Soberanía de datos: concepto, retos y buenas prácticas

La soberanía de datos es un concepto que resulta de un punto de unión que encuentran las legislaciones y la tecnología. Leyes como el Reglamento General de Protección de Datos (RGPD) de la UE y otras regulaciones buscan preservar la privacidad de los datos y la seguridad de la información. Aspecto que también abordan estándares como ISO 42001 en el marco de las organizaciones.

La soberanía de datos ofrece un nuevo enfoque que responde a la creciente preocupación de los estados. Esa preocupación está asociada a la vulnerabilidad que puede adquirir la información a causa de una falta de control sobre los datos que son procesados en los diferentes países.

Qué es la soberanía de datos

La soberanía de datos es el derecho que reclaman los estados para controlar, gobernar y gestionar los datos que se generan dentro de los límites que marcan sus fronteras. Se incluyen los procesos y los instrumentos que se utilizan para recopilar, procesar, almacenar y transmitir esos datos.

Sobre el papel, la soberanía de datos está justificada por una ley, resultado de una demostración de gobernanza, que trata de ejercer un control tecnológico. La puesta en práctica no es tan fácil. El primer desafío lo plantea es la inmensa, y aparentemente incontrolable, diversidad de fuentes de datos: tiendas virtuales, asistentes controlados por IA, redes sociales, aplicaciones en dispositivos móviles, etc.

A esta realidad se suma un agravante: algunos de esos datos pueden implicar compromiso para la seguridad de las naciones o estar asociados a actividades delictivas. Una de las formas en las que los estados ejercen la soberanía de los datos es promulgando normas como RGPD o la Ley de Ciberresiliencia de la UE.

Si bien la soberanía de datos representa un gran avance en el propósito de garantizar la seguridad, confidencialidad e integridad de la información privada, ha generado algunos conflictos entre países, atribuidos a vacíos en las respectivas legislaciones.

Existen datos que se comparten entre naciones, en virtud de acuerdos de cooperación comercial o judicial. En ese escenario, algunas naciones exigen que el procesamiento y almacenamiento se restrinja a sus fronteras, exigencia que no es siempre bien recibida en otras latitudes.

Por qué es importante la soberanía de datos

La soberanía de datos es fundamental porque representa la autonomía de los gobiernos sobre su información y la de sus ciudadanos y empresas. En el mundo digital, este concepto adquiere especial relevancia por motivos muy diferentes:

1. Garantiza los derechos de las personas a controlar su información

La soberanía de datos entrega argumentos legales para que las personas sean dueñas de sus datos y exijan privacidad y almacenamiento seguro para evitar el uso abusivo y no permitido de su información personal por parte de empresas u organismos gubernamentales.

2. Protege la seguridad de los estados

La soberanía de datos permite a los estados restringir la transmisión o el acceso a datos que pueden comprometer la seguridad. Esto incluye la creación de barreras para impedir el acceso no permitido por parte de entidades públicas o privadas de otras naciones, pero también de organizaciones criminales o terroristas extranjeras.

3. Evita que las organizaciones sean sancionadas

Al operar en un entorno altamente regulado, en cuanto a privacidad de datos y de información, las organizaciones limitan su exposición a sanciones o descalificaciones desde otros estados. Las restricciones de acceso a los datos generan confianza entre los consumidores, que entienden que la empresa opera en un país en el que se toman en serio la privacidad de los datos. El cumplimiento legal en materia de seguridad de la información tiene gran impacto a la hora de buscar mercados en otras latitudes.

4. Las empresas locales de servicios tecnológicos se vuelven indispensables

El concepto de soberanía de datos permite a los estados implementar normas para que ciertos tipos de datos se almacenen y procesen únicamente dentro de su jurisdicción. De esta forma, se reduce la dependencia de proveedores extranjeros de almacenamiento de datos, se reducen los riesgos asociados a las transferencias transfronterizas de datos y se favorece a los proveedores locales.

Cuál es la diferencia entre soberanía de datos y residencia de datos

La soberanía de datos proporciona a los estados la capacidad para controlar, gestionar, almacenar y restringir el acceso y transmisión fuera de sus fronteras de sus datos, los de sus empresas y los de sus ciudadanos. Es un concepto vinculado y asociado a una ley, una directiva o cualquier otro tipo de regulación.

Por su parte, la residencia de datos hace referencia a la real ubicación geográfica y tiene implicaciones comerciales. Este es uno de los criterios que utilizan los gobiernos para establecer si hay derecho o no a soberanía, pero no es el único.

El reto es que, en un mundo globalizado, es poco probable que los datos se recopilen en el mismo país en el que se procesan y que todos ellos pertenezcan a los naturales de ese país. El asunto se torna más confuso cuando se habla de almacenamiento en la nube o de aplicaciones SaaS, que recogen datos en cualquier lugar del mundo en donde hay acceso a internet.

• La soberanía de datos se refiere a la jurisdicción o a la autoridad para controlar, gestionar y restringir. La residencia, a la ubicación geográfica real.
• La soberanía permite a los gobiernos crear regulaciones, expedir leyes o exigir requisitos regulatorios y es un importante punto de consideración a la hora de firmar convenios o acuerdos con otras naciones, especialmente si involucran la transmisión o el compromiso para compartir datos.
• La residencia sirve para determinar las obligaciones de cumplimiento y para establecer si hay derecho o no a soberanía, siendo este uno entre varios criterios para considerar.

Cómo poner en práctica la soberanía de datos

La soberanía de datos es, en primera instancia, un concepto difuso en tanto no se ejerza como derecho. Los estados lo hacen creando un marco regulatorio que proteja sus datos. Las organizaciones también pueden poner en práctica algunas estrategias:

• Implementar un marco de gobernanza de datos que incorpore políticas, procedimientos y controles, siendo recomendable adoptar un estándar de gestión reconocido, como ISO 27001 o ISO 42001.
• Evaluar el impacto del marco regulatorio sobre datos en las operaciones comerciales de la organización o en la posibilidad de incurrir en una infracción o en el incumplimiento de una obligación regulatoria.
• Diseñar e implementar controles para establecer el origen de todos los datos, para identificar las obligaciones de cumplimiento propias de cada país, establecer en qué casos aplica la soberanía y, en los casos en los que sea necesario, acudir a servicios de almacenamiento en la nube con empresas que dispongan de centros de almacenamiento en diferentes regiones del planeta.
• Proteger la información utilizando controles como los que se obtienen con la implementación de ISO 42001 o ISO 27001, entre los que se incluye el cifrado y los controles de acceso, entre los más populares.
• Establecer relaciones colaborativas con los equipos de cumplimiento de TI y de IA en las empresas en las que exista tal departamento y con asesores externos para obtener información confiable sobre cumplimiento, sobre regulaciones y sobre la posibilidad de vulneración de un derecho de soberanía.

Software ISO 42001

Dentro de las herramientas que pueden contribuir a la seguridad de los datos y de la información, el Software ISO 42001 tiene la característica diferenciadora de que ayuda a las organizaciones a gestionar los riesgos asociados al uso de sistemas de Inteligencia Artificial.

Esta plataforma es un producto de la Inteligencia Artificial, diseñado para apoyar la gestión automatizada de los sistemas de IA que, sin embargo, también tiene la capacidad para asegurar la privacidad, integridad, e incorruptibilidad de los datos y de la información de tu empresa y de tus terceros. Contacta con nuestros expertos para más información.