Casares.blog

CLOUD Act, RGPD y los proveedores que usas cada día

·

Javier Casares

Cuando contratas un servidor, pones tu web detrás de Cloudflare o usas Google Workspace para el correo de empresa, estás tomando una decisión técnica. Pero también estás tomando una decisión legal, aunque nadie te lo haya explicado así.

Este artículo va a intentar hacer exactamente eso: explicar qué es la CLOUD Act estadounidense, por qué entra en conflicto directo con el RGPD europeo, y qué significa en la práctica para cada uno de los servicios que probablemente estás usando ahora mismo.

Qué es la CLOUD Act

La Clarifying Lawful Overseas Use of Data Act (CLOUD Act) es una ley federal estadounidense aprobada en marzo de 2018. Su objetivo es simple: permitir a las autoridades de Estados Unidos exigir a empresas bajo jurisdicción americana que entreguen datos almacenados en cualquier parte del mundo, independientemente de dónde estén esos datos físicamente.

Antes de la CLOUD Act, el FBI o el Departamento de Justicia podían toparse con un problema práctico: los datos estaban en un servidor en Irlanda, Alemania o Japón, y la empresa alegaba que no podía entregarlos porque no estaban en suelo americano. El caso Microsoft Corp. v. United States (2013-2018) dejó en evidencia esta laguna legal: Microsoft se negó a entregar correos almacenados en sus servidores de Irlanda a petición del FBI. El caso llegó al Tribunal Supremo. La CLOUD Act llegó antes que la sentencia, zanjando la cuestión legislativamente.

El resultado: si una empresa tiene presencia legal en EE.UU. (sede, filial, cotización en bolsa americana, o simplemente opera desde allí) las autoridades estadounidenses pueden exigirle los datos de cualquier usuario, de cualquier país, almacenados en cualquier servidor del mundo. Y la empresa debe cumplir o recurrir judicialmente, con el resultado incierto.

La ley no se limita a investigaciones de terrorismo o crimen organizado. En teoría, cualquier investigación penal federal puede activar este mecanismo.

Qué dice el RGPD al respecto

El Reglamento General de Protección de Datos (RGPD), también aprobado en 2018 aunque en vigor desde mayo de ese año, establece en su Artículo 48 lo siguiente:

Las resoluciones de un órgano jurisdiccional o de una autoridad administrativa de un tercer país que exijan a un responsable o encargado que transfiera o comunique datos personales únicamente serán reconocidas o ejecutables si se basan en un acuerdo internacional.

En español plano: una orden judicial de EE.UU. no es, por sí sola, base legal suficiente para transferir datos de ciudadanos europeos fuera de la UE. Hace falta un tratado o acuerdo internacional que lo respalde.

La CLOUD Act dice que sí se pueden entregar. El RGPD dice que no sin un acuerdo previo. No hay acuerdo en vigor entre EE.UU. y la UE que resuelva este conflicto específico. El resultado es una contradicción legal sin resolver, en la que las empresas quedan atrapadas en el medio.

El EU-US Data Privacy Framework

Tras la anulación del Privacy Shield por el Tribunal de Justicia de la UE en 2020 (sentencia Schrems II), la Comisión Europea y el gobierno de EE.UU. negociaron un nuevo marco: el EU-US Data Privacy Framework (DPF), que entró en vigor en julio de 2023.

Las empresas americanas que se adhieren al DPF pueden recibir datos personales de ciudadanos de la UE sin necesidad de cláusulas contractuales adicionales. Cloudflare, Google, Microsoft, Amazon y la mayoría de los grandes proveedores están adheridos.

Sin embargo, el DPF tiene un talón de Aquiles conocido: Max Schrems y su organización noyb ya anunciaron que impugnarán el acuerdo ante el TJUE (lo que sería Schrems III). Los motivos son los mismos que anularon el Privacy Shield: la legislación de vigilancia americana (CLOUD Act, FISA Section 702, Patriot Act) sigue siendo incompatible con el nivel de protección que exige el RGPD.

