How to Build a Global Network that Complies with Local Law

En el transcurso de esta semana, hemos hablado mucho de soluciones técnicas desarrolladas por los ingenieros de Cloudflare para mejorar la privacidad, aumentar el control sobre los datos, y ayudar así a nuestros clientes a abordar los desafíos en materia de regulación. Pero la ingeniería no es la solución a todos los problemas. A veces necesitamos elaborar políticas y procedimientos que se anticipen a las preocupaciones de nuestros clientes, y ese es el enfoque que hemos utilizado para abordar las solicitudes legales de datos que hemos recibido del Gobierno y otros organismos legales a lo largo de los años.

Desde hace tiempo, los gobiernos de todo el mundo tienen interés en obtener acceso a registros en línea. A veces las fuerzas del orden público buscan pruebas que sean relevantes para las investigaciones penales. Además, en ocasiones los organismos de inteligencia tratan de obtener información sobre el trabajo de los gobiernos o agentes extranjeros. Y luego están los proveedores de servicios en línea de todo tipo, que suelen ser un punto de acceso a esos registros electrónicos.

Sin embargo, para los proveedores de servicios como Cloudflare, esas solicitudes pueden acarrear muchas dificultades. El trabajo que desempeñan las fuerzas del orden público y otras autoridades gubernamentales es importante, pero, al mismo tiempo, los datos que solicitan no nos pertenecen. Al utilizar nuestros servicios, nuestros clientes nos han confiado sus datos y mantener esa confianza es fundamental para nuestro negocio y nuestros valores.

Estas tensiones se ven agravadas por el hecho de que cada gobierno tiene diferentes normas en materia de protección de datos personales. Estados Unidos, por ejemplo, prohíbe a las empresas revelar el contenido de las comunicaciones, incluso a otros gobiernos, salvo en determinadas circunstancias definidas por ley. La Unión Europea, que durante mucho tiempo ha considerado que la privacidad de las comunicaciones y la protección de los datos personales son derechos humanos fundamentales, protege todos los datos personales de los ciudadanos de la Unión Europea mediante el Reglamento General de Protección de Datos (RGPD). Aunque estas protecciones se superponen en ciertos aspectos, difieren en lo relativo a su alcance y a quiénes protegen.

Las diferencias entre los distintos marcos jurídicos son importantes, en particular cuando se trata de determinar si las solicitudes legales de información procedentes de gobiernos extranjeros son compatibles con los requerimientos de privacidad. En los últimos años, por ejemplo, el Tribunal de Justicia de la Unión Europea ha concluido en varias ocasiones que las restricciones legales de los Estados Unidos sobre la recogida de datos, así como ciertos compromisos voluntarios como el Escudo de Privacidad o su predecesor, el Puerto Seguro EE. UU.- UE, no se atienen suficientemente a los requisitos de la UE en materia de privacidad. La razón principal es que las leyes estadounidenses permiten a las autoridades jurídicas recabar información sobre ciudadanos no estadounidenses para fines de inteligencia extranjera. De hecho, la Junta Europea de Protección de Datos ha adoptado la posición de que una solicitud de datos en virtud del derecho penal de los Estados Unidos, al margen de un proceso jurídico en el que los países de la Unión Europea mantienen cierto control sobre la información que se genera, carece de fundamento legítimo para la transferencia de datos personales sujetos al RGPD.

En el fondo, no son más que conflictos sobre cuándo es apropiado que un gobierno utilice ordenamientos jurídicos u otros procedimientos legales para acceder a los datos sobre los ciudadanos de otro país. Y estos conflictos no ocurren solo en Europa. Aunque sus respuestas políticas no son coherentes, un número cada vez mayor de países considera ahora que el acceso a los datos de sus ciudadanos es una preocupación de seguridad nacional. Desde nuestra perspectiva, estos enfrentamientos entre estados nacionales son conflictos entre gigantes que se veían venir.

Elaboración de políticas para abordar conflictos entre estados

Cloudflare viene aplicando desde hace mucho tiempo políticas para abordar las preocupaciones sobre el acceso a los datos personales, no solo porque creemos que eso es lo correcto sino porque los conflictos entre jurisdicciones que estamos presenciando hoy en día parecían inevitables. Como compañía global, con clientes, infraestructura y empleados en muchos países, entendemos que cada país tiene diferentes estándares legales. Pero cuando hay un conflicto entre dos normas legales que compiten entre sí, nos inclinamos por la que protege más la privacidad. Siempre exigimos un procedimiento legal, ya que una vez que se abre la puerta a los datos, puede resultar difícil cerrarla.

Desde que emitimos nuestro primer informe de transparencia en 2013, que detalla las solicitudes de datos por parte de las fuerzas del orden público, hemos adquirido compromisos públicos acerca de cómo abordamos las solicitudes de datos y hemos formulado declaraciones públicas sobre las acciones que nunca hemos llevado a cabo. Llamamos a estas declaraciones públicas warrant canaries (alertas de canario), con la idea de que sirvan de señal al mundo exterior. Estas declaraciones son un compromiso público en el que indicamos que nunca adoptaríamos estas medidas por elección propia, y es un mecanismo para transmitir información, mediante la eliminación de la declaración del sitio, que de otro modo tal vez no podríamos revelar. También nos hemos comprometido a impugnar cualquier ordenamiento jurídico que intente que incumplamos estos compromisos, ante los tribunales si es preciso. El objetivo era dejar claro, tanto a nuestros clientes como a los gobiernos de todo el mundo, los límites que nos hemos trazado.

