Amazon, Google de Alphabet, Microsoft y otros proveedores de servicios en la nube fuera de la Unión Europea que buscan obtener una etiqueta de ciberseguridad de la UE para manejar datos confidenciales pueden solo lo hacen a través de una empresa conjunta con una empresa con sede en la UE, según un borrador de documento de la UE visto por Reuters.
Los gigantes tecnológicos de EE. UU. y otros involucrados en la empresa conjunta solo pueden tener una participación minoritaria, y los empleados que tengan acceso a los datos de la UE tendrían que someterse a una evaluación específica y estar ubicados en el bloque de 27 países, según el documento.
El documento agrega que el servicio en la nube debe operarse y mantenerse desde la UE, y todos los datos de los clientes del servicio en la nube deben almacenarse y procesarse en la UE y que las leyes de la UE prevalecen sobre las leyes fuera de la UE con respecto al proveedor del servicio en la nube.
El último borrador de propuesta de la agencia de ciberseguridad de la UE ENISA se refiere a un esquema de certificación de la UE (EUCS) que garantizaría la ciberseguridad de los servicios en la nube y determinaría cómo los gobiernos y las empresas del bloque seleccionan un proveedor para su negocio.
Si bien las nuevas disposiciones subrayan las preocupaciones de la UE sobre la interferencia de los estados no pertenecientes a la UE, es probable que generen críticas de los gigantes tecnológicos estadounidenses preocupados por ser excluidos del mercado europeo.
Big Tech está mirando al mercado de la nube del gobierno para impulsar el crecimiento en los próximos años, mientras que un auge potencial en la IA después del éxito viral de ChatGPT de OpenAI también podría impulsar la demanda de servicios en la nube.
«Los servicios en la nube certificados son operados únicamente por empresas con sede en la UE, sin que ninguna entidad de fuera de la UE tenga un control efectivo sobre el CSP (proveedor de servicios en la nube), para mitigar el riesgo de que los poderes externos a la UE interfieran socavando las regulaciones, normas y valores de la UE. ”, decía el documento.
«Las empresas cuya sede social o sede social no esté establecida en un Estado miembro de la UE no podrán, directa o indirectamente, única o conjuntamente, tener un control efectivo positivo o negativo del CSP que solicita la certificación de un servicio en la nube», dijo. .
El documento dice que las reglas más estrictas se aplicarán a los datos personales y no personales de particular sensibilidad donde una violación puede tener un impacto negativo en el orden público, la seguridad pública, la vida o la salud humana o la protección de la propiedad intelectual.
El último borrador podría fragmentar el mercado único de la UE, ya que cada país tiene total discreción para imponer los requisitos cuando lo considere oportuno, dijo una fuente de la industria.
La Cámara de Comercio de EE. UU. ha dicho anteriormente que el plan pone a las empresas estadounidenses en una situación de desigualdad. La UE dice que los movimientos son necesarios para proteger los derechos de datos y la privacidad del bloque.
Los países de la UE revisarán el borrador a finales de este mes, después de lo cual la Comisión Europea adoptará un esquema final.
