Cuando le explicas la soberanía de los datos a un técnico, hablas de arquitectura. Cuando se la explicas a un CFO, tienes que hablar de riesgo y de contrato. Esta es la versión que funciona en el consejo, sin una sola palabra técnica de más.
01Qué es, en una frase
El Cloud Act es una ley estadounidense de 2018. Dice una sola cosa, pero pesada: una autoridad de EE. UU. puede obligar a un proveedor estadounidense a entregar los datos de sus clientes, dondequiera que esos datos se encuentren físicamente. También en Europa.
No es una cláusula oculta. Es ley federal, escrita negro sobre blanco. Y vale para cualquier empresa sujeta a la jurisdicción de EE. UU., con independencia de dónde tenga los servidores.
02Por qué el contrato no te salva
Esta es la parte que hace levantar la ceja a los CFO, y es la más importante. Puedes tener el mejor contrato del mundo, el mejor acuerdo sobre el tratamiento de los datos, las cláusulas estándar aprobadas por la Comisión Europea. No cambia nada.
Un contrato privado regula una relación entre dos partes. No puede derogar una ley del Estado al que una de las partes está sujeta. Cuando llega la orden judicial estadounidense, el proveedor elige entre cumplir la ley de EE. UU. o la europea. Elige la que lo manda a prisión si la incumple. Y esa es la ley estadounidense.
03"Pero mis datos están en un centro de datos en Alemania"
Es la objeción número uno, y se entiende por qué. Los grandes proveedores estadounidenses tienen regiones europeas, centros de datos en Fráncfort, en Ámsterdam, en Milán. Te dicen "tus datos se quedan en Europa", y es verdad, físicamente.
Pero la ubicación física del disco no cuenta. Cuenta quién controla la empresa que gestiona ese disco. Si es una empresa estadounidense, o una filial europea de una empresa estadounidense, el Cloud Act se aplica. El dato está en Alemania, la obligación de entrega permanece.
04Cuándo esto es un problema real
Honestamente: no siempre lo es. Si gestionas un catálogo de e-commerce público, el Cloud Act es un riesgo teórico. Se vuelve concreto cuando los datos tienen un valor que alguien podría querer ver sin pedírtelo:
- Administración pública: actos, comunicaciones de gobierno, datos de los ciudadanos.
- Sanidad: datos clínicos, investigación, historiales.
- Industria con propiedad intelectual: proyectos, patentes en trámite, procesos productivos.
- Despachos profesionales: expedientes legales, datos fiscales de los clientes.
En estos casos el riesgo no es hipotético. Es una vulnerabilidad estructural que ningún firewall cierra, porque no es un problema técnico. Es un problema de jurisdicción.
05La solución no es técnica, es estructural
Para quedar fuera del perímetro del Cloud Act hace falta que quien gestiona los datos no esté sujeto a la jurisdicción estadounidense. Punto. Empresa europea, control europeo, ningún acuerdo con proveedores de EE. UU. aguas arriba de la cadena.
Es la razón por la que cada byte de nuestros clientes vive en Europa, gestionado por una empresa europea. No es una decisión de marketing. Es la única forma de que la frase "tus datos están a salvo de requerimientos extranjeros" sea verdad y no solo algo escrito en un folleto.