No importa dónde se almacenen los datos de los usuarios o de qué país sean las compañías: la Comisión Europea quiere que redes sociales, servicios de mensajería o de almacenamiento en la nube entreguen a la policía pruebas digitales en investigaciones penales en un plazo máximo de 10 días para delitos graves que conlleven penas de más de tres años de cárcel, y tan solo seis horas si existe una amenaza real para la vida de las personas o el funcionamiento de una infraestructura crítica.

Según una exclusiva de Euroactiv, se trata de una propuesta de normativa europea que será anunciada el próximo 17 de abril, y que busca que una amplia gama de proveedores de servicios de internet a responder más rápido a las solicitudes de datos para poder combatir mejor los delitos.

Según esta propuesta, las nuevas normas afectarán a "redes sociales, como Twitter y Facebook", proveedores de servicios en la nube, registradores de nombres de dominio y los propios registros en sí, e incluso "mercados digitales” que permiten transacciones entre iguales, como los foros de usuarios en plataformas de comercio electrónico. Asimismo, de aprobarse esta normativa, las autoridades policiales europeas podrán solicitar datos de usuarios de cualquier aplicación de mensajería o servicio de comunicación digital que opere en la UE.

Según el borrador, citado por Euroactiv, la propuesta se justifica por el “aumento exponencial del uso de servicios y aplicaciones en línea”, que a veces se “utilizan indebidamente” para cometer delitos.

La idea de forzar a las grandes compañías de internet a colaborar con la policía en los delitos más graves viene de lejos, y la existencia de una propuesta concreta fue desvelada ya a principios de marzo. La propia comisaria de Justicia de la UE, Vera Jourová, ha argumentado que el cambio legal es necesario porque las autoridades enfrentan actualmente a procesos difíciles y largos para recibir datos almacenados en otros países para sus investigaciones.

Reglamento y directiva

Así, la propuesta incluye un nuevo reglamento que creará herramientas legales para que las autoridades de los estados miembros de la UE puedan exigir a las compañías que faciliten datos necesarios para determinadas investigaciones policiales en el plazo de 10 días. Este plazo se reducirá a sólo seis horas si existe una "amenaza inminente a la vida o integridad física de una persona o a una infraestructura crítica".

También se propone una directiva, por la cual cualquier empresa que preste servicios y que recopile datos que puedan ser considerados como prueba electrónica en la UE deberá tener un representante legal en la Unión. Estos representantes de las compañías deberán responder a las solicitudes de datos de las autoridades.

Eso sí, las tecnológicas podrán recurrir las órdenes de entrega de datos, así como exigir los costes de la entrega de dichos datos si las legislaciones nacionales así lo estipulan.

La Comisión pretende centrar esta nueva normativa en la lucha contra los delitos graves, como pertenencia o apoyo a una organización delictiva, y financiación de grupos terroristas, entre otros. [Más información en Derecho de la Red y la Asociación de Internatuas]

EEUU y su Cloud Act

Mientras, al otro lado del Atlántico, algo similar ya ha sido aprobado hace apenas diez días: la Cloud Act -una norma incluida silenciosamente en los presupuestos de EEUU- abre la puerta para que los gobiernos accedan a datos digitales almacenados en el extranjero.

La Cloud Act ("Ley de la Nube") fue aprobada pese a la tormenta de críticas de organizaciones defensoras de derechos humanos, preocupadas por la vulneración del derecho a la privacidad. Tampoco ha gustado en Bruselas, en donde la propia comisaria Jourová ha lamentado las prisas estadounidenses, algo que podría comprometer la posibilidad de que existan normas compatibles a ambos lados del charco.

La norma estadounidense sienta un precedente que difumina las fronteras de internet al establecer unas bases sin precedentes que permiten a EEUU y a otros países llegar a acuerdos para acceder a información relacionada con usuarios y almacenados por compañías tecnológicas más allá de su territorio.

Y todo ello cuando queda menos de dos meses para la aplicación, a partir del 25 de mayo, del nuevo Reglamento General de Protección de Datos (RGPD) que, entre otras medidas, protegerá a las empresas de la UE frente a peticiones de datos por parte de las autoridades estadounidenses, salvo acuerdo bilateral entre EEUU y cada país de la Unión.

En este galimatías, y con las nuevas normativas, podría darse el caso de que las empresas con sede en los Estados Unidos deban proporcionar datos a las autoridades policiales europeas si operan en la UE, mientras que las compañías europeas no tendrían por qué cumplir con las demandas de datos estadounidenses, salvo acuerdo bilateral.

Uno de los primeros casos en los que podría influir la Cloud Act es el que enfrenta en el Tribunal Supremo al Gobierno de Donald Trump y a Microsoft.

En ese caso, Microsoft se negó a dar al Gobierno de EEUU unos datos que almacena en Irlanda y, ahora, con la nueva ley, las autoridades estadounidenses tendrán la capacidad de obligar a las empresas de su país a que les otorguen esos datos que almacenan en otras naciones.