<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Schrems II on Arpokrat</title>
    <link>https://arpokrat.com/es/blog/tags/schrems-ii/</link>
    <description>Recent content in Schrems II on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>es</language><lastBuildDate>Fri, 19 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/es/blog/tags/schrems-ii/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Data Act vs CLOUD Act: ¿quién controla realmente sus datos en la nube?</title>
      <link>https://arpokrat.com/es/blog/data-act-vs-cloud-act-digital-sovereignty/</link>
      <pubDate>Fri, 19 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/es/blog/data-act-vs-cloud-act-digital-sovereignty/</guid>
      <description>&lt;p&gt;Durante años, el mundo funcionó sobre una hipótesis simple: los datos tienen un lugar de residencia física. Si se encontraban en un servidor en Dublín, estaban sujetos al derecho irlandés y europeo. Esta hipótesis se derrumbó en 2018, cuando Estados Unidos adoptó el CLOUD Act, una ley que otorga a las autoridades estadounidenses acceso a los datos controlados por empresas americanas, independientemente de dónde estén físicamente almacenados en el mundo. Varios años más tarde, Bruselas respondió con su propio mecanismo de protección: el Data Act, ahora plenamente aplicable, que intenta limitar el acceso extraterritorial de las autoridades de terceros países a los datos conservados en la Unión Europea.&lt;/p&gt;
&lt;p&gt;A continuación se expone lo que realmente prevén estos dos textos, dónde entran en colisión, y por qué la única protección verdaderamente sólida frente a este conflicto sigue siendo la imposibilidad técnica de acceso.&lt;/p&gt;
&lt;h2 id=&#34;el-cloud-act-estadounidense-un-acceso-basado-en-el-control-no-en-la-localización&#34;&gt;El CLOUD Act estadounidense: un acceso basado en el control, no en la localización&lt;/h2&gt;
&lt;p&gt;El &lt;strong&gt;CLOUD Act&lt;/strong&gt; (&lt;em&gt;Clarifying Lawful Overseas Use of Data Act&lt;/em&gt;), adoptado en marzo de 2018, modificó el derecho estadounidense añadiendo el artículo &lt;strong&gt;18 U.S. Code § 2713&lt;/strong&gt;. Este texto obliga a todo proveedor de servicios de comunicación electrónica o de computación en la nube a conservar, salvaguardar o divulgar el contenido de una comunicación o cualquier registro relacionado con ella, cuando dichos datos estén en su posesión, custodia o control, &lt;strong&gt;independientemente de si esos datos se encuentran dentro o fuera de Estados Unidos&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Es precisamente esta última cláusula la que lo cambia todo. El criterio ya no es la ubicación física del servidor, sino el control ejercido por la empresa matriz sobre sus filiales. Una empresa estadounidense que opera centros de datos en Europa sigue estando sujeta a las órdenes de divulgación americanas, incluso para datos almacenados íntegramente en suelo europeo.&lt;/p&gt;
&lt;h2 id=&#34;el-data-act-europeo-una-barrera-jurídica-al-acceso-extraterritorial&#34;&gt;El Data Act europeo: una barrera jurídica al acceso extraterritorial&lt;/h2&gt;
&lt;p&gt;El &lt;strong&gt;Reglamento (UE) 2023/2854&lt;/strong&gt;, conocido como Data Act, entró en vigor el 11 de enero de 2024 y es plenamente aplicable desde el 12 de septiembre de 2025, con algunas disposiciones escalonadas hasta 2026 y 2027. Su &lt;strong&gt;artículo 32&lt;/strong&gt; aborda directamente la cuestión del acceso gubernamental internacional a los datos.&lt;/p&gt;
&lt;p&gt;El texto establece una regla clara: toda decisión o resolución de un órgano jurisdiccional o autoridad administrativa de un tercer país que exija a un proveedor de servicios de tratamiento de datos que transfiera o dé acceso a datos no personales conservados en la Unión Europea &lt;strong&gt;solo será reconocida y ejecutable si se basa en un acuerdo internacional&lt;/strong&gt;, como un tratado de asistencia judicial mutua (MLA), vigente entre el país solicitante y la Unión, o entre dicho país y el Estado miembro afectado.&lt;/p&gt;
&lt;p&gt;A falta de tal acuerdo, el artículo 32 prevé una segunda vía, aunque estrictamente encuadrada: la decisión extranjera solo podrá ejecutarse si el sistema jurídico del tercer país exige que la solicitud esté motivada, sea proporcionada y suficientemente específica —por ejemplo, estableciendo un vínculo claro con personas o infracciones concretas— y si la oposición motivada del destinatario puede someterse al control de un órgano jurisdiccional competente de dicho tercer país.&lt;/p&gt;
&lt;h2 id=&#34;una-colisión-jurídica-directa&#34;&gt;Una colisión jurídica directa&lt;/h2&gt;
&lt;p&gt;El problema es inmediato: el CLOUD Act exige una divulgación basada en el control ejercido por la empresa matriz, sin condición de proporcionalidad comparable a la exigida por el derecho europeo. El Data Act, por el contrario, subordina el reconocimiento de tal solicitud a la existencia de un acuerdo internacional o a garantías procesales precisas. Una empresa estadounidense que opera en Europa, requerida por una autoridad americana para transmitir datos alojados en la Unión, queda atrapada entre dos obligaciones legales contradictorias: cumplir el mandato estadounidense violando el derecho de la Unión, o respetar el Data Act exponiéndose a las consecuencias de una negativa en Estados Unidos.&lt;/p&gt;
&lt;p&gt;Esta tensión no es teórica. Ya ha sido documentada por el Tribunal de Justicia de la Unión Europea (TJUE) en dos decisiones fundamentales, &lt;strong&gt;Schrems I&lt;/strong&gt; (2015) y &lt;strong&gt;Schrems II&lt;/strong&gt; (2020). En la sentencia Schrems II, el TJUE consideró que la vigilancia estadounidense llevada a cabo al amparo de la &lt;strong&gt;Sección 702 de la FISA&lt;/strong&gt; (&lt;em&gt;Foreign Intelligence Surveillance Act&lt;/em&gt;) y de la &lt;strong&gt;Orden Ejecutiva 12333&lt;/strong&gt; no respeta las garantías mínimas exigidas por el derecho de la Unión en virtud del principio de proporcionalidad, y por tanto no puede considerarse limitada a lo estrictamente necesario. El Tribunal también señaló la ausencia de una vía de recurso judicial efectiva para los interesados de la Unión, en vulneración del artículo 47 de la Carta de los Derechos Fundamentales. Esta decisión invalidó el marco del Privacy Shield, que hasta entonces regulaba las transferencias de datos entre la UE y Estados Unidos.&lt;/p&gt;
&lt;h2 id=&#34;el-riesgo-estructural-harvest-now-decrypt-later&#34;&gt;El riesgo estructural: Harvest Now, Decrypt Later&lt;/h2&gt;
&lt;p&gt;Más allá del conflicto de jurisdicciones, una amenaza más insidiosa pesa sobre los datos alojados en infraestructuras sujetas al derecho estadounidense: la estrategia conocida como &lt;a href=&#34;https://arpokrat.com/es/blog/harvest-now-decrypt-later-hndl-zero-knowledge/&#34;&gt;&lt;strong&gt;Harvest Now, Decrypt Later&lt;/strong&gt;&lt;/a&gt;
 (HNDL). El principio consiste, para un servicio de inteligencia o un actor estatal hostil, en interceptar y almacenar desde ahora datos cifrados, a la espera de capacidades de cómputo cuántico suficientes para descifrarlos en el futuro.&lt;/p&gt;
&lt;p&gt;Esta estrategia convierte cualquier dependencia prolongada de una infraestructura cloud estadounidense en una deuda de seguridad diferida: lo que hoy es confidencial puede volverse legible en diez o quince años, sin que el atacante necesite realizar ninguna acción adicional, solo tiempo y paciencia.&lt;/p&gt;
&lt;h2 id=&#34;por-qué-solo-la-imposibilidad-técnica-constituye-una-garantía-real&#34;&gt;Por qué solo la imposibilidad técnica constituye una garantía real&lt;/h2&gt;
&lt;p&gt;El análisis jurídico converge hacia una constatación compartida por numerosos expertos en cumplimiento normativo: por sólido que sea el marco legal del Data Act, sigue siendo un texto que las relaciones de fuerza geopolíticas y las presiones diplomáticas pueden eludir, retrasar o reinterpretar. La única protección que no depende de ninguna negociación futura es &lt;strong&gt;la imposibilidad técnica de ejecución&lt;/strong&gt;.&lt;/p&gt;
&lt;p&gt;Una arquitectura &lt;strong&gt;zero knowledge&lt;/strong&gt;, en la que el proveedor no posee ni la custodia ni el control de las claves de descifrado, hace que una orden de divulgación sea materialmente inoperante. No se puede ser obligado a entregar lo que nunca se ha poseído.&lt;/p&gt;
&lt;p&gt;Esta es la lógica que estructura ecosistemas como &lt;strong&gt;Arpokrat&lt;/strong&gt;:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Neutralización jurisdiccional&lt;/strong&gt;: la infraestructura está alojada en Suiza, bajo el régimen de la Ley Federal de Protección de Datos (LPD/FADP), fuera del ámbito de aplicación directa de la extraterritorialidad del CLOUD Act&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Ausencia de custodia&lt;/strong&gt;: la arquitectura zero knowledge priva al proveedor de cualquier capacidad para entregar claves o contenidos que nunca ha poseído&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Reducción de la huella identitaria&lt;/strong&gt;: al eliminar la obligación de registro mediante número de teléfono o dirección de correo electrónico —identificadores que la vigilancia basada en la Sección 702 de la FISA puede rastrear fácilmente—, el usuario deja de ser un abonado identificable para convertirse en una clave criptográfica anónima&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id=&#34;la-cadena-de-custodia-no-termina-en-el-cifrado-de-los-mensajes&#34;&gt;La cadena de custodia no termina en el cifrado de los mensajes&lt;/h2&gt;
&lt;p&gt;Un punto frecuentemente subestimado en los análisis de cumplimiento: no basta con cifrar el contenido de una comunicación si el sistema operativo subyacente, ya sea Android o iOS, continúa capturando metadatos o telemetría a nivel de núcleo, con destino a servidores sujetos a la jurisdicción estadounidense. La protección del secreto exige un cierre completo de la cadena de custodia, desde el contenido hasta la propia infraestructura material.&lt;/p&gt;
&lt;p&gt;Por esta razón, la soberanía digital implica también una reflexión sobre el sistema operativo utilizado, no solo sobre las aplicaciones de mensajería. Los sistemas desgooglelizados, en los que módulos como el Bluetooth o la geolocalización GNSS pueden desactivarse directamente a nivel de núcleo, eliminan vectores de ataque físicos que ningún cifrado a nivel de aplicación puede compensar.&lt;/p&gt;
&lt;h2 id=&#34;la-criptografía-poscuántica-un-horizonte-ya-comprometido&#34;&gt;La criptografía poscuántica, un horizonte ya comprometido&lt;/h2&gt;
&lt;p&gt;Ante la amenaza que representa la estrategia HNDL, la adopción de estándares de criptografía poscuántica (PQC) se convierte en una necesidad para cualquiera que desee garantizar la confidencialidad de datos sensibles a largo plazo, ya se trate de secretos empresariales, correspondencia profesional o datos de salud. Un cifrado considerado robusto hoy según los estándares clásicos no garantiza que resistirá las capacidades de cómputo cuántico esperadas en los próximos quince años.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;El conflicto entre el Data Act y el CLOUD Act ilustra una realidad más amplia: la soberanía digital ya no puede construirse únicamente sobre textos legales, por sólidos que sean. Exige un cierre de la cadena de custodia en cada nivel, desde el protocolo de cifrado hasta la jurisdicción de alojamiento, pasando por el propio sistema operativo. Es este enfoque por capas, más que una confianza depositada en un único marco regulatorio, lo que define hoy una verdadera soberanía digital por diseño.&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>