Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de GDPR > Soberanía de Datos y GDPR [Entendiendo la Seguridad de Datos]
Blog Banner - Data Sovereignty and GDPR [Understanding Data Security]

Soberanía de Datos y GDPR [Entendiendo la Seguridad de Datos]

by Tim Freestone updated diciembre 12, 2024 Cumplimiento de GDPR
Reading Time: 9 minutes

La soberanía de datos puede causar confusión para muchos profesionales de la seguridad, así que vamos a cubrir qué es y cómo se relaciona con la seguridad de datos de tu empresa.

¿Qué es la Soberanía de Datos?

La soberanía de datos es el concepto de que la información, y la protección y gestión de esa información, pertenece a la nación o individuo en el que se origina. Es la creencia de que los datos que pertenecen a un ciudadano francés, por ejemplo, no deberían estar sujetos a las leyes y regulaciones de EE. UU. solo porque los datos se almacenan o procesan por una empresa estadounidense. En su lugar, la empresa estadounidense debería almacenar los datos en Francia y esos datos deberían estar sujetos a las leyes francesas o de la Unión Europea (UE). Este concepto está cobrando cada vez más importancia en la era digital, ya que la computación en la nube y otros servicios requieren que los datos personales e información confidencial se transfieran a través de fronteras.

¿Por qué es Importante la Soberanía de Datos?

La soberanía de datos es importante porque regula cómo deben ser gobernados y asegurados los datos, específico al país donde fueron recolectados y no donde reside el recolector.

Los individuos se benefician de la soberanía de datos, ya que se les asegura que sus datos están seguros y a salvo de interferencias o accesos externos. La soberanía de datos puede proteger los datos de accesos o usos no autorizados y asegura que los datos no se utilicen para propósitos que no estén en el mejor interés del negocio. Además, la soberanía de datos puede asegurar a las empresas que sus datos, así como los datos de sus clientes, estarán seguros y permanecerán en la jurisdicción donde se originaron. Esto puede hacer que las empresas se sientan más confiadas al usar almacenamiento en la nube y otros servicios digitales que requieren transferencia de datos a través de fronteras. Finalmente, puede asegurar a las empresas que sus datos permanecerán protegidos incluso si cambian de proveedores, ya que los datos permanecerán dentro de la misma jurisdicción.

Una empresa que no cumpla con las leyes de soberanía de datos puede ser responsable de cualquier pérdida monetaria que resulte del acceso o uso indebido de los datos. Además, la empresa puede enfrentar repercusiones legales por no cumplir con las leyes de privacidad relevantes. El riesgo reputacional es otra consideración. Una empresa puede sufrir en el tribunal de la opinión pública si los clientes actuales y potenciales se enteran del fracaso de la empresa en proteger los datos de los clientes.

Las organizaciones enfrentan varios problemas al interpretar la soberanía de datos. La soberanía es una regulación específica del estado que requiere que la información recolectada y procesada en un país debe permanecer dentro de las fronteras de ese país y debe adherirse a las leyes de ese país.

Esto puede proporcionar leyes complejas, interconectadas y conflictivas que las empresas deben seguir. Por ejemplo, un país que recolecta información en la UE podría usar servidores en la nube de Microsoft Azure o Google. Ambos son empresas estadounidenses gobernadas por la ley de EE. UU., lo que significa que podrían estar sujetas a solicitudes legales del gobierno para divulgar, una violación de las leyes de privacidad de datos de la UE.

Requisitos de Residencia de Datos del GDPR

Los requisitos de residencia de datos de la UE se refieren a regulaciones que requieren que las empresas almacenen y procesen datos personales de residentes de la UE dentro de las fronteras de la Unión Europea. Bajo el GDPR, los residentes de la UE tienen el derecho de controlar sus datos personales, incluyendo el derecho a acceder, rectificar, borrar, restringir y transferirlos. Las empresas que recolectan y procesan datos de ciudadanos de la UE deben cumplir con las regulaciones del GDPR, que incluyen obtener consentimiento explícito, implementar medidas de seguridad apropiadas y reportar violaciones de datos dentro de las 72 horas.

