Cumplimiento y la nube: explicación de la soberanía de datos para los MSP

14.06.22 12:24 PM - Por Sthefania

Comprender la soberanía de los datos y cómo superar sus desafíos es fundamental para el MSP moderno. explica Acronis. 

De la misma manera que usted está sujeto a las leyes que existen donde vive, diferentes países tienen leyes específicas que determinan cómo se pueden tratar y almacenar los datos que residen en ese país, así como qué se debe hacer para protegerlos.


Pero los datos pueden moverse, especialmente en la era de la nube, en la que los servicios y la infraestructura pueden existir en cualquier parte del mundo. Esto hace que sea especialmente importante determinar a qué regulaciones se rigen sus clientes en un momento dado.


El concepto de soberanía de los datos se concibió para regir el cumplimiento de las normas locales sobre la recopilación, el almacenamiento y el procesamiento de datos. Hay más de 100 países con leyes de soberanía de datos, lo que agrega restricciones que a menudo son difíciles de navegar para los proveedores de servicios. Comprender la soberanía de los datos y cómo superar sus desafíos es fundamental para el MSP moderno.


¿Qué es la soberanía de datos?


Si bien es importante comprender qué es la soberanía de datos, en realidad no existe una definición universalmente acordada.

Algunos usan el término para referirse al derecho individual de cualquier persona a controlar sus propios datos. Otros lo ven como un término para abordar cómo las empresas usan los datos, en lugar de las leyes que les exigen protegerlos. Aún otros usan el término para describir la noción de que los estados deben tener el derecho de mantener el control sobre los datos creados dentro de sus fronteras.


A los efectos de este manual, la soberanía de datos se definirá por cómo se entiende en el contexto legal más amplio:


“La soberanía de datos es el concepto de que la información, que ha sido convertida y almacenada en forma digital binaria, está sujeta a las leyes del país en el que se encuentra”


Los propietarios de datos o los proveedores de servicios administrados (MSP) deben conocer estas leyes para evitar violar las restricciones sobre cómo se pueden usar o procesar esos datos. También es posible que, dependiendo de la ubicación, necesiten poder dar cuenta de los datos para demostrar el cumplimiento de dichas leyes.


También cabe señalar que, en algunos casos, el alcance de la soberanía de datos va más allá de las fronteras del país donde se encuentran los datos; por ejemplo, los datos de un residente de la Unión Europea almacenados en los Estados Unidos.

Por lo tanto, una definición más completa de soberanía de datos sería “la medida en que los datos están sujetos a las leyes de un país, sin importar dónde se almacenen”.


Para mayor claridad, cabe señalar que la soberanía de datos no es sinónimo de privacidad de datos.  Las leyes de privacidad de datos, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, se refieren a cómo las empresas pueden proteger de manera responsable los datos de las personas. En este sentido, la soberanía de datos de sus clientes determina la aplicabilidad de tales leyes de privacidad de datos.


Otros conceptos similares que podrían confundirse con la soberanía de datos incluyen la residencia de datos, que se relaciona con las ubicaciones donde se guardan los datos (no las leyes que los rigen) y la localización de datos , en la que los estados afirman que los datos no pueden salir de sus límites. Si bien esta última podría ser la expresión más extrema de la soberanía de los datos, no es en sí misma una descripción del término.

Sin embargo, las leyes de localización de datos se han duplicado en los últimos diez años, lo que demuestra claramente cómo esta gran preocupación para las organizaciones solo está creciendo.


Los desafíos de la soberanía de datos


Hay muchos factores que pueden dificultar el cumplimiento de los requisitos de soberanía de datos para usted y sus clientes. Es en gran parte un problema que surge con el éxito: cuanto más grande es su cliente, más probable es que tenga datos que se encuentren bajo múltiples restricciones de soberanía de datos.


Algunos de los desafíos que conlleva estar sujeto a los requisitos de soberanía de datos de uno o más países incluyen:

Cambios rápidos: dado que la soberanía de datos es un concepto bastante nuevo, las leyes que promulgan los países para establecer su soberanía de datos están cambiando a un ritmo rápido. Ocasionalmente, estos cambios pueden ser positivos, como cuando la nueva legislación permite transferencias legales de datos entre países. Sin embargo, este no es siempre el caso.


Crecimiento: cuantos más datos tengan sus clientes, más complicado puede volverse comprender qué leyes de soberanía de datos se aplican a ellos. Las organizaciones que crecen más allá de su país de origen original, o que aceptan clientes de todo el mundo, encontrarán rápidamente que sus requisitos de soberanía de datos se acumulan.


