- La US CLOUD Act (2018) permite a las fuerzas del orden de los Estados Unidos obligar a cualquier proveedor de cloud con sede en los Estados Unidos a divulgar datos, incluso datos almacenados en los centros de datos de la UE
- Esto crea un conflicto directo con el requisito del RGPD para una protección adecuada de datos: los SCC de la UE no resuelven este conflicto
- Los proveedores afectados incluyen Google Workspace, Microsoft 365, AWS, Freshworks, Salesforce y esencialmente todos los principales proveedores de SaaS con sede en EE.UU
- La única solución estructural es la infraestructura europea-soberbia: proveedor con sede en la UE, hospedaje en la UE, no transferencia de EE.UU., no exposición a CLOUD Act
Cuando una empresa europea elige un proveedor de software en la nube, las preguntas principales son generalmente sobre funcionalidad y precio. La cuestión de dónde tiene sede la empresa —y qué obligaciones legales crea para el proveedor— rara vez se considera con el mismo rigor.
Debería ser. Para las empresas que procesan datos de clientes regulados — registros financieros de clientes, archivos legales, datos de salud, información AML/KYC— el estado jurisdiccional de sus proveedores de software es una cuestión de cumplimiento, no sólo comercial.
Lo que la Ley CLOUD significa para las empresas europeas
The Clarifying Lawful Overseas Use of Data Act (CLOUD Act), promulgada por el Congreso de los Estados Unidos en 2018, autoriza a las agencias de seguridad de los Estados Unidos a obligar a las empresas con sede en los Estados Unidos a producir datos almacenados en sus servidores, independientemente de dónde estén ubicados físicamente esos servidores.
Antes de la Ley CLOUD, una solicitud de cumplimiento de la ley de los Estados Unidos de datos almacenados en un centro de datos europeo habría tenido que pasar por el proceso del Tratado de Asistencia Jurídica Mutua (MLAT), que es lento e implica la cooperación de las autoridades europeas. La Ley CLOUD lo superó permitiendo órdenes directas a la empresa con sede en Estados Unidos, sin necesidad de pasar por el país donde se almacenan los datos.
La implicación práctica: si los datos de su cliente se almacenan con un proveedor de cloud con sede en los Estados Unidos —incluso en un centro de datos de la UE—, la policía puede obligar a ese proveedor a producir los datos de sus clientes sin notificarlo, sin pasar por los procesos legales de la UE, y sin el consentimiento de las autoridades europeas de protección de datos.
The CLOUD Act conflict with GDPR: GDPR Article 48 prohibits the transfer of personal data to a non-EU authority unless that transfer is authorised by an EU-US agreement or an EU member state law. Una orden de la Ley CLOUD no cumple ninguna de estas condiciones. Esto significa que un proveedor con sede en EE.UU. que cumple con una orden de la Ley CLOUD para los datos personales de la UE es, a juicio de muchas autoridades europeas de protección de datos, causando una violación del RGPD, independientemente de las condiciones de servicio del proveedor.
Que proveedores son afectados
Toda empresa incorporada en los Estados Unidos, independientemente de dónde se encuentren sus centros de datos, está sujeta a la Ley CLOUD. Esto incluye:
- Google Google Workspace, Google Drive, Gmail — Con sede en Estados Unidos, CLOUD La ley se aplica incluso cuando se selecciona la residencia de datos de la UE
- Microsoft Microsoft 365, Teams, SharePoint, Azure — con sede en Estados Unidos, CLOUD La ley se aplica incluso a los despliegues de la Unión Europea
- Amazon AWS, Amazon WorkMail — US-head, CLOUD La ley se aplica a todas las regiones del AWS, incluido el eu-oeste
- Freshworks Freshservice, Freshsales, Freshdesk — US-headquartered (Delaware), CLOUD Act aplica
- Salesforce Sales Cloud, Service Cloud — US-head, CLOUD Act aplica
- HubSpot CRM, Centro de Marketing — Ley CLOUD, con sede en los Estados Unidos
Esta no es una lista exhaustiva — se aplica esencialmente a todos los principales proveedores de SaaS con sede en Estados Unidos. La opción del centro de datos de la UE, que muchos proveedores ofrecen como una función de "respeto de GDPR", no elimina la exposición de CLOUD Act. La residencia de datos y la jurisdicción legal son cosas diferentes.
Por qué las cláusulas contractuales estándar no son suficientes
La respuesta estándar de los proveedores con sede en los Estados Unidos a las preguntas de cumplimiento del RGPD es que ofrecen cláusulas contractuales estándar de la UE (CCC) en sus acuerdos de procesamiento de datos. Los SCC son un mecanismo para legitimar las transferencias de datos de la UE a terceros países con arreglo al RGPD, pero no resuelven el conflicto de la Ley CLOUD.
El fallo Schrems II del CJEU (2020) dejó en claro que los SCC sólo son válidos cuando el marco legal del país receptor no socava la protección que proporcionan. Para los Estados Unidos, la Ley CLOUD es exactamente este tipo de marco jurídico que socava: permite que el proveedor se vea obligado a revelar datos de manera que los CCE prohíban explícitamente.