Vamos, que el DPF es el mecanismo legal vigente, pero es frágil. Podría ser anulado en los próximos años.

Proveedores habituales: uno por uno

A continuación, dejo un análisis práctico de los servicios más comunes. La clasificación de riesgo tiene en cuenta la jurisdicción de la empresa matriz, los datos que procesa, y las salvaguardas técnicas y contractuales disponibles.

Infraestructura y hosting

AWS (Amazon Web Services)

  • Jurisdicción: EE.UU. (Amazon.com, Inc.).
  • Datos en la UE: Disponibles regiones en Frankfurt, Irlanda, España (2024).
  • Cumplimiento RGPD: DPA disponible, adherido al DPF, SCC.
  • Riesgo CLOUD Act: Alto en teoría; prácticamente, Amazon ha declarado públicamente cero divulgaciones de contenido de clientes empresariales fuera de EE.UU. desde 2020.
  • Veredicto: Usable con controles adecuados para datos no especialmente sensibles. Problemático para infraestructura crítica o datos sanitarios/financieros.

Microsoft Azure

  • Jurisdicción: EE.UU. (Microsoft Corporation).
  • Datos en la UE: Amplia presencia, incluyendo «EU Data Boundary» desde 2023.
  • Cumplimiento RGPD: DPA, DPF, SCC, EU Data Boundary.
  • Riesgo CLOUD Act: El propio consejero legal de Microsoft Francia declaró ante el Senado francés que no puede garantizar que los datos europeos no sean accedidos por el gobierno de EE.UU..
  • Veredicto: Lo mismo que AWS. La diferencia es que Microsoft fue más explícito sobre las limitaciones de sus garantías, lo cual es honesto pero preocupante.

Google Cloud Platform (GCP)

  • Jurisdicción: EE.UU. (Alphabet Inc.).
  • Datos en la UE: Regiones en Frankfurt, Países Bajos, Finlandia, Polonia.
  • Cumplimiento RGPD: DPA, DPF, SCC, Sovereign Controls (tier adicional).
  • Riesgo CLOUD Act: Idéntico al de AWS y Azure.
  • Veredicto: Equivalente a los anteriores.

Hetzner

  • Jurisdicción: Alemania (Hetzner Online GmbH).
  • Datos en la UE: Exclusivamente Alemania y Finlandia.
  • Cumplimiento RGPD: Sujeto únicamente a ley alemana y europea; sin jurisdicción americana.
  • Riesgo CLOUD Act: Prácticamente nulo. Sin presencia legal en EE.UU., las autoridades americanas no tienen vía directa.
  • Veredicto: Opción sólida desde el punto de vista de soberanía de datos. Es la alternativa europea de referencia para VPS y dedicados.

OVHcloud

  • Jurisdicción: Francia (OVH SAS).
  • Datos en la UE: Principalmente Francia, también otros países europeos.
  • Cumplimiento RGPD: Sujeto a ley francesa y europea.
  • Riesgo CLOUD Act: Bajo, sin jurisdicción americana directa. Nota: en 2025, un tribunal canadiense ordenó a la filial canadiense de OVH entregar datos de servidores en Francia (un precedente preocupante, aunque no directamente relacionado con EE.UU.).
  • Veredicto: Opción europea sólida, comparable a Hetzner.

DigitalOcean

  • Jurisdicción: EE.UU. (DigitalOcean, LLC).
  • Datos en la UE: Frankfurt, Ámsterdam.
  • Riesgo CLOUD Act: Alto, misma problemática que los hyperscalers.
  • Veredicto: A pesar de su popularidad entre desarrolladores, desde el punto de vista de soberanía de datos es equivalente a AWS, no a Hetzner.

CDN y proxy / seguridad web

Cloudflare

Este merece más espacio porque es el más usado y el más debatido.

