En uno de los muchos paneles en los que he participado, de nuevo un académico extranjero describió la Ley de aclaración del uso legítimo de datos en el extranjero (o Cloud Act) como una radical extralimitación de Estados Unidos, lo que vino a denominar "soberanía expansiva".
Era la primera vez que escuchaba ese término. Pero sí he escuchado el mismo epíteto básico a muchos funcionarios públicos extranjeros, en su mayoría preocupados por el hecho de que Estados Unidos vaya a utilizar el Cloud Act para recopilar datos de extranjeros.
El mundo alberga dudas sobre el Cloud Act, y es comprensible. ¿Cuál es el problema? Que lo que se dice dista mucho de la realidad.
A diferencia de las afirmaciones que escuchamos a menudo, el Cloud Act es un instrumento muy específico y de aplicación limitada. En él se especifica que los funcionarios encargados del cumplimiento de la ley en Estados Unidos pueden, en el marco de una investigación penal y de conformidad con normas y procedimientos detallados y concretos, solicitar correos electrónicos y otros datos en posesión de empresas sujetas a la jurisdicción estadounidense. La obligación de aportar los datos solicitados es aplicable independientemente del lugar en que se almacenen los ceros y unos subyacentes.
Importante: el Cloud Act no es una herramienta de recopilación de información. No se trata de una herramienta de espionaje económico. Los cuerpos de las fuerzas del orden solo pueden solicitar el acceso a los datos si tal acción resulta útil para una investigación penal en la que Estados Unidos tenga competencia de enjuiciamiento.
Para poder acceder a los datos, las fuerzas del orden deben cumplir normas y procedimientos específicos. Estos últimos se aplican en cualquier caso, tanto si Estados Unidos busca los datos de un ciudadano estadounidense, un residente o un extranjero.
En cuanto al contenido, las fuerzas del orden precisan una instrucción emitida por un juez independiente y basada en la determinación de una causa probable. Este es un listón relativamente exigente para las primeras. De hecho, es una norma más sólida y protectora de la privacidad que cualquier otra en ningún otro país del mundo.
Comparémoslo con el proyecto de Directiva sobre pruebas electrónicas de la UE, que exige que toda empresa que ofrezca algún servicio a los residentes de la UE cuente con un representante sito en la UE, asegurando así la jurisdicción comunitaria sobre empresas que, de otro modo, serían extraterritoriales. No existe un requisito equivalente en la legislación de Estados Unidos.
A diferencia de lo que se suele decir, el Cloud Act también adopta nuevas disposiciones pensadas específicamente para tener en cuenta los intereses soberanos extranjeros. Este instrumento prevé de forma explícita una nueva moción legal de anulación si se produce un conflicto con la legislación extranjera y se cumplen determinadas condiciones. También preserva expresamente el derecho de los proveedores a presentar recusaciones basadas en leyes extranjeras contradictorias, incluso en aquellas situaciones en las que no está disponible la moción legal de anulación. Esto contribuye a garantizar que se tengan en cuenta los intereses de otros gobiernos.
Hasta la fecha no hemos visto que tales recusaciones hayan sido objeto de litigio, en parte porque los conflictos han sido, al menos hasta el momento, más teóricos que reales. Pensemos en la investigación habitual de un ciudadano estadounidense en la fase de instrucción de un caso local de asesinato o fraude. Imaginemos que las fuerzas del orden de su país han emitido una orden destinada a Google o Facebook para obtener datos relevantes, pero, por cualquier motivo, los datos están almacenados fuera de Estados Unidos. Pocos gobiernos extranjeros, si es que hay alguno, alegarían invasión de la soberanía si las empresas entregaran esos datos.
Cabe destacar que, pese a lo que muchos afirman, Irlanda nunca declaró una vulneración de la soberanía en el dilatado litigio sobre si las fuerzas del orden estadounidenses podían obligar a Microsoft a revelar los correos electrónicos guardados en un servidor en Dublín. En los expedientes judiciales, Irlanda insistió en que, en respuesta a una solicitud diplomática, colaboraría con los funcionarios del Gobierno estadounidense respecto del acceso a los datos. Pero nunca afirmó que Estados Unidos tuviera obligación de cursar tal solicitud. O que el enfoque alternativo adoptado vulnerara su soberanía.
Dicho esto, existen casos en los que sí podría haber conflicto; si, por ejemplo, Estados Unidos se ve obligado a presentar datos de extranjeros amparados por la legislación de otro país. Aquí está en juego un interés legítimo de un Gobierno extranjero, el de proteger a sus propios ciudadanos y residentes. Si surge un conflicto de este tipo, los proveedores pueden y deben presentar una moción de anulación, tal y como permite claramente el Cloud Act. (Los funcionarios estadounidenses también deberían tomar medidas para evitar dichos conflictos)
Este tipo de enfoque tiene sentido. Lo que importa es la protección de nuestros ciudadanos y residentes, no la ubicación de los bits y bytes que traspasan nuestras fronteras.
Entretanto, la segunda parte del Cloud Act fue promulgada, aunque muchos parecen olvidarlo, a instancias de Gobiernos extranjeros, en particular del Reino Unido. Concretamente, se adoptó en respuesta a la frustración de los Gobiernos extranjeros ante las dificultades para acceder al contenido de las comunicaciones de sus propios ciudadanos y residentes en posesión de proveedores con sede en Estados Unidos. Esta parte establece un mecanismo por el cual los gobiernos extranjeros pueden, con sujeción a numerosas salvaguardas y condiciones previas, solicitar determinado contenido de comunicaciones a proveedores con sede en Estados Unidos. Esto permite a los primeros acceder a determinados datos más rápidamente, sin tener que pasar por el laborioso proceso de asistencia jurídica mutua para ello.
Es motivo de especial preocupación que países de todo el mundo recurran al chivo expiatorio del Cloud Act para establecer límites a la transferencia de datos fuera de sus fronteras. El resultado es bastante irónico: Estados Unidos, mediante el Cloud Act, ha tomado medidas para reducir las restricciones a las transferencias de datos, al tiempo que países de todo el mundo recurren al Cloud Act como apoyo para sus propios mandatos de localización de datos.
El Cloud Act no es perfecto, pero tampoco es un instrumento maléfico o una constatación expansiva de la capacidad de intromisión de EEUU, tal y como algunos afirman. Se trata, sin embargo, de una modesta disposición de derecho penal que codifica en gran medida la realidad actual y que adopta nuevas disposiciones concebidas explícitamente para dar respuesta a los intereses extranjeros sobre datos en posesión de Estados Unidos.
Jennifer Daskal es profesora de la Facultad de Derecho Washington College of Law de la American University.