¿Qué es la soberanía de datos?

La soberanía de los datos se refiere a la aplicación de las leyes a los datos de un usuario, en concreto, qué leyes de qué jurisdicción se aplican a esos datos y qué derechos están protegidos para cada usuario individual en relación con la privacidad, el uso por parte de una organización y el consentimiento. El ejemplo más conocido que incluye principios de soberanía de datos es el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE), que define cómo se protegen los datos de los ciudadanos de la UE en términos de recopilación y uso.

¿Qué es la soberanía de datos?

La soberanía de datos se refiere al concepto de que los datos están sujetos a las leyes y regulaciones de la región en la que se encuentran sus propietarios. En general, las reglas de soberanía de datos ponen la responsabilidad de administrar y proteger los datos de los usuarios en la organización que los recopila y procesa. Los problemas de privacidad y seguridad del usuario deben ser abordados por la organización, y debe cumplir con las regulaciones del país o estado de residencia del usuario. Esto significa que se necesitan varias capas de conformidad para las organizaciones con bases de usuarios multinacionales. Por ejemplo, una organización con usuarios en la Unión Europea y Estados Unidos puede estar obligada a cumplir con el RGPD de la UE, así como con las leyes de soberanía de datos de estados individuales.

En general, las leyes de soberanía de datos en todo el mundo tienen una superposición significativa, siendo algunas más restrictivas que otras.

Conclusiones clave

• La soberanía de datos es el concepto de que las cuestiones legales de datos, las regulaciones y las restricciones caen bajo la jurisdicción de la nación, el estado o la región desde la que se generan los datos.
• Determinar la soberanía de los datos puede implicar a menudo cuestiones relacionadas, como la localización, la residencia y la privacidad de los datos.
• Algunos de los ejemplos más conocidos de soberanía de datos incluyen el GDPR de la UE, la CCPA de California y el concepto de soberanía de datos indígenas.
• Las organizaciones deben evaluar continuamente las leyes regionales, sus propias especificidades de la informática en la nube, y su propio estado de seguridad y hardware.

Explicación de la soberanía de datos

La soberanía de datos es un concepto importante con muchos aspectos distintos, aunque los conceptos básicos se pueden desglosar en los siguientes puntos:

• Quién está involucrado. La soberanía de los datos puede implicar a varias partes, aunque la responsabilidad puede recaer en última instancia en la organización que recopila o vende dichos datos. Las partes pueden ser estas organizaciones, las personas cuyos datos se recopilan, los proveedores de la nube que los almacenan y los países/regiones/estados que dictan las leyes rectoras que los supervisan. Dentro de una organización, la supervisión de soberanía de datos puede incluir departamentos de TI y equipos legales.

• Lo que está en juego. Para las organizaciones que no cumplen con las directrices regulatorias, el resultado puede ser una compleja, y posiblemente internacional, red de cuestiones legales y multas. Las consecuencias legales pueden convertirse en problemas adicionales, ya sea cortando regiones de clientes o deteniendo las operaciones comerciales.

  Invertir en cumplimiento puede permitirle a las organizaciones cumplir con los requisitos normativos.

• Quién se beneficia. Aunque los propietarios de datos individuales pueden beneficiarse intrínsecamente de la soberanía de los datos debido a su enfoque en la protección y la supervisión, las empresas también pueden ver ventajas. Por un lado, una empresa puede beneficiarse simplemente manteniendo las operaciones y estableciendo una base sólida para el cumplimiento futuro. Además, el cumplimiento coherente puede ayudar a generar confianza pública, que puede servir como parte de las relaciones públicas o los mensajes de marketing para atraer más negocios.

¿Por qué es importante la soberanía de datos?

Es importante porque puede garantizar que se cumplan las leyes y regulaciones aplicables a los datos. A menudo es más fácil decirlo que hacerlo, porque en los últimos 20 años, la forma en que se utilizan los datos dentro de las organizaciones ha cambiado por completo. Cuando los datos se volvieron dinámicos y móviles, también se enfrentaron a mayores riesgos: los archivos ya no permanecían dentro de los confines de las unidades y dispositivos locales, y las bases de datos empezaron a almacenar registros mucho más allá de unas pocas aplicaciones específicas. Este alcance ampliado de datos generó muchos tipos diferentes de riesgo. Protegerse contra esos peligros se convirtió en una cuestión cada vez más importante, sobre todo a medida que los ciberataques crecían en sofisticación y las transmisiones de datos empezaban a cruzar fronteras internacionales.

