Países alrededor del mundo están requiriendo a las empresas que manejan datos personales que tengan servidores físicos localizados entre sus fronteras. Ello puede conllevar limitaciones a la competencia entre empresas de tecnología y a la privacidad de las personas.
1. ¿En qué consiste?
Los gobiernos de distintos países están implementando nuevas normas que obligan a empresas de tecnología que traten con datos personales de sus ciudadanos a que almacenen estos datos en servidores físicamente ubicados dentro de su territorio. Es decir, plantean que empresas como Amazon o Microsoft, que tratan datos personales de todos sus usuarios, tengan necesariamente servidores físicos que almacenen estos datos dentro de las fronteras del país de donde son sus usuarios. Aún más, hay propuestas regulatorias tendientes a limitar o prohibir que los datos personales de los ciudadanos de un país salgan de este y sean tratados en otros países total o parcialmente.
Hoy en día casi todas las empresas de tecnología manejan datos personales de personas que utilizan sus plataformas (nombres, teléfonos, transacciones, hasta datos médicos, etc). Estos datos son almacenados en servidores o computadores ubicados en distintas partes del mundo, según lo decida la empresa. A veces por motivos de seguridad y otras por asegurar un nivel de privacidad adecuado, ciertos países han empezado a exigir que estas empresas ubiquen sus servidores dentro de su territorio nacional para que puedan ofrecer sus servicios.
Esta situación se contrapone a la tendencia global en la que el reparto de servidores es, por el contrario, flexible y fluida como resultado del uso de infraestructuras en la nube. Esto implica que el uso de un determinado servidor en una red se realiza de manera automática en miras a brindar eficiencia y velocidad a la compartición de contenido.
2. ¿Cómo impacta a Internet?
a) Los costos de acceso al mercado se podrían ver elevados
El exigir que empresas tengan los datos de sus usuarios y servidores localizados dentro de un país hace que una empresa incurra en costos adicionales si es quiere operar en este. Así, si una empresa que tiene grandes cantidades de datos quiere entrar al mercado de dicho país, tendrá que asumir los costos que invertir en infraestructura física implican. Estos costos, en buena medida, terminarán por ser trasladados a los usuarios, lo que generará que el servicio que brinda la empresa se torne más caro.
b) Puede generar un mercado menos competitivo
Grandes empresas como Facebook o Twitter sí podrían asumir, en gran medida, los costos que implican localizar datos y servidores dentro de un determinado país. No obstante, pequeños o medianos emprendimientos pueden no tener el capital necesario para asumir estos costos. Ello implicaría que estas grandes empresas se queden sin competencia (al no entrar nuevos competidores al mercado) o que la empresa grande termine absorbiendo a la pequeña.
c) Se limita la innovación
Como explicamos anteriormente, la tendencia mundial es que los servidores sean dinámicos en miras a que el proceso de datos sea más eficiente y se genere mayor beneficio a los usuarios. Sin embargo, las normas de localización limitarían esta posibilidad de recurrir a distintas formas de almacenar información y datos en la nube ya que las empresas solo podrían utilizar modelos de negocio o planes empresariales que limiten la localización de datos y servidores dentro del país que pretenden operar.
d) Los servidores se tornan más vulnerables a ataques físicos
En muchos casos los servidores son infraestructura muy importante para la prestación de servicios, no solo comerciales, sino gubernamentales. En este sentido, el obligar a una empresa a localizar servidores en un país y que incluso se sepa dónde están estos ubicados, hace más vulnerable la infraestructura física de Internet y expone la información que contiene.
