Superar los desafíos de la soberanía de datos
Cumplimiento sin limitar tu negocio global
Las leyes sobre la soberanía de los datos son uno de los principales problemas para los responsables informáticos, de privacidad, de cumplimiento y de seguridad. Más de 100 países han promulgado leyes destinadas a proteger la privacidad de la información personal de sus ciudadanos, y eso es bueno. Sin embargo, el cumplimiento de estas leyes puede plantear importantes desafíos a las empresas globales.
El término "soberanía de los datos" ha tenido diversos significados. A menudo se refiere al derecho de un grupo o de una persona a controlar y mantener sus propios datos. En los últimos años, el término se ha utilizado más específicamente para referirse a la idea de que los datos recopilados o almacenados en una ubicación geográfica específica (p. ej. un país concreto) deben estar sujetos a las leyes de ese lugar. Tanto si las personas introducen datos de su tarjeta de crédito en un sitio web de comercio electrónico como si publican comentarios en una plataforma de redes sociales, las leyes sobre la soberanía de los datos ayudan a garantizar que estos datos de los usuarios estén regulados por el gobierno del estado del que esos usuarios son ciudadanos.
Muchas jurisdicciones también han promulgado leyes de protección de datos que regulan las condiciones en las que los datos generados dentro de las fronteras de una jurisdicción pueden transferirse a otros países. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la UE solo permite las transferencias transfronterizas de datos a otras jurisdicciones si se han establecido determinados mecanismos de transferencia, como el nuevo Marco de Protección de Datos UE-EE. UU. Sin embargo, otras jurisdicciones, como Rusia, han promulgado leyes de localización de datos que obligan, en determinadas circunstancias, a que los datos generados dentro de las fronteras de su país permanezcan dentro de ellas.
El impulso de las leyes sobre soberanía y localización de los datos ha aumentado considerablemente en la última década, a medida que las empresas globales han ido recopilando cada vez más datos personales. A los gobiernos les preocupa cada vez más que los gobiernos de otros países puedan acceder a los datos de sus ciudadanos. Los gobiernos que intentan proteger los datos no quieren que sus adversarios (y a veces ni siquiera sus aliados) accedan a la información sobre sus ciudadanos o la controlen.
La aplicación TikTok llevó a que la opinión pública en general se sensibilizara acerca de cuestiones como la soberanía, la localización y la privacidad de los datos. A los legisladores estadounidenses les preocupa que el gobierno chino pueda acceder a los datos de millones de usuarios estadounidenses de TikTok sin su conocimiento. Están preocupados porque la empresa matriz de TikTok, ByteDance Ltd., tiene su sede en China, y la legislación china puede exigir a las empresas que entreguen sus datos. Como algunos legisladores amenazaron con prohibir la aplicación, ByteDance tuvo que prometer que almacenaría los datos de los clientes estadounidenses en Estados Unidos.
Puede que el alcance operativo de tu empresa no sea tan grande como el de TikTok, que tiene más de 1000 millones de usuarios en todo el mundo. Sin embargo, las leyes sobre la soberanía de datos y el impulso para una mayor localización de los datos podrían seguir teniendo una gran repercusión en tu negocio.
Afrontar los desafíos de la soberanía de los datos
La soberanía de los datos plantea importantes desafíos a cualquier empresa que quiera hacer negocios a escala mundial. Si tu empresa tiene su sede en Francia, pero decides vender tus productos tanto en Canadá como en Argentina, puede que tengas que encontrar la forma de mantener los datos de los clientes canadienses y argentinos en sus respectivos países debido a obligaciones legales, directrices del sector o normas de certificación.
Cuanto más se expanda tu negocio, probablemente más requisitos en materia de soberanía de datos te encontrarás. Puede que tengas que identificar formas de procesar y almacenar tus datos en jurisdicciones específicas o hacer frente a importantes costes de transacción para permitir las transferencias transfronterizas de datos.
Estos desafíos son especialmente difíciles de resolver para las pequeñas empresas. Una startup, por ejemplo, puede no tener los recursos para mantener los datos de los clientes en cada uno de los países en los que esa empresa quiere hacer negocios. Los responsables de la startup podrían tener que tomar decisiones difíciles sobre la expansión global si se requiere la localización de los datos y la empresa no puede permitirse establecer almacenes de datos en múltiples países de todo el mundo.
Las empresas globales no solo tienen que pensar en cómo cumplir los requisitos para la transferencia y la localización de datos. También tienen que comprender los desafíos que la soberanía y la localización de datos pueden presentar para la toma de decisiones basada en datos. Puede que quieras analizar los datos agregados para tomar decisiones empresariales clave. Sin embargo, cuando tus datos están distribuidos en varios países, es posible que no puedas centralizarlos fácilmente y realizar análisis integrales.
