LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/03/2024. 04:53:12

LegalToday

Por y para profesionales del Derecho

GABRIEL LÓPEZ SERRANO, DIRECTOR DE ASUNTOS REGULATORIOS DE MICROSOFT IBÉRICA

“En Microsoft estamos dispuestos a pasar a la acción y defender legalmente nuestros principios y compromisos”

Legal Today

El abogado Gabriel López Serrano atesora más de 15 años de experiencia en el sector de las Telecomunicaciones y TI, propiedad intelectual, privacidad, inteligencia artificial, ciberseguridad, comercio internacional y políticas públicas. Este jurista de reconocido prestigio se incorporó en 2014 a Microsoft, donde desempeña la Dirección, desde el punto de vista legal, de los asuntos de regulación y políticas públicas. La multinacional líder mundial en el sector del software y el cloud computing, ha desafiado una orden de búsqueda del gobierno de EE. UU. que solicitaba acceso a correos electrónicos de clientes en su centro de datos irlandés. La Corte de Apelaciones ha fallado a favor de la impugnación de Microsoft, que demandaba que se cumpliera el marco de cooperación judicial establecido. A la espera de lo que dictamine el Tribunal Supremo en junio de 2018, fecha en la que está previsto que dé su respuesta sobre la revisión del caso, López Serrano nos ofrece su experiencia en materias tan delicadas como la Protección de Datos y la ciberseguridad.

Gabriel López Serrano

La sentencia del llamado Warrant Case de Microsoft ha originado un profundo debate jurídico en EE.UU., lo que denota la importancia tanto de la materia como del sentido del pronunciamiento.

El Warrant Case cuestiona la aplicación extraterritorial de las normas de EE.UU., su impacto en los derechos fundamentales y la necesidad de modernizar los mecanismos de cooperación internacional para la obtención de evidencias digitales. Es un momento clave en el que los estados miembros de la UE deben contribuir a la discusión en defensa de los derechos fundamentales de los ciudadanos europeos a nivel internacional.

Los antecedentes de este caso son los siguientes: a finales de 2013, fiscales estadounidenses entregaron a Microsoft una orden de registro sobre datos que estaban almacenados en Europa (en este caso, en nuestro centro de datos en Dublín, Irlanda). Microsoft impugnó la orden y argumentó que el uso de una orden de registro emitida por el gobierno de Estados Unidos exigiendo revelar el contenido del correo electrónico de una persona que no es ciudadano estadounidense, almacenado en el extranjero, era ilegal, especialmente teniendo en cuenta el Tratado de Asistencia Legal Mutua ("MLAT", por sus siglas en inglés). El MLAT entre Estados Unidos e Irlanda (que es similar en sus aspectos sustancias al MLAT entre Estados Unidos y España), establece un procedimiento legal formal que permite a los fiscales estadounidenses obtener tal evidencia.

Tras la decisión de un tribunal de distrito a favor de Estados Unidos, Microsoft apeló la decisión ante el Tribunal de Apelaciones para del Segundo Circuito de Estados Unidos, el cual revirtió el fallo del tribunal de distrito y falló en nuestro favor. Durante el proceso de apelación se abrió un periodo, en el que participaron decenas de científicos, empresas tecnológicas, asociaciones y el gobierno de Irlanda, aportando informes que sirvieron de apoyo a la Corte de Apelaciones, quien finalmente falló a favor de Microsoft por tres votos a cero.

El Tribunal razonó que el Segundo Circuito "nunca ha ratificado el uso de una citación para apremiar al receptor a entregar un artículo bajo su control y que se localiza en el extranjero, cuando el receptor es meramente un custodio para otra persona o entidad, y esta persona, distinta de la que recibe la citación, tiene un interés de privacidad sobre el artículo que debe protegerse". El Tribunal añadió que "nuestra conclusión actual también atiende a los intereses del respeto [internacional] que, como lo refleja el proceso del MLAT, rigen de manera ordinaria la conducción de investigaciones criminales transfronterizas".

Estaban en juego ámbitos como la soberanía, la asimetría…

En Microsoft consideramos que las autoridades deben utilizar mecanismos legales para acceder a datos de los ciudadanos europeos respetando la soberanía de los países. Creemos que los derechos fundamentales de las personas no son distintos en el mundo digital y en el analógico. Los datos personales de los individuos deben ser protegidos de igual forma si están en la nube o almacenados en un soporte físico.

