Según un reciente informeel Departamento de Estado envió un cable instando a los diplomáticos estadounidenses a oponerse a las regulaciones internacionales de soberanía de datos como GDPR, caracterizando estas barreras como “innecesariamente gravosas”.

En el cable, el Departamento de Estado afirma que las regulaciones de soberanía de datos “perturban los flujos globales de datos, aumentan los costos y los riesgos de ciberseguridad, limitan la Inteligencia Artificial (IA) y los servicios en la nube, y amplían el control gubernamental de maneras que pueden socavar las libertades civiles y permitir la censura”.

Este argumento se sustenta tanto en una preocupación legítima como en un error crítico.

La verdad es que la soberanía de los datos real es técnica, no territorial.

La localización de datos es un instrumento contundente que intenta resolver un problema sofisticado. Exigir que los datos permanezcan dentro de límites geográficos en realidad no garantiza que los propietarios de los datos conserven el control sobre cómo se accede, se utiliza o se comparte su información. La gente se mueve; los puntos finales se mueven; los datos deben moverse.

Los reguladores europeos han ya definido lo que realmente requiere la soberanía digital. Específicamente, después de Schrems II, la Junta Europea de Protección de Datos dejó en claro que la soberanía se preserva cuando los datos están fuertemente cifrados y las claves de cifrado permanecen únicamente bajo el control del propietario de los datos en Europa. Esa claridad a menudo se pierde en debates geopolíticos más amplios.

La verdadera soberanía de los datos requiere que los gobiernos, las empresas y los ciudadanos conserven la autoridad criptográfica sobre quién puede acceder a su información, independientemente de dónde se procese. Obligar a que los datos se mantengan dentro de las fronteras nacionales sirve de poco si los proveedores extranjeros todavía tienen las llaves. La soberanía es fundamentalmente un desafío técnico: depende de controlar el acceso mediante cifrado y autenticación, no simplemente controlar la ubicación física.

Existe una creencia generalizada de que la soberanía de los datos es perjudicial para la innovación, el comercio y la seguridad nacional. Esta es una idea errónea.

El memorando presenta una opción falsa: que debemos aceptar flujos de datos transfronterizos sin restricciones con protecciones mínimas para el propietario de los datos, o implementar requisitos de localización onerosos que sofocan la innovación y la colaboración.

Esto simplemente no es cierto, y el auge de la seguridad centrada en datos lo demuestra: desde Estados Unidos hasta las naciones de los Cinco Ojos y el Indo-Pacífico, los líderes de seguridad están adoptando este modelo. En lugar de centrar los esfuerzos únicamente en construir un límite perimetral sólido, los controles y las políticas deben seguir los datos mismos, dondequiera que se muevan, proporcionando una seguridad más resiliente y contextual para los datos mismos. Este es el pilar central de la La propia estrategia Zero Trust del DoWy el modelo para agencias de todo el gobierno federal de EE. UU. y más allá.

Incluso el propio Departamento de Estado ITAR (el Reglamento de Tráfico Internacional de Armas de EE. UU.) tratar los datos confidenciales sobre municiones con requisitos específicos de la ubicación. Hay buenas razones para proteger algunos tipos de información sensible de los ojos externos.

El contexto importa. No deberíamos desmantelar estándares de soberanía de datos bien establecidos sin contar con alternativas técnicas claras. En cambio, debemos evaluar cómo proteger y gobernar de manera más efectiva los datos confidenciales, sin impedir el libre flujo de información.

La seguridad centrada en los datos fortalece la soberanía de los datos y libera flujos de datos seguros.

Al cambiar el enfoque de los muros (protecciones, localización y perímetros específicos de fronteras) a los datos en sí, se pueden transformar fundamentalmente los flujos de datos globales. Cuando los datos realmente se controlan, etiquetan y comprenden, pueden moverse de forma segura, a través de canales confiables, para lograr el éxito de la misión.

En un entorno de seguridad centrado en datos, una agencia gubernamental puede aprovechar los servicios en la nube de cualquier proveedor y, al mismo tiempo, mantener el control soberano sobre la información confidencial mediante la administración y el alojamiento de sus propias claves de cifrado, además de brindar resiliencia frente a infracciones de terceros con proveedores de servicios en la nube u otros socios.

Esto no es teórico. Actualmente se están produciendo arquitecturas de seguridad modernas centradas en datos, con estándares abiertos como el Formato de datos confiable permitiendo el intercambio de datos global e independiente de la plataforma entre socios. Es la antítesis de un silo de datos, que permite que los datos viajen en condiciones muy específicas y con una gobernanza adjunta a cada objeto de datos. el Reino Unido Operación Mástil Alto es un excelente ejemplo del éxito que se obtiene al compartir datos dinámicos e inteligentes entre socios confiables.

En una era definida por la aceleración de la IA y la competencia geopolítica, la soberanía y la interoperabilidad deben diseñarse para reforzarse mutuamente, no enmarcarse como compensaciones.