Localización de datos: ¿la bala mágica?


A raíz de la Schrems II decisión(1)y más a la luz del fallo de Facebook del viernes(2), la pregunta en la mente de todos es cómo proteger verdaderamente los datos personales de las miradas indiscretas de las agencias de seguridad nacional de todo el mundo. A pesar de las pautas detalladas(3) emitido en noviembre de 2020, a falta de nuevas directrices definitivas para la transferencia de datos a través de las fronteras europeas(4), muchos comienzan a preguntarse si la localización de datos es la solución mágica para proteger los datos personales.

Los términos 'soberanía de datos ", "residencia de datos " y 'localización de datos " son una fuente de confusión para la mayoría de las personas. Son efectivamente tres grados de un solo concepto: cómo la privacidad de los datos impacta los flujos de datos transfronterizos. Este tema se ha vuelto cada vez más importante a raíz de la Schrems II decisión y su requisito de que las organizaciones al procesar datos personales deben garantizar que su privacidad no se ponga en riesgo y esté sujeta a la vigilancia gubernamental cuando se compartan a través de las fronteras.

Residencia de datos se refiere al país donde una organización especifica que se almacenan sus datos, generalmente por razones normativas o políticas. Un ejemplo común de requisito de residencia de datos es para fines fiscales: para demostrar que una organización realiza una mayor parte de su negocio en un país determinado, pondrá en marcha una infraestructura que requiere una gestión de datos estricta para proteger sus derechos fiscales.

Soberanía de datos difiere de la residencia de datos en que no solo los datos se almacenan en una ubicación designada, sino que también están sujetos a las leyes del país en el que se almacenan físicamente. Esta diferencia es crucial, ya que habrá diferentes requisitos de privacidad y seguridad según la ubicación física de los centros de datos. Desde una perspectiva legal, la diferencia es importante porque los derechos de acceso a los datos de un gobierno varían de un país a otro.

Localización de datos es el concepto más estricto de los tres, razón por la cual a menudo se le llama "localización de datos duros”. Requiere que los datos creados dentro de ciertas fronteras permanezcan dentro de ellos y casi siempre se aplica a la creación y almacenamiento de datos personales, sin excepción. Un buen ejemplo es la Ley de datos personales de Rusia (Ley OPD), que exige que el almacenamiento, la actualización y la recuperación de datos sobre sus ciudadanos se limiten a los recursos del centro de datos dentro de la Federación de Rusia.

En el post-Schrems II En todo el mundo, algunas organizaciones han opinado que el RGPD requiere la localización de datos físicos. Entonces, la pregunta es si tales prácticas son realistas y si ofrecen una protección de privacidad similar a la del GDPR.

¿Cuáles son las implicaciones de la localización de datos físicos?

La localización de datos va en contra de los principios de la computación en la nube (e Internet), lo que permite el libre flujo de datos para su mayor uso. También es potencialmente contrario a los principios de libre circulación de datos según la legislación de la UE.(5). Internet es global y, más allá de Internet, la mayoría de las empresas operan en un entorno global integrado, teniendo en cuenta que "el acceso remoto de una entidad desde un tercer país a datos ubicados en el EEE también se considera una transferencia".(6).

El costo de operar un servicio localizado también debe tenerse en cuenta, incluidos los costos de soporte, ingeniería (por ejemplo, desarrollo, depuración y mantenimiento) y respaldo (por ejemplo, redundancia). Por tanto, si bien la creación de infraestructura local puede implicar a corto plazo puestos de trabajo para las economías locales, la realidad es que, dado que suelen estar totalmente automatizados, los dividendos de empleo e inversión pueden ser de corta duración.

La localización de datos también se promociona a menudo como un medio para proteger los datos de los ciudadanos europeos de 3rd vigilancia del gobierno del país, en particular el acceso del gobierno de los EE. UU. en virtud de la Ley CLOUD. Si bien la localización ofrece algunas protecciones (es decir, contra la transferencia de datos fuera del territorio), no significa automáticamente que los datos se protegerán adecuadamente en el país. Por ejemplo, la localización de datos no significa que se cumplan los estándares de cifrado adecuados, ni significa que no haya vigilancia local, incluso en los países adecuados.(7).

