¿Qué es Data Residency?
Data residency, o la residencia de los datos, se refiere a la ubicación física o geográfica de los datos de una organización. Esto quiere decir que hablamos del lugar físico en el que se almacenan esos datos, identificándose el hardware exacto, y también las coordenadas geográficas. De la misma manera que cuando hablamos de data governance, la residencia o la ubicación de los datos se refiere, también a todos los requisitos legales o que, por reglamento, se imponen a los datos en la región en que residen. Por ejemplo, en el caso de España, la normativa de privacidad sería el RGPD.
La residencia de los datos vs la normativa y la regulación
En el contexto del Cloud Computing, la residencia de los datos puede ser algo confuso para el usuario. Dada la naturaleza del Cloud, que permite a las empresas utilizar servicios online «desubicados», y a los empleados y trabajadores (usuarios, en adelante) acceder a ellos desde cualquier lugar, puede suceder que se pierda la noción de dónde están alojados físicamente dichos datos.
Por lo general, los proveedores de servicios en la Nube almacenan datos a nivel mundial, y lo hacen por medio de diferentes ubicaciones de los centros de datos. Es decir, puede llegar al caso de que haya datos repartidos por diversas regiones, pero que pertenezcan al mismo «proyecto», por decirlo de manera resumida. Por este motivo, es muy importante que los usuarios de dichos servicios conozcan las leyes y la legislación local de cada uno de los lugares físicos de residencia de sus datos. ¿Cómo saberlo? Básicamente, los usuarios necesitan saber en qué región exacta se encuentran los centros de datos de su proveedor de servicios en la nube.
Así, es posible conocer e investigar las diferentes políticas en cuanto a dicha residencia de datos en cada ubicación y tomar las medidas oportunas. Estas medidas pueden ser desde la adaptación de las políticas de privacidad, hasta, en un caso extremo, la migración de los datos a otras regiones (u otros proveedores que cumplan mejor con nuestros requisitos). Esto se puede, y se debe, establecer con transparencia y exactitud en los Acuerdos de nivel de servicio (SLA) que se firman con el proveedor de servicios. Como la redacción de los SLA la suele liderar el proveedor, la residencia de los datos es uno de los puntos principales que comprobar para decidir si contratar, o no, los servicios ofertados.
¿Hay requisitos de localización en la normativa RGPD?
El RGPD no incluye ninguna obligación de residencia o localización de datos, aunque no es nada nuevo porque tampoco las había anteriormente. El RGPD establece métodos, además, para transferir datos fuera de la Unión Europea.
No obstante, puede suceder que la legislación local imponga ciertos requisitos sobre la localización del almacenamiento de datos. Existen muchos ejemplos, como la ley de localización de datos de Rusia, la ley de localización de datos de salud y telecomunicaciones de Alemania y otros tantos.
Entonces, ¿podemos transferir los datos a otros lugares? La mayor parte del RGPD sobre estas cuestiones se basa en la Directiva de Protección de Datos. Allí se establece que es necesario disponer de medios legales de transferencia si se trasladan datos fuera de la UE a una jurisdicción con salvaguardias inadecuadas. Dichos medios son:
- La adecuación, es decir, la decisión de la CE de que un país tiene un nivel de protección adecuado.
- Normas corporativas vinculantes, es decir dentro de una empresa, y que deben ser aprobadas por las autoridades de protección de datos.
- Cláusulas contractuales estándar o modelo, que no son más que contratos negociados individualmente entre el controlador y el procesador de los datos.
- Escudo de Privacidad, pero solo para empresas de EE.UU. Se trata de un programa de autocertificación de reemplazo para el Puerto Seguro.