El requisito de residencia de datos busca proteger los derechos de privacidad de los residentes de la UE al prevenir que sus datos personales sean transferidos a países con estándares de privacidad más bajos que podrían resultar en un uso indebido. Las empresas que operan en la UE deben asegurarse de que sus sistemas de almacenamiento y procesamiento de datos cumplan con los requisitos del GDPR. El incumplimiento podría llevar a multas considerables y acciones legales.

Soberanía de Datos vs. Privacidad de Datos vs. Localización de Datos vs. Residencia de Datos

La soberanía de datos, la privacidad de datos, la localización de datos y la residencia de datos son cuatro conceptos interconectados que juegan un papel significativo en el panorama digital moderno. A medida que el flujo global de información se expande rápidamente, las empresas, los gobiernos y los individuos deben navegar estos complejos temas para asegurar el cumplimiento con las regulaciones y proteger su privacidad y propiedad intelectual.

En un mundo empresarial donde el comercio internacional y el almacenamiento en la nube son la norma, estos tipos de situaciones pueden poner a las organizaciones en condiciones increíblemente desafiantes.

Además, algunos términos a menudo se confunden con soberanía:

  • Residencia de datos: La residencia a menudo se refiere a instancias donde una empresa u otra organización almacena información en una ubicación geográfica específica para encontrar un cumplimiento normativo favorable. Esto podría incluir cambiar de ubicación para mostrar que la mayoría de sus operaciones comerciales están en otro país por razones financieras.
  • Localización de datos: En los términos más estrictos, la localización de datos se refiere al requisito de que los datos creados en una ubicación específica permanezcan en esa ubicación. Esto puede incluir regulaciones de cumplimiento, como el Reglamento General de Protección de Datos de la Unión Europea (GDPR), sobre datos personales relacionados con los ciudadanos de un país que requieren que las organizaciones mantengan esa información en servidores locales y limiten o prohíban la transmisión fuera de las fronteras nacionales.
  • Soberanía de datos indígenas: Una rama de la soberanía, la soberanía indígena se aplica específicamente a los derechos de las naciones indígenas en los Estados Unidos, Canadá y Australia (entre otros países) para gestionar la privacidad de su propia información.

Consideraciones Clave y Desafíos en Torno a la Soberanía de Datos

La soberanía de datos se refiere al concepto de que los datos digitales están sujetos a las leyes y regulaciones del país en el que se almacenan. Esto significa que cuando los datos están físicamente ubicados dentro de las fronteras de un país, el gobierno tiene jurisdicción sobre ellos y puede hacer cumplir sus políticas de protección de datos. Este principio es particularmente importante para las organizaciones que operan a través de fronteras internacionales, ya que deben cumplir con las reglas de cada jurisdicción donde residen sus datos.

Cumplimiento Legal y Normativo para la Soberanía de Datos

Uno de los principales desafíos en torno a la soberanía de datos es la necesidad de que las organizaciones cumplan con diversos requisitos legales y normativos en diferentes países. Esto puede incluir adherirse a leyes de protección de datos, regulaciones específicas de la industria y acuerdos internacionales. El incumplimiento puede resultar en multas significativas, acciones legales y daños reputacionales, lo que hace crucial que las empresas planifiquen cuidadosamente sus estrategias de gestión de datos.

Casos Históricos que Establecen la Soberanía de Datos

La aparición de la soberanía como un concepto legal a escala global puede rastrearse hasta el programa PRISM, un programa de observación y recopilación de información clandestina operado por la Agencia de Seguridad Nacional que fue expuesto por Edward Snowden.

PRISM y la Ley PATRIOT de EE. UU.

La Administración de Seguridad Nacional (NSA) observa y recopila información, incluidos textos, imágenes, películas, llamadas telefónicas, detalles de redes sociales y videollamadas a través de varias plataformas y proveedores. Fuera de su dudosa legalidad, EE. UU. también estaba recopilando información de ciudadanos extranjeros atrapados en la red.