Probablemente hayas oído hablar de las Alianzas Cinco OJOS, Nueve OJOS y Catorce OJOS. Si no, se trata de acuerdos de intercambio de inteligencia. Inicialmente, la Alianza de los Cinco Ojos surgió de la era de la guerra fría y fue un pacto entre los Estados Unidos y el Reino Unido destinado a descifrar la inteligencia rusa soviética. A fines de la década de 1950, Canadá, Australia y Nueva Zelanda también se unieron a la Alianza. Estos cinco países de habla inglesa son Five Eyes Alliance. Además de esta alianza, se conocen públicamente otros dos acuerdos internacionales de intercambio de inteligencia: las alianzas Nine Eyes (Five Eyes + Dinamarca, Francia, Holanda, Noruega) y Fourteen Eyes (Nine Eyes + Alemania, Bélgica, Italia, Suecia, España). ).

Con esto en mente, algunas empresas argumentan, sin evidencia, que al hacer negocios desde una jurisdicción determinada, pueden ofrecer una protección más adecuada contra la vigilancia. Y sin mucha sorpresa, ningún país, incluso dentro de la Unión Europea, ofrece el mismo nivel de protección contra la vigilancia, y la actividad de vigilancia de los EE. UU. No es mucho más extensa que la de otros países que se considera que brindan la protección adecuada.(8) Tomemos, por ejemplo, el uso de una VPN para proteger la privacidad. Muchos proveedores argumentan que elegir una VPN fuera de los países del 5/9/14 Eyes puede ofrecer una mayor protección.

La verdad es que una vez que se dice esta afirmación tan obvia, la pregunta permanece abierta por muchas razones válidas. Las VPN son operaciones internacionales, lo que significa que, efectivamente, cualquier organización que opere en un país determinado puede ser responsable ante la aplicación de la ley de ese país, ya sea por tratado o por cualquier otro tipo de orden judicial. Si un país no tiene un tratado general y no es parte de los ojos del 9/5/14, no hay nada que impida que un país ejerza presión política sobre el otro (sanciones, por ejemplo) para obtener lo que quiere. Además, operar en un país determinado, por ejemplo Panamá, no significa que un país se negará a cooperar con las autoridades de otro país, como Canadá.

Hay pocas posibilidades de encontrar un país que sea completamente inmune a las leyes de acceso a datos de una forma u otra, y nada puede evitar que un país presione a otro para obtener lo que quiere. Eso también funciona para empresas. Por ejemplo, Microsoft anunció recientemente que ha "respondido al llamado de Europa" (9), pero no puede rechazar una solicitud basada en la Ley CLOUD, y la compensación ofrecida por Microsoft por una violación del GDPR no es equivalente al recurso a una recurso judicial disponible según lo solicitado en virtud de la decisión Schrems II.

Ahora bien, una vez dicho todo lo anterior, debe tenerse en cuenta que solo porque ser anónimo es imposible, no debe intentar proteger sus datos personales tanto como sea posible, o solicitar a las empresas que cumplan estrictamente con la minimización de datos. principios. Con todo, los gobiernos no tendrían acceso a tantos datos si las empresas no tuvieran tantos datos. La minimización de datos termina siendo no solo una buena herramienta para aumentar la seguridad, ya que los atacantes no pueden robar lo que no tienes, sino también porque potencialmente podría ayudar a las personas a disminuir los costos de redundancia de datos, almacenamiento, etc.

¿Cuáles son las implicaciones para la ciberseguridad?