Las entidades reguladoras han empezado a reconocer el valor de los compromisos de privacidad, en particular cuando pueden aplicarse por contrato. De hecho, los compromisos que hemos incluido en nuestros informes de transparencia durante años son exactamente los tipos de compromisos que la Comisión Europea ha recomendado que se incluyan en su proyecto de cláusulas contractuales tipo para el cumplimiento del RGPD.

"Alertas de canario" de Cloudflare

Como empresa de seguridad sabemos que mantener el control sobre el acceso a nuestras redes es un imperativo absoluto. Por eso nuestro equipo de seguridad se ha centrado en los controles de acceso, registro y supervisión, y es objeto de varias evaluaciones anuales realizadas por terceros. Queremos asegurarnos de que nuestros clientes entiendan que no hay ninguna exención en esos controles para las fuerzas del orden público o autoridades gubernamentales. Es por eso que declaramos que Cloudflare nunca ha instalado software o equipos de aplicación de la ley en nuestra red y tampoco hemos facilitado a ninguna organización gubernamental ninguna fuente del contenido de los clientes que transitan por la misma.

Cloudflare cree que es necesaria una encriptación sólida, tanto para el contenido como para los metadatos, a fin de asegurar la privacidad en línea. Si un país está tratando de evitar que un servicio de inteligencia extranjero acceda a la información personal de sus ciudadanos, el primer paso debe ser encriptar esa información personal. Sin embargo, los clientes y los reguladores también necesitan estar seguros de que la encriptación en sí misma es digna de confianza. Por tanto, hemos adquirido el compromiso de no entregar nunca a nadie nuestras claves de encriptación o autenticación ni las de nuestros clientes, y nunca hemos debilitado, comprometido o socavado nuestra capacidad de cifrado a petición de las fuerzas del orden público o de terceros.

Los otros compromisos de Cloudflare aplican a la integridad de Internet. No creemos que tengamos que usar nuestros sistemas para atraer a la gente a los sitios web que no tuvieran intención de visitar o para modificar el contenido que ven en línea. Por lo tanto, hemos declarado públicamente que nunca hemos cambiado el contenido de los clientes ni modificado el destino previsto de las respuestas del DNS a petición de las fuerzas del orden público o terceros.

Notificamos a nuestros clientes las solicitudes de datos que recibimos de las autoridades gubernamentales

Hace tiempo que Cloudflare considera que nuestros clientes merecen saber cuándo alguien, incluido un organismo encargado de velar por el cumplimiento de las leyes u otros agentes gubernamentales, utiliza un procedimiento jurídico para solicitar sus datos a fin de que puedan objetar dicha solicitud. De hecho, desde nuestros inicios nuestra política ha sido informar a nuestros clientes. En 2014, trabajamos con la Fundación de Fronteras Electrónicas para recurrir legalmente una carta de seguridad nacional que restringía nuestra capacidad de divulgar la recepción de dicha carta. El fallo del tribunal finalmente nos permitió revelar públicamente la carta de seguridad nacional tras un litigio de tres largos años.

Aunque reconocemos que puede haber algunas circunstancias en las que las fuerzas del orden público podrían restringir temporalmente la divulgación de manera apropiada para preservar la viabilidad de una investigación, creemos que el Gobierno debería estar obligado a justificar cualquier disposición de no divulgación y que esta última debería limitarse expresamente al tiempo mínimo necesario para el propósito en cuestión. Dado que los tribunales de Estados Unidos han sugerido que las órdenes de no divulgación indefinidas plantean problemas constitucionales, el Departamento de Justicia de Estados Unidos emitió una directriz en 2017 en la que ordenaba a los fiscales federales limitar las órdenes de no divulgación a no más de un año, salvo en circunstancias excepcionales.

Sin embargo, eso no ha impedido que todas las fuerzas del orden público de Estados Unidos soliciten órdenes de no divulgación indefinidas. De hecho, desde 2017, hemos recibido al menos 28 órdenes de este tipo que no incluían fecha límite. En colaboración con la ACLU (Asociación americana de defensa de las libertades de los ciudadanos), Cloudflare ha amenazado con iniciar procesos contenciosos para cada orden de no divulgación indefinida que hemos recibido. En cada caso, el Gobierno ha establecido posteriormente plazos en los requisitos de no divulgación en esas órdenes, lo que nos permite informar a nuestros clientes sobre esas solicitudes.

Solución a los conflictos entre legislaciones

Para mantener el cumplimiento de leyes como el RGPD, particularmente frente a los ordenamientos jurídicos que podrían ponernos en la difícil posición de tener que incumplirlo, es necesaria la intervención de los tribunales. Un proveedor de servicios como Cloudflare puede pedir a un tribunal que anule las solicitudes legales debido a un conflicto entre legislaciones, y nos hemos comprometido, tanto en nuestras declaraciones públicas como contractualmente en nuestro anexo de procesamiento de datos, a dar ese paso si es necesario para evitar un conflicto de este tipo. Creemos que el conflicto corresponde a los dos gobiernos que no se ponen de acuerdo sobre quién debe tener derecho a acceder a la información.

Conclusión

En última instancia, abordar los desafíos asociados con el funcionamiento de una red global que cumpla con las diferentes legislaciones en materia de privacidad en todo el mundo exige tener presente los valores que hemos defendido desde nuestros inicios. Entre ellos se incluyen la integridad, la transparencia y el respecto a la privacidad, así como la observancia plena de garantías legales y la obligación de mantener a nuestros clientes informados para que puedan tomar sus propias decisiones respecto a sus datos.