Además, una interpretación contraria puede generar un problema de asimetría, dado que la legislación de EE.UU. impide un trato recíproco frente a las autoridades europeas, quienes no podrán acceder de manera directa a los datos almacenados en EE.UU. sin que intervenga el Departamento de Justicia de los EE.UU. si se diera la situación inversa.

El 7 de diciembre, la Comisión Europea decidió presentar ante el Supremo de los EE.UU. un escrito dentro del plazo correspondiente a los informes conocidos como neutros en tanto ha considerado que "es del interés de la UE asegurarse de que las normas de Protección de Datos de la UE sobre transferencias internacionales sean correctamente entendidas y tomadas en cuenta por el Tribunal Supremo de los Estados Unidos".

Otras partes, incluyendo Estados miembros de la UE, podrán participar como "amigo de la corte" o "amicus curiae" y presentar su respectivo escrito, en este caso pro-parte, manifestando las consideraciones que consideren necesarias para ayudar al Tribunal Supremo de EE.UU. a comprender mejor el caso y sus potenciales implicaciones hasta el 18 de enero.

¿Por qué es objeto de debate que la información almacenada en la nube reciba la misma protección que la información física?

En algunos casos, existe la falsa creencia de que una vez que nuestra información llega Internet, es imposible protegerla con las mismas garantías que existe en el "mundo físico". Esto principalmente porque existe la percepción de que en Internet o no hay normas o las que existen son insuficientes y de difícil aplicación. En nuestra opinión, nada más alejado de la realidad. Creemos que no es correcto que exista o deba existir una disparidad en el grado de protección y respeto a los principios de soberanía nacional, simplemente por el formato en el que los datos se encuentren almacenados. Un dato que esté, por ejemplo, impreso en un papel y custodiado en un edificio ubicado en un país concreto, y un dato ubicado en el disco duro de un servidor que esté en la misma ubicación deberían recibir el mismo tratamiento. Estamos convencidos de que las autoridades de EE.UU. no se plantearían enviar a Irlanda a un representante que accediese al edificio para incautar la documentación impresa. Sin embargo, sí presionan para obtener documentos digitales almacenados fuera de su jurisdicción.

Por otro lado, reconocemos la necesidad de modernizar los mecanismos de cooperación internacionales para que reflejen el desarrollo tecnológico de cara a la práctica de pruebas electrónicas. Entendemos la frustración de algunas autoridades cuando se encuentran en la necesidad de solicitar asistencia jurídica a otros estados. Dichos procedimientos en varios casos implican un análisis profundo sobre la proporcionalidad y oportunidad, y la inexistencia de un marco armonizado a nivel internacional tiene como consecuencia retrasos que afectan a todas las partes involucradas en los procesos de recuperación de evidencias electrónicas. Los gobiernos deben establecer mecanismos armonizados, eficaces y legítimos, que permitan ejercer sus funciones de investigación, respetando los derechos fundamentales de las personas y la soberanía de los gobiernos.

¿Qué implicaciones tendrá esta sentencia en el futuro de la investigación penal en Internet?

Un fallo favorable a las pretensiones del gobierno de los EE.UU. sería contrario a los intereses de los usuarios y al de las posibilidades de lucha efectiva contra la delincuencia. Microsoft, al igual que sus competidores en este ámbito, se deben a la confianza de sus clientes en la garantía de sus derechos. Cuando alguien envía un correo, por ejemplo, con nuestros servicios o guarda en la nube un documento confidencial, deposita en nosotros su intimidad, sus sueños o su futuro profesional, y espera que su proveedor custodie esa información de modo diligente y conforme a la ley.

La Cuarta Enmienda, el derecho a la vida privada o el derecho fundamental a la Protección de Datos en la Unión Europea son necesarios para el funcionamiento del mundo digital y garantizarlo incluso frente a la acción unilateral de un gobierno es nuestro deber. Pero no se trata sólo de eso.

