¿Qué es la soberanía de los datos?

La soberanía de los datos es la idea de que los datos están sujetos a las leyes y normativas del país o región donde se originan.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Entiende el concepto de soberanía de los datos
  • Comparar la soberanía de datos, la residencia de datos y la localización de datos
  • Comprender cómo la soberanía y la residencia de los datos pueden afectar a los programas de cumplimiento de la privacidad

Copiar el enlace del artículo

¿Qué es la soberanía de los datos?

El término "soberanía de los datos" se refiere a la idea de que los datos -como la propiedad intelectual, los datos financieros o la información personal- recogidos o almacenados en un lugar geográfico concreto, como un país específico o la Unión Europea (UE), deben estar sujetos a las leyes de ese lugar. Tanto si las personas introducen datos de su tarjeta de crédito en un sitio web de comercio electrónico como si publican comentarios en una plataforma de redes sociales, las normas sobre soberanía de datos pretenden garantizar que estos datos de los usuarios estén regulados por el marco jurídico vigente en el lugar del que esos usuarios son ciudadanos.

El amplio concepto de soberanía de los datos suele entrelazarse con cuestiones de privacidad de los datos, acceso de los gobiernos a los datos, seguridad, competencia empresarial internacional y derechos humanos. Algunos paradigmas de soberanía de datos pretenden garantizar que los datos generados en una jurisdicción permanezcan físicamente en esa jurisdicción. Otros pretenden asegurarse de que las protecciones legales garantizadas a los datos generados en una jurisdicción seguirán a los datos aunque se procesen o almacenen en otra jurisdicción. Otros pretenden garantizar que los datos generados en una jurisdicción, como mínimo, sigan estando a disposición de las fuerzas y cuerpos de seguridad de esa jurisdicción, independientemente de que también se procesen o almacenen en otro lugar.

Casi todos los países tienen algún tipo de ley de protección de datos que proporciona ciertas protecciones a la información personal recopilada de sus ciudadanos. Entre los ejemplos relevantes de normas de soberanía de datos se incluyen:

  1. El Reglamento General de Protección de Datos (RGPD) y la Directiva sobre la privacidad y las comunicaciones electrónicas
  2. Las Leyes de Privacidad del Consumidor de California (CCPA y CPRA)
  3. Los Principios Australianos de Privacidad (APP)
  4. La Ley Japonesa de Protección de Datos Personales (APPI)

Para ver un ejemplo de una normativa sobre soberanía de datos en acción, imagina una tienda de comercio electrónico que vende a clientes de todo el mundo, incluida la UE. Para satisfacer los pedidos de los clientes de la UE, la tienda recoge y procesa diversos datos de los usuarios, como nombres, direcciones e información de facturación.

Independientemente de dónde tenga su sede la tienda de comercio electrónico, el RGPD de la UE se aplicará a los datos de los clientes de la UE. Esto significa que la tienda debe hacer cosas como informar explícitamente a los clientes antes de recopilar sus datos, y solo recopilar información personal pertinente para la transacción (en este caso, información relacionada con el cumplimiento del pedido). Si la tienda desea recopilar y utilizar información personal adicional por otros motivos, como el envío de correos electrónicos de marketing, deberá obtener el consentimiento del cliente (que puede revocarse en cualquier momento).

Además, según el RGPD, los clientes pueden solicitar el acceso a sus datos recogidos y pedir a la empresa que rectifique o elimine sus datos ("solicitudes de los interesados"), lo que significa que la tienda de comercio electrónico también debe crear sistemas para aceptar y responder a dichas solicitudes de los interesados.

¿Cómo afectan la soberanía y la localización de los datos a los programas de cumplimiento de la privacidad?

La soberanía de los datos y la localización de los datos son conceptos estrechamente relacionados. Como se ha señalado anteriormente, la soberanía de los datos es la idea de que los datos están regulados por las leyes del país o región en el que se procesan. La localización de datos, por su parte, es la práctica de almacenar datos dentro de los límites físicos de un país o región de origen. A menudo se utiliza para garantizar que la información muy confidencial, como los datos bancarios o la información médica, siga cumpliendo con la normativa local, ya que la transferencia o el procesamiento de esos datos en otra región puede poner a las organizaciones en riesgo de infringir el cumplimiento.

