Ley de Aclaración del Uso Legal de Datos en el Extranjero (CLOUD)

Creemos que los clientes deben mantener el control de sus propios datos. AWS está diseñada para ser la infraestructura en la nube global más segura sobre la que crear, migrar y gestionar aplicaciones y cargas de trabajo, y nos comprometemos a ofrecer a nuestros clientes las más avanzadas protecciones de privacidad y seguridad del sector cuando usen nuestros servicios.

AWS diseñó productos y servicios que garantizan que nadie, ni siquiera los operadores de AWS, pueda acceder al contenido de los clientes. Solo podemos responder a solicitudes legales de datos cuando disponemos de la capacidad técnica para hacerlo. Los clientes de AWS cuentan con una serie de medidas técnicas y controles operativos para impedir el acceso a los datos. Por ejemplo, muchos de los sistemas y servicios principales de AWS están diseñados con acceso cero para operadores, lo que significa que dichos servicios no disponen de ningún medio técnico que permita a los operadores de AWS acceder a los datos de los clientes.

AWS Nitro System, que es la base de los servicios de computación de AWS, usa hardware y software especializados para proteger los datos frente a accesos externos durante el procesamiento en Amazon Elastic Compute Cloud (Amazon EC2). Al proporcionar un sólido perímetro de seguridad físico y lógico, Nitro está diseñado de forma que ninguna persona no autorizada, ni siquiera los operadores de AWS, pueda acceder a las cargas de trabajo de los clientes en EC2. El diseño de Nitro System fue validado por NCC Group, una empresa independiente de ciberseguridad. Los controles que ayudan a impedir el acceso de los operadores son tan fundamentales para Nitro System que los incorporamos a nuestros Términos de servicio de AWS para ofrecer una garantía contractual adicional a todos nuestros clientes.

También ofrecemos a los clientes características y controles para cifrar datos, ya sea en tránsito, en reposo o en memoria. Todos los servicios de AWS ya admiten el cifrado; además, la mayoría también admite el cifrado con claves administradas por el cliente, a las que AWS no tiene acceso. El contenido cifrado no sirve de nada sin las claves de descifrado correspondientes.

Para obtener más información sobre nuestros servicios compatibles con el acceso cero para operadores, consulte Acceso de operadores en AWS.

La Ley CLOUD se promulgó en marzo de 2018 para agilizar la capacidad de los cuerpos y fuerzas de seguridad de obtener información electrónica en poder de proveedores de servicios en el marco de investigaciones de delitos graves, desde el terrorismo y los delitos violentos hasta la explotación sexual de menores y la ciberdelincuencia. (Véanse los recursos sobre la Ley CLOUD en el sitio web del Departamento de Justicia de EE. UU.). Los testimonios aportados por funcionarios del Departamento de Justicia de EE. UU. (DOJ) en favor de la legislación situaron el foco de la Ley CLOUD en la capacidad de los cuerpos y fuerzas de seguridad de todo el mundo para obtener datos en investigaciones transfronterizas relacionadas con delitos graves. (Véase el testimonio de Richard Downing, fiscal general adjunto del DOJ, ante el Comité Judicial de la Cámara de Representantes el 15 de junio de 2017).

Las fuerzas de seguridad de EE. UU. solo pueden obtener datos de contenido de los proveedores de servicios mediante una orden judicial autorizada por un juez federal independiente de conformidad con los procedimientos penales de EE. UU. Para que se emita una orden judicial en virtud de la legislación estadounidense, un juez de EE. UU. debe estar convencido de que existen indicios racionales de criminalidad y de que en el lugar que se va a registrar se encontrarán pruebas de dicho delito, tal como se especifica en la orden (es decir, datos en una cuenta electrónica concreta, como una cuenta de correo electrónico). Este estándar jurídico debe acreditarse mediante hechos específicos y fidedignos. Cada orden de registro debe superar esta rigurosa determinación de indicios racionales de criminalidad en cuanto a la fiabilidad de los hechos, la concreción y la legalidad, debe ser aprobada por un juez independiente y debe cumplir los requisitos relativos al alcance y la jurisdicción.

Los gobiernos extranjeros que soliciten datos en virtud de un acuerdo ejecutivo de la Ley CLOUD con EE. UU. deben cumplir requisitos similares. El DOJ explicó que “las órdenes de solicitud de datos en virtud de la Ley CLOUD deben obtenerse lícitamente conforme al ordenamiento jurídico interno del país que solicita los datos; deben ir dirigidas a personas o cuentas específicas; deben estar debidamente justificadas en hechos concretos y creíbles, en criterios de concreción, legalidad y gravedad; y deben estar sujetas a revisión o supervisión por parte de una autoridad independiente, como un juez o magistrado. No se permite la recopilación masiva de datos”.

El DOJ también publicó una directriz en mayo de 2023 en la que se indica que los fiscales deben ponerse en contacto con la Oficina de Asuntos Internacionales (OIA) del Departamento cuando tengan conocimiento de que necesitan pruebas ubicadas en otro país. La directriz exige que los fiscales que busquen pruebas que se sabe que se encuentran en el extranjero obtengan la aprobación de la OIA antes de obtener una orden que obligue a un proveedor en EE. UU. a revelar dichas pruebas. La política del DOJ sobre pruebas en el extranjero señala que todos los países promulgan leyes para proteger su soberanía; la OIA trabaja para abordar estas cuestiones y ayudar a los fiscales a seleccionar el mecanismo apropiado para obtener pruebas.

