La lucha entre Microsoft y Estados Unidos por los datos de un usuario
Un tribunal de Estados Unidos ordenó en abril a Microsoft que entregara algunos datos relativos al correo electrónico de uno de sus usuarios. Esta información, que se requería para una investigación sobre narcóticos, se encontraba almacenada en un centro de datos de Irlanda. Microsoft optó por negarse a proporcionar los datos y pese a la insistencia de las autoridades estadounidenses –un nuevo tribunal, esta vez de distrito, confirmó la orden– se ha mantenido firme en su postura.
Perdido el pulso en varios tribunales, la compañía ha recurrido a una corte de apelaciones. El argumento de Microsoft para negarse a dar los datos es que el gobierno de Estados Unidos no tiene autoridad para pedir información alojada fuera de su territorio. La compañía señala que cumplir con la orden tendría “consecuencias profundas en política exterior”, pues supone la injerencia en los asuntos de un país soberano.
Randal Milch, vicepresidente de la operadora estadounidense Verizon, que apoya a Microsoft, ha destacado que la ley no permite al gobierno de Estados Unidos usar una orden de registro para obtener datos de clientes almacenados en el extranjero. Milch y también Microsoft señalan que cumplir con la orden daría motivos al resto de países para pedir información almacenada en Estados Unidos, poniendo en peligro la privacidad de los estadounidenses.
De la otra parte, el Departamento de Justicia de Estados Unidos advierte de que si Microsoft se sale con la suya, los proveedores de email y otros servicios online podrían trasladar la información de un país a otro para evitar a los agentes de la ley.
El escenario después de Snowden
Las revelaciones de Edward Snowden han levantado un muro de desconfianza entre los usuarios y las grandes compañías de Internet. En el caso concreto de Microsoft, se descubrió que la compañía había colaborado con la NSA, dando acceso a mensajes cifrados. La batalla actual se enmarca dentro de la intención por recuperar la confianza de los usuarios (y clientes empresariales).
El abogado que dirige el departamento legal de la compañía, Brad Smith, ha citado expresamente este motivo para justificar el empeño de Microsoft por no dar los datos.
La postura de la multinacional de Redmond no siempre ha sido la actual. En 2011, en pleno lanzamiento de su Office 365, el director de la empresa para Reino Unido dijo que proporcionaría la información de los centros de datos europeos que se le solicitara para cumplir con el Patriot Act. Era su obligación como compañía estadounidense, afirmaba.
Ahora, en cambio, la sensibilidad en torno al ciberespionaje es máxima. Un buen puñado de grandes compañías tecnológicas ha perdido contratos, clientes y dinero. Hay que recuperar la confianza y esto solo se puede hacer poniéndose del lado del usuario. El caso de Twitter también ilustra la nueva postura. El Patriot Act le obliga a dar información al gobierno de sus usuarios estadounidenses, pero la rede social quiere publicar un informe de transparencia completo, con todas las peticiones que ha recibido, algo que no se le permite por motivos de “seguridad nacional”.
Brad Smith apunta que la pugna de su empresa se sitúa en la delicada línea que separa la seguridad pública de la privacidad personal. Asimismo afirma que con 3.000 millones de dispositivos conectados en el mundo, las fronteras se han abierto y las cuestiones de privacidad han dejado de ser solo nacionales. “La gente solo usa la tecnología en la que confía y, dado que esta confianza ha estado sometida a presión, las compañías tienen que encontrar formas de recuperarla”, indica abiertamente Smith, quien prevé más encontronazos con las autoridades, pues el Electronic Communications Privacy Act, que regula estas cuestiones, data de 1986.
Respaldo del sector tecnológico
Compañías como Amazon, Apple, Cisco, HP, las operadoras Verizon o AT&T y la Cámara de Comercio de Estados Unidos, que representa a empresas y asociaciones empresariales, han mostrado su apoyo a Microsoft. A ellos se han sumado otras organizaciones empresariales y varias decenas de profesores universitarios.
Alemania, por su parte, ya ha avisado de que si Microsoft pierde el caso no almacenará información en proveedores de servicio de Estados Unidos. Y es que no existe un convenio de colaboración para ceder datos. Aunque entre países de la Unión Europea se trató de homogeneizar esta cuestión con la directiva sobre conservación de datos, que se anuló en abril.
La cesión de datos en España
Uno de los casos de petición de datos más conocidos en España fue el de Promusicae y Telefónica. La primera, asociación de productores de música, denunció ante un tribunal de Madrid para que la operadora le proporcionara información sobre los usuarios que realizaban intercambios de música P2P. El caso se elevó a las instancias europeas, que dictaminaron que la operadora no estaba obligada a dar la información.
Puede que las cosas hayan cambiado con la nueva Ley de Propiedad Intelectual, que entra en vigor a partir del 1 de enero. “Se podrán pedir los datos del titular de una dirección IP en un procedimiento civil cuando se tengan indicios de que está cometiendo un delito contra la propiedad intelectual a gran escala y con interés económico”, indica el abogado David Maeztu, especializado en nuevas tecnologías. Las empresas no se van a poder negar a darlos, aunque queda un resquicio legal.
“Después de la anulación de la Directiva sobre conservación de datos y las razones por las que se anuló, la situación tiene un encaje difícil con la normativa de derechos fundamentales en la reforma de la ley de enjuiciamiento civil. Ahí hay un problema, otra cosa será que sea la empresa de telecomunicaciones quien defienda esto o será el abogado del reclamado quien inicie las alegaciones en la UE”, aclara Maeztu.
En cuanto a delitos graves, como narcotráfico o terrorismo, en España rige la Ley de Conservación de Datos. En ella se especifica que en los casos de delitos graves sí existe obligación de facilitar la información asociada a una comunicación, aunque no el contenido de esta. “El problema es que el Tribunal de Justicia de la Unión Europea ha anulado la directiva que daba sustento a nivel europeo a la ley”, explica Maeztu. “Ahora mismo, aunque la ley sigue vigente en España, hay ciertas dudas sobre si pasaría un control o un juicio de compatibilidad a nivel europeo, teniendo en cuenta lo que se dijo sobre la directiva.” Al suprimir la Directiva, la institución judicial europea afirmó que esta constituía una injerencia de especial gravedad en los derechos fundamentales al respecto de la vida privada y la protección de datos de carácter personal.
Imagen: Edmund Tse