Según un borrador de documento de la agencia de ciberseguridad de la UE, ENISA, los proveedores de servicios en la nube no pertenecientes a la Unión Europea, como Amazon [AMZN:US], Google [GOOGL:US] y Microsoft [MSFT:US], solo pueden obtener una etiqueta de ciberseguridad de la UE para manejar datos sensibles a través de una empresa conjunta con una empresa con sede en la UE, según informó Reuters el 9 de mayo. Sin embargo, los gigantes tecnológicos estadounidenses y otras partes implicadas en la empresa conjunta sólo pueden tener una participación minoritaria, y los empleados con acceso a datos de la UE deben someterse a un control específico y estar ubicados en la UE. El servicio en nube debe gestionarse y mantenerse desde la UE, y todos los datos de los clientes deben almacenarse y tratarse en la UE, prevaleciendo la legislación de la UE sobre la de fuera de la UE. La propuesta se refiere a un sistema de certificación de la UE que certificaría la ciberseguridad de los servicios en nube y determinaría la forma en que los gobiernos y las empresas de la UE eligen a un proveedor para sus negocios.

Las nuevas disposiciones se aplicarán a los datos personales y no personales especialmente sensibles, cuya violación pueda tener repercusiones negativas en el orden público, la seguridad pública, la vida o la salud humanas o la protección de la propiedad intelectual. El documento también señala que el proyecto de propuesta puede fragmentar el mercado único de la UE, ya que cada país puede imponer los requisitos cuando lo considere oportuno. Estas normas más estrictas pretenden evitar injerencias de Estados no miembros de la UE, pero pueden suscitar las críticas de los gigantes tecnológicos estadounidenses. El borrador será revisado por los países de la UE a finales de este mes antes de que la Comisión Europea adopte un régimen definitivo.

Fuentes:

https://www.reuters.com/technology/eu-draft-rules-propose-tougher-cybersecurity-labelling-rules-amazon-google-2023-05-09/