Hoy en día, algunas de las áreas más importantes de soberanía de datos incluyen lo siguiente:

• Departamento Legal. En los últimos años, varios países y regiones han establecido normativas de protección de datos que abordan los problemas de privacidad, seguridad y almacenamiento relativos a la ubicación del almacenamiento físico de datos. Un buen ejemplo de ello es la ley GDPR de la UE. Estos tipos de regulaciones cubren áreas como los datos de visitantes del sitio web y los datos de uso del producto. El incumplimiento puede conducir a problemas legales complejos, que posteriormente derivan a complicaciones operativas y financieras.

• Seguridad. ¿Quién puede acceder a los datos confidenciales? Ya se trate de propiedad intelectual financiera, personal u organizativa, controlar el acceso a datos confidenciales es un elemento crucial de la soberanía de datos. En algunos casos, las leyes regionales también abordan el aspecto de privacidad de la recopilación de datos. Todo esto puede indicar la necesidad de mantener el control sobre la seguridad, el acceso y el almacenamiento.

• Continuidad. En un mundo de datos distribuidos a nivel mundial, los proveedores de nube pública podrían almacenar copias de seguridad en centros de datos ubicados en otros países. Esto crea un problema si las interrupciones graves o los desastres naturales interrumpen el acceso y la conectividad. También plantea la cuestión de la jurisdicción: si alguien hackea el centro de datos de un proveedor de nube, ¿qué leyes se aplicarían para proteger a los usuarios afectados que residen en todo el mundo? Las estrategias de soberanía de datos garantizan que el almacenamiento se mantenga dentro de regiones específicas. En cuanto al acceso en circunstancias extremas, esa localidad permite una conectividad de reserva rápida, sin inconvenientes de latencia debidos a la distancia geográfica ni problemas de acceso legal debidos a las leyes regionales.

¿Cómo funciona la soberanía de datos?

Las empresas que recopilan y almacenan datos deben ocuparse de las leyes de soberanía de datos de los países en los que operan, y esa labor puede implicar almacenar datos en lugares específicos, aplicar medidas de seguridad y asegurarse de que se manejen de conformidad con la normativa local. Puede ser un proceso complejo y desafiante, especialmente para las empresas multinacionales que operan en diversas jurisdicciones.

Un flujo de trabajo básico para el cumplimiento de la soberanía de datos puede ser el siguiente:

1. Una organización evalúa el estado actual de sus datos, incluidos sus protocolos de seguridad internos y los locales físicos de los centros de datos.
2. Las ubicaciones de los clientes y usuarios crean una base para identificar las leyes de soberanía de datos relevantes.
3. Los equipos de TI y jurídicos de la organización evalúan si cumplen las leyes de las distintas regiones y, si no es así, deben determinar los pasos necesarios para lograr el cumplimiento.
4. La organización realiza una encuesta continua de sus clientes y leyes a fin de garantizar que no se pierdan las actualizaciones.

Soberanía de datos vs. localización de datos vs. residencia de datos vs. privacidad de datos

La soberanía de datos es un concepto complejo que contiene varios elementos interconectados diferentes. Las jurisdicciones, las leyes y las ubicaciones del hardware influyen en la fórmula dinámica de la soberanía de datos. Los elementos más importantes de este concepto son los siguientes:

Soberanía de datos

En su esencia, se refiere a la supervisión legal de los datos sobre la base de las regulaciones del país donde se generaron. Variables como bases de usuarios mundiales, colaboradores remotos y centros de datos de almacenamiento en la nube hacen que este concepto inicial sea mucho más complejo. Debido a esto, factores como dónde residen los datos, dónde se recopilan y cómo se recopilan son esenciales para comprender los problemas en juego.

