Blog

Microsoft contra EE. UU., y por qué la SIC debería estar cruzando los dedos

Por Carolina Botero.

En temas de protección de datos, Estados Unidos y Europa han desarrollado aproximaciones legislativas diferentes que sirven de modelo para el resto de países y que deben articularse entre sí en el concierto internacional. Desde hace algunos años, Microsoft tiene un pleito contra EE.UU. que definirá aspectos importantes de esa articulación internacional.

Facilitar el flujo de datos e información y garantizar la intimidad de las personas en el proceso es una constante tensión en internet. En esa disyuntiva cada país ajusta sus marcos legales buscando no interferir en el flujo de datos, facilitar la creciente economía digital, pero, también, asegurar que protege la intimidad de su gente. Cada país debe hacerlo sin ignorar el contexto internacional.

Con base en el “Stored Communications Act” (SCA) de EE. UU., en 2013, ese gobierno obtuvo una orden para que Microsoft le entregara correos electrónicos y otra información asociada con una cuenta determinada. Una buena parte de esos datos se encontraban en Irlanda, donde queda uno de los múltiples data centers de esa empresa. Microsoft entregó la información que se encontraba en EE. UU., pero se negó a entregar la que estaba en Irlanda. Esa empresa señaló que la SCA no aplica a datos alojados extraterritorialmente.

El punto es que las leyes de protección de datos en los diferentes países protegen los datos de las personas de intrusiones no deseadas. Regulan cuándo, cómo y hasta qué punto los privados, como Microsoft, pueden transferir información personal a países extranjeros, incluso en respuesta a órdenes judiciales. Para respetar estas limitaciones, muchos países, incluido EE. UU., han celebrado acuerdos específicos para regular estas órdenes judiciales de transferencia de datos transfronterizos. Muchos marcos de protección de datos requieren que estas solicitudes se hagan a través de canales oficiales de gobierno a gobierno. El mecanismo más usado es el de los Tratados de Asistencia Legal Mutua (MLAT, en inglés) que se celebran bilateralmente. Estados Unidos tiene MLAT existentes con Irlanda y con la Unión Europea.

En este caso no se está usando el proceso legal establecido a través de los MLAT, sino que el gobierno de EE. UU. busca unilateralmente conseguir la información que está en Irlanda. Su petición va en contravía de las normas de Irlanda y de la Unión Europea y vulnera las garantías que sus leyes ofrecen. Si EE. UU. gana el pleito, se crearía un precedente negativo para la protección de datos en el mundo y respecto de muchos otros sistemas legales. Además, la posición en la que quedarían las empresas sería muy débil. La decisión del juez puede suponer que las empresas privadas con sede en EE. UU. —los principales intermediarios en internet son de ese país— se vean forzadas a cumplir con sus órdenes en contravía con las leyes de otros países donde operan.

¿Por qué nos interesa esto localmente de manera especial? En Colombia, la Superintendencia de Industria y Comercio publicó en agosto pasado modificacionesa su Circular Externa No. 5 para fijar los estándares de nivel adecuado de protección para países receptores de información personal. La Superintendencia dice acoger el modelo europeo, pero, a su vez, reconoce a EE. UU. como un país con “adecuada protección” para la transferencia de datos.

El debate en su momento sobre esta decisión no se hizo esperar, pues la Unión Europea (que se supone era el sistema modelo) no hace ese reconocimiento al país sino a las empresas de ese país que cumplen los criterios del “Privacy Shield”. Esto es una diferencia sutil pero central, entre otras, porque los extranjeros sabemos que EE. UU. no nos ofrece las garantías con las que sí cuentan sus nacionales. Por eso, las decisiones que tomen en los próximos años sus jueces están bajo la lupa.

Aunque personalmente creo que el sistema europeo es interesante, reconozco que el gringo tiene incluso aspectos más efectivos para sus nacionales que pueden ser tenidos en cuenta. Pero, pensando en la regulación para mi país, sí creo que la Superintendencia se equivocó. Creo que pudo ser más creativa y encontrar una forma para evitar las evidentes debilidades de nuestro principal socio comercial en temas de protección de datos. Me parece que no debió darle semejante voto de confianza.

Por eso, creo que el resultado del caso que les cuento tendrá su eco en el país. La Corte Suprema de EE. UU. tiene la oportunidad de reconocer que hay un complejo sistema internacional de protección de datos que debe ser honrado, a pesar del interés de su gobierno. Si lo hace, el voto de confianza que le dio nuestra Superintendencia a ese país tendrá un punto a favor. Si no lo hace, quienes criticamos su decisión podremos decir “se lo dije” y tendremos otra razón para pedir cambios.

En todo caso, desde Karisma, donde trabajo, nos unimos a la ONG Privacy International, con sede en Inglaterra, para presentar un amicus curiae a la Corte Suprema de EE. UU. en apoyo a Microsoft que elabora mucho mejor todos los argumentos.

Las siguientes organizaciones de derechos humanos y digitales
se unieron a Privacy Internacional en este breve amicus:

1. Artículo 12
2. Asociación por los Derechos Civiles
3. Members of the Association of Spanish Constitutionalists
4. Australian Privacy Foundation
5. Bits of Freedom
6. Civil Rights Defenders
7. Derechos Digitales América Latina
8. Digital Freedom and Rights Association
9. Elektronisk Forpost Norge (Electronic Frontier Norway)
10. European Digital Rights
11. Fundación Datos Protegidos
12. Fundación Karisma
13. Foundation for Information Policy Research
14. Hiperderecho
15. Human Rights Watch
16. International Cyber Law Studies in Korea
17. IPANDETEC
18. Italian Coalition for Civil Liberties and Rights
19. La Quadrature du Net
20. Liberty
21. Open Net (Korea)
22. Panoptykon Foundation
23. Red en Defensa de los Derechos Digitales
24. Renaissance Numérique
25. Professor Simon Chesterman
26. Vrijschrift

_______________

Descarga el comunicado de prensa y el amicus curiae presentado ante la Corte Suprema de los EE.UU. para evitar que EE.UU socave las leyes de protección de datos sobre el mundo.

Esta columna de opinión fue publicada originalmente en El Espectador el 25.01.2018.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.