Me encontré con este desafío cuando ocupaba un puesto como director de seguridad de la información de una gran empresa global. Llevábamos a cabo actividades empresariales en decenas de países y necesitábamos mantener los datos en muchos de ellos por razones de cumplimiento. Sin embargo, al mismo tiempo, necesitábamos tomar decisiones acerca del fraude y el blanqueo de dinero, que requieren una visión agregada de los datos.
Para que fuera posible la agregación de datos sin dejar de cumplir las leyes sobre la soberanía de los datos, desarrollamos reglas relativas al acceso a los datos y creamos un entorno de control a fin de garantizar el cumplimiento de las reglas sobre el almacenamiento a los datos y el acceso a ellos. Lo llamamos nuestro programa de gobernanza de "visado de datos". Desarrollamos un conjunto de estrictos controles de seguridad, acceso y datos con supervisión ininterrumpida, a fin de garantizar que no se produjeran infracciones. Era casi como una red confidencial o de alto nivel del gobierno: teníamos redes muy seguras de las que los datos no podían salir. Luego presentamos ese programa a los legisladores del país, explicándoles que ese enfoque era fundamental para que pudiéramos seguir llevando a cabo nuestras actividades empresariales. Recibimos las aprobaciones gubernamentales necesarias para seguir adelante con este enfoque de la gestión de datos. Sin embargo, la mayoría de las empresas más pequeñas no tienen tanta influencia en los gobiernos ni la capacidad de desarrollar internamente programas innovadores de gobernanza de datos.
Cumplir la normativa al mismo tiempo que se controlan los costes y la complejidad
¿Cómo pueden las empresas globales cumplir con los requisitos de soberanía y localización de datos sin establecer sus propios centros de datos en varios países? La nube puede parecer una respuesta obvia. Pero deberás buscar más allá de los típicos proveedores de nube pública. Esas empresas se basaban en un modelo centralizado de almacenamiento de datos. Sí, muchos proveedores de nube tienen varios centros de datos regionales en todo el mundo, pero puede que no tengan sedes en todos los lugares donde tu empresa hace negocios.
Para satisfacer los requisitos de soberanía y de localización de datos, es esencial trabajar con empresas tecnológicas que te permitan almacenar y procesar los datos en todos los lugares donde tengas clientes. También necesitarás flexibilidad para elegir dónde almacenar los datos, desencriptarlos, guardar las claves de encriptación, realizar inspecciones de los datos y mantener registros para garantizar que tu entorno de control se ajusta a las obligaciones legales de soberanía de datos.
Dependiendo de tus obligaciones legales, puede que necesites almacenar los datos en una jurisdicción específica, al tiempo que mantienes la capacidad de agregar los datos para su análisis fuera de esa jurisdicción. También puede que tengas la obligación legal de que los datos nunca puedan ser accesibles en una tercera jurisdicción. En vista de la gran complejidad de las obligaciones legales, también querrás considerar cómo configuras el control de acceso a esos datos.
El cumplimiento con las leyes de soberanía y localización de datos también podría obligarte a replantearte el desarrollo y la ejecución de las aplicaciones. Por ejemplo, crear aplicaciones sin servidor y ejecutarlas en regiones geográficas específicas puede ayudarte a garantizar que los datos que utilice la aplicación permanezcan donde deben. Este enfoque también puede mejorar la experiencia del usuario, ya que las aplicaciones se ejecutarán físicamente más cerca de la ubicación de los usuarios.
También será imprescindible establecer políticas de seguridad coherentes en todos tus almacenes de datos. La coherencia te ayudará a garantizar que no haya eslabones débiles en tu red global, y te permitirá evitar la complejidad de gestionar numerosos entornos distintos con múltiples herramientas.
Avanzar sin restricciones
Si aún no has reflexionado acerca de la soberanía de los datos, ha llegado el momento de que empieces a planificar. En un futuro próximo, es probable que te enfrentes a un número creciente de leyes que te obliguen a almacenar y procesar los datos dentro de determinadas fronteras geográficas. Si tu empresa se está expandiendo por todo el mundo, es posible que te encuentres que ya se aplican distintos requisitos de soberanía y localización de datos.
La buena noticia es que cumplir los requisitos de soberanía y de localización de datos no tiene por qué significar crear nuevos centros de datos o frenar tus planes de expansión. Con la estrategia adecuada, puedes almacenar y procesar los datos de forma segura en cada uno de los países en los que lleves a cabo tus actividades empresariales (y seguir accediendo a esos datos de forma centralizada para el análisis y la toma de decisiones) sin añadir un exceso de costes o de complejidad.
Descubre cómo Cloudflare ayuda a las empresas a cumplir con la normativa sobre la soberanía y la localización de datos con Data Localization Suite de Cloudflare.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Autor
Grant Bourzikas - @grantbourzikas
Director de seguridad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Los desafíos que plantea la soberanía de los datos a las empresas mundiales
Cómo puede tu empresa cumplir las leyes sin restringir tus actividades empresariales
Qué deberías buscar en tus socios tecnológicos para simplificar la soberanía de los datos
Recursos relacionados: