¿Qué es la localización de datos?

La localización de datos es la práctica de mantener los datos dentro de la región de la que proceden. Por ejemplo, si una organización recopila datos en el Reino Unido, los almacena en ese mismo país en lugar de transferirlos a otro país para su procesamiento.

Internet hace posible que los datos puedan cruzar el mundo en milisegundos, por lo que los reguladores, los defensores de la privacidad y los consumidores están cada vez más interesados en dónde van esos datos y qué se hace con ellos.

Localización de datos vs. residencia de datos

La localización de datos y la residencia de datos son dos términos que a veces se utilizan indistintamente, aunque tienen significados ligeramente diferentes. Por sí sola, "residencia de datos" hace referencia al lugar en el que se almacenan los datos. Los requisitos de residencia de datos pueden obligar a las organizaciones a cambiar el lugar en el que residen sus datos. La localización de datos es la acción de cumplir con los requisitos de residencia de datos.

¿Cuándo es necesaria la localización de datos?

Algunas normas legales tienen requisitos de residencia de datos que obligan a las organizaciones a localizar sus datos. Sin embargo, la mayoría de los marcos de privacidad de datos no la exigen. Pero aunque las jurisdicciones no exijan la localización de los datos por ley, los sectores muy regulados, como la banca y los servicios sanitarios, pueden adoptar orientaciones de buenas prácticas que impongan más requisitos a los datos si se van a procesar fuera de su país de origen. En estos casos, puede que las organizaciones prefieran localizar los datos en lugar de cumplir con esos requisitos adicionales.

Para muchas empresas que operan en regiones con una estricta normativa sobre el tratamiento de datos, es posible que quieran evitar las posibles infracciones conservando los datos en esas regiones, aunque hacer esto no proteja mejor los datos.

¿Cómo funciona la localización de datos?

La localización de datos es bastante sencilla para las organizaciones que tienen su sede en un solo país o región, y utilizan una infraestructura local para almacenar los datos. Mientras sus datos permanezcan seguros dentro de sus centros de datos, estos deberían estar correctamente localizados.

La informática en la nube complica la localización de datos. Se accede a los servidores de la nube a través de Internet y, por tanto, pueden estar situados en cualquier parte del mundo. Las organizaciones que dependen de la informática en la nube tienen mucha menos visibilidad sobre dónde se procesan y almacenan realmente sus datos, ya que el proveedor de la informática en la nube se encarga de esas decisiones.

Sin embargo, la localización de datos es posible con la informática en la nube si el proveedor de la nube se compromete a procesar y almacenar los datos únicamente en los centros de datos de la región especificada. No todos los proveedores de la nube tienen suficiente presencia global para hacerlo, pero muchos sí que pueden.

Si un proveedor de la nube tiene un centro de datos en la región requerida, entonces puede asegurarse de diversas maneras de que los datos de un determinado cliente permanezcan en ese centro de datos.

Por ejemplo, el enfoque que adopta Cloudflare para su oferta de Servicios regionales es el de redireccionar mediante proxy las conexiones del Protocolo de control de transmisión (TCP) a un centro de datos en la región designada. El TCP es un protocolo de transporte utilizado para mover datos de un lado a otro de Internet. El TCP establece una conexión entre dos dispositivos, por ejemplo, el ordenador de un usuario y un servidor web, y garantiza que todos los paquetes de datos lleguen con éxito entre esos dos dispositivos.

Cuando una persona visita un sitio web que utiliza Cloudflare, en realidad se está conectando a un centro de datos de Cloudflare, en lugar de al propio sitio web. La conexión TCP se establece entre su dispositivo y un servidor en un centro de datos de Cloudflare.

Si el sitio web en cuestión quiere localizar sus datos mediante los Servicios regionales, entonces esta conexión TCP se redirecciona mediante proxy, o reenvía, a otro servidor de Cloudflare que se encuentre en la región localizada. Las solicitudes del dispositivo del usuario al sitio web pueden viajar entonces a la región correcta antes de ser procesadas.

Imaginemos que una solicitud de usuario que viaja a través de TCP es como un camión grande con un remolque, y que cada centro de datos de Cloudflare es como un puesto de control de seguridad. Lo normal es que cuando un "camión" llegue a un puesto de control de Cloudflare, Cloudflare abra el remolque y eche un vistazo al interior para asegurarse de que no contenga nada peligroso.

Sin embargo, con la localización de datos, Cloudflare comprueba con el conductor si el camión se dirige a determinados destinos. Si el destino es la dirección de un cliente de localización de datos, Cloudflare le dice al conductor que siga hasta un punto de control diferente. Cloudflare no mira dentro del remolque hasta que llega a ese punto de control específico.

¿La localización de datos mejora la privacidad?

Muchas organizaciones buscan o se enfrentan con mayor frecuencia a obligaciones normativas que requieren la localización de los datos. La mayoría de categorías de datos que los clientes de Cloudflare procesan (incluyendo datos sanitarios, legales o financieros) pueden estar sujetos a obligaciones que especifican que los datos se procesen o almacenen en una localización específica. Cloudflare Data Localization Suite ayuda a las organizaciones que necesitan seguir los requisitos de localización de datos.

Sin embargo, la protección de la privacidad de los usuarios es una cuestión compleja, y son muchos los factores que influyen en la privacidad de los datos. Por ejemplo, la localización de datos no garantiza el uso de encriptación, que es fundamental para la privacidad. Si un usuario visita un sitio web que localiza los datos y los mantiene en la misma región, la localización de datos no importa si el sitio web no utiliza la encriptación HTTPS. La localización de datos tampoco impediría que una empresa vendiera los datos a terceros dentro de la misma región, lo que podría considerarse un acto de infracción de la privacidad. Tampoco impediría que usuarios no autorizados dentro de una empresa accedieran a datos privados.

Por lo tanto, la localización de datos por sí sola no garantiza que los datos sigan siendo privados. Más información sobre la privacidad de datos.