Junto con el programa PRISM, la Ley PATRIOT de EE. UU. otorgó al gobierno de EE. UU. el derecho de recopilar datos de cualquier servidor ubicado físicamente dentro de las fronteras de EE. UU., lo que a menudo incluía información extranjera gobernada por diferentes tipos de leyes de privacidad y seguridad.

Microsoft contra Estados Unidos

Aunque este caso no estableció ningún estándar para la soberanía de datos en la ley, sí inició la conversación. Otro caso, Microsoft Corp contra Estados Unidos sirvió como un hito para el concepto.

En 2013, el Departamento de Justicia de EE. UU. buscó recopilar información de los servidores de Microsoft en relación con casos de tráfico de drogas bajo investigación. Microsoft se negó porque la información estaba almacenada en un centro en Irlanda, fuera (según Microsoft) de la jurisdicción de EE. UU. y sujeta a las leyes de datos irlandesas.

Microsoft perdió el desafío legal inicial pero apeló al 2º Tribunal de Apelaciones de EE. UU., que no estuvo de acuerdo con los hallazgos y envió el caso a la Corte Suprema de EE. UU., durante la cual el Congreso aprobó la Ley CLOUD. Esta ley establecía, esencialmente, que una empresa estadounidense debe entregar información relacionada con la aplicación de la ley independientemente de dónde se almacene esa información. Sin embargo, agregó requisitos específicos para proteger la información de ciudadanos extranjeros cuya información existe en servidores operados por empresas estadounidenses en jurisdicciones no estadounidenses, específicamente en casos donde EE. UU. tiene leyes de intercambio de datos en vigor con estos países.

La Ley CLOUD también estableció estándares para que los países extranjeros busquen acceso a la información alojada en EE. UU., pendiente de supervisión por los tribunales de EE. UU. y demostración de mérito legal y probatorio.

¿Cómo se Relaciona la Soberanía de Datos con el GDPR?

El GDPR fue promulgado en los países participantes de la UE en 2018, y estableció estándares estrictos para proteger la privacidad y la propiedad de la información del consumidor. Estas leyes también cubrieron la soberanía.

Bajo el GDPR, cualquier información recolectada de ciudadanos de la UE debe residir en servidores ubicados en jurisdicciones de la UE o en países con un alcance y rigor similar en sus leyes de protección. De esta manera, la información estará bajo las estrictas leyes de seguridad de la UE y los ciudadanos permanecerán bajo esa protección.

Específicamente, esta ley se aplica tanto a procesadores como a controladores por igual, lo que significa que tanto las empresas que recolectan información como aquellas que ofrecen servicios para la recolección de datos están bajo esta ley.

¿Qué significa eso para los proveedores y empresas fuera de la UE? Si operas en la UE o sirves a empresas recolectando información de ciudadanos de la UE, estás bajo el GDPR. La violación de esta regulación podría resultar en multas de hasta el 4% de tus ingresos anuales globales totales.

¿Cómo Abordar la Soberanía de Datos con Proveedores de Servicios en la Nube?

No hace falta decir que si estás trabajando con una base de clientes internacional, o operando en países extranjeros, entonces la soberanía de datos es un aspecto importante de tu negocio.

Con eso en mente, hay varios factores que tu organización debería considerar:

  • Ubicaciones de los servidores: Debería haber ubicaciones claras y acordadas para el almacenamiento y procesamiento. Algunos proveedores de nube intentarán dividir la cobertura de la nube por “región” para mantener la flexibilidad, por lo que cuanto más específicos puedan ser estos proveedores, mejor.
  • Jurisdicción local y leyes de privacidad: Tu organización debería tener un buen entendimiento de las leyes de privacidad y gobernanza aplicables a esa información. Estas leyes podrían impactar cómo se gobierna esa información al entrar o salir de ese país, y si esos tipos de transferencias de archivos son incluso legales.
  • Mapear la propiedad de los datos y los derechos del consumidor: Junto con las leyes de privacidad y seguridad, deberías tener un buen entendimiento de los derechos del consumidor. Por ejemplo, la información protegida por el GDPR otorga la propiedad al consumidor, lo que significa que estos individuos pueden exigir que su información les sea proporcionada o eliminada. Regulaciones como el GDPR—o más recientemente la Ley de Privacidad del Consumidor de California (CCPA)—imponen límites estrictos sobre cómo se puede procesar y usar esa información.
  • Determinar herramientas de gobernanza de la información: Cualquier proveedor de nube o servicio también debería proporcionar características críticas de gobernanza de la información como registros de auditoría integrales, retención, herramientas de remediación y análisis avanzados.