3. ¿Cómo impacta a los usuarios?
a) Los usuarios de un país que implemente normas de localización de datos y servidores puede ver reducida la oferta de servicios en Internet
Si el Gobierno del cual uno es ciudadano opta por implementar este tipo de normas, podríamos ver drásticamente reducidos los servicios que podemos acceder a través de Internet. Esto, en primer lugar, porque las empresas optan por no acatar la norma (ya sea por políticas internas o por imposibilidad de asumir los costos) y, por lo tanto, tienen que retirarse del mercado de dicho país; o, en segundo lugar, porque empresas de otros países no ven atractivo invertir en un mercado con ese tipo de regulación.
b) Implica limitar la libertad que tienen los usuarios de determinar dónde se pueden almacenar sus datos personales
Teniendo en cuenta que existe un país que ofrece mejores estándares de seguridad que el país el cual uno es parte, uno tendría que tener la posibilidad de solicitar que sus datos sean tratados en dicho país. Así, por ejemplo, un ciudadano peruano o argentino podría elegir una empresa de Suiza o Canadá porque prefiere las reglas que ese país le impone a sus empresas para tratar datos personales. No obstante, si existen normas de localización, esto sería imposible: únicamente se podrían almacenar y tratar datos de un peruano o argentino dentro de las fronteras de sus países y bajo las reglas nacionales.
c) Puede verse una disminución en la calidad del servicio prestado
Como indicamos, la tendencia es que la elección de qué servidor utilizar al momento de prestar un servicio sea dinámica. Es decir, si, por ejemplo, desde Perú se utiliza Netflix, la red de manera dinámica asignará un servidor que pueda ser más eficiente al momento de suministrar la información para ver una película. Así, puede optar entre servidores ubicados en, por ejemplo, Brasil, Alemania, Estados Unidos, etcétera. No obstante, si la empresa está obligada a tener servidores en determinado país, esta posibilidad de elección dinámica puede verse deteriorada generando, así, un servicio más lento e ineficiente.
d) Mayor vulnerabilidad a espionaje y vigilancia gubernamental
Al estar los datos almacenados físicamente dentro de las fronteras del país, también están más expuestos a ser robados o extraídos por criminales nacionales. Incluso, también están sujetos a intervención estatal y monitoreo obligatorio por parte de las autoridades en severo deterioro de la privacidad.
4. ¿Dónde ocurre?
Las normas de localización de datos y servidores existen en muchos países del mundo y dependen del tipo de datos que se almacenan. Así, por ejemplo, en Australia se debe almacenar dentro de las fronteras de dicho país los datos de salud. En Canadá, los proveedores de servicios públicos deben almacenar todos los datos personales. De la misma manera, en Rusia todos los datos personales se deben almacenar dentro de las fronteras de dicho país.
5. ¿Ocurre en el Perú?
En Perú, en materia de Protección de Datos Personales, contamos con la Ley N° 29733, Ley de Protección de Datos Personales. Esta regula el tratamiento de datos personales en nuestro país y establece los derechos de las personas y los deberes de las empresas que tratan datos personales. No obstante, en dicha Ley no se especifica nada relativo a que los datos y servidores tengan que ubicarse dentro del territorio nacional. Antes bien, garantiza el principio de nivel de protección adecuado, según el cual si una empresa realiza flujo transfronterizo de datos personales, se debe asegurar que el país receptor tenga, como mínimo, los niveles de protección establecidos en la Ley.
6. Saber más
- (2011) Declaración conjunta sobre libertad de expresión e Internet Por El Relator Especial de las Naciones Unidas (ONU) para la Libertad de Opinión y de Expresión, la Representante para la Libertad de los Medios de Comunicación de la Organización para la Seguridad y la Cooperación en Europa (OSCE), la Relatora Especial de la Organización de Estados Americanos (OEA) para la Libertad de Expresión y la Relatora Especial sobre Libertad de Expresión y Acceso a la Información de la Comisión Africana de Derechos Humanos y de los Pueblos (CADHP)
- (2015) Breaking the Web: Data Localization vs. the Global Internet Por Anupam Chander y Uyen P. Lee
- (2016) Estándares para una Internet libre, abierta e incluyente Por la Relatoría para la Libertad de Expresión de la OEA
Esta entrada es parte de nuestra serie especial Internet Somos Todas, un vistazo a las principales tendencias regulatorias globales que pueden poner en riesgo Internet como lo conocemos.
Director Ejecutivo
Abogado por la Pontificia Universidad Católica del Perú.