Movilidad de datos: las nuevas leyes pueden significar nuevas restricciones sobre cómo se pueden mover los datos entre países. Esto puede limitar la disponibilidad de ciertos servicios en la nube y ubicaciones para sus datos. La soberanía de los datos también puede extenderse a cómo se pueden mover los datos entre repositorios, lo que requiere ciertos niveles de cifrado para los datos en tránsito y en reposo. Sin embargo, no todos los métodos de transferencia de datos permiten un nivel óptimo de protección cibernética.


Transparencia: poder mostrar cómo su equipo maneja los datos confidenciales de los clientes es clave para demostrar el cumplimiento de las leyes de soberanía de datos, pero ese nivel de transparencia tecnológica puede ser difícil de proporcionar. Algunas organizaciones no cuentan con el personal o las herramientas necesarias para describir cómo funciona la recopilación y el uso de datos.


La nube: si bien sus beneficios son innumerables para sus clientes, la nube plantea problemas de soberanía de datos debido a la naturaleza dispersa de su infraestructura. Si las organizaciones no tienen cuidado, sus implementaciones en la nube podrían extenderse a diferentes regiones con diferentes leyes de soberanía de datos. Por otro lado, cumplir con ciertas restricciones de soberanía de datos puede limitar las opciones cuando se trata de los servicios en la nube que pone a su disposición.


Riesgos de infracción: los gobiernos hacen cumplir sus leyes de soberanía de datos con multas. Entrar en conflicto con la soberanía de datos de un país también puede causar un daño duradero a la relación entre la organización y ese país, lo que puede conducir a una pérdida de negocios. Ciertas violaciones de la soberanía de los datos podrían dar lugar a un enjuiciamiento, según el presunto delito.


Mayores costos: usted o sus clientes podrían enfrentar mayores costos operativos debido a la soberanía de los datos, desde la capacitación interna sobre leyes adicionales hasta los cambios en la capa de datos necesarios para adaptarse a las nuevas reglas y regulaciones.

Cómo abordar la soberanía de datos


No importa dónde almacene los datos de sus clientes, es fundamental que conozca las leyes de soberanía de datos relevantes, especialmente si esos datos abarcan más de una región con regulaciones distintas. Estas leyes afectarán todos los niveles de la implementación de sus servicios, desde dónde se almacenan los datos hasta cómo se comparten en la canalización de desarrollo y la oficina de la sala de juntas de su cliente.


De alguna manera, los MSP que están preparados para una transformación digital tienen una ventaja aquí, ya que pueden diseñar su entorno o servicios en la nube para alinearse mejor con los objetivos de soberanía de datos. Para las implementaciones que ya están en la nube, o que se extienden a ambos lados de la nube y los centros de datos con implementaciones híbridas, es posible que se necesiten más esfuerzos para asegurarse de que todos estos componentes cumplan con las regulaciones.


Una clave para mantener cierto grado de flexibilidad con respecto a su enfoque de la soberanía de los datos es evitar quedarse encerrado en una sola plataforma. Saber dónde desea guardar los datos es el primer paso, pero también deberá comprender cómo las leyes locales lo harán responsable de los datos que se posean dentro de las fronteras de ese país. Estas decisiones tendrán un gran impacto en el control de sus costos operativos y en hacer llegar los datos a la mayoría de los usuarios finales de sus clientes. Sin embargo, la facilidad para lograr esto también dependerá de dónde se encuentren sus datos. 


Las organizaciones, y especialmente las empresas gubernamentales y del sector privado, tienden a operar con estrictos niveles de confidencialidad. Sin embargo, esto puede ir en contra de los objetivos de la soberanía de datos. Algunas leyes que rigen los datos, como el RGPD, requieren que los usuarios autentiquen cómo se utilizan los datos y dónde se encuentran. La transparencia y la "privacidad por diseño y por defecto" deben integrarse en los servicios que utiliza para cumplir con dichos requisitos.


Asegurarse de que sus servicios estén alineados con las leyes de soberanía de datos relevantes requerirá atención y cuidado constantes. Las herramientas de gobierno de datos que pueden monitorear e informar sobre sus datos para ayudarlo a comprender sus responsabilidades legales y transmitir esa información a las autoridades pertinentes pueden ayudar significativamente con esta necesidad. Mire hacia las soluciones de almacenamiento en la nube que se basan en centros de datos seguros y compatibles que admiten una variedad de ubicaciones físicas, y hacia los proveedores que han adoptado un enfoque de seguridad de ciclo de vida completo.

Sthefania