Protege la Privacidad de los Datos de los Ciudadanos de la UE en Cumplimiento con el GDPR con Kiteworks

La Red de Contenido Privado de Kiteworks permite a las organizaciones proteger los datos personales de los ciudadanos de la UE en cumplimiento con el GDPR. La flexibilidad de implementación, controles de acceso granulares, visibilidad y reporte de actividad de archivos, y los informes de cumplimiento con el GDPR con un solo clic permiten a las organizaciones proteger contenido sensible, particularmente cuando se comparte con terceros de confianza.

Las capacidades de seguridad y gobernanza de Kiteworks incluyen:

  • Seguridad y cumplimiento: Kiteworks utiliza cifrado AES-256 para datos en reposo y TLS 1.2+ para datos en tránsito. El dispositivo virtual reforzado de la plataforma, controles granulares, autenticación y otras integraciones de seguridad, y el registro y auditoría integrales permiten a las organizaciones proteger datos sensibles mientras aseguran una gobernanza y cumplimiento eficientes.
  • Uso compartido seguro de archivos: La solución de uso compartido seguro de archivos de Kiteworks potencia la administración de riesgos de terceros (TPRM), permitiendo a las organizaciones compartir datos confidenciales, como información personal identificable e información de salud protegida (PII/PHI), y propiedad intelectual (IP), con terceros mientras permanecen en cumplimiento con regulaciones de la industria y del gobierno, como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), los Estándares Federales de Procesamiento de Información (FIPS), y la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), entre otros.
  • Integración con SIEM: Las organizaciones pueden mantener sus entornos seguros integrando metadatos de comunicaciones de contenido sensible con datos de gestión de información y eventos de seguridad (SIEM) para alertas, registros y respuesta a eventos en un solo panel. Las integraciones incluyen IBM QRadar, ArcSight, FireEye Helix, LogRhythm, entre otros. Kiteworks también tiene integración con el Splunk Forwarder y la App de Splunk.
  • Registro de auditoría: Kiteworks permite el registro de auditoría inmutable, permitiendo a las organizaciones confiar en que pueden detectar ataques más pronto mientras mantienen la cadena de evidencia correcta para realizar análisis forenses. Dado que la plataforma fusiona y estandariza metadatos de múltiples canales de comunicación de contenido sensible, su Syslog unificado y alertas ahorran tiempo crucial a los equipos del centro de operaciones de seguridad (SOC) y ayudan a los equipos de cumplimiento a prepararse para auditorías.
  • Entorno de nube de tenencia única: Las transferencias de archivos, el almacenamiento de archivos y el acceso a archivos ocurren en una instancia dedicada de Kiteworks, implementada en las instalaciones, en recursos de Logging-as-a-Service, o alojada en la nube por el servidor de Kiteworks Cloud. Estas y otras opciones de implementación segura significan que no hay tiempo de ejecución compartido, bases de datos o repositorios, recursos, o potencial para brechas o ataques entre nubes.
  • Visibilidad y gestión de datos: El Tablero del CISO ofrece a las organizaciones una visión general de sus datos: dónde están, quién los está accediendo, cómo se están utilizando, y si cumplen con el GDPR. Ayuda a tus líderes empresariales a tomar decisiones informadas, y a tu liderazgo de cumplimiento a mantener los requisitos regulatorios.

Para aprender cómo Kiteworks permite a las organizaciones gestionar la soberanía de datos y centralizar metadatos para todas las comunicaciones de contenido sensible de manera simple, segura y en cumplimiento con el GDPR, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks