Además de prometer proteger los datos de los usuarios desafiando las solicitudes de datos para cumplir con los requisitos de GDPR, Microsoft prometió compensar a los usuarios por las violaciones de la privacidad de sus datos. Lamentablemente, no es tan fácil.
En una publicación de blog reciente, Julie Brill, vicepresidenta de privacidad y regulación de Microsoft, se comprometió a proteger los datos de los usuarios desafiando las solicitudes de datos para cumplir con los requisitos de GDPR. El sentimiento es respetable y agregar compromisos contractuales muestra que Microsoft se preocupa por la privacidad de los datos. Incluso llegan a ofrecer pagar a las personas si esta estrategia para proteger los datos del usuario no tiene éxito. Esto prácticamente significa que Microsoft se compromete a compensar a los usuarios por violaciones a la privacidad de sus datos bajo ciertas circunstancias.
Por qué no funciona para todos sus datos
Lamentablemente, el marco regulatorio en los Estados Unidos en este momento contradice esta postura cuidadosa y respetable. Existen, por ejemplo, citaciones judiciales de la FISA en los EE. UU. que regularmente no se divulgan al sujeto de los datos, lo que significa que el usuario afectado podría nunca enterarse de una divulgación. También hay solicitudes del gobierno donde no existe una base legal para cuestionarlas, por ejemplo, las que se basan en motivos de seguridad nacional. De cualquier manera, Microsoft no puede simplemente desear que se eliminen las contradicciones entre la regulación de protección de datos de EE. UU. y la UE; esas contradicciones son la base del fallo del TJCE en julio que invalida el marco de transferencia de datos del Escudo de Privacidad. Además, pagar cuando no puede proteger los datos no es algo que Microsoft pueda optar por hacer para aplacar a los usuarios afectados, es un requisito según el RGPD. Además, la violación de GDPR ocurre mucho antes de la divulgación de datos, pero ya con el almacenamiento de datos relevantes al alcance de las agencias gubernamentales de un país para el que no existe una decisión de adecuación. En conclusión, el almacenamiento de datos en nubes públicas administradas por proveedores de EE. UU. solo funciona para datos que no son sensibles a la privacidad.
¡Pero queremos usar Microsoft de todos modos!
Mira, sabemos que esto es difícil. Los usuarios, especialmente en las organizaciones, aman los productos de Microsoft. La mayoría de nosotros, incluso nuestros desarrolladores amantes de Linux, alguna vez tuvimos Windows en su primera PC. Los gerentes de adquisiciones de TI adoran a Microsoft, al igual que un vasto ecosistema de socios, proveedores de servicios y revendedores. Y sabemos que a Microsoft le apasiona el software de gran productividad y quiere proporcionárselo a usuarios de todo el mundo. Para que sus herramientas estén más integradas, quiere ponerlas todas en la nube, preferiblemente su propia nube pública.
En un mundo donde cualquier persona, independientemente de su ubicación, pudiera confiar en la confidencialidad de sus archivos, no tendríamos que tener esta conversación. Lamentablemente, hay actores gubernamentales en este mundo que obtienen acceso por la fuerza a los datos de otras personas y organizaciones, ya sea por razones legítimas de aplicación de la ley, espionaje o por la lógica ilícita pero demasiado familiar de dar a las empresas locales una ventaja competitiva. Y existe, según su ubicación, un amplio espectro de diferentes expectativas de protección de la privacidad y el estado de derecho.
En busca de un lugar seguro
Hay países con proveedores de nube pública en los que ningún ejecutivo de una empresa occidental en su sano juicio elegiría almacenar datos. Algunos incluso forman parte de listas de embargos, vistos como estados nacionales adversarios. En otros países, las empresas extranjeras tienen escasas posibilidades de obtener reparación legal cuando sus datos se utilizan de forma ilícita.
Estados Unidos no debería ser parte de tales consideraciones. Después de todo, es la tierra de los libres, pero lamentablemente también es la tierra de la Ley Patriota y la tierra de la Ley de la Nube, el acrónimo bastante eufemístico de Aclarar la Ley de Uso Legal de Datos en el Extranjero. No existe una ley federal completa de privacidad de datos regulación en los EE. UU.
En la Unión Europea, creemos que hemos encontrado un equilibrio entre el derecho a la privacidad, poderes apropiados e investigativos para la aplicación de la ley y obligaciones razonables, pero no exageradas, para las organizaciones cuando se trata de proteger los datos de los usuarios. Lamentablemente, como continente y mercado único, parece que nos falta la soberanía digital para impulsar este equilibrio, codificado en la ley y respaldado por los tribunales como en el veredicto de Schrems II, contra los gigantes tecnológicos de EE. UU.
Qué podría hacer Microsoft
Desde la perspectiva de nuestros usuarios y clientes, Microsoft debería seguir vendiendo sus productos locales actuales más allá de 2025. Debería ofrecer software de cliente que no llame a los EE. UU. su hogar, ni siquiera para telemetría, y ofrecer la posibilidad de desactivar funciones que requieran transferencias de datos a nubes que están dentro del alcance de la Ley de Nube de EE. UU., por lo que los usuarios de la UE pueden usar estos productos sin temor a violar el GDPR. Microsoft debería seguir adoptando estándares abiertos para que su software pueda interactuar sin problemas con otros, a saber, software de código abierto.
Estrategia de afrontamiento: dividir y conjurar
Las organizaciones deben pensar en lo que pueden hacer para evitar los flujos de datos que son incompatibles con GDPR, mientras continúan usando los productos de Microsoft. Una posibilidad es configurar una nube de archivos soberana como complemento del almacenamiento con proveedores de nube pública como Microsofts, y etiquetar archivos relevantes para el cumplimiento de GDPR. Luego, esos archivos pueden manejarse automáticamente y según las políticas exclusivamente dentro de la nube de archivos soberana, configurados en las instalaciones o con un proveedor de almacenamiento confiable con sede en Europa o en un país que tenga un estado de adecuación de acuerdo con GDPR. No hay nada de malo en abrir una solicitud de empleo por parte de un ciudadano europeo para un puesto en una empresa europea con Microsoft Word, si este archivo está almacenado en una nube de archivos soberana. Sincroniza automáticamente el archivo con la computadora que ejecuta Microsoft Word, y cada paso del procesamiento y almacenamiento de este archivo, claramente relevante para GDPR, ocurre bajo el control de la empresa y dentro del alcance de GDPR.