¿Qué es la CLOUD Act?
La CLOUD Act es una ley estadounidense de 2018 que permite a las autoridades de EE. UU. requerir datos a empresas sujetas a jurisdicción estadounidense, independientemente de dónde estén alojados físicamente esos datos, incluso si están en datacenters europeos.
Su nombre completo es Clarifying Lawful Overseas Use of Data Act. En la práctica significa que no importa que el servidor esté en Fráncfort, Madrid o Dublín: si la empresa que opera el servicio es estadounidense, o filial de una estadounidense, puede recibir un requerimiento legal de EE. UU. para entregar datos, a veces con una orden de confidencialidad que le impide avisar al cliente.
Esto choca de frente con el RGPD, que prohíbe en principio transferir datos personales fuera de la UE sin garantías adecuadas, y deja a la empresa europea en una contradicción jurídica.
Por eso, para datos sensibles, la protección frente a la CLOUD Act pasa por elegir un proveedor bajo derecho europeo y mantener tú el control de las claves de cifrado: un requerimiento al proveedor obtendría datos ilegibles.
Preguntas frecuentes
¿La CLOUD Act afecta a los datos en la región europea de AWS o Azure?
Sí. La región europea resuelve dónde están físicamente los datos, pero no la jurisdicción del proveedor. Al ser empresas estadounidenses, AWS, Azure o Google Cloud siguen sujetas a la CLOUD Act aunque el datacenter esté en la UE.
Servicios relacionados
Sigue leyendo
¿Lo aplicamos a tu caso?
Cuéntanos tu proyecto y un especialista te propone la arquitectura, los plazos y el presupuesto. Sin coste y sin compromiso.