Volviendo al negocio de comercio electrónico descrito anteriormente: desde el momento en que procesa datos personales, necesita observar los diferentes marcos legales aplicables a los datos de los consumidores que se están recopilando. A menos que la empresa quiera tomar las normativas más protectoras y aplicarlas a todos los datos de clientes, la empresa de comercio electrónico tendrá que mapear sus datos para asegurarse de que los requisitos de protección de datos aplicables siguen esos datos personales.

Además, las normas sobre soberanía de datos pueden tener un impacto significativo en las decisiones sobre dónde se procesan y almacenan los datos. Algunas de estas leyes también tienen implicaciones para las transferencias transfronterizas de datos, porque la protección legal de la información personal sigue a los datos independientemente de dónde se procesen.

En el caso de la empresa de comercio electrónico, para transferir los datos de los ciudadanos de la UE a un centro de datos fuera de la UE, la empresa tendrá que considerar qué mecanismo legal aprobado por el RGPD utilizará para transferir los datos. Dependiendo de dónde esté ubicada la empresa, puede que tenga que establecer disposiciones contractuales especiales para tratar datos personales de la UE fuera de la UE o certificar un marco de adecuación como el Marco de Privacidad de Datos UE-EE.UU.

El tipo de requisitos de soberanía y localización de los datos personales que procesa una empresa también puede influir en la decisión de una organización sobre el uso de una solución de almacenamiento basada en la nube. El almacenamiento en la nube ofrece mayor flexibilidad y escalabilidad, y muchos pueden ofrecer también soluciones de localización de datos. Pero para satisfacer a jurisdicciones muy conservadoras con estrictos requisitos de localización, una organización puede tener que buscar almacenamiento local además de —o en lugar de— soluciones basadas en la nube.

Cómo Cloudflare ayuda a las organizaciones a garantizar la soberanía y localización de los datos

Cloudflare tiene un largo historial de proporcionar protección de datos a sus clientes y usuarios finales antes de que estas protecciones se consagraran en la ley, y creemos que es importante no solo decir que cumplimos ciertas leyes, sino también demostrar nuestro cumplimiento.

Cloudflare cuenta con la certificación ISO/IEC 27701:2019 (que se corresponde con el RGPD de la UE) y cumple las normas ISO 27001/27002, PCI DSS (Payment Card Industry Data Security Standards) y SSAE 18 SOC 2 Tipo II. Cloudflare también está certificada según el Marco de Privacidad de Datos UE-EE.UU., el Marco de Privacidad de Datos Suiza-EE.UU. y la ampliación del Reino Unido al Marco de Privacidad de Datos de la UE. Además, Cloudflare está certificada por el Código de Conducta de la nube de la UE. Estas validaciones y otras que tenemos ofrecen garantías a las organizaciones que transfieren sus datos más sensibles a través de Cloudflare, y ayudan a las empresas a cumplir y mantener sus propias obligaciones de cumplimiento.

Cloudflare sigue desde hace tiempo principios que se ajustan a las normativas comunes sobre soberanía de datos:

  • Cloudflare solamente recopila los datos personales que necesita para prestar sus servicios y hacer que sus productos sean mejores para los clientes
  • Cloudflare no rastrea a los usuarios finales de nuestros clientes a través de la propiedad de Internet, y no crea perfiles de los usuarios finales de sus clientes para vender publicidad
  • Cloudflare da a nuestros clientes la capacidad de acceder, corregir o borrar su información personal
  • Cloudflare ofrece a los clientes el control sobre la información que procesan los distintos servicios: por ejemplo, cualquier dato que se almacene en caché en la red de distribución de contenidos (CDN), que se guarde en el almacén de valores clave de los trabajadores o que capte la aplicación web Firewall (WAF).

Además, Cloudflare también puede apoyar el cumplimiento de cualquier requisito de localización de datos aplicable. Nuestra suite de Localización de Datos facilita a las empresas el establecimiento de normas y controles en el borde de Internet y el mantenimiento de los datos almacenados y protegidos localmente.

Obtén más información sobre las funciones integradas de seguridad, privacidad y cumplimiento de la conectividad cloud.