Localización de datos

La localización de datos existe entre la residencia y la soberanía de datos. Se refiere a la idea de que los datos generados por los ciudadanos de una región deben residir dentro de esa región antes de que se utilicen externamente. Las restricciones de localización de datos se derivan de problemas de privacidad y seguridad, especialmente cuando las organizaciones manejan datos confidenciales, personales o financieros.

Residencia de datos

Residencia de datos es el término dado a la ubicación física de los datos de una organización. Si los datos se almacenan en un país o región distintos de donde se generan, se aplican las leyes de residencia de datos de esa región concreta, lo que añade más niveles de complejidad al cumplimiento.

Privacidad de datos

La privacidad de los datos se refiere a la protección de los datos personales de los usuarios. Los sitios web y las aplicaciones pueden recopilar estos datos de varias maneras, incluyendo formularios, información proporcionada por el usuario y cookies del sitio web. Cuestiones como el consentimiento y la legalidad de la recopilación están a la vanguardia de la preocupación por la privacidad de los datos, y las regiones han empezado a instituir sus propias leyes de privacidad para proteger a los ciudadanos de estafas y abusos.

Diferencias clave

Las principales diferencias entre soberanía de datos, localización de datos, residencia de datos y privacidad de datos se derivan de cómo se relacionan entre sí. La soberanía de datos se refiere al paraguas general que incluye jurisdicciones, ciudadanos, organizaciones y leyes. La localización de los datos dicta cómo deben tratarse los datos de los usuarios, mientras que la residencia y la privacidad se refieren a las definiciones utilizadas al examinar los conceptos más amplios. La siguiente ilustración proporciona un flujo visual de cómo funcionan juntos estos conceptos.

Historial de soberanía de datos

A medida que las computadoras evolucionaron de gigantes del tamaño de la habitación a máquinas de escritorio, el acceso a los datos también evolucionó. La seguridad se convirtió en el ámbito de los medios de almacenamiento físicos, las redes de área local y los centros de datos. A medida que los datos se volvieron más portátiles y dinámicamente transmisibles, surgieron las primeras nociones de soberanía de datos. En la UE, la Directiva de Protección de Datos de 1995 restringió el tratamiento y almacenamiento de datos de los ciudadanos de dicha región a esas fronteras. Al otro lado del Atlántico, Estados Unidos también consideró la soberanía de los datos desde distintos ángulos, incluida la Ley PATRIOT de 2001, que cambió fundamentalmente a qué datos de los ciudadanos podía acceder legalmente el gobierno estadounidense. La ley otorgó al gobierno federal acceso a los datos almacenados dentro de las jurisdicciones estadounidenses, así como a los datos gestionados por compañías que operan dentro de las fronteras estadounidenses.

Esa era se refería a los medios físicos, módems de acceso telefónico e Internet como un servicio de nicho. Pero en los años siguientes, la transformación digital se ha generalizado en todos los sectores y comunidades, abarcando el acceso a Internet en el hogar, las transacciones financieras en línea, los datos personales a través de las redes sociales, hasta el almacenamiento diario en la nube, moneda digital y los dispositivos del Internet de las cosas (IoT). De repente, la importancia de la soberanía de datos creció exponencialmente. Las empresas empezaron a compartir datos a través de las fronteras internacionales, la ciberdelincuencia se convirtió en un riesgo cotidiano, los ciudadanos realizaban compras en línea desde lugares distantes y se descubrió que los los gobiernos vigilaban ilegalmente los datos personales. Todos estos cambios fomentaron la necesidad de establecer cierto orden en el caos, particularmente con las diferentes jurisdicciones involucradas.

Hoy en día, la noción de soberanía de datos abarca una amplia gama de temas, como la legalidad local, las cuestiones de privacidad, la ubicación física de los servidores de almacenamiento en la nube, etc. A medida que los dispositivos se integren más en todos los aspectos de nuestra vida cotidiana y las empresas amplíen los límites del trabajo a distancia, la soberanía de los datos será más complicada -y más esencial- cada año que pase.

