La data so­ve­rei­g­n­ty describe la capacidad de di­s­po­si­ción de los datos y, como concepto general, designa las distintas facetas re­la­cio­na­das con el pro­ce­sa­mie­n­to de los datos digitales, entre las que se en­cue­n­tran la pro­te­c­ción, el cifrado, la tra­n­s­mi­sión y el al­ma­ce­na­mie­n­to de ellos. Quien almacene datos en la nube o recurra a servicios in­fo­r­má­ti­cos de pro­vee­do­res externos, ha de proteger co­rre­c­ta­me­n­te los datos y conocer la normativa legal re­gu­la­do­ra. ¿Qué ventajas tiene la data so­ve­rei­g­n­ty y cómo puedes proteger la tuya?

¿Qué es la data so­ve­rei­g­n­ty?

La soberanía de datos, o data so­ve­rei­g­n­ty en inglés, es un concepto legal que describe las líneas legales que afectan a los datos. Asimismo, la data so­ve­rei­g­n­ty está es­tre­cha­me­n­te vinculada con la pro­te­c­ción de datos, el cloud computing y la soberanía te­c­no­ló­gi­ca. La le­gi­s­la­ción de data so­ve­rei­g­n­ty establece normas para regular la capacidad de los gobiernos y las empresas para disponer de los datos digitales de los usuarios y las empresas. La data so­ve­rei­g­n­ty responde, más co­n­cre­ta­me­n­te, a las si­guie­n­tes preguntas:

  • ¿A quién pe­r­te­ne­cen los datos?
  • ¿Quién puede almacenar los datos?
  • ¿Cómo pueden al­ma­ce­nar­se los datos?
  • ¿Cómo pueden uti­li­zar­se los datos?
  • ¿Cómo pueden pro­te­ge­r­se los datos?
  • ¿Qué sucede con el abuso de los datos?
Hecho

La de­fi­ni­ción de propiedad de datos no queda en absoluto clara en los tiempos que corren de ci­ber­ata­ques or­ga­ni­za­dos, mi­cro­ta­r­ge­ti­ng, pu­bli­ci­dad dirigida y gigantes te­c­no­ló­gi­cos como Google, Apple, Facebook y Tencent. Tanto los usuarios privados como las empresas que utilizan servicios en la nube y se­r­vi­do­res externos muchas veces no saben que sus datos al­ma­ce­na­dos ex­te­r­na­me­n­te no les pe­r­te­ne­cen solo a ellos. Aquí entra en juego la soberanía de los datos.

Cada vez más empresas medianas y pequeñas saben valorar el cloud computing, es decir, el al­ma­ce­na­mie­n­to de los datos y te­c­no­lo­gía de la empresa en se­r­vi­do­res externos, por lo que hay que co­n­si­de­rar lo im­po­r­ta­n­te que es la soberanía de datos. La cuestión de la data so­ve­rei­g­n­ty debe quedar pa­r­ti­cu­la­r­me­n­te clara, sobre todo cuando los se­r­vi­do­res están en países cuyos es­tá­n­da­res de pro­te­c­ción de datos no incluyen las normas europeas.

Data so­ve­rei­g­n­ty y la nube

Las ventajas del cloud computing son pe­r­fe­c­ta­me­n­te conocidas. No obstante, desde que los datos sensibles no se almacenen dentro de la empresa, sino en se­r­vi­do­res externos y po­si­ble­me­n­te en otros países, surgen preguntas sobre la pro­te­c­ción y propiedad de los datos.

A no ser que se regule lo contrario por contrato, existe el riesgo de que los pro­vee­do­res de terceros analicen y vendan los datos. No obstante, las empresas que procesan datos pe­r­so­na­les en la Unión Europea están obligadas a ga­ra­n­ti­zar la mayor seguridad de datos. Por eso, es necesaria una pro­te­c­ción de datos de­mo­s­tra­ble y unas normas de cu­m­pli­mie­n­to modernas, tanto para empresas que ex­te­r­na­li­cen sus servicios in­fo­r­má­ti­cos como para las que ofrecen estos servicios. Si una empresa pierde o descuida la soberanía de los datos de una empresa o un cliente, puede que tenga que hacer frente a graves co­n­se­cue­n­cias legales.

