Data sovereignty: qué es y cuál es su relación con el cloud
Data sovereignty, soberanía del dato o soberanía digital son distintas formas de referirse a un mismo concepto: el cumplimiento normativo en la gestión de la información. Hablamos de un aspecto cada vez más relevante para las empresas por la importancia de la externalización en la nube de la capacidad tecnológica requerida para el almacenamiento y procesamiento de los datos, el principal activo de cualquier negocio actualmente .
Qué es la soberanía del dato o data sovereignty
La soberanía del dato hace referencia al conjunto de derechos y obligaciones regidos por una serie de convenios, normas y leyes sobre la pertenencia, acceso, tratamiento y almacenamiento de los datos personales. Estas normativas suponen una garantía de protección a los usuarios de cara a evitar que esos datos se corrompan o comprometan, asegurando que solo sean accesibles para fines autorizados y que puedan restaurarse en caso de que se vuelvan inutilizables o inaccesibles. Y, como toda normativa, tiene un ámbito geográfico o regional. Por ejemplo, en un país concreto o en la Unión Europea.
Pero cuándo damos de alta un servicio online, ¿somos conscientes de la normativa que protege la información que acabamos de facilitar? Estas fronteras que atañen a los aspectos jurídicos no siempre están tan claras para los usuarios cuando hablamos de Internet y del cloud computing. Esta es la pregunta clave al referirnos al concepto soberanía del dato: qué normativa rige sobre la información.
En el caso de la Unión Europea, la carta magna en esta materia es es el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). También las recientemente aprobadas Data Governance Act y Data Act entre otras, que se implementarán a partir de septiembre del 2023 en el ordenamiento jurídico de cada país. Por ejemplo, en el BOE podemos consultar toda la normativa vigente en España sobre protección de datos de carácter personal.
De este modo, se ha establecido un marco universal para la gobernanza de esta información, donde prevalecen los derechos de los usuarios. También se confiere la mayor estabilidad normativa en el sector empresarial, impulsando la Economía del Dato y dando lugar a un Mercado Digital Único Europeo, un concepto de unidad consolidado en el mundo físico. Estos son los principales objetivos del proyecto europeo GAIA-X en el que Arsys participa.
Convivencia de diferentes normativas
Con este contexto, y teniendo en cuenta que la nube no es algo abstracto, sino que es algo que se convierte en realidad en los centros de datos de los proveedores, como Arsys. Proveedores que, sin embargo, también pueden estar sujetos a unas normativas concretas en sus correspondientes ámbitos geográficos pero que prestan servicio a usuarios protegidos bajo otros marcos. El ejemplo más claro, la normativa de Estados Unidos y cómo debe aplicarse cuando afecta a un ciudadano de la Unión Europea. Por ese motivo, tanto la Unión Europea como Estados Unidos han establecido históricamente diferentes acuerdos comerciales que facilitan el intercambio de datos. Así ha sucedido desde hace décadas.
CLOUD Act vs Reglamento General de Protección de Datos
Sin embargo, en 2018 Estados Unidos aprobó la denominada CLOUD Act. A pesar de la coincidencia, no es la Ley de la Nube ni tiene como objetivo único los servicios cloud. Sus siglas se corresponden al acrónimo de de Clarifying Lawful Overseas Use of Data, que se podría traducir como ley para aclarar el uso lícito de datos en el extranjero.
Entre otros puntos, la CLOUD Act exige a los proveedores estadounidenses de servicios IT que revelen todos los datos en su posesión, custodia o control, si son solicitados por las autoridades sin más condiciones ni requisitos, incluso si los datos están alojados en terceros países. Además, proporciona ciertos mecanismos para que los gobiernos extranjeros aliados de EEUU, sobre la base de la investigación de delitos graves, puedan solicitar acceso a las comunicaciones y datos personales que estén gestionados por proveedores estadounidenses, incluso si están ubicadas fuera de territorio norteamericano.
Debido a la entrada en vigor de la CLOUD Act, el acuerdo comercial firmado anteriormente para facilitar el intercambio de datos personales entre Estados Unidos y la UE fue invalidado por el Tribunal de Justicia de la UE. Así mismo, la Data Governance Act recientemente aprobada por Bruselas pone el acento en el acceso y transferencia internacional de datos no personales.
Recomendaciones sobre qué posturas tomar para evitar sanciones
Esta situación, inestable desde el punto de vista normativo, puede generar cierta incertidumbre en el sector empresarial y subraya una realidad: hoy por hoy, la mejor garantía total de seguridad jurídica para una empresa es contar con proveedor que esté sujeto a su mismo marco normativo. Es decir, en el caso de una compañía española, alojar sus datos con un proveedor como Arsys, que tenga los mismos derechos y obligaciones extremo a extremo que dicha empresa.
No es la única solución, pero sí la más fácil de gestionar y económica para la mayoría de las empresas. Otra alternativa es adoptar soluciones multicloud sobre infraestructura de distintos proveedores, teniendo en cuenta el reparto de las cargas de trabajo de datos y aplicando una política de gobernanza y compliance a medida de la información más sensible. Por ejemplo, si nuestra plataforma multicloud cuenta con un proveedor con sede y centro de datos en Europa nos garantizamos que la información de esa parte de la plataforma se ajuste a la normativa del RGPD y podemos dedicar a otros elementos la infraestructura de proveedores que están bajo otros marcos jurídicos.
También existe la alternativa de incorporar a nuestros sistemas medidas adicionales de protección de información, pero son medidas que necesitan presupuestos extra. Hablamos de la criptografía asimétrica aplicada al dato en origen o de la aplicación de modelos de seudonimización; en esta opción nuevamente cobra sentido la utilización de multicloud para garantizar la confidencialidad e integración de los datos.