Europa necesita soberanía digital, y Microsoft acaba de demostrar por qué.
Llamamiento a la acción: Las empresas ya ofrecen grandes alternativas europeas para la soberanía digital, ¡las autoridades deben empezar a adoptarlas ya!
Lo que ocurrió
En febrero, Trump sancionó a la Corte Penal Internacional (CPI ) por emitir órdenes de detención contra el primer ministro israelí, Benjamin Netanyahu, y su ex ministro de Defensa, Yoav Gallant. El tribunal argumentó que los políticos israelíes habían cometido crímenes de guerra al restringir la ayuda humanitaria en Gaza en medio de la guerra contra Hamás, perjudicando así a la población civil.
Las autoridades israelíes negaron todos los cargos y, en consecuencia, el presidente de Estados Unidos, Donald Trump, emitió sanciones contra la CPI afirmando que el tribunal había cometido “acciones ilegítimas y sin fundamento dirigidas contra Estados Unidos y nuestro estrecho aliado Israel”. Trump también calificó las órdenes de detención de “órdenes de arresto infundadas”.
Tras estas sanciones, la CPI se ha encontrado con varios problemas:
- El fiscal jefe, Karim Khan, ha perdido el acceso a su correo electrónico; sus cuentas bancarias fueron congeladas.
- Los empleados estadounidenses del tribunal corren el riesgo de ser detenidos cuando viajan a Estados Unidos.
Debido al bloqueo de la cuenta de correo electrónico de Microsoft de Khan, el tribunal se enfrenta a graves obstáculos en su trabajo diario.
Microsoft bloqueó la cuenta de correo electrónico por una sanción de EE.UU.
El bloqueo de la cuenta de correo electrónico de Microsoft de Khan se produjo debido a una orden ejecutiva firmada por Trump que la empresa con sede en Estados Unidos -Microsoft- cumplió. Esto se vuelve aún más explosivo cuando se considera que Microsoft -aunque quisiera- tuvo que obedecer esta orden debido a la situación legal y política.
La Open-Source Business Alliance (OSBA) dijo a Heise que considera que las acciones de Microsoft “no tienen precedentes en este contexto y con este impacto”, y que este incidente demuestra que Europa necesita soberanía digital eligiendo servicios tecnológicos con sede en Europa en lugar de Big Tech con sede en Estados Unidos.
”Esto debe ser una llamada de atención para todos los responsables de la disponibilidad segura de las infraestructuras informáticas y de comunicación estatales y privadas. … No podemos confiar en empresas que no están bajo nuestra jurisdicción”.
Llamada de atención a la soberanía digital
Esto, en efecto, debe ser una llamada de atención.
Las sanciones de Estados Unidos, ajenas a Europa e impuestas por una potencia extranjera, provocaron el cierre de la comunicación digital de una destacada figura pública, el Fiscal Jefe de la Corte Penal Internacional.
Esta es una historia de soberanía digital.
Y marca un claro punto de inflexión en la relación de Europa con los proveedores extranjeros de tecnología. Si figuras clave del Derecho internacional pueden ser silenciadas digitalmente por una empresa sujeta a la legislación estadounidense, ¿qué dice eso sobre nuestro control -o la falta del mismo- sobre los propios cimientos digitales en los que confiamos?
Durante años, las instituciones europeas han confiado en la falsa promesa de seguridad y protección de datos de los gigantes tecnológicos de Silicon Valley. Proveedores de servicios en la nube como Microsoft, Amazon y Google nos han asegurado en repetidas ocasiones que respetan la legislación europea, que han construido centros de datos dentro de las fronteras de la UE y que se han comprometido a cumplir el GDPR. Mientras que, al mismo tiempo, el nuevo Outlook de Microsoft sube todos los datos, incluidas las contraseñas, a la nube, Office 365 de Microsoft ha sido declarado ilegal para las escuelas alemanas por problemas de protección de datos, y Dinamarca ha prohibido Gmail en las escuelas por problemas de privacidad basados en el GDPR. Y estos son solo algunos ejemplos.
La jurisdicción lo supera todo
A la luz de todo esto, el incidente de la ICC acaba de poner el último clavo en el ataúd. Revela una verdad más profunda, sobre la que los europeos deben empezar a actuar.
La jurisdicción triunfa sobre la geografía. No importa si sus servidores están en Fráncfort, Roma o París: si su proveedor está sujeto a la legislación extranjera, también lo estarán sus datos.
Y esto debe incluirse en todos los peores escenarios de cada empresa y cada autoridad. La pregunta es obvia: ¿Están mis datos seguros y protegidos, no sólo frente a amenazas externas como atacantes malintencionados, sino también frente a amenazas internas derivadas de la empresa que aloja sus datos?
Si las decisiones políticas tomadas a miles de kilómetros de distancia pueden tener consecuencias inmediatas y graves en las comunicaciones digitales europeas y en los datos europeos, esto supone un riesgo enorme. Un riesgo que usted no debería correr. Y con el reciente incidente de Microsoft, ya no es una amenaza teórica. Es exactamente lo que acaba de ocurrir.
La dependencia es una amenaza
Imaginemos que no se tratara del correo electrónico, sino del sector energético.
¿Cedería Europa alguna vez el control de sus redes eléctricas nacionales a empresas extranjeras sujetas a leyes no europeas? ¿Confiaríamos en la garantía de un proveedor extranjero de un 99,999% de tiempo de actividad (que es el acuerdo estándar de SLA de tiempo de actividad de los proveedores de nube) mientras que al mismo tiempo una potencia extranjera podría obligarles en cualquier momento a cortar la energía de Europa?