  • Jurisdicción: EE.UU. (Cloudflare, Inc., NYSE: NET).
  • Qué datos procesa: IPs de visitantes, metadatos de tráfico, logs, tráfico TLS descifrado en sus edges, contenido si usas Workers o R2.
  • Cumplimiento RGPD: DPA disponible, adherido al DPF, SCC. Ofrece Regional Services para mantener el procesamiento TLS dentro de la UE.
  • Riesgo CLOUD Act: Existente. La Autoridad Austriaca de Protección de Datos expresó preocupación específica sobre Cloudflare. El TJUE ha planteado dudas sobre su uso como reverse proxy. El punto crítico es que todo el tráfico de tu web pasa por sus servidores, incluyendo IPs de visitantes, que son datos personales bajo el RGPD.
  • Salvaguarda técnica notable: Regional Services (plan Enterprise) permite que la inspección TLS se quede en Europa. Keyless SSL permite que las claves privadas nunca salgan de tu infraestructura.

El debate concreto: ¿Es ilegal usar Cloudflare en España?

No existe una resolución de la AEPD que prohíba expresamente Cloudflare (a diferencia de Google Analytics, que sí recibió resoluciones negativas en Austria, Francia e Italia). La AEPD tomó en 2022 una postura más matizada que sus homólogos europeos respecto a las IPs como datos personales. En la práctica, Cloudflare con DPA firmado, usando Regional Services si es posible, y documentado en el registro de actividades de tratamiento, es defendible ante la AEPD para la mayoría de casos.

Sin embargo, para sectores regulados (sanidad, banca, administración pública) o para datos especialmente sensibles, la recomendación cambia.

Alternativas europeas a Cloudflare:

  • Bunny.net (Eslovenia): CDN con PoPs en Europa, precios competitivos, sin jurisdicción americana.
  • Gcore (Luxemburgo): CDN + DDoS protection, red de más de 200 Tbps.
  • Fastly: Aunque es americana, no tiene el mismo perfil de riesgo que Cloudflare porque no actúa como proxy inverso completo por defecto.

Akamai

  • Jurisdicción: EE.UU..
  • Riesgo CLOUD Act: Similar a Cloudflare. Ampliamente usado en infraestructura crítica, lo que genera tensiones regulatorias en Europa.

Correo electrónico y productividad

Google Workspace (Gmail, Drive, Docs)

  • Jurisdicción: EE.UU..
  • Riesgo CLOUD Act: Alto para contenido almacenado. El correo electrónico y los documentos son exactamente el tipo de evidencia que las autoridades americanas han buscado históricamente.
  • Alternativas europeas: Proton Mail (Suiza), Tutanota (Alemania), Mailbox.org (Alemania), Infomaniak (Suiza).

Microsoft 365

  • Jurisdicción: EE.UU..
  • Riesgo CLOUD Act: Idéntico a Google Workspace.
  • Nota: El Supervisor Europeo de Protección de Datos (SEPD) prohibió al Parlamento Europeo usar Microsoft 365 sin salvaguardas adicionales.

Zoho

  • Jurisdicción: India (Zoho Corporation). Tiene filial en EE.UU..
  • Riesgo CLOUD Act: Menor que Google/Microsoft, pero la filial americana introduce cierta exposición.
  • Veredicto: Opción intermedia; mejor que los hyperscalers americanos, no tan limpio como opciones europeas puras.

Herramientas de desarrollo y código

GitHub

  • Jurisdicción: EE.UU. (Microsoft).
  • Riesgo CLOUD Act: Aplica, aunque el contenido típico (código) rara vez contiene datos personales de terceros.
  • Alternativas europeas: GitLab (puede ser self-hosted), Forgejo/Gitea (self-hosted), Codeberg (Alemania, gratuito para open source).

Slack

  • Jurisdicción: EE.UU. (Salesforce, Inc.).
  • Riesgo CLOUD Act: Alto para comunicaciones corporativas. Los mensajes de Slack son el equivalente moderno de los correos electrónicos en investigaciones.
  • Alternativas europeas: Mattermost (self-hosted), Element/Matrix (self-hosted o proveedores europeos).

Analítica web

Este es probablemente el campo donde las autoridades europeas han sido más activas.

