Login
¡Síguenos! ThumbsUp
info@seon.io
© Copyright SEON Technologies Ltd. - Legal y Seguridad
Soberanía de los datos

Soberanía de los datos

¿Qué es la soberanía de los datos?

La soberanía de los datos se refiere al concepto de que los datos están sujetos a las leyes y la gobernanza del país y/o región en que se recogen, procesan y almacenan.

A medida que la tecnología se ha ido conectando a nivel mundial, la cuestión de qué leyes se aplican a los datos digitales ha dado lugar a normas y reglamentos en torno a la soberanía de los datos, incluidas la residencia y la localización de los datos.

Los datos personales de alrededor del 65% de la población mundial están ahora cubiertos por la normativa sobre privacidad, y cada año aumenta el porcentaje de usuarios de internet preocupados por la privacidad. Por tanto, el cumplimiento de la soberanía de los datos no es solo una cuestión jurídica o reglamentaria para las empresas, sino también de reputación.

Residencia de los datos

La residencia de los datos tiene que ver con el lugar donde se almacenan los datos, en concreto, dónde residen en términos tanto geográficos como físicos.

En términos geográficos, los organismos reguladores pueden tener requisitos específicos sobre la residencia de los datos, y las organizaciones deben actuar de acuerdo con esos requisitos para cumplir sus obligaciones de conformidad.

En términos físicos, la residencia de los datos también se refiere a la proximidad de los datos en relación con el dispositivo que los procesa. Por ejemplo, considera que es más probable que una computadora ejecute datos en la nube de forma eficiente cuando está situada cerca del centro de datos que aloja la información relevante.

Localización de los datos

La localización de los datos hace referencia al cumplimiento de los requisitos de residencia de los datos, por ejemplo, localizando los datos para garantizar que se procesan en su país de origen. Algunos sectores muy regulados lo exigen. Otros lo presentan como una guía de buenas prácticas, con requisitos adicionales para las organizaciones que procesan datos en otros países o regiones.

Esto a menudo impulsa a las organizaciones a localizar sus datos para facilitarles la vida, aunque puede que no exista un requisito legal para que lo hagan.

¿Cómo funciona la soberanía de los datos?

La soberanía de los datos se basa en la idea de que el lugar en el que se recogen los datos determina las leyes y la gobernanza que se aplican a los mismos. Por ejemplo, si una empresa recoge datos en Francia, debe cumplir la legislación de datos pertinente en Francia, independientemente de dónde tenga su sede la propia empresa.

Si la misma empresa también recopila datos en Canadá, también debe cumplir la legislación canadiense sobre soberanía de datos. Esto significa que las empresas que operan a través de las fronteras internacionales en términos de recogida y tratamiento de datos se enfrentan a mayores complejidades al momento de  tratar esos datos.

Las empresas que están obligadas a cumplir los requisitos de Conoce a tu cliente (KYC) y Conoce tu negocio (KYB) deben prestar especial atención a las leyes de soberanía de los datos, al igual que las de los sectores sanitario y financiero, entre muchos otros.

Historia de la soberanía de los datos

La soberanía de los datos ha evolucionado considerablemente en los últimos 30 años aproximadamente, sobre todo para seguir el ritmo de expansión de la tecnología. El primer acto legislativo importante en relación con la soberanía de los datos, más allá de las leyes preexistentes sobre privacidad y protección de datos, fue la Directiva de Protección de Datos de la Unión Europea en 1995.

Esta directiva pretendía garantizar que las empresas que tengan datos de ciudadanos de la UE solo los almacenaran y procesaran dentro de la UE.

Mientras tanto, en Estados Unidos, la aprobación de la Patriot Act supuso un cambio en la soberanía de los datos personales y la privacidad. En virtud de esta ley, el gobierno estadounidense tenía potestad para acceder a cualquier dato almacenado físicamente dentro de las fronteras del país.

Con el tiempo, la creciente preocupación por la privacidad, la seguridad y la soberanía de los datos dio lugar a nuevas leyes. En Estados Unidos, las revelaciones de Snowden en 2013 arrojaron nueva luz sobre la cuestión al revelar que las agencias estadounidenses habían estado recopilando y monitoreando ilegalmente datos personales sensibles.

Hoy en día, el panorama de la soberanía de los datos es complejo, y algunas de las piezas clave de la legislación que tocan la soberanía de los datos son las siguientes:

  • El Reglamento General de Protección de Datos (RGPD) en la UE
  • La Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA), la Ley Gramm-Leach-Bliley y la Ley de Protección de la Privacidad Infantil en Línea en los EE.UU
  • Ley de Protección de Datos Personales y Documentos Electrónicos en Canadá
  • El Reglamento General de Protección de Datos del Reino Unido en el Reino Unido
  • La Lei Geral de Proteçao de Dados Pessoais en Brasil

Varias legislaciones estatales de Estados Unidos, como la Ley de Privacidad del Consumidor de California y la Ley de Protección de Datos del Consumidor de Virginia, también tienen implicaciones en términos de soberanía de datos.

Reduce las tasas de fraude entre un 70-90%

Asóciate con SEON para reducir las tasas de fraude en tu negocio con enriquecimiento de datos en tiempo real, machine learning de caja blanca y APIs avanzadas.

Pide una demo

La soberanía de los datos y el GDPR de la UE

El GDPR se aplica a todos los estados miembros de la UE y a todas las organizaciones que operan en esos territorios, así como a cualquier organización que controle datos que pertenezcan a un residente de la UE. Su objetivo es proteger la privacidad de los datos de todos y cada uno de esos residentes.

Los datos cubiertos por el GDPR solo pueden transferirse fuera de la UE si el país no perteneciente a la UE cuenta con leyes de protección de datos similares. Esto añade un elemento de localización de datos a los requisitos de protección de datos y privacidad del GDPR.

En virtud del GDPR, las personas tienen derecho a:

  • ser olvidados
  • solicitar todos los datos que las empresas tengan sobre ellos
  • rectificar los datos que las empresas posean sobre ellos
  • saber si sus datos han sido expuestos

Las organizaciones solo deben recopilar datos con una finalidad clara, procesarlos de acuerdo con seis bases legales e informar de cualquier infracción en un plazo de 72 horas.

La legislación del GDPR se considera especialmente importante en relación con la soberanía de los datos, ya que ha servido de inspiración para muchas leyes similares en todo el mundo.

¿Por qué es importante la soberanía de los datos?

Desde una perspectiva empresarial, la soberanía de los datos es importante, ya que las organizaciones deben cumplir los requisitos de los países y regiones en los que operan. Esto significa que las empresas deben conocer los requisitos locales e implantar políticas, procesos e infraestructuras para cumplirlos.

No hacerlo puede tener implicaciones importantes como enfrentarse a multas, pérdida de la aprobación reguladora, acciones legales, daños a la reputación, entre otras muchas sanciones.

La soberanía de los datos también es importante desde una perspectiva ética, ya que las empresas deben tener un deber de diligencia que contemple su respeto por los datos personales de sus clientes y la privacidad y sensibilidad que los rodea.

¿Qué retos plantea la soberanía de los datos?

Hay muchos retos en torno a la soberanía de los datos. Algunos de los principales dolores de cabeza para las empresas tienen que ver con cuestiones como el software como servicio (SaaS), la evolución de la legislación, los costos operativos, la movilidad de los datos y el riesgo de infracciones.

Veamos cada uno de ellos con más detalle.

TipoExplicación
Software como servicio (SaaS) e infraestructura en la nubeLos servicios SaaS y en la nube a menudo permiten a las organizaciones reducir costos al requerir menos infraestructura interna. Sin embargo, también pueden plantear problemas en cuanto a la soberanía de los datos, dependiendo de la ubicación del proveedor y de dónde y cómo recopile, almacene y procese los datos.
leyes y normativas cambiantesLos cambios en los marcos jurídicos y los acuerdos geopolíticos pueden repercutir en los requisitos de soberanía de los datos. La decisión del Reino Unido de abandonar la Unión Europea, por ejemplo, supuso que la Comisión Europea tuviera que adoptar una decisión de adecuación en relación con el régimen de protección de datos posterior al Brexit en el Reino Unido con arreglo a los términos del GDPR.
costos operativosProteger y localizar los datos no es gratuito.Las organizaciones deben invertir en:Garantizar que sus equipos tienen los conocimientos adecuados en torno a la soberanía y el tratamiento de datos, crear procesos adecuados para cumplir la normativa sobre soberanía de datos y monitorear el cumplimiento de forma continua, mantener una infraestructura adecuada para garantizar que los datos se almacenan y procesan en la ubicación o ubicaciones pertinentes, elaborar políticas claras sobre cómo recopilan, procesan y almacenan los datos para demostrar el cumplimiento de la normativa.
movilidad de los datosLa normativa sobre soberanía de los datos puede afectar al modo en que las empresas trasladan sus datos entre territorios, incluidos los acuerdos de cifrado y seguridad y las ubicaciones no permitidas.
riesgo de infraccionesLas infracciones de la soberanía de los datos pueden acarrear importantes sanciones financieras y legales para las organizaciones, así como la pérdida de reputación y de negocio.

Buenas prácticas para la soberanía de los datos

La legislación sobre soberanía de los datos puede diferir entre países y regiones, pero hay algunas buenas prácticas que se aplican a todas las organizaciones. Entre ellas se incluyen:

  • asignar tiempo y recursos suficientes para comprender todas las obligaciones aplicables en materia de soberanía de los datos
  • asegurarse de que existen procesos no solo para cumplir con la soberanía de los datos, sino también para monitorear el cumplimiento y señalar rápidamente cualquier incumplimiento o posible incumplimiento
  • comprender la finalidad de la recopilación de datos y garantizar que los datos recogidos son los mínimos necesarios para alcanzar el objetivo de la empresa
  • aplicar un estricto control de acceso y monitorearlo
  • solo conservar los datos durante el tiempo necesario
  • garantizar que todos los servicios SaaS y en la nube cumplen la legislación pertinente, incluidos los requisitos de residencia y localización de datos

Aunque la función principal de SEON es detectar y prevenir el fraude, también proporciona un entorno seguro desde el que monitorear los datos a medida que fluyen hacia tu sistema. En cumplimiento del GDPR y otros mandatos sobre datos, no almacena datos por sí mismo y ofrece distintos controles de acceso a los administradores. Aunque no es una opción de gestión de datos independiente, SEON se puede combinar fácilmente con soluciones de big data para sacar el máximo partido de los valiosos datos de tus clientes y, al mismo tiempo, respetar la legislación sobre soberanía de los datos.

Términos relacionados

KYC
KYB (Conoce tu negocio)

Artículos relacionados

Informe sobre el cumplimiento de SEON

Fuentes

“Know Your Customer” mandates: a balancing act

Contàctanos para una demo

No dudes en contactarnos para una demo!