Las leyes de localización de datos son cada vez más frecuentes, pero independientemente de su costo para las empresas, los críticos argumentan que tales regulaciones no son necesarias ni suficientes para garantizar la seguridad de los datos. Foto: Canva
El 1 de octubre entró en vigor un decreto que exige que las empresas internacionales con servicios en Vietnam almacenen datos de usuarios dentro del territorio vietnamita y establezcan oficinas locales. Mencioné Vietnam Express.
Este nuevo decreto es una adición a la ley de ciberseguridad existente en Vietnam. Establece que los datos sobre los usuarios, desde la información de la cuenta hasta los datos de la relación del usuario, deben almacenarse en Vietnam durante al menos 24 meses. Las empresas internacionales deben completar los requisitos de almacenamiento de datos y establecer oficinas locales dentro de los 12 meses posteriores a la solicitud del Ministerio de Seguridad Pública para hacerlo.
A principios de septiembre, grupos empresariales estadounidenses que representan a empresas tecnológicas como Amazon, Google y Meta dijeron en una carta al primer ministro Pham Minh Chinh que la ley podría afectar las inversiones y dificultar que las empresas evalúen el costo de hacer negocios en el sureste. pais asiatico, informó Bloomberg.
Vu Tu Thanh, representante de Vietnam en el Consejo Empresarial de Estados Unidos y Asia, dijo a Bloomberg que el nuevo decreto se redactó con un equilibrio entre los intereses económicos y la seguridad nacional, y es más flexible que los borradores anteriores.
que Artículo de opinión sobre Nikkei Asia También destacó que el decreto puede proporcionar más influencia para las solicitudes de censura del país a las principales empresas tecnológicas.
Localización de datos en todo el mundo
El decreto de Vietnam es parte de una tendencia más amplia de localización de datos en el sudeste asiático y el mundo, que apunta a la práctica de:
- Solicitar que los datos se recopilen, procesen y/o almacenen dentro de las fronteras de un país, para que terceros no puedan acceder a ellos.
- Solicitar que se guarde una copia de los datos en servidores locales o centros de datos, para que las fuerzas del orden puedan acceder a estos datos si lo consideran necesario.
- Establecimiento de restricciones a la transferencia de datos personales a través de las fronteras
Las razones principales de las leyes de localización de datos incluyen cuestiones de seguridad nacional. Por ejemplo, en junio de 2022, la aplicación de redes sociales de propiedad china, TikTok, dijo que planea transferir datos privados de ciudadanos estadounidenses a servidores en la nube en los EE. UU. para disipar las preocupaciones de privacidad. El New York Times informó. Mantener los datos de los ciudadanos estadounidenses en Estados Unidos puede reducir el riesgo de que los gobiernos extranjeros accedan a dichos datos.
El almacenamiento de datos localmente también puede ayudar a las agencias locales encargadas de hacer cumplir la ley a acceder a los datos si es necesario.
De 2013 a 2018, las agencias legales de EE. UU. se vieron envueltas en una batalla legal con Microsoft cuando la empresa se negó a entregar los datos almacenados en un centro de datos en Irlanda. Según TechCrunch. El caso finalmente se resolvió mediante regulaciones que establecen que las empresas deben proporcionar la información debidamente solicitada por las fuerzas del orden, independientemente de su ubicación.
Los países también pueden imponer restricciones a la transferencia de datos personales a través de las fronteras si consideran que los sistemas de protección de datos en otras jurisdicciones pueden no ser suficientes. Por ejemplo, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea ha establecido que los datos personales solo pueden transferirse fuera de la Unión Europea a partes externas si el país receptor posee un nivel de protección de datos equivalente al de la Unión Europea.
En un artículo de periódico en el Asian Journal of International Law, Benjamin Wong, de la Universidad Nacional de Singapur, encontró niveles bajos pero significativos de localización de datos dentro de la Asociación de Naciones del Sudeste Asiático, donde países como Filipinas, Singapur y Tailandia imponen restricciones a la información cruzada. -Transferencia fronteriza de datos personales hasta que se cumplan ciertos estándares para proteger los datos.
Países como Indonesia y Vietnam tienen regulaciones sobre el procesamiento y almacenamiento de datos personales dentro de las fronteras estatales, así como sobre el alojamiento de una copia local de los datos. Foro de Asia Oriental informó Las regulaciones de Indonesia exigen que todos los datos del sector público se gestionen, almacenen y procesen dentro del país.
Costos de localización de datos
Sin embargo, la localización de datos puede ser a expensas del crecimiento económico y las inversiones, además de impedir el rendimiento de algunas tecnologías.
