Los datos de millones de canadienses se almacenan en servidores estadounidenses de Microsoft, Google, Amazon o Airtable; al mismo tiempo, la llamada Patriot Act permite básicamente a las autoridades estadounidenses desviar todos estos datos. Por este motivo, los expertos en protección de datos llevan tiempo desaconsejando el almacenamiento de datos personales en nubes estadounidenses. La provincia canadiense de Quebec también quiere impedirlo a partir de septiembre de 2023 mediante leyes de protección de datos más estrictas.
En este artículo, descubrirá en detalle cómo son las nuevas normas de protección de datos, cuáles son las consecuencias para usted y qué soluciones de protección de datos están disponibles.
La Patriot Act en conflicto con las leyes de protección de datos de todo el mundo
La llamada Patriot Act es una ley federal vigente en Estados Unidos desde los atentados terroristas del 11 de septiembre de 2001. Establece que las agencias federales estadounidenses, como la NSA o la CIA, pueden acceder a todos los datos ubicados en Estados Unidos sin consentimiento personal ni orden judicial. Lo mismo se aplica a las filiales y sedes extranjeras de empresas estadounidenses, que están obligadas por la Patriot Act a permitir el acceso a sus servidores aunque las leyes locales lo prohíban.
La Patriot Act, firmada por el ex Presidente de Estados Unidos George W. Bush, permite a autoridades estadounidenses como el FBI o la NSA acceder a los servidores de empresas estadounidenses sin orden judicial.
Pero, ¿hasta qué punto es grave este problema? Debido al dominio de gigantes tecnológicos estadounidenses como Microsoft, Google y Amazon, gran parte de los datos de particulares y empresas de todo el mundo acaban inevitablemente en Estados Unidos. Por ejemplo, el servicio de colaboración en la nube estadounidense Airtable, en el que confían clientes de todo el mundo, utiliza el líder del sector Amazon Web Services (AWS), también de Estados Unidos, para almacenar los datos de sus clientes. Como consecuencia, todos los datos de los clientes de AWS, incluidos los de Airtable, se alojan en centros de datos estadounidenses. Éstos entran en el ámbito de aplicación de la Patriot Act, que permite a las autoridades estadounidenses acceder a los datos sin ningún consentimiento y, en última instancia, vigilarlos masivamente sin orden judicial.
Debido a que las normas de protección de datos de la Patriot Act están en flagrante contradicción con las normas de protección de datos de otros países, en muchos países se está iniciando un replanteamiento hacia una mayor soberanía de los datos.
Las nubes de EE.UU. preocupan desde hace tiempo a Europa
El hecho de que el uso de proveedores de nube estadounidenses está asociado a riesgos para la protección de datos se conoce desde hace algún tiempo en relación con el Reglamento General de Protección de Datos (RGPD ) en la UE. La razón de ello, además de la Patriot Act, es el nivel estadounidense de protección de datos, que es significativamente inferior al europeo. Sin embargo, a más tardar desde la abolición del Escudo de Privacidad, el uso de proveedores de servicios en la nube de EE.UU. ya no solo es controvertido para las empresas de la UE, sino que incluso se asocia a un riesgo jurídico. El Escudo de la privacidad era un acuerdo por el que el gobierno de EE.UU. se había comprometido hasta 2020 a cumplir las disposiciones del RGPD al procesar datos personales procedentes de la UE. Al estar prohibida la transferencia de datos personales desde la UE, las empresas que siguen almacenando o haciendo procesar esos datos en servidores de proveedores estadounidenses están violando la legislación europea, según algunos expertos.
Ley 25 de la provincia canadiense de Quebec
El 22 de septiembre de 2021, el gobierno de la provincia canadiense de Quebec aprobó la "Ley de Modernización de las Disposiciones Legales para la Protección de Datos Personales" - Ley 25 para abreviar - en línea con el GDPR en Europa. Desde entonces, las normas de protección de datos contenidas en la Ley 25 han ido entrando gradualmente en vigor. El proyecto de ley pretende modernizar las leyes de protección de datos en Canadá, consideradas obsoletas, tanto para el sector privado como para el público, y adaptarlas a los avances tecnológicos.
La Ley 25 de Quebec ha ido entrando en vigor por etapas anuales desde septiembre de 2022.
Contenido y efectos de la ley en relación con la Patriot Act
La Ley 25 pretende dar a los ciudadanos más transparencia sobre cuándo y con qué fin las empresas recopilan datos personales. Para lograr este objetivo, a partir de septiembre de 2023 se aplicarán nuevas normas para el tratamiento de datos personales por parte de empresas e instituciones. Entre otras cosas, en el futuro deberán obtener siempre el consentimiento explícito antes de utilizar los datos de una persona, salvo en algunos casos excepcionales. El consentimiento debe darse por separado para cada finalidad específica y también debe comunicarse abiertamente a las personas afectadas. Estas nuevas normas de protección de datos entran en conflicto con la Patriot Act, que en principio permite a las autoridades estadounidenses acceder sin consentimiento a los datos personales almacenados en los servidores de empresas estadounidenses dentro y fuera de Estados Unidos.
