DDesde 2015, la Comisión Europea ha emitido tres acuerdos que regulan la transferencia de datos a Estados Unidos: el Puerto Seguro, el Escudo de Privacidad y el Marco de Privacidad de Datos. A través de estos textos, la Comisión validó un nivel suficiente de protección de datos y la posibilidad de que las empresas de la Unión Europea (UE) transfieran sus datos a Estados Unidos sin medidas adicionales.
Los dos primeros acuerdos fueron rechazados en 2015 y 2020 por el Tribunal de Justicia de la Unión Europea (TJUE) debido al peligro que representan las leyes extraterritoriales estadounidenses. El Tribunal concluyó que estas leyes violaban los derechos de privacidad de los europeos. Independientemente, la Comisión publicó un tercer acuerdo en 2023, el Marco de Privacidad de Datos, que a su vez está actualmente bajo investigación en el TJUE.
Estándar SecNumCloud
Mientras tanto, las leyes extraterritoriales estadounidenses se han endurecido. A modo de ejemplo, el 24 de abril, el presidente Biden firmó una extensión y ampliación de la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA). Permite a las agencias de inteligencia estadounidenses recopilar masivamente datos digitales de personas no estadounidenses sin orden judicial previa, una cuestión de seguridad nacional considerada comparable a la lucha contra el terrorismo. Con este texto y un mercado europeo de la nube dominado en más del 70% por Gafam (Google, Amazon, Facebook, Apple, Microsoft)Estados Unidos ha reforzado así su capacidad para acceder a datos sensibles y estratégicos de empresas y administraciones europeas.
En este clima, la seguridad de los proveedores de servicios de computación en la nube se ha convertido en una cuestión crítica. Por este motivo, la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi), autoridad nacional francesa para la seguridad y la defensa de los sistemas de información, desarrolló en 2016 el estándar SecNumCloud, el último de los cuales versión contiene requisitos de soberanía y criterios de protección frente a leyes no europeas.
Estos requisitos garantizan que el proveedor de servicios en la nube y los datos que procesa no pueden estar sujetos a leyes no europeas, permitiendo así al Estado promulgar su doctrina y limitar el uso de las administraciones a Gafam.
De ahí nació la idea de transponer este SecNumCloud francés a nivel europeo, en un estándar europeo llamado Esquema de Certificación de Ciberseguridad de la Unión Europea para Servicios en la Nube (EUCS): una oportunidad para dar forma al futuro de la seguridad en la nube en Europa y estandarizar los requisitos de seguridad de datos en todos sus países miembros.
Te queda el 59,21% de este artículo por leer. El resto está reservado para suscriptores.
