Entrevistamos a Gabriel López Serrano, Director de Asuntos Regulatorios de Microsoft Ibérica
- Gabriel, para aquellos de nuestros lectores que aún no conocen el Warrant Case podría explicarnos sucintamente en qué consiste este importante caso.
Este caso trata sobre el acceso legítimo a evidencias digitales o electrónicas por parte de autoridades. En Microsoft estamos comprometidos en defender los derechos fundamentales de nuestros usuarios y creemos que las autoridades, cuando solicitan datos en el ejercicio de sus facultades, deben en todo momento respetar los derechos fundamentales de las personas y la soberanía de los estados.
En 2013 las autoridades de EEUU solicitaron a Microsoft el contenido de diversos correos electrónicos, que se encontraban almacenados en un Data Center de Irlanda. La compañía informó sobre el alcance extraterritorial de la petición y solicitó que se utilizasen los mecanismos de cooperación judicial internacional. Ante esta situación, el juez del caso insistió en el requerimiento de los datos y consideró a Microsoft en desacato, en ese momento la compañía decidió impugnar la orden judicial.
Posteriormente, el segundo circuito de la Corte de Apelaciones concedió la moción de Microsoft para anular la orden judicial estadounidense. Ya en octubre de 2017, el Tribunal Supremo de Estados Unidos accedió a revisar este caso, y se espera una resolución final al caso aproximadamente en junio de 2018.
En estos momentos se encuentra abierto un periodo dentro del procedimiento en donde es posible participar como “amigo de la corte” o “amicus curiae” presentando un informe para ayudar al Tribunal Supremo de EEUU a comprender mejor el caso y sus potenciales implicaciones. La fecha límite para la presentación de estos informes es el próximo día 13 de diciembre (para informes que no apoyen a una de las partes), o el 18 de enero (para los informes pro-parte).
Durante el proceso de apelación se abrió un periodo similar, donde participaron decenas científicos, empresas tecnológicas, asociaciones y el gobierno de Irlanda, quienes presentaron informes que sirvieron de apoyo a la Corte de Apelaciones, quien finalmente falló a favor Microsoft por tres votos contra cero.
- ¿Por qué el Warrant Case tiene tanta importancia e implicaciones globales?
En un momento como este, resulta clave que los estados miembros de la UE contribuyan a la discusión en defensa de los derechos fundamentales de los ciudadanos europeos a nivel internacional. El Warrant Case cuestiona la aplicación extraterritorial de las normas de EEUU, su impacto en los derechos fundamentales y la necesidad de modernizar los mecanismos de cooperación internacional para la obtención de evidencia digitales. Microsoft considera que las autoridades deben utilizar mecanismos legales para acceder a datos de los ciudadanos europeos respetando la soberanía de los países. Creemos que los derechos fundamentales de las personas son los mismos en el mundo digital y el analógico. En ese sentido, los datos personales de las personas deben ser protegidos de igual forma si están en la nube o almacenados en un soporte físico.
Adicionalmente, existe potencialmente un problema de asimetría ya que la legislación de EEUU impide un trato recíproco frente a las autoridades europeas, quienes no podrán en acceder de manera directa a los datos almacenados en EEUU sin que intervenga el Departamento de Justicia de los EEUU si se diera la situación inversa.
- ¿En qué puede afectar a Microsoft y al resto de la industria tecnológica TECH la solución del caso si éste se salda en contra de sus intereses?
Creemos que los intereses que están en juego en este caso se refieren precisamente a cómo debe funcionar la cooperación internacional en el mundo digital. Trata acerca del interés que los gobiernos deben tener para establecer mecanismos eficaces y legítimos, que permitan ejercer sus funciones de investigación respetando los derechos fundamentales de las personas y la soberanía de los gobiernos.
Creemos que la lógica debe prevalecer en este caso, no tiene sentido que exista una disparidad en el tratamiento legal que recibe un dato que esté, por ejemplo, impreso en un papel y custodiado en un edificio ubicado en un país concreto, y un dato ubicado en el disco duro de un servidor que esté en la misma ubicación. Consideramos que las autoridades de EEUU no se plantearían enviar a Irlanda a un representante que accediese al edificio para incautar la documentación impresa, sin embargo, sí presionan para obtener documentos digitales almacenados fuera de su jurisdicción.
Este caso pone en relieve la necesidad de modernizar los mecanismos de cooperación internacionales y puede ser el detonante para instar a una negociación satisfactoria para los dos continentes, en otras palabras, me parece que una solución favorable a Microsoft beneficia a todos. A las personas, porque reconoce la prevalencia de un derecho fundamental; a los gobiernos, porque refuerza un modelo legal y recíproco de gobernanza en internet; a las autoridades y a la industria, porque refuerza el ordenamiento jurídico internacional y las instituciones de derecho internacional público; y, finalmente, a los organismos encargados de negociar mejores acuerdos de cooperación internacional.
- Y ya puestos, ¿cuáles serían los efectos que ese fallo contrario a los intereses de Microsoft y resto de industria tecnológica repercutirían en los ciudadanos y en las empresas clientes de este tipo de soluciones cloud de almacenamiento de información?
Esperamos ganar, pero si perdemos, acataremos, como es lógico, la resolución, pero no nos vamos a rendir. Iremos al Congreso de los EEUU, hablaremos con el gobierno norteamericano y con los gobiernos europeos. No vamos a incumplir la ley, pero tenemos muchas oportunidades de que la ley nos dé la razón.