Puede leer todo el contenido de la Ley 25 aquí
¿Le afecta a usted o a su empresa la Ley 25?
Incluso si su empresa no tiene ningún establecimiento en Quebec, podría verse afectada por la Ley 25. Esto se debe a que las normas asociadas a la Ley se aplican no sólo a las empresas de Quebec, sino -independientemente de su ubicación- a cualquier empresa que trabaje con datos de residentes en Quebec. Además, la Ley 25 se considera un marco jurídico innovador en Canadá, que ha servido de impulso para otras reformas legislativas similares. Por ejemplo, Canadá también revisará oportunamente sus leyes federales de protección de datos con el proyecto de ley C-27, que aún se está debatiendo en el Parlamento y que sustituirá a la ley federal LPRPDE actualmente en vigor en todo Canadá (a excepción de las provincias de Quebec, Columbia Británica y Alberta).
Aunque el proyecto de ley 25 fue aprobado por el gobierno de Quebec, empresas e instituciones de fuera de la región también se enfrentan a las consecuencias de la ley.
Las empresas canadienses se enfrentan a graves sanciones
Las empresas canadienses se enfrentarán a duras sanciones por incumplir las nuevas normas de privacidad a partir de septiembre de 2023. En comparación con sus predecesoras, la Ley 25 tiene un régimen de aplicación más estricto, ya que crea un modelo de multas de dos niveles y un derecho de acción ante los tribunales civiles. Para cumplir los nuevos requisitos de protección de datos de la Ley 25 y evitar sanciones y multas, debe adaptar sus procedimientos de gestión de datos de clientes y revisar las políticas de protección de datos de su empresa.
Las consecuencias son especialmente drásticas para las empresas canadienses que almacenan y procesan datos en nubes estadounidenses como Airtable, Google Workspace o Microsoft 365. Según las leyes vigentes a partir de septiembre, ya no está permitido alojar datos personales de ciudadanos canadienses en centros de datos estadounidenses. Por lo tanto, todas las empresas y organizaciones canadienses que lo hagan se verán obligadas a cambiar a alternativas para cuando las nuevas normas entren en vigor en septiembre de 2023.
Patriot Act vs. protección de datos: cómo independizarse de los proveedores estadounidenses
En principio, no parece tan fácil alojar datos personales independientemente de los proveedores estadounidenses, es decir, fuera del ámbito de aplicación de la Patriot Act. De hecho, existen algunas alternativas a las nubes estadounidenses dominantes. Si actualmente sigue utilizando Airtable, Google Sheets o Microsoft Excel para almacenar datos personales, SeaTable, por ejemplo, podría ser la solución adecuada para usted. Esta asequible y potente solución de base de datos y colaboración es una alternativa que respeta la privacidad al cien por cien. Como empresa europea que valora la máxima seguridad de los datos, SeaTable dio la espalda al líder del sector estadounidense AWS desde el principio. En su lugar, la versión en la nube de SeaTable se aloja en centros de datos alemanes del proveedor suizo Exoscale, lo que significa que los datos están sujetos a estrictos requisitos europeos de protección de datos.
Comparado con Airtable, SeaTable impresiona por su multilingüismo, mayores límites de memoria y un precio más bajo, entre otras cosas.
Además, SeaTable ofrece una variante autoalojada con la que puede instalar y utilizar el software como solución local en sus propios servidores. Esto le proporciona una soberanía de datos absoluta y el máximo control sobre dónde se almacenan sus datos. Sea cual sea la opción que elija, SeaTable cumple las leyes canadienses de protección de datos.
¿Desea capturar datos de forma estructurada, completar tareas de forma eficaz y desarrollar procesos potentes, sin tener que preocuparse por la seguridad de sus datos? Entonces compruébelo usted mismo y regístrese aquí para obtener una suscripción gratuita a SeaTable, que ya le ofrece numerosas funciones útiles. La suscripción es completamente gratuita para usted y una oportunidad perfecta para probar SeaTable sin compromiso.
¿Aún no está convencido? Encontrará más información sobre SeaTable en su sitio web.
Consejo para los usuarios de Airtable
Puede encontrar una comparación detallada de Airtable y SeaTable aquí. Como usuario de Airtable, también tiene la opción de migrar cómodamente todos sus datos base a SeaTable con la ayuda de un script, sin ningún conocimiento de programación. Este artículo de ayuda explica cómo funciona.
"*"indica que los campos son obligatorios
