La soberanía sobre los datos puede tener significados diferentes para diferentes personas. Algunos consideran que la soberanía sobre los datos implica que las naciones pueden tratar sus datos según sus propias leyes. Pero, ¿qué son “sus datos”? Aunque muchas personas pueden celebrar contratos y hablar sobre la propiedad de los datos, no existe un consenso claro respecto a quién es el “propietario” de los datos, excepto cuando se trata de obras protegidas por derechos de autor, en cuyo caso corresponde hablar de “titularidad de derechos de autor”. Las naciones pueden reivindicar su ciudadanía y, por consiguiente, reivindicar la propiedad de la información de sus ciudadanos. Por ejemplo, en Estados Unidos, el estado de Massachusetts reivindica su jurisdicción sobre las fugas que afectan los datos de sus ciudadanos, independientemente de la localidad donde se encuentre la compañía. La nueva ley de protección de datos de Rusia, que abarca los servicios que recopilan o procesan deliberadamente los datos personales de ciudadanos rusos, adopta una postura similar.

Según el uso más habitual del término, la soberanía sobre los datos establece que los datos se encuentran en la jurisdicción del país donde residen físicamente. Esto no elimina la existencia de un nexo suficiente para que otro país haga valer su jurisdicción, pero permite una reivindicación jurisdiccional mucho más práctica, porque los organismos de orden público pueden incautar físicamente los servidores que se encuentran en su territorio.

Localización de los datos 

Muchos países intentan salvar la brecha que existe entre estas definiciones restringiendo el flujo de información más allá de sus fronteras. Los países europeos que suscriben a la Directiva de protección de datos impiden el flujo internacional de información sobre individuos, a menos que el país receptor posea leyes de características similares al modelo europeo. Esta característica mimética garantiza cierta forma de control jurisdiccional sobre la información transferida por correo. En 2014, las empresas australianas temblaron debido a los cambios en los Principios de privacidad de Australia, que exigían que las firmas destinatarias de los datos cumplieran con estos principios, aunque se encontraran fuera de Australia. Las reglas corporativas vinculantes, un mecanismo para aceptar datos de europeos conforme a una resolución del Grupo de Trabajo del Artículo 29, de la Directiva de protección de datos, requieren que la firma destinataria se someta específicamente a una autoridad de protección de datos europea.

Algunos países van más allá y exigen que los datos de sus ciudadanos se almacenen y procesen en su país o en el modelo más restrictivo, y que nunca salgan del país. Rusia ha adoptado el primer enfoque con la Ley federal 242-FZ, recientemente promulgada. Esa ley requiere que la información sobre los ciudadanos se procese en el país (en una base de datos denominada primaria) aunque se permiten las transferencias a otros países (bases de datos secundarias). Brasil ha considerado avanzar un poco más con el Marco Civil da Internet (Ley de derechos civiles en Internet). Esa ley requeriría mantener la información personal de los ciudadanos brasileños en el país, e impediría su exportación a otros países. Otros países tienen leyes similares, pero solo en categorías mucho más acotadas de personas e industrias. Un ejemplo es China, que exige que los datos del personal del gobierno permanezcan en el país.

Cualquiera de estos enfoques podría llamarse localización de los datos, la exigencia de que los datos se alojen localmente en el país. Las exigencias de este tipo a menudo se presentan como medidas que pretenden proteger la privacidad de los datos de los ciudadanos,  especialmente después de que las revelaciones de Snowden documentaran la amplia vigilancia y recopilación de datos que realizaba la Agencia Nacional de Seguridad de EE. UU. en todo el mundo. Sin embargo, las razones subyacentes son mucho menos nobles. Los países quieren tener soberanía sobre los datos. En otras palabras, desean ejercer el control jurisdiccional de la información acerca de sus ciudadanos. No quieren verse obligados a depender de entidades extranjeras que cumplan con exigencias y solicitudes gubernamentales. En la era de la información, para tener control sobre la población es necesario conocerla. Otra justificación tácita es el puro proteccionismo económico. Al exigir que los datos se almacenen y se procesen en el país, el país anfitrión necesita desarrollar el sector local de la tecnología de la información.

Mitigaciones tecnológicas para los problemas de la soberanía sobre los datos 

Existen algunos métodos para evitar que una nación reclame la propiedad de los datos. El más obvio es resistirse a almacenar, transmitir o procesar información en esa nación. A excepción de las reivindicaciones extraterritoriales de los Estados Unidos en el caso Microsoft, son pocas las naciones que buscan controlar la información que se encuentra fuera de sus fronteras y que no afecta a sus ciudadanos. Por lo tanto, si los datos se mantienen fuera del territorio de un país, este reducirá sus esfuerzos por obtenerlos, al menos a través de canales legales y judiciales. Al mantener los datos en el país de origen, también se cumple con cualquier requisito de localización. Sin embargo, este enfoque puede resultar difícil en países con operaciones multinacionales. Mantener infraestructuras por separado para cumplir con los requisitos de localización y evitar las reivindicaciones territoriales sobre la información puede ser costoso y, además, impide centralizar las actividades para tratar de lograr economías de escala. Sin embargo, algunos de los mayores proveedores de nube ofrecen versiones regionalizadas en un esfuerzo por respaldar las obligaciones de cumplimiento.

El cifrado también puede servir como tecnología de mitigación. No obstante, hay que tomar precauciones para que no sea posible acceder a las claves de cifrado desde el país donde se van a mantener los datos cifrados. El uso de un cifrado que preserva el formato puede permitir que el software que espera ciertos tipos de datos estructurados procese los datos sin prestar atención a la información real. El cifrado puede ser problemático, ya que muchos países restringen su uso. Por lo tanto, hay que tener cuidado para no quebrantar la legislación local. Queda por ver si los datos cifrados en un país y almacenados en otro serían ilegales, ya que a menudo lo que se restringe es la tecnología de cifrado y el uso, no los datos propiamente dichos. Otra pregunta aún sin respuesta es si los datos cifrados que salen de un país eludirían los requisitos de localización. En estos casos, será imprescindible consultar a un asesor local.

En definitiva, no existe una solución mágica. Las compañías deben estar atentas a las sutilezas jurídicas de los lugares donde operan. De no hacerlo, podrían recibir multas y sanciones. Como suele suceder en los negocios, a veces arriesgarse es la única opción posible. Es necesario identificar esos riesgos y mitigarlos en la medida en que se pueda. Con respecto a la soberanía sobre los datos y los requisitos de privacidad, las compañías deben educar a sus fuerzas laborales, modificar sus procesos para satisfacer las nuevas demandas e implementar soluciones tecnológicas que cubran todo el ciclo de vida del contenido: datos en reposo, en movimiento y en uso.