Nuestro mundo exige una acción coordinada y unos estándares globales de privacidad que garanticen un marco proporcional para los deberes y funcional para la investigación policial y judicial. Y esto se puede identificar en las sentencias Digital Rights Ireland y Schrems. Esta última tuvo un efecto inmediato y determinó un acuerdo rápido, Privacy Shield, que busca ofrecer más garantías. Si el Tribunal Supremo reconoce nuestra pretensión, uno de los efectos debería ser el impulso de nuevos marcos trasnacionales. Si no lo hace, se mantendrá un marco no homogéneo e inseguro de soberanías nacionales en conflicto. Y esto no es bueno para los derechos fundamentales, ni para la industria, ni para la eficacia y la eficiencia en la lucha contra la delincuencia.

¿Pronostica una armonización regulatoria en la investigación de evidencias electrónicas dentro de la UE y entre la UE y EE.UU.?

A nivel europeo contamos con el Convenio sobre la Ciberdelincuencia de Budapest, ratificado por España el 17 de septiembre de 2010, la Directiva 2014/41/CE del Parlamento Europeo y Consejo relativa a la orden europea de investigación en materia penal, el Reglamento General de Protección de Datos 2016/679 y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y a la libre circulación de dichos datos.

Adicionalmente, el 8 de junio de 2017, la Comisión Europea emitió un "non-paper" con la intención de proponer una propuesta legislativa para acelerar el acceso a evidencias electrónicas. Dada la importancia del tema, se abrió el proceso de consulta pública que terminó el 17 de octubre pasado. En ese sentido, el trabajo hacia una armonización a nivel europeo ya está en marcha.

Por otro lado, el grupo de trabajo del Artículo 29, creado por la Directiva 95/46/CE, integrado por las autoridades de Protección de Datos de los Estados miembros de la Unión Europea, la Comisión Europea y el Supervisor Europeo de Protección de Datos, en una declaración el pasado 7 de diciembre, confirmó que evitar la aplicación de los tratados de asistencia jurídica para acceder a datos personales de manera directa es una interferencia directa a la soberanía de los Estados miembros.

¿Por lo que se refiere a la relación con los Estados Unidos?

Creemos que el caso presenta la oportunidad de elevar la discusión a nivel internacional, permitiendo lograr resultados satisfactorios para los gobiernos, la industria y los ciudadanos. Por ejemplo, en materia de seguridad, un tema que se encuentra íntimamente ligado a la privacidad, España ha reconocido la importancia de seguir trabajando con las instituciones americanas para el logro de los objetivos de seguridad nacional. La Estrategia de Seguridad Nacional de 2017, recientemente aprobada por el Consejo de Ministros, estableció como una de las líneas de acción en materia de ciberseguridad el "Contribuir a la seguridad del ciberespacio, en el ámbito de la Unión Europea e Internacional, en defensa de los intereses nacionales, fomentando la cooperación y el cumplimiento del Derecho Internacional". En ese sentido, estamos dispuestos en todo momento a contribuir a la discusión y entendimiento de los principios que giran en torno a este caso. Creemos que con un dialogo entre gobiernos, industria y sociedad podremos encontrar el balance adecuado entre los derechos fundamentales y principios jurídicos que están en juego.

La disrupción de la tecnología de computación en la nube (Cloud Computing) plantea retos enormes en términos de seguridad. ¿Cómo ha encarado Microsoft estos retos?

Estamos viviendo un momento increíble, en el que la tecnología está cambiando de manera acelerada prácticamente la totalidad de nuestras actividades. A pesar de ello, creemos que hay principios fundamentales que trascienden al avance tecnológico y que son perdurables al cambio. Estos principios son: Privacidad, Seguridad, Transparencia y Diversidad. Porque el uso de nuestra tecnología cumple con los estándares más altos de privacidad y seguridad, somos la primera plataforma que recibió la autorización de la Agencia Española de Protección de Datos que reconoce la solvencia y las garantías de los servicios corporativos de Microsoft en la Nube en lo relativo a transferencias internacionales de datos. También somos la primera plataforma que ha certificado sus servicios frente al Esquema Nacional de Seguridad.

Sobre el principio de Transparencia, en nuestro portal ofrecemos toda la información que puedan necesitar nuestros clientes y las autoridades sobre  nuestras políticas de privacidad y transparencia.  Finalmente, creemos que la tecnología debe reconocer la diversidad de las personas y ser lo más inclusiva posible y, por ello, incorporamos la diversidad desde los procesos de diseño e innovación. Sirva de ejemplo la certificación de nuestros servicios frente al estándar europeo de accesibilidad EN-301549, uno de los estándares más relevantes en el mundo de la accesibilidad. Adicionalmente, creemos que para ayudar a nuestros clientes en su proceso de adaptación al es muy importante mantener un diálogo constante con los expertos.

¿Qué implica para prestadores de servicios en Cloud Computing como Microsoft el nuevo Reglamento  europeo de Protección de Datos  para la privacidad de sus usuarios?

El nuevo Reglamento General de Protección de Datos de Europa, que iniciará su aplicación el próximo mes de mayo y que Microsoft respalda, es un buen ejemplo del impacto que las regulaciones de privacidad pueden tener. Las disposiciones de Protección de Datos del Reglamento van más allá que cualquier ley de privacidad anterior y el efecto sobre cómo las empresas recogen y tratan los datos será enorme. Es por eso que Microsoft y otras compañías tecnológicas globales trabajamos día y noche para

fortalecer el cumplimiento y garantizar que nuestros clientes tengan todo lo que necesitan para estar listos también.

Microsoft considera que el Reglamento General de Protección de Datos (RGPD) representa un avance significativo en la protección del derecho fundamental a la privacidad, ya que ofrece a los ciudadanos europeos un mayor control sobre sus datos personales. Asimismo, el RGPD pretende garantizar que los datos personales estén protegidos con independencia del lugar al que se envíen, traten o almacenen. Esta ley actualiza la legislación europea de privacidad por primera vez en más de dos décadas, buscando mayor consonancia con las tecnologías actuales, y aumentando la armonización de la legislación de privacidad en los distintos estados miembros de la Unión Europea.

La obligación no afecta solo a las empresas

Así es, las empresas no son las únicas que deben responder a los requisitos más estrictos del Reglamento. La Unión Europea ha exigido durante mucho tiempo a los países que cuenten con un nivel adecuado de Protección de Datos para permitir transferencias de datos transfronterizas. Debido a que este requisito de adecuación es ahora parte del RGPD, los países de todo el mundo están revisando sus leyes existentes y considerando cambios para garantizar que sus datos puedan circular libremente dentro y fuera de la Unión Europea.

Nuestros clientes confían en que nuestra tecnología les ayude a cumplir con sus obligaciones en materia de Protección de Datos. Por ello, nuestro compromiso es absoluto frente al cumplimiento del Reglamento, no sólo con nuestra tecnología y las inversiones que han sido necesarias para dar cumplimiento al RGPD, sino con compromisos contractuales claros de la mano de la más robusta gama de certificaciones internacionales, sectoriales y regionales del mundo y con el soporte de un departamento jurídico mundial diseñado para velar por los principios de privacidad, seguridad, transparencia y diversidad sobre los que descansa nuestra tecnología.

Los objetivos del RGPD están en consonancia con los compromisos que Microsoft ha asumido desde hace tiempo, trabajando para que sus productos y servicios, como Azure, Dynamics 365, Microsoft Enterprise Mobility + Security, Office 365 o Windows 10, se adapten al RGPD antes de mayo de 2018. De este modo, ya se están actualizando las características y funcionalidades de todos los servicios de Microsoft para satisfacer los requisitos del RGPD, y se está actualizando la documentación y los contratos con los clientes para que reflejen los requisitos de la nueva ley de privacidad.

¿Considera necesario un nuevo marco regulatorio y legal para proteger mejor los intereses de los usuarios?

