En una respuesta reciente a una interpelación de un diputado, el Ministro de Educación francés aclaró que las escuelas francesas no deben utilizar Microsoft 365 ni Google Workspace.
Los motivos de la postura del Ministerio son dos. En primer lugar, el Ministerio está preocupado por la confidencialidad y la legalidad de las transferencias de datos. En segundo lugar, la confianza en los proveedores europeos es coherente con la ** política** gubernamental de "la ** nube en el centro"**. Desgranemos todo esto.
![non non non](https://assets.simpleanalytics.com/gifs/non non-non.gif)
Nota: Algunos de los enlaces que figuran a continuación están en francés, ya que la noticia no tuvo mucha repercusión en los medios internacionales.
Los problemas de privacidad
Los problemas de privacidad que plantea el uso de Google Workspace no son nada nuevo. Como ya explicamos aquí, los datos personales de ciudadanos extranjeros pueden ser objeto de una vigilancia estatal invasiva cuando se transfieren a Estados Unidos. Estos problemas de privacidad llevaron al Tribunal de Justicia de la UE a invalidar dos marcos para la transferencia de datos entre la UE y EE.UU. en las históricas sentencias Schrems I y II. Cabe señalar que el Ministro mencionó explícitamente Schrems II en su respuesta.
La sentencia Schrems II tiene implicaciones de gran alcance para las empresas europeas. En principio, los datos pueden seguir transfiriéndose a EE.UU. sin un marco de transferencia de datos. Sin embargo, el TJUE aclaró que las empresas europeas deben garantizar la confidencialidad de las transferencias de datos mediante la aplicación de salvaguardias adecuadas contra la vigilancia estatal. En términos prácticos, esto es difícil de hacer y totalmente imposible para ciertos servicios basados en la nube (escribimos sobre esto aquí).
A raíz de Schrems II, cuatro APD europeas (la DSB austriaca, la CNIL francesa, la GPDP italiana y, más recientemente, el Ombudsman de Protección de Datos finlandés) se pronunciaron en contra del uso de Google Analytics. La herramienta requiere transferencias de datos entre Google Ireland Ltd. y Google LLC. En línea con la sentencia Schrems II, las APD consideraron que estas transferencias de datos eran ilegales porque carecían de salvaguardias efectivas contra la vigilancia estadounidense. Las APD coordinaron su enfoque de las reclamaciones por transferencia de datos a escala europea, por lo que es probable que otras APD sigan su ejemplo. Pero el problema va más allá de Google Analytics: otros servicios estadounidenses podrían ser los siguientes en ser objeto de críticas.
(Actualización: de hecho, Meta Ireland recibió una multa récord de 1.200 millones de euros por transferencias ilegales de datos, se le ordenó suspender las transferencias de datos estadounidenses para Facebook y actualmente se enfrenta al riesgo de un apagón de Facebook en toda la UE. Hablamos de este importante caso en https://www.simpleanalytics.com/blog/meta-hit-with-record-breaking-1-3-billion-fine-over-facebook-data-transfers-to-the-us)
La CNIL es una de las APD que falló en contra de Google Analytics. Al adoptar una postura firme sobre el uso de Microsoft 365 y Google Workspace, el gobierno francés adoptó la postura de la CNIL sobre las transferencias de datos. Pero no se trata sólo de privacidad.
Soberanía digital
Desde el año pasado, el gobierno francés impulsa la ** doctrina de la "nube en el centro**": un plan a largo plazo para desarrollar la infraestructura digital en pos de la soberanía digital.
El año pasado, una circular de la Dirección Interdepartamental de Asuntos Digitales (DINUM) instó a la administración pública a abandonar Microsoft 365 y utilizar en su lugar el paquete Office local. La preocupación por la privacidad desempeñó un papel importante, pero el Gobierno también quiere limitar a largo plazo la dependencia de Francia de los proveedores estadounidenses. La posición del Ministerio respecto a Microsoft 365 y Google Workspace se inscribe plenamente en esta estrategia digital.
Cabe señalar que Microsoft 365 no requiere ninguna transferencia de datos fuera de la UE, ya que Microsoft procesa todos los datos europeos en centros de datos europeos. En opinión de la Dirección, esto no basta para mantener la confidencialidad de los datos. De hecho, la Dirección instó a las administraciones a confiar únicamente en proveedores de nube certificados y con sede en la UE que tengan garantizada la inmunidad frente a la aplicación de leyes no comunitarias (como la controvertida Ley de la Nube estadounidense).
Francia no es la única que aboga por la soberanía digital: la estrategia digital de la UE reconoce la soberanía digital como un objetivo clave. Y para reducir la dependencia de los proveedores de servicios con sede en Estados Unidos, la Comisión Europea puso en marcha Gaia-X. Este proyecto reúne a proveedores de software e infraestructuras físicas para crear un entorno seguro de intercambio de datos con arreglo a normas técnicas interoperables. Gaia-x pretende fomentar el crecimiento de la economía digital en toda la Unión, facilitar el intercambio de datos y promover el objetivo de la soberanía digital.
Las implicaciones potenciales de una política de soberanía de datos no deben pasarse por alto. Ofrecer a las empresas alternativas competitivas a los proveedores estadounidenses basadas en la UE puede ayudar a mantener más datos dentro de la Unión, donde los derechos de protección de datos pueden aplicarse más fácilmente. Y reducir la dependencia de los servicios estadounidenses permitiría a la UE tener más peso en la negociación de marcos internacionales de transferencia de datos.
Reflexiones finales
La Estrategia Digital de la UE y Gaia-X son un paso en la buena dirección, pero a la Unión aún le queda mucho camino por recorrer. En la actualidad, algunos proveedores estadounidenses son prácticamente insustituibles.
Afortunadamente, Google Analytics es sustituible. A diferencia de Google, Simple Analytics cree en la creación de una web independiente que sea amigable para los visitantes del sitio web. Si esto le suena, no dude en visitarnos.