SCCs require the provider to notify the data exporter of any legal orders that conflict with the SCCs and to challenge such orders where possible. Pero las órdenes de la Ley CLOUD incluyen con frecuencia disposiciones de la mordaza que impiden que el proveedor notifique al cliente, lo que hace que la obligación de notificación de la SCC sea efectivamente inaplicable.
The EDPB position: The European Data Protection Board has repeatedly stated that the existence of US surveillance laws, including the CLOUD Act, means that SCCs alone are not sufficient to legitimise transfers to US-headquartered providers without supplement measures. Las medidas suplementarias que abordan adecuadamente la exposición de la Ley CLOUD son técnicamente exigentes y raramente aplicadas en la práctica.
La alternativa: infraestructura europea-soberbia
La solución estructural del problema de la Ley CLOUD es utilizar un proveedor que no esté sujeto a la jurisdicción estadounidense. Esto significa: con sede en la UE (o EEE), infraestructura operativa situada enteramente dentro de la UE, sin empresa matriz basada en los Estados Unidos, y sin subprocesadores estadounidenses con acceso a datos de clientes no cifrados.
Esto es distinto de la residencia de datos de la UE que ofrecen los proveedores con sede en Estados Unidos. Dirección de residencia de datos de la UE donde se almacenan los datos. La soberanía europea aborda la jurisdicción jurídica de la entidad que controla esos datos —la jurisdicción que determina quién puede obligar su divulgación.
Residencia de datos de la UE (proveedor de EE.UU.)
Los datos se almacenan en los centros de datos de la UE. Pero la empresa matriz con sede en Estados Unidos mantiene el control y sigue sujeto a órdenes de la Ley CLOUD. El almacenamiento no determina la jurisdicción legal.
Soberanía europea (proveedor de la UE)
Los datos se almacenan en centros de datos de la UE operados por una empresa con sede en la UE sin padres estadounidenses. No hay exposición a CLOUD Act. Las fuerzas del orden de los Estados Unidos deben utilizar el proceso MLAT, que requiere la cooperación de la autoridad de la UE.
Cómo HubSecure maneja la residencia de datos
HubSecure opera infraestructura con sede en la UE sin transferencia de datos a sistemas estadounidenses. Los datos del cliente procesados a través de HubSecure no fluyen a través de sistemas controlados por Estados Unidos y no están sujetos a órdenes de la Ley CLOUD. La arquitectura de la plataforma está diseñada para la soberanía europea de datos desde el suelo, no adaptada a ella después del hecho.
Los compromisos específicos de soberanía de datos en el acuerdo de procesamiento de datos de HubSecure abarcan:
- Alojamiento de la UE para todos los datos del cliente sin transferencia a subprocesadores no pertenecientes a la UE
- Lista de subprocesadores limitada a proveedores con sede en la UE
- Ninguna empresa matriz basada en los Estados Unidos con control sobre los datos
- Portabilidad de datos: exportación completa de todos los datos del cliente en formatos estructurados bajo petición
- Derecho a la eliminación: eliminación completa de todos los datos del cliente en la terminación de la cuenta, con certificado de supresión
El marco competitivo: Para las empresas reguladas europeas, la soberanía europea de datos es cada vez más una expectativa del cliente, no sólo un requisito de cumplimiento interno. Los clientes de servicios financieros, proveedores de atención médica y clientes legales que entienden la pregunta de la Ley CLOUD están haciendo a sus proveedores de servicios, y a sus proveedores de software, acerca de la exposición de la Ley CLOUD. Ser capaz de responder "ninguno" es una verdadera ventaja competitiva en las conversaciones de compras.
Qué debe preguntar a sus proveedores actuales
Si usted está evaluando la exposición CLOUD Act de su pila de herramientas actual, estas son las preguntas que importan:
- ¿Dónde está incorporada esta empresa? Si la respuesta es Estados Unidos, la Ley CLOUD aplica independientemente de otros factores.
- ¿Tiene la compañía una empresa matriz con sede en Estados Unidos? Las filiales de los padres de Estados Unidos también pueden estar sujetas a órdenes de la Ley CLOUD dirigidas al padre.
- ¿Puede la compañía proporcionar confirmación por escrito que ninguna entidad con sede en Estados Unidos tiene acceso a los datos sin cifrar de mis clientes? Esta es la prueba técnica: si una entidad estadounidense puede acceder a los datos, puede verse obligada a producirlo.
- ¿Qué medidas técnicas complementarias implementa la empresa para mitigar la exposición a CLOUD Act para clientes de la UE? Las respuestas aceptables implican encriptación lado cliente con llaves sujetas por el cliente, no sólo TLS en tránsito.
Aprender acerca de la residencia de datos en HubSecure
Revise nuestros compromisos de residencia de datos, lista de subprocesadores y acuerdo de procesamiento de datos, y hable con nosotros sobre la migración de herramientas basadas en los Estados Unidos.
Datos sobre la residencia de datosPuestos conexos
Post-Quantum Encryption: Why Your Business Data Needs It Now · NIS2 Compliance Checklist: How HubSecure Covers Every Requirement · Why Regulated Companies Need Governed AI, Not Just AI · HubSecure vs Freshworks: Service Tickets vs Governed Operations