A medida que el mundo se va convirtiendo en un ecosistema conectado globalmente, la fluidez de los datos ha dado lugar a conversaciones nacionales e internacionales en torno a nociones de datos y soberanía digital. Si bien estos conceptos aún están surgiendo, muchos países están desarrollando leyes y regulaciones para abordar la naturaleza ilimitada de los datos y las organizaciones globales y multinacionales que los crean, almacenan y distribuyen. ¿Qué deben hacer las organizaciones para operar bajo estos nuevos conceptos de soberanía? Primero, debemos entender cómo surgió la soberanía de los datos.
¿Qué es la soberanía de los datos?
Antes de explicar la soberanía de los datos, entendamos primero un concepto más amplio: la soberanía digital. La soberanía digital gira en torno a un destino digital ordenado, regulado y seguro, basado en valores, para todos los datos, hardware y software, componentes de infraestructura y operaciones de aplicaciones. Se supone que la soberanía digital resuelve problemas multifacéticos con respecto a los derechos y la libertad individuales, la exigibilidad política y legal a nivel local, regional y nacional dentro de un mercado competitivo justo.
La soberanía digital abarca tres vertientes principales:
La soberanía operacional se refiere a la transparencia y el control de los procesos operativos del proveedor y elimina a los malos actores o procesos que perjudicarán el acceso y la calidad de información valiosa.
La soberanía del software y el hardware se refiere a la libertad de las organizaciones para almacenar y ejecutar cargas de trabajo donde deseen para maximizar el rendimiento, la flexibilidad y la resiliencia general (con el hardware local o en la nube, los componentes de red, el hardware virtual, los componentes del centro de datos y más).
La soberanía de los datos es el control de los datos confidenciales respetando la jurisdicción geográfica local y previniendo el acceso no autorizado y la pérdida de datos.
La soberanía de los datos aborda cuestiones legales, de privacidad, seguridad y gobernanza asociadas con el almacenamiento, procesamiento y transferencia de datos. Muchos utilizan residencia de datos y soberanía de datos indistintamente, sin embargo, existe una diferencia entre ambos: la residencia de datos se ocupa de la ubicación física donde residen los datos e implica consideraciones como leyes, regulaciones e infraestructura locales, mientras que la soberanía de datos aborda la propiedad, el control y los aspectos legales de los datos. El enfoque se centra en la capacidad de ejercer control, tomar decisiones y hacer cumplir las obligaciones legales y regulatorias relacionadas con los datos, independientemente de su ubicación física.
La soberanía de los datos impone restricciones a los datos en distintos países. Algunos países tienen limitaciones a la transmisión de datos fuera del país de origen. Por ejemplo, cuando se trata de la soberanía de los datos en los EE. UU., debemos conocer las leyes pertinentes tanto a nivel federal (de las cuales hay muchas) como a nivel estatal individual. Las empresas que realizan negocios dentro de los límites legales establecidos podrían tener prohibido por ley transferir sus datos o enviarlos a un proveedor de nube externo para su almacenamiento o procesamiento.
Además, algunos países tienen leyes de privacidad que restringen la divulgación de datos personales a terceros. Si bien Estados Unidos no tiene una sola ley de privacidad de datos a nivel federal, la Ley de Privacidad del Consumidor de California de 2018 es una de las leyes de privacidad de datos más ambiciosas jamás promulgadas en Estados Unidos, al igual que el RGPD de la Unión Europea.
La soberanía de los datos en la UE es un campo en evolución. En Europa se ha pedido la creación de una infraestructura de nube europea más sólida que pueda ayudar a garantizar mejor la soberanía de los datos en los estados miembros de la UE. El proyecto de ley Digital India 2023 tiene como objetivo sustituir la actual Ley de Tecnología de la Información de la India de 2000 y proporcionar una supervisión integral del panorama digital. Busca abordar desafíos modernos como el cibercrimen, la protección de datos, las falsificaciones profundas y la seguridad en línea.
Los datos almacenados en servicios de computación en la nube pueden estar sujetos a la jurisdicción de las leyes de más de un país. Sin embargo, las leyes pueden dificultar aún más el cumplimiento de una organización cuando existen múltiples estatutos nacionales de privacidad de datos que deben cumplirse en distintos países. Pueden existir diferentes requisitos legales en materia de seguridad de datos, privacidad y notificación de infracciones, según dónde se alojen los datos o quién los controle. Las restricciones legales pueden afectar especialmente a las organizaciones que utilizan estrategias de nube híbrida: emplean proveedores de nube pública, además de operar centros de datos locales, y cada implementación de nube debe cumplir con requisitos legales locales independientes.
