El tribunal de los EE. UU obliga a Microsoft a brindar datos sobre los servidores en el extranjero: cómo conservar la seguridad de los datos en la nube

Esta semana, un tribunal de los EE. UU. determinó que una orden judicial de registro emitida en los EE. UU. es suficiente para acceder a los datos alojados fuera del país en otra jurisdicción, lo que coloca a las autoridades de los EE. UU. en un conflicto mayor con la legislación extranjera, especialmente las leyes de privacidad de la información en la Unión Europea. El caso involucró a Microsoft®, Inc., a quien se solicitó la entrega de correos electrónicos almacenados en Irlanda. Microsoft sostenía que los datos se encontraban fuera de la jurisdicción de la orden, pero un tribunal federal de los EE. UU. no estuvo de acuerdo. Microsoft está apelando esta decisión.

Al igual que muchas empresas estadounidenses, Microsoft ha creado deliberadamente una instalación de almacenamiento de datos en Europa para los ciudadanos de la Unión Europea, con la suposición de que los datos alojados dentro de la jurisdicción de la UE se encontrarían bajo la seguridad de las regulaciones locales de privacidad. De acuerdo con el fallo del tribunal federal, esto podría ofrecer muy poca protección.

El caso tiene profundas implicaciones para las organizaciones que usan soluciones de colaboración y uso compartido de archivos basadas en la nube. Si se mantiene la decisión del tribunal federal, el gobierno de los EE. UU. y los oficiales de las fuerzas públicas aún podrían acceder a los datos alojados fuera del territorio estadounidense.

Las organizaciones que utilizan soluciones para compartir y sincronizar archivos basados en la nube tienen motivos para preocuparse. Gran parte de los datos que se comparten con estos servicios están sujetos a regulaciones de privacidad de datos muy estrictas. Y los usuarios de estos servicios pueden suponer razonablemente que sus datos conservan la privacidad. ¿Cuál es la solución?

Primero, debemos felicitar a Microsoft por hacer frente a la orden de registro. Solo una empresa con los recursos y la presencia a nivel mundial de Microsoft puede tener la esperanza razonable de revocar esta decisión del tribunal.

En segundo lugar, la suposición de que la ubicación de los datos proporciona protecciones de seguridad se encuentra claramente en riesgo. Las organizaciones deben buscar protecciones adicionales para sus datos. Una respuesta, que nosotros apoyamos, es proveer a los propietarios de los datos el acceso exclusivo a las claves de cifrado de los datos. Las claves de cifrado administradas por los clientes aseguran que únicamente los propietarios de las claves puedan acceder a los archivos decodificados. Si se implementa correctamente, el proveedor de la nube no tendría la capacidad técnica para decodificar los archivos si el cliente elimina las claves maestras. En estas circunstancias, si una agencia gubernamental solicitara el acceso a los datos de un proveedor de almacenamiento de archivos de la nube, no podrían brindarle los datos. Solo el propietario de los datos podría responder a esta solicitud. Si Microsoft hubiera usado esta tecnología, podría haber evitado el pedido de la orden judicial.