Glosario · Ley de vigilancia de EE. UU. CLOUD Act (Clarifying Lawful Overseas Use of Data Act)
Ley federal estadounidense de 2018 que permite a las autoridades de EE. UU. obligar a las empresas estadounidenses y sus filiales a entregar datos, sin importar dónde estén almacenados físicamente.
## Qué hace realmente la CLOUD Act
La Clarifying Lawful Overseas Use of Data Act (H.R. 4943) fue aprobada por el Congreso de EE. UU. en marzo de 2018 y modificó la Stored Communications Act. Hace dos cosas:
1. Permite a las fuerzas del orden estadounidenses obligar a los proveedores de servicios con sede en EE. UU. (y sus filiales extranjeras) a divulgar datos que "posean, controlen o tengan bajo su custodia", sin importar dónde estén almacenados físicamente
2. Establece un marco para "acuerdos ejecutivos" que permite a gobiernos extranjeros solicitar datos directamente a los proveedores estadounidenses
La primera disposición es la que importa para las empresas europeas.
## Por qué importa para los datos europeos
Antes de la CLOUD Act, las empresas estadounidenses que almacenaban datos de usuarios europeos en servidores europeos podían sostener de forma plausible que esos datos estaban fuera del alcance jurídico estadounidense. Tras la CLOUD Act, ese argumento ya no funciona: si la empresa tiene sede o control en EE. UU., los datos son alcanzables independientemente de su ubicación física.
Esto se aplica a:
- Google (incluidos Google Cloud, Google Workspace y todos los servicios de Google)
- Microsoft (Microsoft 365, Azure y todos los servicios de Microsoft)
- Amazon (AWS y todos los servicios de Amazon)
- Apple (iCloud y todos los servicios de Apple)
- Meta (metadatos de Facebook, WhatsApp, Instagram)
- La mayoría de los proveedores SaaS estadounidenses, sin importar su tamaño
La ley genera un conflicto real con el RGPD. La normativa europea de privacidad prohíbe las transferencias de datos no autorizadas; la CLOUD Act puede obligarlas. Para las empresas europeas que utilizan proveedores estadounidenses, esto crea una exposición jurídica continua.
## Qué protecciones existen
Existen tres salvaguardias teóricas con eficacia práctica variable:
**1. Cláusulas contractuales tipo (SCC)**: mecanismos contractuales entre entidades de la UE y de fuera de la UE. Actualizadas tras Schrems II para exigir salvaguardias adicionales. Eficaces para tratamientos rutinarios; insuficientes frente a la coerción legal directa de EE. UU.
**2. Cifrado con claves controladas en la UE**: si los datos están cifrados y el proveedor estadounidense no tiene las claves, la divulgación forzada solo produce texto cifrado. Operativamente complejo, pero protección real.
**3. Tratamiento exclusivo en residencia UE**: utilizar proveedores con sede en la UE sin vínculos corporativos en EE. UU., evitando por completo la jurisdicción de la CLOUD Act.
De estas, solo la tercera ofrece protección categórica. Las dos primeras reducen el riesgo, pero no lo eliminan.
## Por qué la "residencia de datos en la UE" no basta
Los proveedores estadounidenses (Microsoft, Google, AWS) comercializan la "residencia de datos en la UE": afirmaciones de que los datos de clientes europeos permanecen en servidores europeos. Esto es técnicamente cierto, pero jurídicamente insuficiente.
La CLOUD Act se aplica en función de la nacionalidad de la empresa y del control corporativo, no de la ubicación del servidor. Una filial Microsoft Ireland sigue sujeta a la CLOUD Act porque Microsoft Corporation (la matriz estadounidense) tiene el control corporativo. La residencia de datos en la UE sobre infraestructura controlada por EE. UU. no escapa a la jurisdicción de la CLOUD Act.
## Qué cambió en 2024-2026
La CLOUD Act se ha utilizado en volúmenes crecientes desde 2018. La información pública sobre casos concretos es limitada (la sección 2511 del título 18 prohíbe en general la divulgación de las órdenes CLOUD Act), pero los informes de transparencia de los grandes proveedores estadounidenses muestran un volumen cada vez mayor de solicitudes transfronterizas de datos.
La respuesta europea se ha acelerado:
- **Schrems II** (2020): invalidó el Privacy Shield específicamente por leyes de vigilancia estadounidenses, incluida la CLOUD Act
- **Estrategia europea de datos**: subraya como prioridad estratégica la infraestructura cloud controlada en la UE
- **Iniciativa GAIA-X**: federación de nubes europeas explícitamente diseñada para ofrecer alternativas libres de CLOUD Act
- **Requisitos de nube soberana**: los marcos francés (Cloud de Confiance) y alemán (BSI C5) exigen específicamente protección frente a la CLOUD Act
## Implicaciones prácticas para las empresas europeas
Para la mayoría de las empresas europeas, la respuesta práctica a la CLOUD Act en 2026 es:
1. **Clasifica la sensibilidad de los datos.** No todos los datos tienen la misma exposición a la CLOUD Act. Los datos generales del negocio pueden permanecer en proveedores estadounidenses con controles documentados. Los datos sensibles (jurídicos, médicos, datos personales de personas de alto riesgo) deben trasladarse a proveedores con control en la UE.
2. **Utiliza proveedores con control en la UE para cargas sensibles.** [Hetzner](/es/alternativas/hetzner-vs-aws/), [Scaleway](/es/alternativas/scaleway-vs-google-cloud/), [OVHcloud](/es/alternativas/ovhcloud-vs-microsoft-azure/) e [Infomaniak](/es/alternativas/infomaniak-vs-digitalocean/) tienen sede en la UE y carecen de control corporativo estadounidense.
3. **Para el sector público y los sectores regulados**, la nube soberana (Open Telekom Cloud, T-Systems Sovereign Cloud, Cloud de Confiance francés) es cada vez más obligatoria.
La CLOUD Act no va a desaparecer. El marco jurídico que la rodea seguirá evolucionando, pero el problema de fondo de la jurisdicción es estructural: se aborda eligiendo proveedores, no configurándolos.
¿Te resultó útil?
¡Gracias por tu opinión!