¿Qué es la soberanía de datos? Todo lo que necesita saber por Permission.io PermissionIO Ago, 2020

El control sobre nuestros datos se ha vuelto cada vez más importante.

Con múltiples violaciones de datos y escándalos recientes de alto perfil, los gobiernos están tomando medidas adicionales para evitar que la información personal de sus ciudadanos caiga en las manos equivocadas.

La soberanía de los datos, que se ha convertido en un tema candente en la actualidad, es uno de los conceptos que los gobiernos utilizan para proteger los datos de los ciudadanos.

Pero, ¿qué es la soberanía de los datos, por qué es importante y cómo afecta a las empresas y los consumidores?

Tenga paciencia con nosotros mientras exploramos este importante tema.

La soberanía de los datos se refiere al concepto de que los datos que una organización recopila, almacena y procesa están sujetos a las leyes nacionales y a las mejores prácticas generales donde se encuentran físicamente.

En términos sencillos, esto significa que una empresa tiene que almacenar la información personal de sus clientes de una manera que cumpla con todas las regulaciones de privacidad de datos, mejores prácticas y pautas del país anfitrión.

Si la empresa no cumple o se niega a cumplir con las leyes de privacidad de datos del anfitrión, el gobierno del país puede imponer una multa u obligar a la empresa de otra manera a cumplir con sus requisitos.

Como parte de las medidas de soberanía de los datos, varios países han regulado cómo las empresas pueden manejar los datos de los ciudadanos, incluidas las ubicaciones y jurisdicciones donde las organizaciones pueden almacenar datos de los ciudadanos.

Cuando una empresa transfiere datos de un ciudadano fuera del país, el gobierno de la tercera nación puede utilizar medidas (por ejemplo, citaciones) para acceder a los datos del usuario, incluso si el ciudadano es un ciudadano extranjero.

Dado que los gobiernos buscan evitar que otras naciones adquieran los datos de sus ciudadanos, han introducido medidas de soberanía de datos que restringen la forma en que las empresas pueden transferir información personal fuera del país.

Además, la reciente ley de protección de datos de la Unión Europea, el GDPR, ha implementado reglas estrictas sobre cómo las organizaciones manejan la información personal de sus ciudadanos, incluso cuando la empresa procesa datos fuera de la región.

Como nota al margen, la soberanía de datos se utiliza a veces en el contexto de sociedades indígenas.

La soberanía de datos indígenas se refiere a la descolonización de la información personal de los pueblos indígenas que podría jugar un papel clave en el logro de la autonomía de estas sociedades.

Si bien la soberanía y la residencia de datos son dos términos que tienen significados similares, es muy fácil confundirlos.

Residencia de datos

La residencia de datos es cuando una empresa o gobierno especifica la ubicación geográfica donde se deben almacenar sus datos.

Los requisitos de residencia de datos a menudo son el resultado de razones relacionadas con políticas o regulaciones.

Veamos un ejemplo para entender esto.

Una nación tiene leyes favorables de privacidad de datos que ayudan a las empresas a manejar los procesos relacionados con los datos de manera conveniente y predecible.

Debido al entorno regulatorio favorable, las empresas elegirían este país para almacenar sus datos.

Una empresa también puede incluir la ubicación donde se guarda la información personal de sus usuarios en su política de soberanía de datos.

Un excelente ejemplo de un requisito de residencia de datos relacionado con la regulación es cuando una empresa elige almacenar los datos en un país específico debido a su entorno fiscal favorable.

Para recibir los beneficios fiscales, la empresa debe asegurarse de realizar la mayoría de sus operaciones dentro de las fronteras del país. Por lo tanto, decide almacenar sus datos en una ubicación geográfica en algún lugar del país.

Soberanía de datos

Por otro lado, la soberanía de los datos se refiere a la designación de la ubicación geográfica donde los datos se almacenan físicamente Y están sujetos a las leyes de esa nación.

Si bien la residencia de datos garantiza que los datos permanezcan en la ubicación geográfica especificada, la soberanía de los datos garantiza que la información esté sujeta a las sanciones y protecciones legales del país donde se almacena físicamente.

Para comprender nuestro tema, es esencial echar un vistazo a los eventos más importantes que llevaron a la creciente popularidad de la soberanía de datos.

Muchos atribuyen la popularidad de la soberanía de datos y el aumento de las discusiones relacionadas con las filtraciones de Edward Snowden que expusieron el programa de espionaje PRISM de la Agencia de Seguridad Nacional de Estados Unidos (NSA).

