Cloud computing en riesgo?
El 11 de agosto de 2014, la Juez federal Loretta Preska, titular del U.S. District Court, Southern District of New York decidía respaldar la previa decisión de su colega James C. Francis IV, quien el 25 de abril anterior confirmaba la legalidad del mandamiento judicial por él mismo emitido el 4 de diciembre de 2013. En él, Francis ordenaba a Microsoft la entrega a las autoridades policiales norteamericanas de los archivos sujetos a su “posesión, custodia o control” correspondientes a una cuenta de correo electrónico perteneciente a uno de sus clientes. La investigación llevada a cabo por las fuerzas de seguridad estadounidenses se enmarcaba en una operación por supuesto tráfico de drogas. Se da la circunstancia, clave en todo este asunto, de que los datos de la cuenta en cuestión se encuentran alojados en servidores que dicha empresa tiene radicados en Irlanda (Dublín).
Tras diversos tomas y dacas procesales, despejados el 5 de septiembre de 2014, queda confirmado que Microsoft recurrirá la resolución. Con todo, las grandes empresas norteamericanas de Internet ofrecen hoy este tipo de servicios enteramente en la nube: de ahí que la propia encausada, pero también Google, Facebook, Apple o Amazon, entre otras, lo hayan venido siguiendo con extremo interés, como por ejemplo demuestran las alegaciones que varios de estos “gigantes del cloud” llegaban incluso a someter al Juzgado.
En puridad (singularidades de la legalidad procesal norteamericana), la decisión de la Juez Preska quedó ya tomada verbalmente en la propia vista oral de 31 de julio de 2014, por las razones que obran en el acta. Sucede no obstante que el acceso al acta no será público hasta pasado el mes de octubre de 2014. Ello nos obligará a centrar nuestro análisis en la argumentación empleada por el Juez Francis en su auto de 25 de abril de 2014, cuya validez su colega Preska venía a corroborar, sin perjuicio dereferencias periodísticas sólidas acerca de lo afirmado por la Juez Preska en dicha vista (basadas a su vez en testimonios de letrados que estuvieron presentes).
El auto de Francis pivota en torno a un precepto legal básico, contenido en la Stored Communications Act (SCA, Ley de comunicaciones almacenadas electrónicamente), que forma parte de la Electronic Communications Protection Act (ECPA, 1986), la pieza regulatoria básica de la privacidad de las comunicaciones electrónicas en los EE.UU. Se trata de su artículo 2.703 (a), que dice así:
Solo mediante orden judicial emitida por jurisdicción competente, y conforme a los procedimientos descritos en la Ley federal de enjuiciamiento criminal, podrá una autoridad gubernamental requerir la divulgación por parte de cualquier proveedor de servicios de comunicaciones electrónicas del contenido de una comunicación por cable o electrónica, que lleve almacenada electrónicamente en un sistema de comunicaciones electrónicas un máximo de 180 días.
Con base en este precepto, el Juez Francis construye la idea clave de su razonamiento, la de que “toda entidad legalmente obligada a suministrar información debe hacerlo, con independencia de la ubicación de dicha información” (y sin que ello suponga exorbitancia territorial en la vigencia de la ley estadounidense). Un razonamiento que, por las razones que siguen, Francis estima plenamente aplicable a Microsoft en el caso en liza (también por supuesto la Juez Preska en su resolución verbal).
1. Primero, porque en este supuesto, el acceso no tiene lugar en territorio irlandés, sino en los propios EE.UU., que es donde la información es efectivamente revisada. En otras palabras, el “visionado de pantalla” que permite a los agentes norteamericanos procesar la información no tiene lugar en Irlanda, sino en territorio norteamericano. Preska respaldó expresamente este argumento en la vista de 31 de julio de 2014.
Un razonamiento, por cierto, que resulta semejante al seguido por la jurisprudencia inglesa en un asunto memorable (Ashton c. Rusal): ante una intrusión efectuada desde Rusia contra equipos de una empresa británica sitos en el Reino Unido, la justicia inglesa no dudó en asumir jurisdicción con el sagaz y bien fundado argumento de que tal intrusión, por más que generada en Rusia, se había perpetrado de hecho en territorio británico, lo que llevó a algunos comentaristas a afirmar con tino que “un hackeador puede estar en dos sitios a la vez”.