Soberanía de datos y RGPD

En 1995, la Directiva de Protección de Datos de la UE entró en vigor en los albores de la era de Internet. Oficialmente conocida como Directiva 95/46/CE, la DPD fue fundacional para la forma en que el mundo considera la privacidad de los datos en términos de derechos y libertades fundamentales. Entre los temas clave de la DPD se incluyen los siguientes:

• Transparencia al procesar los datos de un ciudadano de la UE
• Definición de la intención y el propósito del almacenamiento y el procesamiento
• Leyes aplicables a la transferencia de datos fuera de la UE
• Limitaciones de cómo y por qué se pueden procesar los datos personales para garantizar la privacidad

En los 20 años transcurridos desde entonces, el uso de datos se ha disparado en todo el mundo, primero a través del acceso doméstico de banda ancha a Internet, luego con la aparición de las redes sociales y, por último, con el uso de dispositivos de la Internet de las Cosas (IoT), como los smartphones, los cuales recopilan constantemente grandes cantidades de datos personales. Esta evolución reveló las brechas en las protecciones de la directiva, ya que los datos comenzaron a fluir de maneras que antes eran inimaginables.

Adoptado en 2016 y activo desde 2018, el Reglamento General de Protección de Datos (RGPD) sustituyó al DPD y se basó en todos sus principios fundamentales, incluidos los derechos básicos sobre los datos, la regulación de las autoridades supervisoras y las limitaciones a la transferencia de datos personales a terceros países. Significativamente, estableció que las organizaciones solo deben recopilar y tratar datos personales de formas legalmente autorizadas, incluido el consentimiento del sujeto, la obligación contractual o el interés público de la autoridad oficial. La preocupación por el consentimiento y la autoridad gubernamental surgió en la década anterior a la entrada en vigor del RGPD, cuando surgieron revelaciones sobre el uso de datos estadounidenses en virtud de la Ley PATRIOT. El RGPD aclaró y simplificó el acceso a los datos personales, la propiedad, el consentimiento, las reclamaciones y las restricciones para establecer límites legales más sólidos y una mayor propiedad individual, al tiempo que trasladaba las responsabilidades a las organizaciones y los responsables del tratamiento de datos.

Ampliamente reconocido como la ley de protección de datos más influyente de la historia, el RGPD ayudó a impulsar la acción sobre la protección de datos en todo el mundo. En Estados Unidos, varios estados aprobaron sus propias leyes relativas a los datos generados por los residentes, como la Ley de Privacidad del Consumidor de California y la Ley de Privacidad de Colorado. Sudáfrica, Tailandia, Singapur y otros países también han seguido su ejemplo.

Cinco desafíos clave de soberanía de datos

La soberanía de datos puede ser desafiante: una vez que una organización alcanza sus objetivos, el proceso continúa debido a la evolución de la normativa y a las nuevas directrices de los territorios emergentes. Las organizaciones deben mantenerse al tanto de todas estas variables, ya que toman decisiones de TI cruciales y evalúan las ramificaciones. La siguiente lista representa los desafíos más comunes de la soberanía de datos:

• Operación en diversos países. Si la organización opera en varios países, la soberanía de datos puede volverse instantáneamente más compleja. Las regulaciones de recopilación de datos dependen de la jurisdicción en la que se produzcan los procesos. Una corporación multinacional puede tener que navegar por las variaciones regionales y los matices de las leyes de datos en las áreas donde operan.

• Leyes que cambian continuamente. Las leyes existentes, como el RGPD de la UE y la CCPA de Estados Unidos, pueden seguir siendo objeto de actualizaciones, incluso cuando otras jurisdicciones introduzcan sus propias versiones de la protección de datos. Cada organización es responsable de estar al tanto de estos cambios para mantener el cumplimiento, ya que las responsabilidades legales en materia de privacidad y protección de datos pueden recaer sobre las entidades y no sobre los individuos. Por ejemplo, el Reino Unido sigue manteniendo la norma del RGPD tras su salida de la UE en 2020, pero puede dictar cómo evoluciona la ley para los residentes en el Reino Unido de forma independiente.

• Locales de almacenamiento de proveedores. Si la organización utiliza una nube pública para sus necesidades de datos, las ubicaciones físicas de almacenamiento y procesamiento de la nube pública pueden convertirse en un factor. Si las leyes de privacidad de datos exigen que los datos residan dentro de la jurisdicción de un usuario, las organizaciones pueden plantearse si deben comunicar a los proveedores cualquier requisito legal específico relativo a la ubicación geográfica.

