Sobre el acceso de los gobiernos a los datos
Gobierno de los datos
Alfonso González Herrero
Director of Government and Regulatory Affairs
Durante los últimos meses, la Comisión Europea ha empezado a recopilar información para mitigar los riesgos derivados del acceso de algunos gobiernos a datos no personales de empresas establecidas en territorio europeo y que están siendo almacenadas por proveedores de servicios en la nube.
Desde IBM creemos interesante dar a conocer cómo nuestra compañía –con más de 100 años de presencia en Europa, con numerosos centros de datos en la nube, laboratorios de investigación, espacios y centros de excelencia–, gestiona los datos de sus clientes en la Unión Europea.
Lo que tiene en común la nube de IBM con otros servicios de cloud en Europa
Todas las entidades de IBM establecidas en Europa, incluida IBM España, al igual que cualquier otra entidad originaria de algún país de la Unión Europea, están sujetas a las leyes de la Unión Europea y a las leyes nacionales del país en que operan, incluidos todos los aspectos relativos a la protección y privacidad de los datos. Con independencia de donde operamos, el compromiso de IBM con el cumplimiento de todas las leyes locales es firme por lo que nuestra compañía rechazará cualquier petición de acceso a datos realizada por cualquier gobierno que no se ajuste a la legislación vigente.
Ni siquiera desde la entrada en vigor en los Estados Unidos de la “Cloud Act” en marzo de 2018, IBM ha proporcionado dato alguno a ningún gobierno. Por ser más precisos, desde 2018, solo hemos recibido una petición del gobierno de Estados Unidos para que se le proporcionaran datos de empresas localizadas en la UE, la cual declinamos, puesto que determinamos que la petición no era consistente con los principios de IBM, y por tanto declinamos proporcionar dichos datos localizados fuera de los Estados Unidos. En ese sentido, IBM instó al gobierno americano a que o bien contactara con la empresa cliente directamente, o bien, realizara la petición a través de los procesos establecidos para la colaboración jurídica entre países (MLATs, Mutual Legal Assistance Treaties o Tratados de Asistencia Judicial Mutua).
IBM también reiteró su posición frente al gobierno de los Estados Unidos, transmitiéndole que no tiene autoridad para exigir la entrega de información de clientes a las empresas subsidiarias de IBM, dado que son entidades jurídicas separadas. No proporcionamos datos de nuestros clientes por el mero hecho de que exista una relación corporativa.
Hemos de tener en cuenta, además, que el propósito de la «Cloud Act» de Estados Unidos es limitado: buscar datos electrónicos relevantes que contengan información que permita luchar contra crímenes tan graves como el terrorismo. Y que IBM no es una plataforma digital que controle cantidades masivas de datos de usuarios, sino que somos un proveedor de servicios en la nube para empresas y administraciones públicas.
Lo que hace a la nube de IBM diferente
IBM es, en algunos aspectos, muy parecida a otras empresas de cloud, y en otros, radicalmente diferente.
Primero, porque IBM no es una plataforma de consumo digital. La naturaleza de la mayor parte de nuestra actividad y la de nuestros clientes nos diferencia de las grandes plataformas de la industria; especialmente de aquellas que interactúan directamente con los consumidores, y que controlan cantidades ingentes de datos de los consumidores.
IBM gestiona, en su mayoría, datos empresariales que no resultan útiles para temas de seguridad nacional. Estos datos no suelen ser de interés, y por eso hemos recibido un número muy bajo de peticiones de datos de clientes de otros países.
Por otro lado, IBM es diferente a otras empresas de servicios en la nube, ya que, según nuestros principios y nuestra práctica, los datos pertenecen a nuestros clientes y no a IBM.
Todo esto se confirma en nuestro último informe de transparencia presentado en 2020: ninguna entidad de IBM proporcionó (y tampoco se le pidió que proporcionara) datos asociados a un cliente a excepción de información que permitiera a las autoridades contactar a la empresa cliente para solicitarle directamente la información que consideraran necesaria. Esa excepción no tenía tampoco nada que ver con el Cloud Act ni con las autoridades en los Estados Unidos y, en todo caso, se resolvió de acuerdo con las leyes locales.
La necesidad de una nube en la que se pueda confiar
Mientras algunas empresas comienzan ahora a buscar la manera de mejorar sus capacidades, IBM no ha dejado de buscar fórmulas para garantizar la seguridad de la nube en el ecosistema europeo. En este tiempo ya se han implementado mejoras e innovaciones.
Así, disponemos de servicios que permiten que se almacenen y se procesen todos los datos dentro de Europa, y hemos implantando avances tecnológicos de encriptación de datos (en los que son nuestros clientes los únicos que disponen de la llave de desencriptación), que ponen de manifiesto nuestra firme apuesta por el desarrollo de una nube europea de confianza.
En IBM tenemos clara la importancia de este punto y hacemos un llamamiento a todos los proveedores de servicios en la nube, tanto americanos como europeos para que sean transparentes acerca de los datos que están proporcionando a los gobiernos, de modo que podamos construir una nube europea sobre la base de valores compartidos, impulsando un clima de confianza digital que tenga como pilares la privacidad y seguridad de los datos conforme el marco jurídico europeo.