2. Segundo, porque la interpretación histórica del artículo 2.703 (a) SCA (que Francis efectúa a la luz de la reforma operada en la ECPA por la Patriot Act de 2001) permite deducir su aplicabilidad a cualquier proveedor de servicios de Internet ubicado en los EE.UU., sin que a tal efecto importe el lugar de almacenamiento de la información. También este argumento fue explícitamente apoyado por la Juez Preska en su fallo verbal.
Y nueva similitud con un caso europeo, esta vez el archifamoso del Derecho al olvido, fallado en mayo de 2014 contra Google por el Tribunal de Justicia de la Unión Europea. En aplicación de la normativa europea sobre protección de datos, que justamente emplea este criterio para determinar su vigencia, el Tribunal aduce que es por el hecho de contar con un establecimiento en territorio europeo (español, concretamente) por lo que Google queda plenamente vinculada a la Directiva 95/46/CE.
3. Tercero, porque la posible solución de instar la aplicación de un tratado de asistencia jurídica mutua resulta “trabajosa e incierta”, con el consiguiente riesgo de frustrar una acción policial de estas características. Pese a todo, se trataría de una opción, que por cierto el Juez Francis no precisa si estaría disponible en este caso (en lo que quizá constituye el único punto débil de su construcción).
Opción esta última que sin embargo ni siquiera estaría al alcance en supuestos de inexistencia de tratado aplicable alguno. Y supuestos éstos en los que, de seguirse el criterio de Microsoft, “determinada información sujeta al control de un proveedor de servicios norteamericano quedaría enteramente fuera del alcance de los agentes estadounidenses encargados de hacer cumplir la SCA”.
Es obvio que este último escenario resulta inaceptable para el Juez Francis. Aunque no solo para la judicatura de los EE.UU., sino también para la europea, donde está ya bien asentado el principio de que la ubicuidad de Internet no puede aprovecharse con fines delictivos: nuevo ejemplo, entre tantos otros, el caso Menashe Business, en el que la justicia inglesa declaraba culpable de un delito de infracción de patente a un sujeto que, para eludir su responsabilidad en el Reino Unido, donde comercializaba un videojuego, almacenaba el software en servidores de la isla caribeña de Antigua.
4. Y cuarto, todo lo que la SCA hace a través del citado artículo 2.703 (a) es “imponer obligaciones a un proveedor de servicios que han de llevarse a efecto dentro de los EE.UU.”, de ahí que Microsoft, en su calidad de “entidad sujeta a la jurisdicción de los EE.UU., pueda ser requerida para recopilar pruebas que obren en el extranjero respecto de una investigación penal”.
El también muy famoso caso Reliquias nazis de Yahoo, uno de los clásicos del Derecho de la Red, se basaba en consideraciones muy semejantes: de nada sirvió a Yahoo alegar que los servidores que albergaban la información relativa a las reliquias estaban ubicados en California, a fin de evitar ser condenada con arreglo al Código penal francés: bastó al Juez parisino Gómez acreditar para ello que en Francia se producía un daño por poner a la venta tales reliquias en su plataforma.
¿Qué conclusiones podemos extraer de este capital caso?
Como cualquier Estado, también el norteamericano puede y debe perseguir el crimen: por lo tanto, el hecho de que los gigantes del cloud resulten ser empresas norteamericanas, no debiera ser un obstáculo para ello.
Demos por un momento la vuelta a la situación: ¿qué pasaría en Europa y en España si una empresa europea y española, como es por ejemplo Tuenti, alegara frente a las autoridades españolas algo parecido a lo que Microsoft alega en este caso ante las norteamericanas, en concreto, que los datos de la cuenta en Tuenti de un presunto narcotraficante figuran en servidores radicados en, supongamos, California? ¿Quedaríamos conformes con el hecho de que, por radicar en California, esa información debe ser inaccesible, y por tanto inservible para perseguir un determinado delito u otros en el futuro?