• Inversiones iniciales. La soberanía de los datos requiere un compromiso financiero. Si se está ejecutando un centro de datos local, eso podría significar la migración a la nube. Si se están recopilando datos confidenciales, como información financiera, es posible que requiera implementar nuevas capas de seguridad. Los pasos específicos necesarios para lograr una soberanía de datos sólida son únicos para cada organización. También pueden requerir un tiempo y un esfuerzo considerables para volver a capacitar a los colaboradores en esos aspectos específicos. Sea como sea tu viaje hacia la soberanía de datos, seguro que se presenta con desafíos inesperados, por lo que tu organización debe estar preparada para absorber los costos.

• El costo del éxito. Tal vez tu organización comenzó como un negocio local, pero ha ampliado su alcance a medida que sus productos o servicios ganaron tracción. Con esa expansión surge una base de clientes más grande, y con esa base surgen cada vez más cuestiones de soberanía de datos, sobre todo si el alcance de los clientes se extiende a nuevos territorios con normativas diferentes. La soberanía de los datos debe ser una parte constante de la ecuación a la hora de planificar la expansión y el crecimiento, porque ignorarla puede acarrear importantes consecuencias legales más adelante.

Cómo respaldar la soberanía de datos en la computación en la nube en 6 pasos

Cuando se trata de soberanía de datos, no hay una única solución que funcione para cada organización. Sin embargo, varios requisitos generales son consistentes independientemente de los objetivos tecnológicos o empresariales existentes de una organización. Los siguientes seis pasos representan una guía general para lograr potencialmente la soberanía de datos.

1. Saber con qué se trabaja

¿Cómo se almacenan los datos? ¿Dónde se encuentran y/o procesan actualmente? ¿Utilizas un centro de datos local, un proveedor de nube o un híbrido de ambos? ¿Qué acceso basado en roles y otras medidas de seguridad tienes? ¿Utilizas o necesitas asistencia para dispositivos perimetrales cercanos a un límite jurisdiccional? ¿Cómo será tu expansión en el futuro? Antes de tomar cualquier decisión sobre la soberanía de datos, tu organización debe abordar este tipo de preguntas para obtener un alcance completo de lo que impulsará el cumplimiento.

2. Saber qué deseas

¿Has respondido a las preguntas anteriores? Bien, ahora toma esa información y considera lo que necesitas y quieres hacer con ella. Cumplir con los requisitos de cumplimiento normativo es importante, por supuesto. Sin embargo, dado que las estrategias implicadas también afectarán a tus opciones de TI, a tu equipo jurídico y a tu presupuesto, también deberías establecer objetivos claros para la empresa como parte del proceso. Un plan de desarrollo general, una lista de las necesidades de hardware y datos, y las evaluaciones del mejor/peor escenario pueden ser criterios clave para ayudar a elaborar la estrategia de soberanía de datos.

3. Saber qué está disponible

En muchos casos, la intersección de las necesidades operativas, empresariales y de cumplimiento llevarán a una solución en la nube. Eso puede implicar conectar un centro de datos local existente mediante un modelo híbrido, migrar un centro de datos local a la nube o considerar los requisitos prácticos de cumplimiento frente a lo que puede ofrecer un proveedor de la nube. Tu organización debe evaluar a los proveedores de servicios en la nube en función de tus necesidades técnicas, financieras y de cumplimiento, teniendo en cuenta factores como sus servicios de migración, ubicaciones de centros de datos físicos y regiones de servicio.

4. Tomar una decisión, o varias

Ya habrás comprendido tu situación actual, enumerado tus necesidades específicas y explorado las capacidades de los diferentes proveedores de servicios en la nube. Reunirlo todo debería crear una lista clara de varios proveedores. Entrevistar a cada proveedor y obtener una demostración o prueba si es posible. A continuación, es el momento de seleccionar los proveedores necesarios y elaborar un plan de desarrollo de migración. Como parte de este paso, es necesario revisar a fondo los acuerdos de nivel de servicio (SLA) de cada proveedor para saber cómo se alinearán sus servicios con las necesidades funcionales de tu organización.

