Data Sovereignty

La data sovereignty describe la capacidad de disposición de los datos y, como concepto general, designa las distintas facetas relacionadas con el procesamiento de los datos digitales, entre las que se encuentran la protección, el cifrado, la transmisión y el almacenamiento de ellos. Quien almacene datos en la nube o recurra a servicios informáticos de proveedores externos, ha de proteger correctamente los datos y conocer la normativa legal reguladora. ¿Qué ventajas tiene la data sovereignty y cómo puedes proteger la tuya?

La soberanía de datos, o data sovereignty en inglés, es un concepto legal que describe las líneas legales que afectan a los datos. Asimismo, la data sovereignty está estrechamente vinculada con la protección de datos, el cloud computing y la soberanía tecnológica. La legislación de data sovereignty establece normas para regular la capacidad de los gobiernos y las empresas para disponer de los datos digitales de los usuarios y las empresas. La data sovereignty responde, más concretamente, a las siguientes preguntas:

• ¿A quién pertenecen los datos?
• ¿Quién puede almacenar los datos?
• ¿Cómo pueden almacenarse los datos?
• ¿Cómo pueden utilizarse los datos?
• ¿Cómo pueden protegerse los datos?
• ¿Qué sucede con el abuso de los datos?

Cada vez más empresas medianas y pequeñas saben valorar el cloud computing, es decir, el almacenamiento de los datos y tecnología de la empresa en servidores externos, por lo que hay que considerar lo importante que es la soberanía de datos. La cuestión de la data sovereignty debe quedar particularmente clara, sobre todo cuando los servidores están en países cuyos estándares de protección de datos no incluyen las normas europeas.

Las ventajas del cloud computing son perfectamente conocidas. No obstante, desde que los datos sensibles no se almacenen dentro de la empresa, sino en servidores externos y posiblemente en otros países, surgen preguntas sobre la protección y propiedad de los datos.

A no ser que se regule lo contrario por contrato, existe el riesgo de que los proveedores de terceros analicen y vendan los datos. No obstante, las empresas que procesan datos personales en la Unión Europea están obligadas a garantizar la mayor seguridad de datos. Por eso, es necesaria una protección de datos demostrable y unas normas de cumplimiento modernas, tanto para empresas que externalicen sus servicios informáticos como para las que ofrecen estos servicios. Si una empresa pierde o descuida la soberanía de los datos de una empresa o un cliente, puede que tenga que hacer frente a graves consecuencias legales.

En Internet, en las redes de la empresa y en la nube, los datos pueden pasar por los tres estados siguientes:

• Data in use: datos que están utilizándose
• Data in motion: datos que están transmitiéndose
• Data at rest: datos que están almacenados localmente o en la nube

Antes de que aumentara la digitalización, la data sovereignty se trataba sobre todo en relación con los “data at rest”, es decir, los datos almacenados. Sin embargo, hoy prevalecen otros estándares: la seguridad de datos, el archivado de documentos a prueba de auditorías y la soberanía de datos se aplican independientemente del lugar de almacenamiento, sobre todo cuando proveedores externos procesan los datos de las empresas. Las empresas deben proteger su data sovereignty en los tres estados. Este elevado nivel de protección de datos puede conseguirse con un software de cifrado que garantice que solo las empresas clientes puedan descifrar datos confidenciales encriptados.

En tiempos de digitalización, las empresas del sector público y de la economía de libre mercado han de prestar atención a dos reglas básicas para garantizar la seguridad de datos:

1. La infraestructura informática debe ser siempre segura, flexible y moderna.
2. La soberanía de los datos de clientes, usuarios y empresas debe estar garantizada.

Solo con las precauciones de seguridad y normas contractuales correspondientes, las empresas podrán proteger los secretos de empresa y procesar datos respetando las leyes de protección de datos de la Unión Europea. Las empresas deben saber siempre cómo tratan los datos los proveedores de servicios terceros y qué derechos de usuario tienen. Como en el ámbito de la soberanía de los datos también hay imprecisiones legales y zonas grises, debería regularse por contrato qué ocurre con los datos y cómo se almacenan, procesan y transfieren.

Un breve ejemplo:

Si una empresa de producción quiere aumentar su propio rendimiento, puede recurrir a la nube y los servicios web de un Managed Service Provider. Este proveedor podría, mediante un análisis de datos, realizar previsiones sobre las tareas de mantenimiento y determinar el potencial de optimización de la empresa.

Aunque en este caso la empresa contratada deba tener la soberanía de los datos, no implica que obligatoriamente deba tener también acceso a los análisis completos de la empresa contratante. Si no se especifica nada más por contrato, parte de los datos podrían reutilizarse o venderse a terceros. Aquí, la falta de data sovereignty implica un riesgo de seguridad y una desventaja competitiva para las empresas.

Tanto para pequeñas tiendas en línea como para grandes empresas de fabricación en red, la evaluación de datos de clientes y empresas es importante para adaptar la producción y prestación de servicios a las expectativas y comportamiento de los clientes. Hoy día es prácticamente imposible cerrar herméticamente los datos para evitar el acceso de terceros, por lo que hacen falta marcos legales. Junto con los acuerdos contractuales individuales entre cliente y proveedor, actualmente las normativas de protección de datos nacionales e internacionales como el RGPD y la Ley Orgánica de Protección de Datos son directrices decisivas en materia de soberanía de los datos.

Como comparativa: en Estados Unidos no existe una ley general de protección de datos que establezca las directrices básicas para la protección de datos personales. Mientras que en la Unión Europea existen normas específicas de protección de datos para las empresas, en suelo americano esto depende de la voluntad de las empresas. Además, las autoridades estadounidenses tienen una amplia capacidad de disposición de los datos. Si una empresa española o europea recurre a los servicios de proveedores de almacenamiento en la nube o proveedores web americanos, pueden generarse vacíos en la protección de los datos.

Según el RGPD, las empresas que procesen datos personales, “aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. La protección y la soberanía de los datos son tareas complejas para las empresas. El equilibrio entre la protección de los datos de la empresa, los datos personales y ocupar una fuerte posición en el mercado puede ser particularmente difícil de conseguir.

Dado que el RGPD se centra en los datos personales, las empresas han de asegurarse de que los usuarios son informados del procesamiento posterior de sus datos personales y de que prestan su consentimiento. Al mismo tiempo, el análisis de los datos de usuario es un factor de éxito decisivo para las empresas digitales.

Para unificar la data sovereignty, la protección de datos y el éxito de la empresa, es recomendable contratar a expertos en protección de datos que se encarguen de la soberanía de los datos de la empresa. Además, debe aclararse en cada caso qué directrices de protección y utilización de datos tienen las empresas terceras y empresas asociadas. Tampoco podemos olvidar la política de privacidad que informa de manera transparente sobre las medidas utilizadas para el tratamiento seguro de los datos. Las medidas técnicas y organizativas esenciales que en este caso deben observar las empresas son:

• Seudonimización y cifrado de los datos
• Confidencialidad e integridad del sistema
• Resistencia técnica de los sistemas
• Restauración y disponibilidad de los datos tras fallos técnicos
• Comprobación, valoración y evaluación periódica de las medidas de seguridad
• Cumplimiento e incorporación de las medidas de protección de datos por parte de los empleados

La iniciativa europea para una infraestructura de datos altamente segura, adecuada para el mercado y que proteja los datos en Europa se llama Gaia-X. Gaia‑X nace como contraproyecto a las inadecuadas regulaciones de protección de datos de países no europeos, especialmente a la US CLOUD Act. Las autoridades estadounidenses pueden acceder a los datos legalmente y sin autorización judicial siempre que estos se encuentren en servidores sujetos a la US CLOUD Act. Esto también incluye a proveedores americanos gestionados en centros informáticos europeos.

Con socios como IONOS Cloud, Gaia‑X está desarrollando una infraestructura de datos que servirá de alternativa europea al Cloud Computing con Amazon Web Services, IBM, Google, Alibaba o Microsoft Azure. Así, las empresas podrán procesar los datos de manera altamente segura en centros informáticos intraeuropeos, disfrutar de una elevada seguridad y soberanía de los datos y evitar el vertido de los datos de personas y empresas hacia actores extraeuropeos.

Parte de la infraestructura serán nodos de red y centros de datos transparentes y de libre elección, cuyos atributos, capacidades y requisitos se comunicarán con claridad. Los clientes deben poder cambiar fácilmente de proveedor sin depender de los vendor lock‑in y de la nube de proveedores web y de Managed Service Providers.