Segundo. Como la sucesiva invocación de casos judiciales europeos ha pretendido demostrar, argumentos enteramente semejantes a los sostenidos por los Jueces Francis y Preska para hacer valer las leyes estadounidenses en Internet se han venido empleando por los tribunales europeos para hacer otro tanto con las nuestras. Parece pues que el juicio de este asunto desde Europa debiera en todo caso realizarse con cautela: la que quizá no se empleó por cierto en declaraciones como la de 24 de junio de 2014 en el Parlamento Europeo de la Comisaria Europea de Justicia Viviane Reding, para quien el fallo de Francis supone “una posible violación del Derecho internacional”, que “puede lesionar” la privacidad de los ciudadanos europeos. Quizá sea así, pero convendría no olvidar nuestro propio contexto legal y jurisprudencial para evitar ser acusados de aplicar la “ley del embudo”.
Y tercera y última: es bien sabido que, al emplazar servidores en el punto más cercano al cliente o usuario, empresas como Microsoft no pretenden por supuesto eludir maliciosamente ley alguna, tampoco la norteamericana. Son razones de eficiencia en el servicio y, en lo que muy especialmente a Europa respecta (dotada de la normativa sobre privacidad más exigente y protectora del mundo), de tranquilidad para dichos cliente o usuario, en cuanto que el alojamiento en servidores sitos en Europa vendría a “inmunizar” la información frente a iniciativas como la del gobierno norteamericano en este caso. Microsoft particularmente hace valer con mucho énfasis que los datos de sus clientes europeos se alojarán en Dublín, a la hora de ofrecer en Europa sus servicios cloud.
Por ello se comprende la enorme preocupación que estas dos resoluciones judiciales han generado en Microsoft y en las demás grandes empresas (norteamericanas) de Internet. Francis y Preska daban al traste con esta línea de acción, absolutamente medular para su estrategia comercial, máxime en tiempos de preponderancia total del cloud computing, y de enorme sensibilidad en torno a la privacidad en línea, sobre todo en nuestro Continente.
Al fin y al cabo, la “estrategia Irlanda” nunca dejó de ser un parche, un remedio de urgencia ante la inexistencia de una mínima ordenación legal (como tratado, ley, o ambos) de la privacidad en el cloud computing. A todos, en Europa y en los EE.UU., nos ha “pillado el toro” con el cloud. Y ha pasado lo que tenía que pasar, que llegara algún juez y aplicara una normativa que, por datar de entre 1986 y 2001, difícilmente podía tener en cuenta los modelos de negocio que estas empresas desarrollan en la segunda década del siglo XXI.
Sería pues injusto cuestionar a estos dos jueces, quienes apenas podían hacer otra cosa a la vista de la legislación norteamericana actual (como le sucedió en el año 2000 al Juez Gómez en París). Deberá seguirse otro camino: tanto por Microsoft y las demás empresas del sector, como por los poderes públicos europeos o por cuantos más allá o más acá del Atlántico podamos sentirnos inquietos con este estado de la cuestión (unos por razones económicas, otros por razones políticas o de defensa de nuestros derechos).
Solo una norma escrita puede imponerse a una interpretación judicial. Y aunque el Tribunal de apelación competente podría terminar por rectificar a los jueces Francis y Preska, parece cierto que tras sus resoluciones de Nueva York, la urgencia de elaborar esa norma ha quedado evidenciada. Y más allá de lo que en EE.UU. o en Europa pudiera legislarse al respecto, tanto más urgente es la elaboración de un tratado EE.UU.-UE que se atreva por fin a regular la privacidad en nuestras relaciones, tan maltrechas (tras las revelaciones de Snowden, los espionajes mutuos y hasta los quiméricos amagos de crear “nubes europeas”), tan borrosas (por los titubeantes pasos del llamado “Puerto Seguro”), y tan necesitadas de normas fiables (vistos casos como éste de Microsoft).
http://abcblogs.abc.es/ley-red/public/post/el-caso-orden-judicial-a-microsoft-o-por-que-nos-ha-pillado-el-toro-con-el-cloud-15880.asp/
Deja una respuesta