Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento Regulatorio > La Lucha por Tus Datos: Cómo las Leyes CLOUD y SHIELD Enfrentan Seguridad vs. Privacidad
Blog Banner - The Tug-of-War Over Your Data How the CLOUD and SHIELD Acts Pit Security vs. Privacy

La Lucha por Tus Datos: Cómo las Leyes CLOUD y SHIELD Enfrentan Seguridad vs. Privacidad

by Robert Dougherty updated diciembre 4, 2024 Cumplimiento Regulatorio
Reading Time: 7 minutes

El gobierno de los Estados Unidos ha promulgado dos leyes importantes sobre cómo las empresas tecnológicas manejan las solicitudes de datos de los usuarios por parte del gobierno: la Ley CLOUD y la Ley SHIELD. A simple vista, estas leyes parecen tener objetivos contradictorios, pero entender la sutileza de cada ley es clave.

La Ley CLOUD, aprobada en 2018, permite a las fuerzas del orden de EE. UU. obligar más fácilmente a las empresas tecnológicas a proporcionar los datos solicitados, incluso si esos datos se almacenan en el extranjero. Mientras tanto, la propuesta de Ley SHIELD limitaría la capacidad de las empresas tecnológicas para cumplir con las solicitudes de datos de gobiernos extranjeros, a menos que el gobierno de EE. UU. las revise primero.

Este artículo profundiza en los orígenes, impactos, fortalezas y debilidades de cada ley, y argumenta por qué EE. UU. necesita ambas leyes para equilibrar la seguridad, la privacidad y la cooperación internacional.

La Ley CLOUD: Ampliando el Alcance de las Fuerzas del Orden

La Ley de Clarificación del Uso Legal de Datos en el Extranjero (CLOUD) fue aprobada por el Congreso y firmada como ley en marzo de 2018 como parte de un gran proyecto de ley de gastos. La Ley CLOUD aclara que las empresas tecnológicas de EE. UU. deben cumplir con las solicitudes de datos con orden judicial de las fuerzas del orden de EE. UU., incluso si esos datos se almacenan en servidores ubicados fuera de EE. UU.

Esto resolvió un área gris legal que se formó a medida que más datos de usuarios comenzaron a almacenarse de forma remota por las empresas tecnológicas (“en la nube”). Anteriormente, las empresas tecnológicas afirmaban que no podían acceder a datos en el extranjero, y las autoridades de EE. UU. tenían que pasar por tratados de asistencia legal mutua engorrosos y lentos para solicitar datos almacenados en el extranjero.

La Ley CLOUD deja claro que las empresas tecnológicas de EE. UU. deben cumplir con órdenes de registro domésticas válidas independientemente de la ubicación de los datos. También faculta a EE. UU. para celebrar acuerdos bilaterales con otras naciones para intercambiar solicitudes de datos directamente de manera más sencilla.

Los defensores argumentaron que la Ley CLOUD era necesaria para que las fuerzas del orden investigaran eficazmente los delitos en la era digital. Sin embargo, los críticos expresaron su preocupación de que podría socavar las leyes de privacidad en otros países y alentar a regímenes autoritarios a violar los datos de los ciudadanos. Los grupos de derechos humanos también argumentaron que no proporcionaba suficientes protecciones contra el abuso de los nuevos acuerdos de intercambio directo de datos.

En general, la Ley CLOUD permite un acceso más fluido a los datos a través de las fronteras, pero plantea preocupaciones de soberanía y derechos humanos. Las empresas tecnológicas de EE. UU. ahora deben cumplir claramente con las órdenes judiciales de EE. UU. a nivel mundial, reduciendo las incertidumbres legales pero también debilitando la autonomía de otras naciones sobre los datos dentro de sus fronteras. Los impactos de la ley aún se están desarrollando a medida que se negocian acuerdos bilaterales.

La Ley SHIELD: Protegiendo los Datos del Acceso Extranjero

En contraste con la Ley CLOUD que amplía el poder de las fuerzas del orden, la Ley de Protección de los Registros Privados de los Estadounidenses (SHIELD) tiene como objetivo limitar el acceso de los gobiernos extranjeros a los datos de los ciudadanos estadounidenses almacenados por empresas tecnológicas. La Ley SHIELD fue introducida pero no aprobada en el Congreso en 2020. Prohíbe a las empresas sujetas a la jurisdicción de EE. UU. cumplir con las solicitudes de datos de usuarios estadounidenses por parte de gobiernos extranjeros, a menos que esas solicitudes sean revisadas y consideradas permisibles por el Departamento de Justicia de EE. UU.

Los defensores de la Ley SHIELD argumentan que es necesaria para proteger los datos de los ciudadanos estadounidenses de la explotación por parte de naciones adversarias como China y Rusia. Los partidarios del proyecto de ley dicen que la ley actual de EE. UU. no impide que las empresas tecnológicas entreguen datos privados a gobiernos extranjeros, y esto socava los derechos estadounidenses.

Requerir la revisión del gobierno de EE. UU. de las solicitudes extranjeras agrega una capa importante de supervisión. Los críticos argumentan que la Ley SHIELD podría alentar a otras naciones a adoptar leyes restrictivas similares, balcanizando el acceso a internet y fracturando la web mundial. Si otros países restringen recíprocamente los flujos de datos, las empresas tecnológicas podrían enfrentar obligaciones legales conflictivas.

Aunque aún no es ley, los principios de la Ley SHIELD reflejan un enfoque cada vez más nacionalista y protector del gobierno de EE. UU. con respecto al control sobre las prácticas de intercambio de datos de las empresas tecnológicas en relación con la información de las personas estadounidenses. Sin embargo, la interconexión global de los sistemas de internet y la naturaleza multinacional de las empresas tecnológicas complican la regulación puramente doméstica.

Acta CLOUD de EE. UU. vs. Acta SHIELD: Similitudes, Diferencias e Ironías

A pesar de sus objetivos contrastantes, las Leyes CLOUD y SHIELD comparten la premisa subyacente de que el gobierno de EE. UU. debe controlar cuándo las empresas tecnológicas estadounidenses comparten los datos de los ciudadanos estadounidenses. La Ley CLOUD amplía el acceso de las fuerzas del orden de EE. UU., mientras que la Ley SHIELD restringe el acceso de los gobiernos extranjeros. Ambas afirman la autoridad jurisdiccional estadounidense y tienen como objetivo preservar los derechos de los ciudadanos estadounidenses en relación con las solicitudes de datos de entidades extranjeras.

Sin embargo, las dos leyes adoptan posturas casi opuestas sobre la extensión del alcance jurisdiccional más allá de las fronteras nacionales. La Ley CLOUD reclama el poder de las órdenes judiciales de EE. UU. sobre los datos en cualquier parte del mundo. La Ley SHIELD, por el contrario, intenta bloquear el acceso extranjero a los datos de EE. UU. en el extranjero a menos que sea permitido por el gobierno de EE. UU. Esta contradicción resalta las complejidades de la regulación de datos en un mundo interconectado. Estados Unidos no puede tenerlo todo: acceder sin problemas a los datos a nivel mundial mientras bloquea a otras naciones de acceder a datos a través de las fronteras de EE. UU.

Sin embargo, de alguna manera, ambas leyes comparten una ironía de escepticismo hacia las intenciones de otras naciones con respecto a los datos de los ciudadanos estadounidenses, buscando proteger la privacidad estadounidense contra la explotación extranjera. EE. UU. afirma su propio derecho a acceder a los datos de los ciudadanos en todo el mundo a través de la Ley CLOUD, mientras niega el acceso extranjero recíproco a los datos a través de SHIELD.

Sin embargo, la responsabilidad democrática y las protecciones de derechos no deben asumirse como exclusivamente estadounidenses. En última instancia, tanto la privacidad como la seguridad requieren cooperación internacional y acuerdo sobre principios compartidos de protección de datos.

Acta CLOUD de EE. UU. vs. Acta SHIELD: Por Qué Necesitamos Ambas Leyes

En esta fase de la era de la información, en la que se generan, procesan y almacenan en línea grandes cantidades de datos sensibles cada día, tanto las Leyes CLOUD como SHIELD responden a preocupaciones válidas sobre la protección de los derechos de los ciudadanos. Las fuerzas del orden necesitan acceso efectivo a pruebas digitales para mantener la justicia, la motivación detrás de la Ley CLOUD. Simultáneamente, los datos personales de los ciudadanos merecen protección contra la vigilancia masiva o la represión extranjera, la motivación detrás de SHIELD. Ambos principios de privacidad y justicia son importantes, a pesar de la tensión entre estas leyes.

Idealmente, los acuerdos matizados pueden sostener ambos objetivos. Los acuerdos bilaterales de la Ley CLOUD podrían asegurar el acceso a datos de las fuerzas del orden mientras también establecen protecciones básicas de libertades civiles. Las revisiones de la Ley SHIELD de las solicitudes extranjeras podrían permitir casos justificados mientras limitan las incautaciones indiscriminadas de datos. Ningún país puede regular unilateralmente el internet global. Sin embargo, EE. UU. tiene razón al afirmar sus intereses a través de ambas corrientes de política: buscando seguridad a través de CLOUD mientras preserva la privacidad a través de SHIELD. Si se combinan cuidadosamente, estas dos leyes pueden formar una política de datos estadounidense integral para la era digital.

Kiteworks Ayuda a las Organizaciones de EE. UU. a Mantener su Contenido Confidencial Privado de la Vigilancia Gubernamental

Las Leyes CLOUD y SHIELD encarnan difíciles compensaciones subyacentes a la regulación de datos. En un mundo interconectado, los gobiernos deben equilibrar el acceso de las fuerzas del orden, los derechos de privacidad y la cooperación internacional. En lugar de ser contradictorias, estas leyes estadounidenses representan intereses paralelos legítimos: facilitar las investigaciones domésticas mientras se protege a los ciudadanos del exceso extranjero. La implementación sabia de ambas políticas podría sostener la seguridad y la libertad. Sin embargo, esto requerirá matices y negociación para dar forma a normas internacionales sostenibles que equilibren principios clave de justicia y privacidad.

La Red de Contenido Privado de Kiteworks, una plataforma de uso compartido seguro de archivos y transferencia de archivos validada a nivel FIPS 140-2, consolida correo electrónico, uso compartido de archivos, formularios web, SFTP y transferencia de archivos administrada, para que las organizaciones controlen, protejan y rastrear cada archivo a medida que entra y sale de la organización.

Kiteworks permite a las organizaciones controlar quién puede acceder a información sensible, con quién pueden compartirla y cómo pueden interactuar terceros con el contenido sensible que reciben (y por cuánto tiempo). Juntas, estas capacidades avanzadas de DRM minimizan el riesgo de acceso no autorizado y violaciones de datos.

Estos controles de acceso, así como las características de cifrado de transmisión segura de nivel empresarial de Kiteworks, también permiten a las organizaciones cumplir con estrictos requisitos de soberanía de datos.

Además, los clientes de Kiteworks gestionan sus propias claves de cifrado. Como resultado, Kiteworks no tiene acceso a ningún dato del cliente, asegurando la privacidad y seguridad de la información del cliente. En contraste, otros servicios como Microsoft Office 365 que gestionan o co-gestionan las claves de cifrado de un cliente, pueden (y lo harán) entregar los datos de un cliente en respuesta a citaciones y órdenes judiciales del gobierno. Con Kiteworks, el cliente tiene control total sobre sus datos y claves de cifrado, asegurando un alto nivel de privacidad y seguridad.

Las opciones de implementación de Kiteworks incluyen en las instalaciones, alojadas, privadas, híbridas y nube privada virtual FedRAMP. Con Kiteworks: controla el acceso al contenido sensible; protégelo cuando se comparte externamente usando cifrado automatizado de extremo a extremo, autenticación multifactor y integraciones de infraestructura de seguridad; ve, rastrea e informa toda la actividad de archivos, es decir, quién envía qué a quién, cuándo y cómo. Finalmente, demuestra el cumplimiento con regulaciones y estándares como GDPR, ANSSI, HIPAA, CMMC, Cyber Essentials Plus, IRAP, DPA, y muchos más.

Para obtener más información sobre Kiteworks, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks