¿Qué es la Soberanía de Datos?

La soberanía de los datos es el principio de que los datos están sujetos a las leyes y estructuras de gobernanza del país o la jurisdicción donde se recopilan o almacenan. Esto puede influir en la capacidad de un gobierno para implementar autoridad legal sobre los datos que residen físicamente dentro de sus fronteras, independientemente de dónde la organización almacene principalmente los datos.

Esto es importante porque el conjunto de reglas que rige sus datos no depende de dónde se encuentre su empresa. Se determina por dónde se almacenan los datos. Por ejemplo, una empresa de EE. UU. que aloja registros de clientes en servidores con sede en Fráncfort está sujeta a la legislación de la UE para esos registros, así como a la legislación estadounidense.

Estos tres términos están interconectados pero no son idénticos. La observancia del cumplimiento puede verse afectada por variaciones en su aplicación.

•     La soberanía de los datos es un concepto legal. Es el derecho de una nación a regular los datos dentro de su territorio. Aborda la pregunta: “¿Quién tiene jurisdicción?”
•     La residencia de datos es un requisito legal o contractual que estipula dónde deben ubicarse geográficamente los datos. Aborda la pregunta: “¿Dónde residen los datos?”
•     La localización de datos presenta la forma más estricta. Un requisito legal que exige que los datos se almacenen y procesen dentro de un país, con restricciones de transferencia transfronteriza. Aborda la pregunta “¿Pueden sacarse los datos del país en absoluto?”

Una nube soberana es un servicio en la nube diseñado según las necesidades de soberanía de datos de un país. Para tener la certeza de que gobiernos, tribunales y corporaciones extranjeras no pueden obtener datos sin el permiso del país anfitrión, las nubes soberanas son operadas por entidades locales (o a través de asociaciones estrictamente controladas), a diferencia de las nubes públicas estándar gestionadas por hiperescaladores globales.

•     Gestionado y de Propiedad Local: Operado por una empresa local o una empresa conjunta donde los locales tienen la mayoría.
•     Aislamiento Jurisdiccional: Las regulaciones nacionales o regionales donde residen los datos pueden influir en el proceso de las transferencias de datos transfronterizas.
•     Adecuación Regulatoria: Se realizan de acuerdo con las leyes nacionales, como GDPR, SecNumCloud de Francia o el estándar C5 de Alemania.

Los riesgos empresariales implican:

La soberanía de los datos no se trata solo de cumplir con los requisitos legales; también implica tener los sistemas técnicos adecuados. Para hacer cumplir verdaderamente la soberanía, deben combinarse varias tecnologías:

1.   Las plataformas de nube soberana se refieren a infraestructuras locales operadas dentro de límites legales y geográficos definidos, evitando así la dependencia de sistemas controlados por potencias extranjeras.
2.   Las Claves de Cifrado Gestionadas por el Cliente (CMEK) proporcionan a la organización control sobre las claves de cifrado, lo que podría restringir la capacidad del proveedor de la nube para descifrar datos, incluso en respuesta a solicitudes legales.
3.   Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) son dos niveles diferentes que se ofrecen al cliente para que conserve la clave. La nube normalmente facilita las operaciones criptográficas, pero generalmente no descifra los datos.
4.   Los controles de residencia de datos son configuraciones que limitan la replicación o copia de seguridad de datos a regiones específicas.
5.   La computación confidencial proporciona soporte de hardware (por ejemplo, a través de Intel SGX o AMD SEV) para proteger los datos mientras se procesan, además de los datos en reposo o en tránsito.
6.   La arquitectura de confianza cero se basa en verificar siempre la identidad y el principio de mínimo privilegio para el acceso.

La aplicación práctica de la soberanía de datos puede implicar consideraciones complejas. Las principales preocupaciones se clasifican en tres áreas clave:

1.   Costo. El costo asociado con la construcción soberana Infraestructura en la nube es distinto del de una estándar nube pública.
2.   Gestión. Las organizaciones que operan en múltiples jurisdicciones tienen que seguir diferentes conjuntos de reglas en cada país.
3.   Leyes. Los sistemas jurídicos soberanos pueden dar cabida a interpretaciones divergentes, y las soluciones técnicas pueden no constituir una respuesta universalmente aplicable.

Otras áreas de consideración incluyen:

•     A diferencia de los hiperescaladores globales, la cantidad de proveedores más pequeños que cumplen con la soberanía puede estar asociada con sus ofertas de características.
•     Las diferencias en el desarrollo de estándares entre países pueden influir en la creación de una postura de cumplimiento global consistente.