Beatriz Escobar, General Manager de España y Portugal de Liferay.
Soberanía digital: de la ubicación de los datos a la batalla por el control tecnológico
El debate sobre la soberanía se ha centrado durante años en la ubicación física de los datos. Las revelaciones del caso Snowden en 2013 sobre el espionaje de Estados Unidos a ciudadanos, empresas y gobiernos de todo el mundo impulsaron a la Unión Europea a crear el Reglamento General de Protección de Datos (RGPD) para resguardar la privacidad de sus ciudadanos.
Sin embargo, acuerdos posteriores, como Privacy Shield de 2016 que regulaba la transferencia segura de datos desde la Unión Europea a empresas estadounidenses, expusieron las limitaciones de este enfoque. En 2020, el Tribunal de Justicia de la Unión Europea lo invalidó, argumentando que no protegía a los ciudadanos europeos de las leyes de espionaje estadounidenses.
La sentencia Schrems II demostró que la simple ubicación de los datos era una falsa garantía de seguridad frente al alcance de la jurisdicción legal. Y desde entonces el debate sobre la soberanía se ha trasladado de la ubicación física de los datos a quién tiene el control de la tecnología subyacente de la que dependen las organizaciones, sobre todo en un contexto en que los grandes hiperescalares (AWS, Microsoft, Google) están consolidados en la Unión Europea.
La ilusión sobre la residencia de los datos
Una organización puede cumplir escrupulosamente con los requisitos de soberanía de datos, utilizando una plataforma SaaS propietaria alojada en un centro de datos en Madrid, y al mismo tiempo, no tener el control estratégico y operativo de su infraestructura tecnológica, es decir, no tener soberanía digital.
Para entender esa diferencia entre la residencia de los datos y la soberanía digital, es necesario tener claro en qué consiste cada uno de estos conceptos. Para garantizar la soberanía de los datos hay que demostrar la ubicación física y geográfica de los mismos, el control jurisdiccional y el cumplimiento legal, así como los derechos de acceso y límites de aplicación.
En cambio, la soberanía digital es una figura más amplia, en la que se valora la dependencia de proveedores o plataformas específicas, la exposición a sistemas legales extranjeros, la capacidad de auditar, modificar o reemplazar la tecnología central, el uso de estándares abiertos y código abierto, o la libertad a largo plazo del lock-in.
Aunque los datos residan en un centro de datos en una ciudad europea, si el acceso operativo, las actualizaciones o las claves de cifrado se gestionan fuera, la soberanía real no está asegurada. En la práctica, se da la apariencia de control local sin ofrecer las garantías que exige una verdadera soberanía. Es decir, que estamos alquilando el cumplimiento de la soberanía, pero no lo tenemos.
Existen varias iniciativas para poder valorar la soberanía digital de los servicios de TI. Por ejemplo, la ciudad de Múnich ha desarrollado una "Puntuación de Soberanía Digital" (SDS) para medir factores como el riesgo de dependencia del proveedor (vendor lock-in), la dependencia de jurisdicciones extranjeras, el uso de estándares abiertos y las restricciones legales y organizativas. Han convertido la soberanía en un requisito que debe estar definido en los servicios.
El código abierto y autonomía estratégica
La soberanía digital se sostiene sobre tres pilares irrenunciables: la capacidad de inspeccionar el código, la libertad de modificarlo y el poder de ejecutarlo de forma independiente. Si falla uno de ellos, el control es una ilusión.
En este escenario, el software de código abierto es esencial para alcanzar esta deseada soberanía, ya que facilita transparencia y auditabilidad, reduce la dependencia de un único proveedor, fomenta los estándares abiertos y la interoperabilidad, preserva la capacidad de autoalojamiento, bifurcación o migración. No elimina el riesgo, pero mantiene las opciones abiertas, que es la esencia de la soberanía.
Soberanía digital con software de proximidad
Sin embargo, el código abierto, por sí solo, no garantiza la soberanía digital. Para conseguir la soberanía es necesario que las decisiones estratégicas del desarrollo del software se tomen teniendo en cuenta esa soberanía. Por ello, es tan importante la creación de hubs tecnológicos en Europa, ya que en ellos se define cómo va a funcionar la tecnología siguiendo los valores de los países donde se va a usar.
Un equipo de ingenieros en Europa que entienden el contexto político, cultural y regulatorio, priorizará de forma natural funcionalidades que respondan al actual marco regulatorio como la Ley de IA, el RGPD o DORA. Esta proximidad fomenta una mentalidad de privacidad por diseño, integrando en la arquitectura del software los principios éticos europeos. La gobernanza de la tecnología no reside sólo en las líneas de código, sino en las personas y procesos que las definen.
Adoptar la soberanía digital no significa rechazar la innovación. Al contrario, se trata de garantizar la capacidad de elección a futuro. Permite a una organización empezar en la nube para ganar velocidad y, si el entorno regulatorio o geopolítico cambia, migrar a un entorno auto-alojado sin tener que reconstruir toda su arquitectura. Esta flexibilidad es una poderosa herramienta de mitigación de riesgos y una garantía de gobernanza a largo plazo.
***Beatriz Escobar es General Manager de España y Portugal de Liferay.