Como parte del programa, la agencia de EE. UU. Estaba recopilando información personal confidencial, incluidas fotos, correos electrónicos, credenciales de inicio de sesión en redes sociales, videollamadas y otros datos, de empresas de tecnología en los Estados Unidos (por ejemplo, Facebook, Apple, Google y Twitter). ).

El problema con el programa de espionaje era que la NSA no solo recopilaba información personal sensible de ciudadanos estadounidenses sino también de ciudadanos extranjeros.

Además del programa de espionaje de la NSA, según la Ley Patriota de EE. UU., El gobierno estadounidense tiene la autoridad para acceder a los datos que se almacenan físicamente dentro del país, independientemente de su origen.
Esto significa que, por ejemplo, los datos de los ciudadanos alemanes están expuestos al gobierno de EE. UU. Si la información se almacena físicamente en el país de América del Norte.

En medio de la preocupación de que los datos de sus ciudadanos puedan caer en manos de un gobierno extranjero, naciones de todo el mundo han introducido medidas de soberanía de datos.

El caso de Microsoft contra el Departamento de Justicia de EE. UU. (DoJ) también fue un evento de alto perfil que destacó aún más la importancia de la soberanía de los datos.

Después de que el Departamento de Justicia ordenó a la empresa de tecnología que concediera acceso a los correos electrónicos almacenados en servidores con sede en Irlanda relacionados con una investigación de narcóticos en 2013, Microsoft se negó a cumplir con la solicitud del Departamento de Justicia.

A pesar de que Microsoft declaró que cumplir con la solicitud violaría las leyes de privacidad de datos de la Unión Europea, el fallo inicial ordenó a la empresa que cumpliera con la solicitud del Departamento de Justicia.

Sin embargo, más tarde, después de que Microsoft ganó la apelación y el Departamento de Justicia cambió sus políticas relacionadas con los datos.

Muestremos un ejemplo para entender por qué la soberanía de los datos es crucial.

Abre una cuenta bancaria en los Estados Unidos, donde deposita regularmente sus fondos.

Si bien creía que la institución financiera almacenaría sus fondos en los EE. UU., Recibió una llamada del gerente del banco para informarle que su dinero se ha trasladado a un tercer país ya que el entorno regulatorio es más beneficioso allí.

Más tarde, el gobierno de esa nación decide cerrar la sucursal local de su banco. Por una razón, confisca todos los fondos que los clientes del banco tenían allí, incluido el suyo.

Afortunadamente, debido a las diferentes regulaciones financieras vigentes, el ejemplo mencionado anteriormente no podría suceder con su dinero.

Sin embargo, sin leyes que garanticen el cumplimiento adecuado de la soberanía de los datos, su información personal, que es tan valiosa como su dinero, podría ser abusada tan fácilmente como sus fondos en el ejemplo.

Antes de que la soberanía y la privacidad de los datos fueran importantes, las empresas podían (más o menos) usar la información personal de sus usuarios como quisieran.

Esto significa que las empresas de tecnología podrían vender sus datos personales sin su consentimiento a un tercero con fines publicitarios.

Un gran ejemplo de lo anterior es el escándalo de Facebook con Cambridge Analytica.

Con una aplicación llamada This Is Your Digital Life, Cambridge Analytica recopiló datos personales de los usuarios de Facebook que aceptaron participar en encuestas.

Sin embargo, Facebook permitió a la empresa recopilar los datos de los amigos de los encuestados en la plataforma de redes sociales, recolectando los datos de millones de usuarios de Facebook sin su consentimiento, utilizando la información principalmente para publicidad política.

Después de que un ex empleado de Cambridge Analytica revelara el escándalo en 2018, el evento provocó indignación entre los consumidores y los gobiernos.

Además, la infame filtración de datos enfatizó la importancia de la soberanía de los datos, y los gobiernos de todo el mundo se han centrado cada vez más en este asunto para proteger a sus ciudadanos contra las filtraciones de información.

Ahora echemos un vistazo a algunas naciones que ya cuentan con leyes de soberanía de datos.

Canadá

Canadá tiene 28 leyes de privacidad de datos, que incluyen estatutos federales, provinciales y territoriales.

Con respecto a la soberanía de datos de Canadá, debemos centrarnos principalmente en la regulación de la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA).

Según las leyes de soberanía de datos de Canadá, una organización sigue siendo responsable de la protección de los datos que transfiere a un tercero (aunque el proveedor de servicios es el que procesa o maneja la información).

Además, las empresas canadienses tienen que hacer referencia en sus políticas y procedimientos de privacidad si transfieren datos a terceros fuera de las fronteras del país.

La Ley de Privacidad de Quebec es más estricta con las organizaciones locales, ya que deben garantizar que la información personal transferida a terceros fuera del estado se utilice solo para los fines previstos por la empresa.

Al mismo tiempo, la regulación de soberanía de datos del estado evita que los proveedores de servicios transfieran datos a terceros sin consentimiento.

Si una organización no puede garantizar que el proveedor de servicios externo fuera de Quebec tenga las medidas adecuadas de protección de datos, debe rechazar la transferencia.

California, Estados Unidos (CCPA)

También es importante mencionar la Ley de privacidad del consumidor de California (CCPA), una de las leyes de privacidad de datos más importantes de los Estados Unidos.

Después de entrar en vigencia el 1 de enero de 2020, la CCPA introdujo un conjunto de leyes de privacidad para las organizaciones que hacen negocios en California que se ajustan a uno de los siguientes criterios:

Tener un ingreso bruto anual de más de $ 25 millones Comprar, recibir o vender los datos personales de al menos 50,000 hogares o consumidores Obtener más del 50% de sus ingresos anuales de la venta de datos personales de los consumidores

Según la CCPA, las organizaciones deben divulgar los datos personales que recopilan, el propósito de la recopilación y los terceros con los que comparten la información.

Los consumidores pueden exigir la eliminación de sus datos de las empresas y también pueden optar por no vender su información personal.

En el último caso, la CCPA prohíbe a las organizaciones aumentar el precio o cambiar el nivel del servicio para los consumidores que no quieren que las empresas vendan sus datos. Sin embargo, la ley de privacidad de datos permite a las empresas ofrecer incentivos financieros a sus clientes a cambio de la recopilación de datos o la capacidad de vender su información personal.

Además, si una organización viola las pautas de privacidad de la CCPA, los consumidores pueden demandar a la empresa.

Cuando las autoridades de California descubren una violación de las pautas de la CCPA, las empresas tienen 30 días para cumplir con las leyes de privacidad después del aviso oficial del regulador.

Si una organización no resuelve sus problemas dentro de ese plazo, los reguladores de California pueden imponer una multa de hasta $ 7,500 por registro. Como no existe un límite superior para la multa, una empresa que procesa los datos de millones de consumidores podría pagar miles de millones por violar la CCPA.

A diferencia del RGPD de la UE, la CCPA no restringe las transferencias internacionales de datos.

Unión Europea (GDPR)

Cuando se trata de leyes de privacidad de datos, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea es lo que viene a la mente de la mayoría de las personas.

Después de su aprobación en 2016 por el Parlamento de la UE, el RGPD requiere que todas las organizaciones, dentro y fuera de la Unión Europea, cumplan con estrictas reglas de privacidad de datos cuando recopilen, procesen o almacenen información personal de ciudadanos de la UE.

Discutiremos la soberanía de los datos y el RGPD más a fondo más adelante en este artículo.

Alemania

Alemania ha estado entre los líderes en privacidad y protección de datos.

Además del GDPR de la UE, el país europeo ha implementado la nueva Ley de Privacidad alemana (BDSG-new) que restringe las transferencias de datos a terceros países.

Según las leyes de soberanía de datos de Alemania, las empresas que procesan la información personal de los ciudadanos de la nación deben cumplir con los requisitos de protección de datos del gobierno alemán, incluso si se encuentran fuera de las fronteras del país.

Según el BDSG-new, aquellos que infrinjan las leyes de protección de datos de Alemania, por ejemplo, transfiriendo datos ilegalmente a terceros, podrían enfrentar cargos penales con hasta tres años de prisión.

Francia

Al igual que Alemania, además de las reglas del GDPR, Francia ha implementado sus propias leyes de soberanía de datos para proteger a sus ciudadanos.

Según la Ley de Protección de Datos 2 de Francia, cuando una organización interactúa con la información personal de sus ciudadanos, incluso si procesa los datos fuera de las fronteras del país, debe cumplir con las regulaciones francesas además de cumplir con los requisitos de GDPR.

Australia

En Australia, las leyes de soberanía de datos vienen en forma de la Ley Federal de Privacidad de 1988 y sus Principios de Privacidad de Australia (APP).