La normativa a nivel europeo es bastante robusta por lo que se refiere a la protección de derechos fundamentales. Sin embargo, consideramos que es necesario modernizar los mecanismos de cooperación judicial para la práctica de pruebas electrónicas en el

extranjero, tanto dentro de la Unión Europea como a nivel internacional. Muchos de los tratados de asistencia jurídica fueron diseñados en una época en la que no se tenía previsto el avance tecnológico que hemos logrado. Hace 31 años, cuando se promulgó en EE.UU. la Ley de Privacidad de Comunicaciones Electrónicas (ECPA), no existía Internet como lo conocemos el día de hoy, no había redes sociales, tampoco existía el cloud computing… En términos generales, no existía mucha de la tecnología que hoy usamos de forma cotidiana y que nos permite ser más productivos día a día. La ECPA es el testimonio de un momento tecnológico que ya no existe. Un claro ejemplo son los vehículos legales para acceder a correos electrónicos, donde se distingue entre correos con una antigüedad inferior y superior a 180 días, reflejo de la capacidad de almacenamiento de la época.

Las autoridades americanas tienen mecanismos para acceder a evidencias ubicadas en el extranjero mediante los acuerdos de asistencia jurídica con los que cuenta EE.UU. con varios países, entre ellos Irlanda y España. Esto no quiere decir que no sea necesario modernizarnos para hacer más eficaz la labor de las autoridades en la persecución de delitos.

¿Cuáles son las propuestas de Microsoft para frenar las amenazas del ciber crimen a nivel empresarial y gubernamental?

A medida que la tecnología continúa remodelando el mundo, es claro que los conflictos se han extendido al ciberespacio. Hay individuos, organizaciones criminales y naciones que desarrollan y liberan una nueva generación de armas destinadas tanto a gobiernos como a la sociedad, poniendo en riesgo la información crítica y la infraestructura de la que todos dependemos para nuestra vida cotidiana. Anteriormente, proteger instalaciones industriales de intrusos no deseados solía significar colocar un candado en la puerta delantera, levantar una cerca y asegurarse de que el sistema de alarma estaba encendido. Garantizar que las empresas de todo el mundo puedan usar soluciones digitales para estimular la innovación, el crecimiento y la creación de empleo sin sacrificar la seguridad es una preocupación clave para las principales economías del mundo (recientemente este tema fue abordado en la cumbre de los Estados miembros del G7 en Turín para discutir cómo "Asegurar la Revolución Industrial Digital").

Microsoft es una de las empresas que más invierte en medidas y tecnología de ciberseguridad (más de mil millones de dólares al año), con equipos dedicados (por ejemplo, la Digital Crimes Unit) cuya labor consiste en proteger, detectar y responder ante ciber-amenazas. También contamos con la red más profunda y extensa de certificaciones a nivel internacional y regional. En el caso de España, como he mencionado antes, somos la primera plataforma de cloud computing en obtener la certificación de categoría alta frente al Esquema Nacional de Seguridad, establecido mediante Real Decreto 3/2010 de 8 de enero.

En este sentido, ¿cuál es el compromiso con sus clientes?

En Microsoft somos conscientes de que esto no es suficiente. Entendemos que para que nuestros clientes obtengan los mayores beneficios del cloud es necesario que confíen en la tecnología. Por ello, Microsoft es líder en la industria en el establecimiento de requisitos de privacidad y seguridad a nivel internacional. Adicionalmente, trabajamos con las instituciones nacionales y europeas, de manera constante, para el diseño de políticas públicas adecuadas de seguridad que garanticen el respeto de los derechos fundamentales de las personas, al mismo tiempo que ayude a fomentar un uso de la tecnología de manera fiable, segura y transparente. Por ello, damos la bienvenida a la Estrategia de Seguridad Nacional 2017, aprobada el 1 de diciembre por el Consejo de Ministros. Coincidimos en que no es posible hablar de seguridad nacional sin incluir una estrategia de ciberseguridad.

En Microsoft no sólo ponemos a disposición de nuestros usuarios la mejor tecnología y los compromisos contractuales bajo los mejores estándares de privacidad, seguridad, transparencia y diversidad. También estamos dispuestos a pasar a la acción y defender legalmente nuestros principios y compromisos, porque creemos que Internet debe estar regido por normas que logren un equilibrio justo entre la privacidad y la seguridad, y entre el respeto a la soberanía nacional de los estados y una red global. El compromiso de Microsoft  es el de contribuir al diálogo con la sociedad, las instituciones internacionales y los gobiernos para lograr dicho equilibrio.

Si quieres disponer de toda la información y la opinión jurídica para estar al día, no pierdas
de vista a Actualidad Jurídica Aranzadi

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

RECOMENDAMOS