A fecha de junio de 2025, no se produjo ninguna solicitud de datos dirigida a AWS que diera lugar a la divulgación de datos de contenido empresarial o gubernamental almacenados fuera de EE. UU. al Gobierno de EE. UU. desde que empezamos a publicar este dato estadístico. Este historial refleja las sólidas protecciones jurídicas contempladas en la legislación y las políticas del Departamento de Justicia de EE. UU., además de las salvaguardas técnicas que ofrece AWS.

La Sección de Delitos Informáticos y Propiedad Intelectual del DOJ publicó en 2017 una guía dirigida a los fiscales en la que se les aconseja solicitar los datos directamente a las empresas, como aquellas que almacenan datos con un proveedor de servicios en la nube, en lugar de al propio proveedor, salvo en circunstancias especiales. Esta guía constituye una pauta importante para que los fiscales soliciten los datos directamente a las empresas. Cuando recibimos este tipo de solicitudes relativas a contenido de clientes empresariales, hacemos todo lo razonablemente posible por redirigir a las fuerzas de seguridad hacia el cliente y notificamos al cliente cuando la ley lo permite.

No. La Ley CLOUD se aplica a todos los proveedores de servicios de comunicaciones electrónicas o de computación remota que operan o tienen presencia jurídica en EE. UU. Por ejemplo, la Ley CLOUD también es aplicable a un proveedor de servicios en la nube con sede en la UE que tenga operaciones en Estados Unidos. OVHcloud, un proveedor de servicios en la nube con sede en Francia que opera en EE. UU., indica en su página de preguntas frecuentes sobre la Ley CLOUD que “OVHcloud cumplirá las solicitudes legítimas de las autoridades públicas. En virtud de la Ley CLOUD, esto puede incluir datos almacenados fuera de Estados Unidos”.

Según la legislación estadounidense, las acciones del poder ejecutivo no pueden crear nuevas leyes ni contradecir leyes vigentes aprobadas por el Congreso, como la Ley CLOUD.

No. Muchos países exigen la divulgación de datos de clientes independientemente del lugar en que estén almacenados en respuesta a procesos judiciales relacionados con delitos graves. Este concepto está consagrado en el Convenio de Budapest sobre la Ciberdelincuencia, que fue el primer tratado internacional destinado a mejorar la cooperación en las investigaciones de delitos informáticos. Por ejemplo, la Ley de órdenes de producción en el extranjero (Crime [Overseas Production Orders] Act) del Reino Unido permite a los cuerpos y fuerzas de seguridad del Reino Unido obtener datos electrónicos almacenados fuera del Reino Unido en el marco de una investigación penal. Según un escrito presentado por el DOJ de EE. UU. en 2024, las leyes de varios estados miembros europeos, entre ellos Bélgica, Dinamarca, Francia, Irlanda y España, contienen requisitos similares.

Disponemos de procedimientos muy detallados para gestionar las solicitudes de los cuerpos y fuerzas de seguridad de cualquier país. No divulgamos datos de clientes en respuesta a solicitudes de las fuerzas de seguridad salvo que estemos obligados a hacerlo por una orden legalmente válida y vinculante, tal como nos comprometimos públicamente en el Anexo complementario al Anexo de tratamiento de datos de AWS. Cuando recibimos una solicitud de las fuerzas de seguridad, la examinamos detenidamente para verificar su legitimidad y comprobar que cumple la legislación vigente. Si AWS recibe una solicitud legalmente válida y vinculante de contenido de clientes empresariales, hará todo lo razonablemente posible por redirigir a las fuerzas de seguridad hacia el cliente y notificará al cliente si la ley lo permite. AWS impugnará las solicitudes que entren en conflicto con la ley, sean excesivas o resulten inapropiadas por cualquier otro motivo, tal como nos comprometimos públicamente en el Anexo complementario al Anexo de tratamiento de datos de AWS. Si, una vez agotados estos pasos, AWS sigue estando obligada a divulgar datos de clientes y dispone de la capacidad técnica para hacerlo, divulgará únicamente el mínimo necesario para atender la solicitud. Para obtener más información sobre nuestro enfoque ante las solicitudes de las fuerzas de seguridad, consulte la página Solicitudes de información para la aplicación de la ley.

No. La Ley CLOUD no crea ninguna nueva facultad que permita a las fuerzas de seguridad obligar a los proveedores de servicios a descifrar comunicaciones.

AWS ofrece a los clientes características y controles para cifrar datos, ya sea en tránsito, en reposo o en memoria. Todos los servicios de AWS ya admiten el cifrado; además, la mayoría también admite el cifrado con claves administradas por el cliente, a las que AWS no tiene acceso. El contenido cifrado no sirve de nada sin las claves de descifrado correspondientes.

AWS se compromete contractualmente a cumplir con las leyes de protección de datos vigentes. Asimismo, nos comprometemos a impugnar cualquier solicitud excesiva o inapropiada por parte de un organismo gubernamental (incluidas aquellas que entren en conflicto con las leyes vigentes de la Unión Europea o de alguno de sus estados miembros).

No. La Ley CLOUD no modifica las leyes nacionales de otros países. De hecho, la Ley CLOUD reconoció el derecho de los proveedores de servicios a impugnar las solicitudes que entren en conflicto con las leyes o los intereses nacionales de otro país.