En 2020, la sociedad de Internet redactó un informe sobre las implicaciones de la localización de datos para la ciberseguridad que tiene mucho mérito, y afirmó que “la ciberseguridad puede sufrir ya que las organizaciones tienen menos capacidad para almacenar datos fuera de las fronteras con el objetivo de aumentar la confiabilidad y mitigar una amplia variedad de riesgos, incluidos los ciberataques y desastres nacionales ".(10)

Las prácticas de localización de datos pueden dañar los servicios de ciberseguridad a través de los siguientes hechos:

  • Una reducción de la información disponible aumentará los riesgos de ciberataques.
  • Un aumento de costos para implementar y mantener herramientas de última generación en diferentes regiones de localización.
  • Una reducción en el almacenamiento redundante que aumenta las pérdidas de datos o la interrupción de la red en el caso de un mal funcionamiento del hardware o un desastre natural.
  • Menos opciones en soluciones de almacenamiento distribuido, que ayudan a implementar protocolos de privacidad, integridad y contraintrusión en las redes.

Esta línea de pensamiento también se aplica a la venta de datos a terceros no seguros dentro de la misma región o la prevención del acceso no autorizado a los datos obtenidos por terceros.

Algunos también argumentan que la localización de datos interfiere con la prevención del fraude. Por ejemplo, la incapacidad de reflejar datos en varios centros de datos puede evitar que el proveedor vea patrones y tendencias de fraude u otros riesgos.

Se puede presentar la localización de datos por algunos como una fórmula mágica, pero las implicaciones completas aún no se han entendido por completo. Por lo tanto, las políticas o prácticas comerciales que requieren la localización forzada de datos deben pensarse detenidamente, ya que pueden afectar el flujo libre de datos, pueden comprender la capacidad de escalar plataformas y servicios para clientes globales, además de los muchos daños a la seguridad cibernética que pueden afectar la efectividad operativa.

Descargo de responsabilidad: este blog refleja las opiniones personales de los autores. Todas las declaraciones, opiniones y errores son propiedad de los autores y no de McAfee. Las declaraciones en este blog no constituyen asesoramiento legal, y cada empresa debe determinar por sí misma sus obligaciones bajo todas las leyes. Nada aquí establece una relación abogado-cliente.

(1) https://www.europarl.europa.eu/RegData/etudes/ATAG/2020/652073/EPRS_ATA(2020)652073_EN.pdf

(2) La UE-EE. UU. El problema de la transferencia de datos es más grande de lo que la mayoría de la gente cree (linkedin.com)

(3) Recomendaciones 2020/1 y 2020/2 del EDPB: https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

(4) Cláusulas contractuales estándar europeas, disponibles en https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

(5) El Parlamento Europeo considera “la libre circulación de datos como la quinta libertad en el mercado único tras la libre circulación de personas, bienes, servicios y capitales” – Morrison Foerster Client Alert “Nuevo reglamento de la UE para fortalecer la libre circulación de datos 06 de noviembre de 2018 " https://www.mofo.com/resources/insights/181106-eu-regulation-data-movement.html

(6) https://iapp.org/news/a/why-this-french-court-decision-has-far-reaching-consequences-for-many-businesses/

(7) Por ejemplo, las leyes de vigilancia francesas autorizan la vigilancia no solo para combatir el terrorismo y otros delitos, sino también para proteger los principales intereses económicos, industriales y científicos de Francia.

(8) https://www.comparitech.com/blog/vpn-privacy/surveillance-states/

Canadá es parte de los 5 ojos, pero ha demostrado repetidamente su compromiso con el acceso a Internet gratuito y sin restricciones y tiene fuertes protecciones para la libertad de expresión y prensa, y el gobierno ha expresado su apoyo a la neutralidad de la red. Irán no forma parte de ninguna de las alianzas conocidas. Sin embargo, los proveedores de VPN deben solicitar la aprobación del gobierno antes de proporcionar sus servicios, y las personas que acceden a la red internacional de Internet utilizando VPN sin dicha aprobación corren el riesgo de hasta 1 año de prisión.

(9) https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/

(10) https://www.internetsociety.org/resources/doc/2020/internet-impact-assessment-toolkit/use-case-data-localization/





Enlace a la noticia original