Por supuesto que no.
Sin embargo, así es como estamos gestionando nuestra infraestructura digital en Europa.
Estamos ciegos ante los riesgos y confiamos demasiado en los proveedores tecnológicos estadounidenses. Las plataformas en la nube, las herramientas de comunicación y los proveedores de correo electrónico son servicios básicos que hacen funcionar nuestros gobiernos, escuelas, hospitales y tribunales. Y en la mayoría de los casos, las instituciones europeas han elegido proveedores estadounidenses, mientras que existen grandes alternativas de correo electrónico para las empresas.
Europa tiene los servicios, ¡empecemos a usarlos!
Lo que hace todo esto aún más frustrante es que a Europa no le falta innovación; Europa tiene grandes servicios tecnológicos que son mejores que sus equivalentes estadounidenses. Sobre todo en lo que se refiere a servicios tecnológicos, Europa ofrece mucho más de lo que cabría esperar, especialmente si valoras la privacidad y la seguridad.
En todo el continente se están desarrollando soluciones digitales que dan prioridad a la privacidad, se centran en la seguridad y son verdaderamente soberanas. Uno de los mejores ejemplos es Tuta, que ofrece herramientas de correo electrónico y calendario seguras y encriptadas, incluso con cifrado de seguridad cuántica. El proveedor de correo electrónico no sólo opera bajo la legislación alemana de protección de datos, con todos los servidores ubicados en centros de datos alemanes, sino que también utiliza las tecnologías de cifrado más avanzadas para proteger los datos de las empresas.
¿Por qué no vemos servicios como éste en ministerios, parlamentos y tribunales?
Porque, a pesar de todos los discursos sobre la “autonomía estratégica”, la tecnología europea sigue siendo tratada a menudo como un plan de reserva por las autoridades, y la mayoría de ellas ni siquiera han empezado a ponerlo en marcha. Durante décadas, las autoridades europeas han confiado en los productos de Microsoft. Procedentes de la integración de Microsoft en Windows, el sistema operativo más utilizado desde su lanzamiento en los años 80, la mayoría de las empresas y autoridades siguen utilizando Microsoft Outlook para el correo electrónico, Microsoft Word, Excel, etc. Aunque el cambio de Microsoft a alternativas basadas en Europa no puede hacerse en un día, las autoridades deben empezar a planificarlo.
Ha llegado el momento de liberarse de la dependencia de la tecnología estadounidense.
La nube soberana
Hay un dicho en tecnología que dice lo siguiente: No hay nube, sino ordenadores ajenos.
A la hora de llevar este concepto a la práctica, hay que preguntarse: ¿En qué ordenador me gustaría almacenar mis datos? ¿Con un proveedor de tecnología estadounidense, al que Estados Unidos (gobierno, NSA, CIA, FBI, etc.) puede potencialmente tener pleno acceso? Aunque los datos se queden en Europa, el control -la capacidad de operar, denegar o transferir el acceso- sigue estando en otra parte. Mientras los proveedores de tecnología estadounidenses tengan la llave, Europa no será dueña de sus datos.
Necesitamos verdadera soberanía, eligiendo servicios europeos que se construyan y operen con arreglo a la legislación europea y que almacenen los datos exclusivamente en Europa, mejor cifrados de extremo a extremo.
Mirando hacia un futuro más brillante
Si Europa quiere recuperar el control de su infraestructura digital, necesitamos un cambio estructural; y un esfuerzo inmenso de todas las partes implicadas. Pero al final, el esfuerzo valdrá la pena. No sólo ganando soberanía, sino también apoyando y construyendo una industria tecnológica europea que pueda competir fácilmente con las empresas tecnológicas estadounidenses y chinas.
Para lograrlo, ni siquiera necesitamos nuevas leyes, todo lo que necesitamos es un compromiso por parte del sector público. Si Trump dice “America first”, Europa debe decir “Europe first” - y en tecnología la ganancia es doble: 1. Una gran parte de lo que el sector público gasta en tecnología europea, lo recupera en forma de impuestos de sociedades. 2. El sector público podría ayudar a impulsar una industria tecnológica europea ya vibrante e innovadora para ganar ventaja competitiva, no sólo en Europa sino también en el extranjero.
Hacer de lo “europeo” un requisito para la contratación pública de productos tecnológicos: Las instituciones de la UE, los gobiernos y las autoridades locales deberían exigir que los productos tecnológicos sean “europeos”. Así pueden asegurarse de que los servicios que adquieren cumplen la legislación europea de protección de datos y no están bajo la influencia de gobiernos extranjeros.
Evitar la dependencia del proveedor: Cualquier plataforma utilizada en el sector público debe ser interoperable y sustituible. Sin excepciones. Los contratos deben redactarse teniendo en cuenta estrategias de salida para que no vuelva a producirse una dependencia como la que estamos viendo actualmente con Microsoft.
De cara al futuro, las autoridades europeas y locales pueden marcar la diferencia. Todo lo que tienen que hacer es ser activos. El asunto del correo electrónico de Microsoft de la CPI no debe desestimarse ni olvidarse. Es una llamada de atención sobre lo que ocurre cuando construyes tu casa digital sobre los cimientos de otra persona.
No esperemos a que la próxima empresa desconecte un servicio tecnológico esencial en Europa.
Construyamos sistemas que se adhieran a las leyes y normativas europeas, protejan a los ciudadanos europeos y sus datos y refuercen la independencia europea.
Dejemos de tomar prestado poder digital y empecemos a generar el nuestro. Juntos podemos hacer de Internet un lugar mejor.
