act. Por lo tanto, las autoridades estadounidenses no tienen un acceso directo y formal a los datos de ciudadanos españoles almacenados por proveedores de servicios estadounidenses. Sin embargo, esto no impide que las autoridades estadounidenses soliciten acceso a esos datos mediante los procedimientos legales estándar, como órdenes judiciales emitidas por tribunales estadounidenses.
Esto plantea preocupaciones sobre la privacidad y la soberanía digital, ya que los datos pueden ser accedidos sin el conocimiento o consentimiento de las autoridades españolas. Además, el acceso a estos datos puede entrar en conflicto con la legislación de protección de datos de la UE, como el Reglamento General de Protección de Datos (GDPR).
Esta situación ha generado tensiones entre la legislación estadounidense y las normativas de protección de datos de la UE, llevando a debates sobre la necesidad de fortalecer la soberanía digital europea y revisar los acuerdos de transferencia de datos entre la UE y Estados Unidos.
El Cloud Act permite que EE. UU. haga acuerdos con otros países para acceso directo a datos, pero la UE hasta ahora no tiene un acuerdo integral que permita el acceso sin pasar por procedimientos legales de asistencia mutua.
¿Puede EE.UU. pedir datos de militares, políticos o periodistas europeos?
El Cloud Act no hace distinciones sobre la categoría del ciudadano. Su alcance se centra en los datos almacenados por proveedores de servicios sujetos a la ley estadounidense, no en la profesión o rol del usuario.
Esto significa que, en principio, EE.UU. podría solicitar acceso a datos de cualquier ciudadano europeo —incluyendo militares, políticos, periodistas o cualquier otra persona— si la información está en servidores de empresas estadounidenses como Microsoft, Google o Amazon.
Sin embargo, hay matices importantes. Y es que algunos datos pueden estar protegidos por leyes específicas, como comunicaciones de periodistas (fuentes) o información clasificada militar. Estas protecciones podrían limitar la cooperación del proveedor o dar pie a disputas legales.
Además, la UE y sus Estados miembros tienen normas de protección de datos que podrían entrar en conflicto con esta ley federal norteamericana, generando litigios o negaciones parciales de acceso.
Aunque legalmente EE. UU. puede pedir los datos, en la práctica ciertos proveedores pueden resistirse si creen que la solicitud viola leyes europeas, especialmente cuando se trata de datos sensibles.
En resumen, el Cloud Act permite pedir datos de cualquier ciudadano europeo, pero la efectividad de esa solicitud puede verse limitada por la legislación europea y la naturaleza de la información.
Esta ley norteamericana no distingue roles ni ciudadanía europea, puede solicitar cualquier dato de usuarios de servicios estadounidenses.
Si las autoridades EE.UU. acceden a mis datos, ¿puedo demandarles?
Si acceden a tus datos sin tu consentimiento, sí y no puedes demandarlos, ya que la situación es complicada y depende de varios factores legales.
Para empezar, hay una cuestión de jurisdicción, ya que el Cloud Act permite que las autoridades estadounidenses accedan a datos de usuarios de empresas estadounidenses, incluso si esos datos están fuera de EE. UU. Como ciudadano español, no eres ciudadano estadounidense, y tu caso estaría fuera de la jurisdicción normal de EE. UU. para demandas individuales.
En la práctica, esto significa que demandar directamente al gobierno estadounidense desde España es extremadamente difícil. EE.UU. tiene inmunidad soberana, lo que protege al gobierno de la mayoría de las demandas civiles por actos oficiales.
Entonces, ¿Qué opciones legales podrían existir?
La opción pasaría por demandar a la empresa que almacenaba los datos (por ejemplo, Microsoft, Google, Amazon). Si esta no protegió adecuadamente tus datos según la ley aplicable (por ejemplo, GDPR en la UE), sí podrías demandar a la empresa en Europa.
Muchas demandas relacionadas con privacidad de datos en Europa se han basado en que las empresas deben notificar a los usuarios sobre acceso a sus datos por terceros.
Se puede presentar una queja ante la Agencia Española de Protección de Datos, que puede investigar y, en algunos casos, exigir a la empresa que implemente medidas de protección adicionales.
Pero las demandas directas contra el gobierno estadounidense… No, es una opción prácticamente inviable para ciudadanos extranjeros. Solo casos muy excepcionales han tenido éxito, normalmente con intervención de Estados soberanos a través de mecanismos diplomáticos o acuerdos internacionales.
¿Cómo lo hago? Pasos prácticos
Lo primero que hay que hacer es reunir evidencia de qué datos fueron accedidos y cuándo. A continuación, verificar si la empresa notificó correctamente el acceso (si aplica GDPR, deberían hacerlo) y presentar queja formal ante la AEPD o equivalente en cada país.Una vez hecho, considerar acciones legales contra la empresa en Europa, no contra EE.UU.
La vía más realista es responsabilizar a la empresa que almacenaba tus datos bajo la legislación europea. Además, la presentación de quejas ante la autoridad de protección de datos puede generar consecuencias regulatorias.
¿Y qué pueden hacer las empresas y ciudadanos españoles ante este riesgo?
Lo más directo pasa por utilizar proveedores de servicios no sujetos a la jurisdicción de EE. UU., que operan bajo la legislación de la UE o de países con leyes de protección de datos equivalentes.
También, implementar cifrado de extremo a extremo (asegurarse de que los datos estén cifrados de manera que solo el usuario final tenga acceso a ellos, y revisar las políticas de privacidad y transparencia de los proveedores de servicios: cómo manejan las solicitudes de acceso a datos por parte de autoridades extranjeras.
Es muy importante estar informado sobre las implicaciones legales y de privacidad al utilizar servicios tecnológicos, especialmente aquellos que operan bajo jurisdicciones extranjeras. Ya sean chinos o estadounidenses.