Data so­ve­rei­g­n­ty y los tres estados de los datos

En Internet, en las redes de la empresa y en la nube, los datos pueden pasar por los tres estados si­guie­n­tes:

  • Data in use: datos que están uti­li­zá­n­do­se
  • Data in motion: datos que están tra­n­s­mi­tié­n­do­se
  • Data at rest: datos que están al­ma­ce­na­dos lo­ca­l­me­n­te o en la nube

Antes de que aumentara la di­gi­ta­li­za­ción, la data so­ve­rei­g­n­ty se trataba sobre todo en relación con los “data at rest”, es decir, los datos al­ma­ce­na­dos. Sin embargo, hoy pre­va­le­cen otros es­tá­n­da­res: la seguridad de datos, el archivado de do­cu­me­n­tos a prueba de au­di­to­rías y la soberanía de datos se aplican in­de­pe­n­die­n­te­me­n­te del lugar de al­ma­ce­na­mie­n­to, sobre todo cuando pro­vee­do­res externos procesan los datos de las empresas. Las empresas deben proteger su data so­ve­rei­g­n­ty en los tres estados. Este elevado nivel de pro­te­c­ción de datos puede co­n­se­gui­r­se con un software de cifrado que garantice que solo las empresas clientes puedan descifrar datos co­n­fi­de­n­cia­les en­cri­p­ta­dos.

Hosting Nextcloud ad­mi­ni­s­tra­do
Tu al­ma­ce­na­mie­n­to cloud bajo control
  • Control total de datos
  • Fácil de ad­mi­ni­s­trar
  • Agrega fá­ci­l­me­n­te apli­ca­cio­nes y he­rra­mie­n­tas de co­la­bo­ra­ción

¿Qué implica la soberanía de datos para las empresas?

En tiempos de di­gi­ta­li­za­ción, las empresas del sector público y de la economía de libre mercado han de prestar atención a dos reglas básicas para ga­ra­n­ti­zar la seguridad de datos:

  1. La in­frae­s­tru­c­tu­ra in­fo­r­má­ti­ca debe ser siempre segura, flexible y moderna.
  2. La soberanía de los datos de clientes, usuarios y empresas debe estar ga­ra­n­ti­za­da.

Solo con las pre­cau­cio­nes de seguridad y normas co­n­tra­c­tua­les co­rre­s­po­n­die­n­tes, las empresas podrán proteger los secretos de empresa y procesar datos re­s­pe­ta­n­do las leyes de pro­te­c­ción de datos de la Unión Europea. Las empresas deben saber siempre cómo tratan los datos los pro­vee­do­res de servicios terceros y qué derechos de usuario tienen. Como en el ámbito de la soberanía de los datos también hay im­pre­ci­sio­nes legales y zonas grises, debería regularse por contrato qué ocurre con los datos y cómo se almacenan, procesan y tra­n­s­fie­ren.

Un breve ejemplo:

Si una empresa de pro­du­c­ción quiere aumentar su propio re­n­di­mie­n­to, puede recurrir a la nube y los servicios web de un Managed Service Provider. Este proveedor podría, mediante un análisis de datos, realizar pre­vi­sio­nes sobre las tareas de ma­n­te­ni­mie­n­to y de­te­r­mi­nar el potencial de op­ti­mi­za­ción de la empresa.

Aunque en este caso la empresa co­n­tra­ta­da deba tener la soberanía de los datos, no implica que obli­ga­to­ria­me­n­te deba tener también acceso a los análisis completos de la empresa co­n­tra­ta­n­te. Si no se es­pe­ci­fi­ca nada más por contrato, parte de los datos podrían re­uti­li­zar­se o venderse a terceros. Aquí, la falta de data so­ve­rei­g­n­ty implica un riesgo de seguridad y una de­s­ve­n­ta­ja co­m­pe­ti­ti­va para las empresas.

¿Qué marcos legales de apli­ca­ción regulan la data so­ve­rei­g­n­ty?

Tanto para pequeñas tiendas en línea como para grandes empresas de fa­bri­ca­ción en red, la eva­lua­ción de datos de clientes y empresas es im­po­r­ta­n­te para adaptar la pro­du­c­ción y pre­s­ta­ción de servicios a las ex­pe­c­ta­ti­vas y co­m­po­r­ta­mie­n­to de los clientes. Hoy día es prá­c­ti­ca­me­n­te imposible cerrar he­r­mé­ti­ca­me­n­te los datos para evitar el acceso de terceros, por lo que hacen falta marcos legales. Junto con los acuerdos co­n­tra­c­tua­les in­di­vi­dua­les entre cliente y proveedor, ac­tua­l­me­n­te las no­r­ma­ti­vas de pro­te­c­ción de datos na­cio­na­les e in­te­r­na­cio­na­les como el RGPD y la Ley Orgánica de Pro­te­c­ción de Datos son di­re­c­tri­ces decisivas en materia de soberanía de los datos.

Como co­m­pa­ra­ti­va: en Estados Unidos no existe una ley general de pro­te­c­ción de datos que es­ta­ble­z­ca las di­re­c­tri­ces básicas para la pro­te­c­ción de datos pe­r­so­na­les. Mientras que en la Unión Europea existen normas es­pe­cí­fi­cas de pro­te­c­ción de datos para las empresas, en suelo americano esto depende de la voluntad de las empresas. Además, las au­to­ri­da­des es­ta­dou­ni­de­n­ses tienen una amplia capacidad de di­s­po­si­ción de los datos. Si una empresa española o europea recurre a los servicios de pro­vee­do­res de al­ma­ce­na­mie­n­to en la nube o pro­vee­do­res web ame­ri­ca­nos, pueden generarse vacíos en la pro­te­c­ción de los datos.

¿Qué hay que tener en cuenta para ejercer la soberanía de los datos?

Según el RGPD, las empresas que procesen datos pe­r­so­na­les, “aplicarán medidas técnicas y or­ga­ni­za­ti­vas apro­pia­das para ga­ra­n­ti­zar un nivel de seguridad adecuado al riesgo”. La pro­te­c­ción y la soberanía de los datos son tareas complejas para las empresas. El equi­li­brio entre la pro­te­c­ción de los datos de la empresa, los datos pe­r­so­na­les y ocupar una fuerte posición en el mercado puede ser pa­r­ti­cu­la­r­me­n­te difícil de conseguir.

Dado que el RGPD se centra en los datos pe­r­so­na­les, las empresas han de ase­gu­rar­se de que los usuarios son in­fo­r­ma­dos del pro­ce­sa­mie­n­to posterior de sus datos pe­r­so­na­les y de que prestan su co­n­se­n­ti­mie­n­to. Al mismo tiempo, el análisis de los datos de usuario es un factor de éxito decisivo para las empresas digitales.

Para unificar la data so­ve­rei­g­n­ty, la pro­te­c­ción de datos y el éxito de la empresa, es re­co­me­n­da­ble contratar a expertos en pro­te­c­ción de datos que se encarguen de la soberanía de los datos de la empresa. Además, debe aclararse en cada caso qué di­re­c­tri­ces de pro­te­c­ción y uti­li­za­ción de datos tienen las empresas terceras y empresas asociadas. Tampoco podemos olvidar la política de pri­va­ci­dad que informa de manera tra­n­s­pa­re­n­te sobre las medidas uti­li­za­das para el tra­ta­mie­n­to seguro de los datos. Las medidas técnicas y or­ga­ni­za­ti­vas ese­n­cia­les que en este caso deben observar las empresas son:

  • Seu­do­ni­mi­za­ción y cifrado de los datos
  • Co­n­fi­de­n­cia­li­dad e in­te­gri­dad del sistema
  • Re­si­s­te­n­cia técnica de los sistemas
  • Re­s­tau­ra­ción y di­s­po­ni­bi­li­dad de los datos tras fallos técnicos
  • Co­m­pro­ba­ción, va­lo­ra­ción y eva­lua­ción periódica de las medidas de seguridad
  • Cu­m­pli­mie­n­to e in­co­r­po­ra­ción de las medidas de pro­te­c­ción de datos por parte de los empleados
Private Cloud powered by VMware
Pago por uso y el más alto nivel de seguridad de los datos.

Bajo la división Arsys Cloud Solutions, diseñamos So­lu­cio­nes a tu medida.

Pe­r­s­pe­c­ti­va de la data so­ve­rei­g­n­ty en España y Europa

La ini­cia­ti­va europea para una in­frae­s­tru­c­tu­ra de datos altamente segura, adecuada para el mercado y que proteja los datos en Europa se llama Gaia-X. Gaia‑X nace como co­n­tra­pro­ye­c­to a las inade­cua­das re­gu­la­cio­nes de pro­te­c­ción de datos de países no europeos, es­pe­cia­l­me­n­te a la US CLOUD Act. Las au­to­ri­da­des es­ta­dou­ni­de­n­ses pueden acceder a los datos le­ga­l­me­n­te y sin au­to­ri­za­ción judicial siempre que estos se en­cue­n­tren en se­r­vi­do­res sujetos a la US CLOUD Act. Esto también incluye a pro­vee­do­res ame­ri­ca­nos ge­s­tio­na­dos en centros in­fo­r­má­ti­cos europeos.

Con socios como IONOS Cloud, Gaia‑X está de­sa­rro­lla­n­do una in­frae­s­tru­c­tu­ra de datos que servirá de al­te­r­na­ti­va europea al Cloud Computing con Amazon Web Services, IBM, Google, Alibaba o Microsoft Azure. Así, las empresas podrán procesar los datos de manera altamente segura en centros in­fo­r­má­ti­cos in­traeu­ro­peos, disfrutar de una elevada seguridad y soberanía de los datos y evitar el vertido de los datos de personas y empresas hacia actores ex­traeu­ro­peos.

Parte de la in­frae­s­tru­c­tu­ra serán nodos de red y centros de datos tra­n­s­pa­re­n­tes y de libre elección, cuyos atributos, ca­pa­ci­da­des y re­qui­si­tos se co­mu­ni­ca­rán con claridad. Los clientes deben poder cambiar fá­ci­l­me­n­te de proveedor sin depender de los vendor lock‑in y de la nube de pro­vee­do­res web y de Managed Service Providers.

Ir al menú principal