Previous Page  14 / 40 Next Page
Information
Show Menu
Previous Page 14 / 40 Next Page
Page Background

14

2017 California Export Guide

California.Think.Global

E

s común en estos días que las empre-

sas almacenen datos en la “nube”, lo

que significa que están en un servidor

situado en algún lugar en el mundo.

¿Y si esos datos están sometidos a con-

troles de exportación?

Por ejemplo, una empresa tiene datos

técnicos relacionados con la defensa con-

trolados por el Reglamento sobre el Tráfico

Internacional de Armas (ITAR, por sus

siglas en inglés). ¿Pueden estar almace-

nados en un servidor ubicado fuera de los

Estados Unidos?

En otro ejemplo, una empresa tiene

tecnología de doble uso controlada por las Normas de Administración

de Exportaciones (EAR, por sus siglas en inglés). ¿Puede la empresa

trasladarla de un servidor de Estados Unidos a un servidor extranjero?

Datos como una exportación

¿El almacenamiento de datos en un servidor fuera de los Estados

Unidos se considera una “exportación?” Según la definición revisada

recientemente en la normativa EAR, “exportación” significa: “Un envío

o transmisión real a un destino fuera de los Estados Unidos que incluye

enviar o sacar de los Estados Unidos un elemento, de cualquier manera”.

“Elemento” incluye información y datos sometidos a control. Las

agencias reguladoras han interpretado sistemáticamente el término

“exportación” de manera muy amplia. Toda manera en que un artículo o

datos controlados puedan terminar en manos de una persona extranjera

se considera una exportación. De hecho, una persona extranjera que

tenga acceso a los datos y la información almacenada en un servidor en

los Estados Unidos también constituye una “exportación”.

Por lo tanto, la colocación de datos controlados en un servidor de otro

país es una “exportación”. ¿Qué dicen los reglamentos y las interpretacio-

nes que el titular de los datos tiene que hacer para que sean exportables?

¿O deben olvidarse del almacenamiento en la nube por completo?

Una reciente norma de la Oficina de Industria y Seguridad (BIS, por

sus siglas en inglés: la agencia del Departamento de Comercio respon-

sable de hacer cumplir la normativa EAR) establece una excepción para

las transmisiones de tecnología controlada dentro de una infraestructura

de servicio en la nube si hay un cifrado de extremo a extremo de los

datos. Esto significa que “los datos que pueden beneficiarse deben estar

cifrados, por definición, antes de cruzar cualquier frontera nacional, y

deben permanecer cifrados en todo momento mientras se los transmite

de un límite de seguridad a otro”.

Cualquier dato enviado a un servidor de la nube fuera de los Estados

Unidos, o trasladado desde un servidor de los Estados Unidos a un servi-

dor extranjero, o a los que pueda acceder una persona extranjera dentro

o fuera de los Estados Unidos debe estar cifrado adecuadamente antes

de cruzar una frontera internacional (o antes de cualquier posible acceso

por parte de una persona extranjera). Los medios para descifrar los datos

no pueden ser entregados a terceros antes de que lleguen al destinatario.

Requisitos para el almacenamiento de datos en la nube

El cambio a la normativa EAR añadió algunos requisitos adicionales

para almacenar tecnología controlada en la nube:

• La tecnología no debe ser clasificada.

• La tecnología no se puede almacenar en un país sometido a un

embargo de armas de Estados Unidos ni en Rusia.

• Debe estar protegida con módulos criptográficos que cumplan con

las normas del Procesamiento de Información Federal (FIPS, por

sus siglas en inglés) 140-2, complementado con implementación de

software, gestión de claves y otros procedimientos y controles.

¿Qué pasa con la normativa ITAR respecto del almacenamiento en la

nube? Una norma final provisional, de fecha 1.° de septiembre de 2016,

contenía definiciones revisadas de la ITAR. La norma no cubre especí-

ficamente el almacenamiento en la nube; sin embargo, sus definiciones

revisadas de “exportación”, “reexportación” y “divulgación” abarcan las

transferencias de datos técnicos a servidores en la nube extranjeros. Si

bien la normativa ITAR no dispone de una norma de almacenamiento

en la nube, se recomienda que existan controles similares a los previstos

por EAR, que garanticen los medios suficientes para evitar que personas

extranjeras tengan acceso a los datos.

Así que, ¿usted sabe dónde están sus datos?

Bruce H. Leeds es asesor de Braumiller Law Group PLLC, con

oficinas en Los Ángeles, Dallas, Toledo, Chicago y México y página

web en

Braumiller.com

.

Almacenamiento en la nube de datos sometidos

a controles de exportación: normativas ITAR y EAR

Por Bruce H. Leeds

Bruce H. Leeds