Soberanía de datos frente a residencia de datos: ¿cuál es la diferencia?

La principal diferencia es que la soberanía de los datos es un concepto jurídico y la residencia de los datos es una categoría geográfica. Pero ambos conceptos están profundamente relacionados.

La residencia de datos a menudo determina la soberanía de los datos. Por ejemplo, si una empresa almacena datos en un centro de datos en Irlanda, esos datos residen en Irlanda. Debido a que los datos residen en Irlanda, Irlanda tiene soberanía sobre ellos. La empresa debe cumplir con las leyes de protección de datos, las leyes de privacidad de datos y otros requisitos normativos exigidos por el gobierno irlandés.

Dicho esto, la residencia no es el único factor que determina quién tiene jurisdicción sobre los datos. Otros factores, como el lugar donde se recopilaron originalmente los datos o a quién están relacionados, también pueden influir.

La soberanía de los datos y la residencia de los datos son conceptos importantes de la gobernanza de datos para las organizaciones de hoy en día. Las empresas recopilan y procesan más datos que nunca y, a menudo, utilizan la computación en la nube y las aplicaciones de software como servicio (SaaS) para hacerlo.

El resultado es un aumento masivo de los flujos internacionales de datos. Las empresas pueden recopilar datos de personas en un país, almacenarlos en un centro de datos en un segundo país y procesarlos con una aplicación basada en cloud que se ejecuta en un tercer país. Los datos pueden tener que cumplir diferentes requisitos legales en cada una de estas ubicaciones.

Las organizaciones necesitan tener un control firme de dónde residen sus datos en cada punto de su ciclo de vida y de las normas que deben seguir en cada lugar. Las compañías pueden sufrir importantes sanciones por infringir la legislación local sobre datos.

residencia de datos es la ubicación física de los datos. Se dice que los datos residen en una nación, estado o lugar en particular si los centros de datos, servidores u otras máquinas que albergan o manejan los datos están ubicados físicamente en ese lugar.

Debido a que los datos de una empresa pueden moverse mucho, los datos de una sola organización pueden tener múltiples residencias.

Digamos que una empresa tiene su sede en Estados Unidos, recopila datos personales de consumidores estadounidenses y almacena datos en servidores en Estados Unidos. Claramente, los datos residen en Estados Unidos.

Ahora supongamos que la misma organización utiliza una aplicación SaaS para procesar estos datos, y los servidores de la aplicación están ubicados en Canadá. Cualquier dato transferido a los servidores canadienses para su procesamiento ahora podría residir en Canadá y podría estar sujeto a las leyes de datos canadienses.

Los requisitos de residencia de datos a menudo se originan en los requisitos de políticas internas o compromisos contractuales de una organización, independientemente de cualquier requisito regulatorio para localizar datos.

Sin embargo, las organizaciones no siempre tienen la opción de elegir dónde residen sus datos. Algunas regiones tienen leyes con requisitos de localización de datos, que exigen que las organizaciones conserven o procesen sus datos en un lugar determinado. 

Si bien estos términos a veces se usan indistintamente, se refieren a dos conceptos distintos. La residencia de datos describe dónde se guardan los datos. La localización de datos se refiere a los requerimientos legales para mantener los datos donde se crearon, es decir, mantener los datos locales

Algunos países tienen requisitos de localización de datos, según los cuales las organizaciones deben mantener los datos creados en ese país dentro de las fronteras del país. Estos requisitos pueden ir desde el mero hecho de mantener una copia de los datos en el país hasta la prohibición de las transferencias de datos fuera del país.

Lasoberanía de datos es el concepto de que los datos están sujetos a las leyes del país o región donde se generan o procesan. Si un país tiene "soberanía sobre" un dato, eso significa que el país tiene autoridad legal sobre esos datos, incluso con fines de seguridad nacional.

La soberanía de los datos suele estar determinada por la residencia. Si los datos residen en un lugar, suelen estar sujetos a la legislación de ese lugar.

Algunas leyes de soberanía de datos siguen a los datos, aplicándose a los datos independientemente de dónde se muevan. Por ejemplo, el el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) puede aplicarse a los datos conservados o procesados fuera de la UE si esos datos pertenecen a residentes de la UE.

Entonces no es solo dónde residen los datos lo que puede ser relevante, sino también dónde se recopilaron o con quién se relacionan.

De la misma manera que los datos pueden tener múltiples residencias, también pueden estar bajo múltiples soberanías. Por ejemplo, los datos que residen en un país de la UE deben cumplir con las leyes locales de ese país y el RGPD de toda la UE.

Los requisitos de soberanía de datos pueden variar:

• Algunos países restringen los tipos de datos confidenciales que una compañía puede recopilar y cómo puede hacerlo.
  
  
• Algunos países imponen límites a la forma en que las organizaciones pueden utilizar determinados tipos de datos.
  
  
• Algunos países exigen ciertos controles de ciberseguridad y requieren que las organizaciones sigan procesos específicos en caso de una filtración de datos .
  
  
• Algunas regulaciones de privacidad otorgan a los interesados muchos derechos sobre sus datos, incluida la posibilidad de eliminarlos.

El incumplimiento de las leyes locales de datos puede dar lugar a multas u otras sanciones legales. También puede causar daños a la reputación. Si una organización incumple las normas de privacidad de datos, los clientes pueden llevar su negocio a otra parte. 

Los requisitos de residencia y soberanía de los datos pueden determinar las decisiones de una organización sobre los tipos de datos que recopila, la forma en que los emplea y la infraestructura de TI que construye.

Hoy en día, las organizaciones recopilan más tipos de datos (datos de clientes, datos operativos, datos transaccionales) de más fuentes de datos (aplicaciones web, sistemas empresariales, dispositivos de Internet de las cosas) en todo el mundo. Muchas organizaciones utilizan servicios en la nube para almacenamiento de datos, procesamiento, analytics y otras cargas de trabajo clave.

A medida que los datos se mueven a través de la infraestructura de TI conectada en la nube de una organización, pueden cruzar muchas fronteras. Dondequiera que vayan los datos, pueden estar sujetos a nuevas leyes. Al trabajar con proveedores de servicio en la nube, las organizaciones deben saber dónde van sus datos para copia de seguridad de almacenamiento, copias de seguridad y procesamiento.

Las organizaciones pueden optar por trabajar con proveedores de la nube que tienen infraestructura en el mismo lugar que la organización. Algunas organizaciones confían en nubes privadas con hardware ubicado donde lo necesitan.

Muchas organizaciones adoptan un enfoque híbrido de multicloud, utilizando múltiples entornos de nube pública y nube privada y proveedores. Este enfoque híbrido puede ayudar a la organización a construir la infraestructura que necesita para cumplir con diferentes leyes de datos en diferentes ubicaciones.

Las complejidades de la residencia de datos y la soberanía en la nube han llevado al desarrollo de la nube soberana, un tipo de computación en la nube diseñada para ayudar a las organizaciones a cumplir con los requisitos legales y normativos de diferentes regiones.

Algunas organizaciones optan por sistemas de datos on-premises en lugar de almacenamiento y procesamiento en la nube. Mantener los datos en las instalaciones puede ayudar a reducir ciertos problemas de cumplimiento, pero estos acuerdos también pueden ser costosos y menos escalables que la nube.

Algunos países exigen que las organizaciones tomen ciertas medidas para proteger los datos, como aplicar controles de acceso específicos y tecnologías de detección de amenazas.

Aunque evitar el acceso no autorizado a información sensible ya es una prioridad para la mayoría de las organizaciones, la residencia y soberanía de los datos pueden dictar las medidas específicas de seguridad de datos que deben tomar. 

Algunas leyes de datos dictan lo que las organizaciones pueden hacer con los datos que tienen.

Por ejemplo, algunas leyes prohíben el uso de datos sensibles a menos que se cumplan condiciones restrictivas específicas. Algunas leyes otorgan a las personas derechos considerables sobre sus datos personales, incluido el derecho a que se eliminen previa solicitud.

Las organizaciones sujetas a estas leyes deben poner en marcha mecanismos que garanticen que los datos se emplean adecuadamente y que los consumidores pueden ejercer sus derechos con facilidad.  

Los requisitos de residencia y soberanía de los datos pueden tener implicaciones para las cargas de trabajo de inteligencia artificial (IA) y machine learning (ML).

Algunas naciones restringen ciertos usos de IA en ciertos tipos de datos. Por ejemplo, la Ley de IA de la UE prohíbe cosas como los sistemas de puntuación social y los sistemas de IA que explotan ciertas vulnerabilidades, como las vulnerabilidades debidas a la edad o discapacidad.

Además, pocas organizaciones construyen hoy sus propios modelos de IA desde cero. Muchas emplean sistemas de IA de terceros, alojados en el cloud. Estos sistemas pueden introducir las mismas complejidades que otros servicios en la nube.

Las preocupaciones sobre el uso seguro de la IA han llevado a un creciente interés en la IA soberana, es decir, los esfuerzos que las naciones realizan para desarrollar sus propios sistemas de IA y controlar la IA dentro de sus fronteras.

Las herramientas de gobernanza de la IA pueden ayudar a las organizaciones a obtener más visibilidad y control sobre cómo y dónde se implementa la IA en sus pilas de TI. Este aumento de la visibilidad y el control posiciona a las organizaciones para garantizar que sus aplicaciones de IA y machine learning (ML) ofrecen valor y cumplen con la normativa pertinente.

Aviso: El cliente es responsable de garantizar el cumplimiento de todas las leyes y regulaciones aplicables. IBM no brinda asesoría legal ni declara ni garantiza que sus servicios o productos aseguren que el cliente cumpla con cualquier ley o regulación.