De manera similar a las medidas de soberanía de datos de Canadá, la organización que transfiere los datos a un tercero es responsable de cómo ese proveedor de servicios maneja la información y si cumple con las aplicaciones.

Además, las organizaciones australianas deben asegurarse de que el tercero no infrinja las aplicaciones mientras procesa los datos.

El GDPR es una de las leyes de privacidad de datos más importantes que los gobiernos han implementado para proteger la información personal de sus ciudadanos.

Por infringir el RGPD, las organizaciones pueden recibir una multa de hasta 20 millones de euros o el equivalente al 4% de su facturación global.

Después de entrar en actividad en 2018, las autoridades de la UE han impuesto multas de casi 500 millones de euros a las organizaciones que han violado los requisitos de protección de datos del RGPD.

Además de reglas como el derecho al olvido, el GDPR también incluye medidas de soberanía de datos.

Según el RGPD, las organizaciones que recopilan o procesan la información personal de los ciudadanos de la UE deben almacenar los datos dentro de la región o en una jurisdicción que ofrezca niveles de protección de datos similares.

Además, no importa dónde la empresa almacene, recopile o procese los datos, tiene que cumplir con las reglas del GDPR en caso de que maneje la información personal de los ciudadanos de la Unión Europea.

Desde el punto de vista del consumidor, los requisitos de soberanía de datos regulan la forma en que las empresas interactúan con la información personal de sus clientes y, al mismo tiempo, evitan que los proveedores de servicios externos abusen de los datos.

Si bien los requisitos de soberanía de datos no se introducen en todos los países y no pueden proteger completamente los datos de los usuarios, las regulaciones adecuadas desalientan a las organizaciones de abusar de la información personal de sus usuarios.

Si bien los consumidores suelen ser los que se benefician de los requisitos de soberanía de datos, las empresas deben encontrar formas de cumplir con las leyes de seguridad y privacidad de datos relevantes de cada nación.

Por lo tanto, además de conocer las leyes de privacidad de datos locales, regionales e internacionales, las organizaciones deben desarrollar una infraestructura nueva o utilizar la existente para la recopilación, el procesamiento y el almacenamiento de datos que se alinee con todos los requisitos de soberanía de datos relevantes.

Las medidas de soberanía de datos también podrían complicar las cosas para las empresas que almacenan sus datos en la nube.

Por ejemplo, una organización australiana tiene dos opciones para cumplir con las leyes de soberanía de datos de sus países.

La empresa puede elegir un proveedor de servicios en la nube para almacenar y procesar sus datos, pero debe asegurarse de que el tercero cumpla con todas las leyes y requisitos pertinentes; O La empresa puede elegir un servicio en la nube que opere y almacene y procese datos exclusivamente dentro de las fronteras nacionales de Australia para evitar que la información personal confidencial salga del país.

Está claro que cualquiera que sea la opción que elija la empresa, requiere un trabajo preliminar adicional por parte de la empresa.

Sin embargo, hacerlo ayuda a garantizar que los datos de los ciudadanos de la nación permanezcan seguros (r) con soberanía de datos.

Es bueno ver que varios gobiernos están implementando medidas de soberanía de datos para garantizar que las organizaciones traten la información personal de sus ciudadanos de manera adecuada.

Sin embargo, a pesar de las estrictas leyes, todavía estamos muy lejos de alcanzar la verdadera soberanía de los datos.

Las empresas aún pueden aprovechar nuestra información personal y usarla para aumentar sus ganancias vendiendo nuestra información a los proveedores de datos mientras nosotros no recibimos nada a cambio.

Permission.io está decidido a terminar con esto mediante la creación de una plataforma de publicidad basada en de próxima generación donde los usuarios tienen control total sobre sus datos.

Si un usuario da permiso a un anunciante para usar sus datos o aprovecha su tiempo para interactuar con las campañas del anunciante, se le recompensa con la criptomoneda ASK de Permission.io. El usuario puede retener, cambiar o gastar la moneda en la Tienda Permission.io.

Por otro lado, al dirigirse solo a los consumidores con anuncios para los que les han otorgado permiso, las empresas se ganan la confianza y la lealtad de sus usuarios mientras construyen relaciones a largo plazo y logran una visión holística de las necesidades de sus clientes en tiempo real.

Eche un vistazo al sitio web oficial de Permission.io para obtener más información sobre el modelo de publicidad beneficioso para todos que está cambiando quién controla y se beneficia de nuestros datos.