5. Mantenerte al tanto de los cambios

Funcionalidad, seguridad y cumplimiento: incluso después de la migración y el lanzamiento, la organización puede necesitar supervisar las métricas clave de desempeño y los problemas de seguridad para asegurarse de que todo va según lo previsto. Las auditorías periódicas pueden ser una parte necesaria de las operaciones empresariales actuales basadas en datos, al igual que los factores de las actualizaciones regionales y las nuevas leyes emergentes. En esta etapa, la organización también debe prepararse para el peor de los casos: ¿qué sucede si se deben cortar los lazos con un proveedor de bajo desempeño?

6. Revisar según sea necesario

Si no estás satisfecho con el proveedor elegido, siempre hay otra opción. Además, siempre hay nuevas capacidades tecnológicas para aprovechar. Incluso si las cosas están funcionando sin problemas, nunca está de más considerar otras opciones, mientras se tiene en cuenta los inconvenientes de la migración, por supuesto. Conocer todas las opciones puede ser especialmente importante si las cosas van mal con los proveedores contratados, por ejemplo, si no cumplen las normas de desempeño establecidas en sus acuerdos de nivel de servicio, o si su servicio de atención al cliente es deficiente.

Cualquiera que sea el caso, la reevaluación y la revisión siempre deben ser parte del plan cuando se trata de tecnología, y más aún cuando se trata de economía y seguridad basadas en datos.

Mejores prácticas de soberanía de datos

Si bien la soberanía de datos rara vez se encuentra en una solución única para todos, se aplican varias mejores prácticas en casi todas las situaciones. Entre estas ventajas se incluyen las siguientes:

• Conoce a dónde van tus datos. Para el almacenamiento, procesamiento y transmisión, la ubicación es importante. El primer paso para sondear la soberanía de datos es identificar todas las configuraciones regionales físicas. Una vez generada esa lista, las organizaciones pueden buscar las leyes regionales pertinentes para ayudar a verificar el cumplimiento (o determinar los riesgos si no cumplen).

• Toma decisiones inteligentes sobre la localización de datos. La localización de datos simplifica el cumplimiento y el riesgo regulatorio al garantizar que los datos almacenados residan físicamente en la jurisdicción donde se recopilaron. En muchos casos, puede ser la forma más rápida de lograr el cumplimiento, por lo que este enfoque elimina muchas de las complicaciones que surgen cuando los datos cruzan fronteras internacionales o estatales.

• Proteger los datos confidenciales. Hay una diferencia entre los datos personales confidenciales y, por ejemplo, las métricas generales de los usuarios recopiladas por los sitios web. Los datos confidenciales, ya sean médicos o financieros o cualquier otra cosa, pueden requerir garantías adecuadas para cumplir con las directrices legales y éticas. Es posible que las organizaciones necesiten establecer una política específica para gestionar y proteger datos confidenciales. A fin de mantener el cumplimiento, las empresas pueden considerar la realización de revisiones periódicas y actualizaciones de cualquier política creada para este propósito.

• Evalúa a los proveedores de servicios en la nube. El almacenamiento en la nube ofrece ventajas significativas con respecto a los centros de datos locales, como velocidad, costo y escalabilidad. Sin embargo, cualquier organización que procese datos de usuario debe saber dónde tiene lugar la recopilación de datos. Dado que, en teoría, los proveedores de la nube podrían prestar servicios a organizaciones de todo el mundo, corresponde a las organizaciones investigar a sus proveedores y asegurarse de que existen las opciones de residencia de datos adecuadas para el cumplimiento regional.

Un aspecto crítico y coherente de las mejores prácticas enumeradas anteriormente es la necesidad de mantenerse al día sobre las leyes y regulaciones regionales. El cumplimiento es un proceso dinámico y continuo, con nuevas tecnologías emergentes y orientación en constante evolución, a veces muy rápidamente. Incluso una vez que una organización ha establecido sus principios de soberanía de datos, la validación y el cumplimiento continuos dependen de comprobaciones periódicas en todas las regiones y jurisdicciones pertinentes.