Google Analytics

  • Jurisdicción: EE.UU..
  • Riesgo CLOUD Act + RGPD: Las autoridades austriaca, francesa, italiana y danesa han declarado su uso ilegal sin salvaguardas adicionales. La AEPD española ha sido más permisiva, pero la tendencia regulatoria es clara.
  • Alternativas europeas: Matomo (self-hosted o cloud europeo), Plausible (Estonia), Fathom (Canadá, alternativa), Pirsch (Alemania).

Cloudflare Analytics / Web Analytics

  • Jurisdicción: EE.UU., misma problemática base.
  • Mitigante: No usa cookies, no genera fingerprints, procesa IPs de forma agregada. Es notablemente más respetuoso que GA4.

Pasarelas de pago

Stripe

  • Jurisdicción: EE.UU. (Stripe, Inc.), con entidad europea (Stripe Payments Europe, Ltd., Irlanda).
  • Riesgo CLOUD Act: La entidad irlandesa tiene cierta separación, pero Stripe Inc. es la matriz americana.
  • Situación: Los datos de pago (PCI-DSS) tienen sus propias reglas de residencia. En la práctica, Stripe es ampliamente usado en Europa y aceptado regulatoriamente, pero no es soberanía pura.

PayPal

  • Jurisdicción: EE.UU. con entidad luxemburguesa para Europa.
  • Riesgo CLOUD Act: Similar a Stripe.

Alternativas europeas: Mollie (Países Bajos), Adyen (Países Bajos), Redsys (España, para cobros directos).

Qué hacer en la práctica

No existe una respuesta única. La decisión depende de qué datos procesas y para quién.

Si eres una web o SaaS con usuarios europeos y datos ordinarios: Puedes usar proveedores americanos con DPA firmado, SCC en vigor y documentación en tu registro de actividades de tratamiento. Cloudflare con DPA es defendible. AWS en región europea con DPA también. El riesgo legal real es bajo, aunque teóricamente existe.

Si manejas datos sensibles (sanitarios, financieros, de menores, biométricos): Pasa a proveedores europeos sin jurisdicción americana para esos datos concretos. No es opcional, es una evaluación de impacto (EIPD) la que te llevará a esa conclusión.

Si eres administración pública o infraestructura crítica: La soberanía de datos es un requisito, no una opción. Hetzner, OVHcloud, o infraestructura propia.

Pasos mínimos para cualquier caso:

  1. Inventariar qué proveedores americanos estás usando y qué datos les envías.
  2. Firmar el DPA con cada uno (muchos lo tienen en self-service).
  3. Documentarlo en el registro de actividades de tratamiento (obligatorio bajo RGPD Art. 30).
  4. Revisar si algún proveedor clave puede sustituirse por uno europeo sin coste operativo significativo.
  5. Para Cloudflare específicamente: activar Regional Services si tienes acceso, o al menos documentar que el procesamiento de IPs está cubierto por el DPA y el DPF.

Sin resolución definitiva (por ahora)

La tensión entre la CLOUD Act y el RGPD no va a resolverse pronto. El EU-US Data Privacy Framework es el mecanismo vigente, pero su estabilidad jurídica no está garantizada. Las autoridades europeas de protección de datos son cada vez más activas (España lidera en número de sanciones en Europa), y la tendencia regulatoria apunta hacia una mayor exigencia de soberanía real, no solo de data centers en suelo europeo gestionados por empresas americanas.

El mensaje de fondo es este: el lugar donde están los servidores importa menos que la jurisdicción de quien los controla. Tener tus datos en Frankfurt no te protege si la empresa que gestiona esos servidores tiene que responder ante un tribunal de San Francisco.

Para la mayoría de proyectos web, la situación actual es manejable con los controles adecuados. Pero si alguna vez te preguntas por qué los proveedores europeos como Hetzner o Bunny.net están ganando terreno entre administradores de sistemas conscientes de la normativa, ya tienes la respuesta.

¿Tienes dudas sobre un proveedor concreto o una situación específica? Los comentarios están abiertos.

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Últimas entradas