Ley de aclaración del uso legal de datos en el extranjero (CLOUD)

Información general

El 23 de marzo de 2018, el Congreso de los Estados Unidos sancionó la ley Clarifying Lawful Overseas Use of Data (CLOUD, Aclaración del uso legal de datos en el extranjero) con la que se actualizó el marco legal para las solicitudes de aplicación de la ley de los Estados Unidos sobre los datos almacenados por los servidores de telecomunicaciones. Con la sanción de la ley CLOUD, se aclara la ley anterior y se proporciona un mecanismo limitado para que los organismos a cargo de la aplicación de la ley en los Estados Unidos soliciten datos almacenados en dicho país y en el extranjero. De manera importante, en la ley CLOUD, también se proporcionan mecanismos de seguridad adicionales para el contenido en la nube, como el reconocimiento del derecho de los proveedores a objetar las solicitudes que entren en conflicto con las leyes o los intereses nacionales de otro país y la exigencia de que los gobiernos respeten las normas jurídicas locales.

  • La ley CLOUD es una actualización de la normativa estadounidense en la que se aclara el alcance geográfico de las solicitudes de Estados Unidos de aplicación de la ley y se proporcionan nuevos medios que permiten a los proveedores de servicios objetar las solicitudes que entren en conflicto con las leyes o los intereses nacionales de otro país. Seguiremos tomando medidas para proteger a nuestros clientes siempre que sea necesario. Históricamente, hemos objetado las solicitudes gubernamentales de información de clientes que consideramos excesivas o inapropiadas.

  • No. La ley CLOUD no modifica el procedimiento ni los requisitos de las solicitudes de aplicación de la ley relacionadas con datos como parte de una investigación penal. La ley CLOUD no concede a los organismos estadounidenses a cargo de la aplicación de la ley acceso ilimitado ni irrestricto a los datos. Los organismos estadounidenses a cargo de la aplicación de la ley pueden solicitar contenido a los proveedores de servicios en dos circunstancias: (1) con el consentimiento del cliente o (2) con una orden judicial conforme a los procedimientos penales de los Estados Unidos emitida por un tribunal de dicho país. Para emitir una orden judicial, el tribunal debe estar convencido de que hay un motivo fundado para creer que se ha cometido un delito y de que las pruebas que se pretenden obtener mediante dicha orden están relacionadas de manera directa con el acto delictivo. En la ley CLOUD, también se proporcionan mecanismos de seguridad adicionales para el contenido en la nube y se reconoce el derecho de los proveedores de servicios en la nube a objetar solicitudes que contradigan las leyes y los intereses nacionales de otro país.

  • La ley CLOUD no afecta los servicios de AWS ni el modo en que llevamos adelante nuestra empresa. Históricamente, hemos recibido muy pocas solicitudes de los organismos estadounidenses a cargo de la aplicación de la ley y nos manejamos con transparencia respecto del número de solicitudes que hemos recibido. Siempre estamos atentos a la privacidad y la seguridad de nuestros clientes y nos comprometemos a proporcionarles medidas de seguridad y privacidad líderes en la industria cuando utilizan nuestros productos y servicios. Cuando recibimos una solicitud de contenido de un organismo de aplicación de la ley, la analizamos en profundidad para autenticar la precisión y verificar que cumpla con las leyes aplicables. Seguiremos tomando medidas para proteger a nuestros clientes siempre que sea necesario. Históricamente, hemos objetado las solicitudes gubernamentales de información de clientes que consideramos excesivas o inapropiadas. Si se nos exige revelar contenido de un cliente, se lo notificaremos antes de divulgar dicha información para que tenga la posibilidad de solicitar protección contra la revelación de información, a menos que eso esté prohibido por la ley.

  • La ley CLOUD no afecta el modo en que los clientes y los socios pueden utilizar los servicios de AWS.

  • Creemos que los clientes deben mantener el control de sus propios datos. Por eso, proveemos varios servicios avanzados de administración de claves y de cifrado que pueden utilizar para proteger su contenido. Nuestros clientes también pueden elegir entre varias soluciones de cifrado de terceros compatibles cuando utilizan los servicios de AWS. El contenido cifrado no sirve de nada sin las claves de descifrado correspondientes.

  • No. La ley CLOUD se aplica a todos los proveedores de servicios de comunicación electrónica o de servicios remotos de informática que operan en los EE.UU. (como los proveedores de servicios de email y en la nube), ya sea que estén establecidos en los Estados Unidos o en otro país.

  • No. La ley CLOUD no cambia las leyes locales de otros países. De hecho, en la ley CLOUD se reconoce el derecho de los proveedores de servicios a objetar las solicitudes que entren en conflicto con las leyes o los intereses nacionales de otro país.

Recursos sobre la ley CLOUD

AWS y la ley CLOUD
Aspectos básicos de la criptografía
Prácticas recomendadas de KMS
Documento técnico Detalles criptográficos de AWS Key Management Service
Actualizaciones de cifrado de AWS
Quick Starts de conformidad de AWS
Peticiones de información a Amazon
“No se asuste con la ley CLOUD”, por IDC