Sin embargo, permítame matizar un poco su pregunta. En realidad, un fallo favorable a las pretensiones del gobierno de los EEUU no sería contrario a los intereses de Microsoft, sino a los de los usuarios y al de las posibilidades de lucha efectiva contra la delincuencia. Microsoft es custodio de la confianza de nuestros clientes en la garantía de sus derechos. Cuando alguien envía un correo con nuestros servicios o guarda en la nube un documento confidencial deposita en nosotros su intimidad, sus sueños o su futuro profesional, y espera de su proveedor que custodie esa información de modo diligente y conforme a la ley.
La Cuarta Enmienda, el derecho a la vida privada o el derecho fundamental a la protección de datos en la Unión Europea son necesarios para el funcionamiento del mundo digital y garantizarlo, incluso frente a la acción unilateral de un gobierno, es nuestro deber. Pero no se trata sólo de eso. Nuestro mundo exige una acción coordinada y unos estándares globales de privacidad, que garanticen un marco proporcional para los deberes y funcional para la investigación policial y judicial. Y esto lo pueden identificar en las sentencias Digital Rights Ireland y Schrems. Esta última tuvo un efecto inmediato y determinó un acuerdo rápido, Privacy Shield, que busca ofrecer más garantías.
Si el Tribunal Supremo reconoce nuestra pretensión uno de los efectos debería ser el impulso de nuevos marcos trasnacionales. Si no lo hace, se mantendrá un marco no homogéneo e inseguro de soberanías nacionales en conflicto. Y esto ni es bueno para los derechos fundamentales, ni es bueno para la industria, ni es bueno para la eficacia y la eficiencia en la lucha contra la delincuencia.
- Considera necesario regular a nivel internacional un estatuto jurídico en materia de privacidad del dato alojado en la nube?
En el ámbito europeo, creemos que ya existe un marco normativo adecuado. El Reglamento General de Protección de Datos ha establecido uno de los estándares más altos de protección a nivel mundial y estamos comprometidos con su cumplimiento, de hecho, actualmente estamos ayudando a nuestros clientes a que utilicen nuestras herramientas para verificar su grado de preparación de cara a la aplicación del Reglamento.
Sí consideramos necesario modernizar los mecanismos de cooperación judicial para la práctica de pruebas electrónicas en el extranjero, esto tanto dentro de la Unión Europea como a nivel internacional. Muchos de los tratados de asistencia jurídica fueron diseñados en una época en la que no tenían previsto el avance tecnológico que hemos logrado.
- En EEUU la Ley de Privacidad de Comunicaciones Electrónicas (ECPA) se promulgó hace 31 años y no contemplaba por aquel entonces la necesidad de establecer reglas para que las fuerzas de orden público y resto de autoridades accedan a los datos que pertenecen a personas no estadounidenses ubicadas en el extranjero. En este sentido, ¿cómo puede la policía norteamericana acceder a la información que pertenece a personas nacionales de otros países ubicada en el exterior, como es el caso de Irlanda?
Hace 31 años, es decir 1986, no existía el internet como lo conocemos el día de hoy, no había redes sociales, tampoco existía el cloud computing, en términos generales, no existía mucha de la tecnología que hoy usamos de forma cotidiana y que nos permite ser más productivos día a día. La ECPA es el reflejo de un momento tecnológico que ya no existe. Un claro ejemplo son los vehículos legales para acceder a correos electrónicos, donde distingue entre correos con una antigüedad inferior y superior a 180 días, el reflejo de la capacidad de almacenamiento de la época.
Ahora bien, las autoridades americanas tienen mecanismos para acceder a evidencias ubicadas en el extranjero mediante los acuerdos de asistencia jurídica con los que cuenta EEUU con varios países, entre ellos Irlanda y España. Esto no quiere decir que no sea necesario modernizarnos para hacer más eficaz la labor de las autoridades en la persecución de delitos.
- Por último, nos gustaría que compartiese con nosotros el mensaje de tranquilidad de Microsoft al respecto.
Estamos viviendo un momento increíble, en el que la tecnología esta cambiando de manera acelerada prácticamente la totalidad de nuestras actividades. A pesar de ello, creemos que hay principios fundamentales que trascienden al avance tecnológico y que son perdurables al cambio. Estos principios son: Privacidad, Seguridad, Transparencia y Diversidad.
Porque el uso de nuestra tecnología cumple con los estándares más altos de privacidad y seguridad, somos la primera plataforma de que recibió la autorización de la Agencia Española de Protección de Datos que reconoce la solvencia y las garantías de los servicios corporativos de Microsoft en la Nube en lo relativo a transferencias internacionales de datos. También somos la primera plataforma que ha certificado sus servicios frente al Esquema Nacional de Seguridad.
Por otra parte, ofrecemos toda la información que puedan necesitar nuestros clientes y las autoridades sobre nuestras políticas de privacidad y transparencia en un portal específicamente creado para ello: https://www.microsoft.com/es-xl/trustcenter.
Finalmente, creemos que la tecnología debe reconocer la diversidad de las personas y ser lo más inclusiva posible, por ello incorporamos la diversidad desde los procesos de diseño e innovación. Sirva de ejemplo la certificación de nuestros servicios frente al estándar europeo de accesibilidad EN-301549, uno de los estándares más relevantes en el mundo de la accesibilidad.
En Microsoft no sólo ponemos a disposición de nuestros usuarios la mejor tecnología y los compromisos contractuales bajo los mejores estándares de privacidad, seguridad, transparencia y diversidad. Estamos dispuestos a pasar a la acción. A defender legalmente nuestros principios y compromisos, porque creemos que internet debe estar regido por normas que logren un equilibrio justo entre la privacidad y la seguridad, y entre el respeto a la soberanía nacional de los estados y la globalidad de la propia red. El compromiso de Microsoft es contribuir el diálogo con la sociedad, las instituciones internacionales y los gobiernos para lograr dicho equilibrio.