En primer lugar, la localización de datos impone costos adicionales a las empresas, que pueden tener que gastar recursos adicionales configurando salas de servidores, centros de datos y oficinas locales, dice Lim Mai Ann, directora emérita de Asia Cloud Computing Federation. Los países más grandes pueden requerir más servidores e infraestructura para atender adecuadamente el mercado, lo que genera mayores costos de cumplimiento comercial.
Si el costo es demasiado alto, las empresas pueden optar por retirar o suspender las operaciones. En 2016, la empresa de pagos en línea PayPal suspendió sus operaciones en Turquía como resultado de nuevas regulaciones que requieren que las empresas localicen completamente sus sistemas de información dentro del país. informó TechCrunch.
La localización de datos también puede obstaculizar el libre comercio y afectar el desarrollo económico regional de la Asociación de Naciones del Sudeste Asiático. Wong señaló en su artículo de prensa que tales políticas pueden impedir el acceso de las empresas a los mercados extranjeros. Dijo que esto podría ir en contra de los objetivos declarados del Acuerdo Marco de Servicios de la ASEAN, que tiene como objetivo liberalizar el comercio de servicios. De hecho, acuerdos comerciales como el Acuerdo Integral y Avanzado para la Asociación Transpacífico, del que Vietnam es parte, incluyen compromisos contra la localización de datos, Nikki Asia dijo.
Finalmente, la localización de datos puede obstaculizar el rendimiento y la eficiencia de las tecnologías actuales, como la computación en la nube y la inteligencia artificial. La computación en la nube funciona de manera más eficiente cuando los datos pueden fluir a través de las fronteras, y la IA funciona mejor cuando tiene una variedad de fuentes de datos para extraer. Las políticas de localización de datos pueden impedir estas dos funciones.
Una herramienta entre un arsenal más amplio
La localización de datos quizás se implemente mejor como una herramienta entre muchas, con un enfoque basado en el riesgo en mente.
En primer lugar, es importante tener en cuenta que las políticas de localización de datos per se pueden no mejorar necesariamente la seguridad de los datos. Los datos almacenados en otro lugar en los servidores de un proveedor de servicios en la nube pueden tener controles de seguridad cibernética más altos que en un centro de datos local, por ejemplo. Lim también señala que las políticas restrictivas de localización de datos pueden ser difíciles de implementar.
Aquí es donde un enfoque basado en el riesgo puede ser útil, ya que cada país determina su propio nivel de riesgo y decide cómo le gustaría equilibrar las consideraciones económicas y de seguridad.
El enfoque basado en el riesgo primero requiere que los países tengan modelos sólidos de clasificación de datos, que pueden ayudar a identificar qué datos son más sensibles que otros, dice Lim. Por ejemplo, la información de identificación personal puede requerir más protección que los datos no personales, y es preferible almacenar los datos directamente relacionados con la seguridad nacional dentro de las fronteras nacionales.
Dado que puede no ser factible o rentable almacenar todos los datos dentro del país de un individuo, un enfoque basado en el riesgo le permite «poner un candado tan grande como desee en los datos que cree que son más importantes», dice Lim. .
En Singapur y Malasia, las leyes de protección de datos personales regulan que las organizaciones que transfieren datos a través de las fronteras tienen la responsabilidad de garantizar que los datos continúen protegidos a niveles similares a los de su país de origen. La Autoridad Monetaria de Singapur tiene una Lista de verificación de gestión de riesgos tecnológicospara uno.
Otras mejores prácticas de seguridad, como el principio del acceso con privilegios mínimos y los sistemas de confianza cero, que requieren puertas para verificar continuamente la identidad de un individuo a través de métodos como la autenticación de múltiples factores, pueden ayudar a proteger los datos. Lim dice que los bancos de la región, desde Tailandia hasta Filipinas, han sido pioneros en la adopción de tales prácticas.
Finalmente, el crecimiento de las tecnologías de mejora de la privacidad también puede reducir las barreras a la transmisión de datos, Como se señaló en un artículo reciente de GovInsideraunque Lim dice que la tecnología solo puede ayudar en la medida en que las personas en la Tierra entiendan cómo adoptar y usar esta tecnología.
Si los países de la ASEAN acuerdan los estándares de protección de datos, ayudará a fomentar una mayor integración económica y reducirá las barreras para la prestación de servicios, como lo ha hecho la Unión Europea. Sin embargo, el artículo de Wong señala que la ASEAN tiene un enfoque más suave de las regulaciones regionales que la Unión Europea, y cada país de la ASEAN deberá encontrar su propio camino. Como tal, algunas restricciones en la transferencia de datos entre países pueden ser inevitables.
«Orgulloso experto en Twitter. Especialista en viajes. Comunicador. Amante de los zombis certificado. Jugador de por vida».