La soberanía del dato no es una cuestión geográfica

Con los cambios geopolíticos actuales, la Soberanía del Dato es un concepto que está ganando un mayor protagonismo en la agenda de los CIO. Pero qué es exactamente, por qué debe preocuparnos y lo que es más importante: con la actual situación, ¿somos conscientes de que nuestros datos pueden estar en peligro?

Sin entrar en demasiados tecnicismos, podríamos decir que la Soberanía del Dato se refiere a todo el marco normativo que deben cumplir los datos, el activo más valioso de la digitalización, al recopilarse, almacenarse, procesarse y compartirse. En un mercado uniforme o que beba de las mismas fuentes de derecho, no debería haber especial ruido alrededor de este concepto. Sin embargo, esto no es así.

La globalización, y muy especialmente el mercado digital, nos lleva a un entorno donde conviven marcos normativos distintos alrededor de la propiedad del dato. Generalizando, podríamos decir que, según la fuente de derecho, en China la propiedad última del dato es del Estado; en Estados Unidos es de las empresas; y en Europa es del individuo.

A medida que ha avanzado el proceso de digitalización. y espoleado también por sucesos como el 11S, estas diferentes maneras de entender la propiedad del dato en Europa y Estados Unidos se han distanciado cada vez más. Una polaridad que se agudiza en la situación geopolítica actual.

Uno de los hitos en este distanciamiento fue la CLOUD Act, aprobada durante la primera legislación Trump. Básicamente, permitía la injerencia del Gobierno de Estados Unidos en el acceso a la información de sus proveedores IT, independientemente de la ubicación geográfica donde se encuentren almacenados los datos. Mediante la voluntad, la confianza mutua y la negociación, y aunque fueron luego anulados por el Tribunal de Justicia de la Unión Europea, se intentó cierta armonización política, que no legal, de las normativas a los dos lados del Atlántico gracias a acuerdos como el “Safe Harbour” y el “Privacy Shield”. Hoy, sin embargo, la situación geopolítica parece incluso más distante.

Entender que la Soberanía del Dato no es una cuestión de dónde están mis datos, sino en quién están depositados

Entender que la Soberanía del Dato no es una cuestión de dónde están mis datos, sino en quién están depositados, es imprescindible para superar la volatilidad del rumbo que están marcando algunas decisiones tomadas desde Washington. Los proveedores con sede en Estados Unidos están sujetos, primero y ante todo, a su legislación de origen, independientemente de donde operen a nivel global. Si esta normativa colisiona además con la que nos aplican a nosotros como europeos, entonces no hay duda de cuál aplica primero y de quién tiene el problema.

Y por muchos y muy repartidos nodos o regiones cloud que tenga repartido un proveedor en un entorno geográfico estable, ya no se trata solo de una cuestión de privacidad. La tensión geopolítica puede llevar incluso a que una empresa llegue a perder el control de sus datos. Por ejemplo, con un veto repentino dictado desde la Administración de EE.UU. a los proveedores. Este escenario no sólo es inaceptable para una empresa o para sus clientes; es también una poderosa herramienta de presión y supone dejar en manos de otros el futuro de cualquier negocio.

Para cualquier organización europea, pública o privada, es el momento de reconsiderar su grado de exposición a cualquier riesgo creciente y empezar a tomar el control de sus datos y negocios incluyendo a proveedores que estén bajo su mismo marco normativo punto a punto. Porque la clave no es dónde, sino con quién están tus datos y, sobre todo, ser consciente del marco normativo que puede tener que cumplir un proveedor, lo quiera o no, en la frágil situación geopolítica actual.