Aborda los requisitos de soberanía con Oracle Sovereign Cloud

Para ayudar a las organizaciones a abordar los muy diversos requisitos de soberanía de datos, Oracle ofrece una colección de soluciones de soberanía de Oracle Cloud Infrastructure (OCI), modelos de implementación diseñados para ayudar a abordar necesidades comerciales y gubernamentales específicas con todas las funciones de OCI. Estas ofertas respaldan el control del cliente sobre las acreditaciones de residencia, acceso y cumplimiento de datos para sus organizaciones. Además, las Regiones de Seguridad Nacional de Oracle ayudan a proporcionar redes gubernamentales seguras para cargas de trabajo altamente clasificadas y sensibles, mientras que Oracle EU Sovereign Cloud puede proporcionar servicios de nube pública, precios y programas acordes con las necesidades de cumplimiento de la UE.

Preguntas frecuentes sobre la soberanía de datos

¿Qué se entiende por soberanía de datos?

La soberanía de datos se refiere al concepto de que las leyes de datos de una jurisdicción específica se aplican a los datos almacenados y generados dentro de sus fronteras. Por lo tanto, los datos personales de un usuario dentro de un país específico están sujetos a las leyes de ese país. Del mismo modo, si un proveedor de servicios en la nube almacena datos dentro de una jurisdicción diferente a la de su cliente, se pueden aplicar varias regulaciones a la situación. En la mayoría de los casos, la responsabilidad de desenmarañar y cumplir estas normativas recae en la organización que adquiere los datos y paga al proveedor de la nube por los servicios, como una empresa tecnológica con una aplicación para smartphone.

¿Cuál es un ejemplo que incluye los principios de soberanía de datos?

Uno de los ejemplos más conocidos de incluir los principios de soberanía de datos es el RGPD de la UE. Concebido en 2016 y activo desde 2018, se aplica a los ciudadanos de la UE, imponiendo normas sobre la privacidad de datos personales, la recopilación, la protección de datos y el uso de datos en la automatización. El RGPD es a menudo citado como la ley de privacidad de datos más influyente en la existencia.

¿Por qué es importante la soberanía de datos?

En la era de los diskettes, la soberanía de datos no se discutió mucho debido a la capacidad limitada de transferirlos. Sin embargo, a medida que la conectividad y los dispositivos IoT han crecido en capacidad, los datos se generan constantemente en todas partes y también se transmiten a través de las fronteras. La soberanía de datos es importante porque ayuda a determinar lo que las empresas están autorizadas a hacer con los mismos, especialmente los datos personales recopilados a través de las redes sociales o los datos financieros recopilados a través de aplicaciones bancarias. Además, cada dispositivo o sitio web puede presentar un riesgo potencial para la privacidad debido a los hackers, lo que plantea cuestiones sobre quién debe ser responsable de la privacidad y la seguridad. Las iniciativas de soberanía de datos ayudan a establecer directrices, restricciones y responsabilidades claras para las empresas que recopilan, procesan y almacenan datos.

¿Qué es la soberanía de datos en Estados Unidos?

Estados Unidos no tiene una sola ley de soberanía de datos para sus ciudadanos. La Comisión Federal de Comercio tiene la autoridad para investigar y procesar a las organizaciones que no cumplen con las políticas de privacidad. A nivel estatal, la CCPA de California cubre muchas de las mismas áreas que el RGPD de la UE, lo que es especialmente importante dada la contribución sustancial del estado a la economía general de la nación, especialmente al sector tecnológico. Otros estados como Oregon, Colorado y Virginia también tienen leyes de privacidad de datos, con más estados introduciendo proyectos de ley de alcance variable en los últimos años. En relación con esto, muchas cuestiones previas al RGPD relativas a la privacidad y la ética de los datos se plantearon con la introducción de la Ley USA PATRIOT de 2001. Debe tenerse en cuenta que la Ley CLOUD de 2018 está relacionada con la soberanía de datos. Sin embargo, esa ley se centra en los proveedores de servicios en la nube y su responsabilidad respecto a los datos en caso de que las fuerzas de seguridad presenten órdenes judiciales o citaciones.