Store Studio Campus Bootcamp

Servicios

Auditoría y Cartografía IA Formación Gobernanza Integración IA Para despachos de abogados Para departamentos jurídicos Todos los servicios

Campus

Bootcamp Prompts jurídicos Guías Vibe Coding Webinars y Eventos Descubrir el Campus

Recursos

Glosario Legaltech e IA Guía Legaltech Directorio Legaltech Blog Estudios y Análisis

Zevra

El equipo Manifiesto Contacto

Cambiar de idioma

FrançaisEnglishEspañol
¡Tengo un proyecto tech!
Formation

Soberanía de los datos: definición y desafíos para los abogados

Pierre Colliot Pierre Colliot
Soberanía de los datos: definición y desafíos para los abogados

Soberanía de los datos: definición, desafíos e implicaciones para los profesionales del derecho

La soberanía de los datos se ha convertido, en pocos años, en un tema ineludible en los debates sobre el cumplimiento normativo y la gestión de los sistemas de información. Sin embargo, detrás de esta expresión se esconden realidades jurídicas y técnicas que muchos profesionales todavía tienen dificultades para delimitar con precisión. ¿De qué se trata exactamente? ¿Qué obligaciones se derivan de ello para los abogados, los despachos y las profesiones liberales en materia de protección de los datos personales y de gobernanza de los datos?

¿Qué es la soberanía de los datos?

La soberanía de los datos designa el principio según el cual los datos (ya sean personales, profesionales o comerciales) están sujetos a las leyes y normativas del país en el que se almacenan o se tratan. Dicho de otro modo, el derecho aplicable a un dato viene determinado por su localización geográfica, y no únicamente por la nacionalidad de la empresa que lo posee o de la persona a la que se refiere.

Punto de atención: Un dato alojado en un servidor situado en Estados Unidos puede estar sujeto a la Cloud Act estadounidense, que autoriza a las autoridades federales a formular exigencias de acceso a los datos, incluso cuando estos conciernen a ciudadanos o empresas europeas. A la inversa, un dato almacenado en Francia o en la Unión Europea está sujeto al Reglamento General de Protección de Datos (RGPD) y al derecho nacional.

Una noción que conviene distinguir de conceptos vecinos

La soberanía de los datos se confunde a menudo con otras nociones próximas. Conviene distinguirlas con claridad:

  • La soberanía digital remite a la capacidad de un Estado para dominar sus infraestructuras y tecnologías digitales en su conjunto. La soberanía de los datos no es más que uno de sus componentes.
  • La protección de los datos personales (en el sentido del RGPD) concierne a los derechos de los individuos sobre sus datos. Se articula con la soberanía de los datos, pero no se reduce a ella.
  • La residencia de los datos (data residency) designa la obligación contractual o legal de almacenar datos en un territorio determinado. Es una herramienta al servicio de la soberanía, no un sinónimo.
  • La localización de los datos (data localization) hace referencia a las exigencias legales que imponen que una categoría de datos permanezca en el territorio nacional. Algunos países, como Rusia o China, han adoptado legislaciones en este sentido.

El marco jurídico aplicable en Europa: impactos de la legislación sobre la gobernanza de los datos

La Unión Europea ha construido, a lo largo de los años, un conjunto de textos que regulan la circulación y el tratamiento de los datos. Este marco normativo se apoya en varios instrumentos complementarios, cuyos impactos de la legislación se hacen sentir hasta en las prácticas cotidianas de los profesionales.

El RGPD, texto de referencia en materia de protección de datos

En vigor desde el 25 de mayo de 2018, el RGPD regula el tratamiento de los datos de carácter personal dentro de la Unión Europea. Impone reglas estrictas para toda transferencia de datos hacia países terceros. Estas transmisiones de datos solo están autorizadas si el país destinatario ofrece un nivel de protección adecuado, o si se establecen garantías apropiadas: cláusulas contractuales tipo, normas corporativas vinculantes, etc.

La sentencia Schrems II del Tribunal de Justicia de la Unión Europea (16 de julio de 2020) reforzó esta exigencia al invalidar el Privacy Shield, mecanismo que regulaba las transferencias de datos entre la UE y Estados Unidos. Recordó que la simple adhesión de una empresa estadounidense a un acuerdo bilateral no basta para garantizar una protección equivalente a la que ofrece el derecho europeo.

La Data Act y la Data Governance Act: nuevas directivas regionales para la circulación de los datos

Más recientemente, la Unión Europea ha adoptado dos reglamentos que prolongan y precisan el marco aplicable. Estas nuevas directivas regionales modifican en profundidad la gobernanza de los datos dentro del mercado interior:

  • La Data Governance Act (en vigor desde septiembre de 2023) organiza el intercambio de datos entre actores públicos y privados, al tiempo que establece condiciones para las transferencias hacia países terceros.
  • La Data Act (en vigor desde enero de 2024) clarifica los derechos de acceso a los datos generados por los objetos conectados y los servicios digitales, e introduce disposiciones específicas para limitar los accesos no autorizados por parte de autoridades extranjeras.

El derecho francés

En el derecho interno, la ley Informática y Libertades, modificada para integrar el RGPD, constituye el texto de referencia. La Comisión Nacional de Informática y Libertades (CNIL) es la autoridad de control competente. Dispone de poderes de investigación y de sanción, y publica regularmente recomendaciones prácticas dirigidas a los profesionales.

Por qué esta cuestión concierne directamente a los abogados y a las profesiones liberales

Los despachos de abogados y las profesiones liberales tratan a diario datos sensibles: datos de identificación de sus clientes, información cubierta por el secreto profesional, documentos procesales, datos financieros. La cuestión de la soberanía de los datos no es, por tanto, abstracta: afecta directamente a la seguridad de los datos confiados y a las obligaciones deontológicas.

El secreto profesional a prueba del cloud computing

El recurso a las herramientas digitales (mensajería, software de gestión de expedientes, espacios de almacenamiento en línea) está hoy generalizado. Ahora bien, muchas de estas herramientas se apoyan en el cloud computing y las ofrecen proveedores cuyos servidores están situados fuera de la Unión Europea, o cuya casa matriz está sujeta a una legislación extranjera que permite el acceso a los datos.

Riesgo concreto para los abogados: Confiar datos cubiertos por el secreto profesional a un proveedor de servicios cloud sujeto a la Cloud Act estadounidense expone potencialmente esos datos a una solicitud de acceso de las autoridades estadounidenses, sin que el cliente ni el profesional sean informados de ello. Esta situación plantea cuestiones serias a la luz de las obligaciones deontológicas, máxime cuando los datos pueden verse afectados en todas las etapas de su ciclo de vida, incluidos los datos en uso.

«El secreto profesional del abogado es de orden público. Es general, absoluto e ilimitado en el tiempo.» (Artículo 2 del Reglamento Interior Nacional (RIN) de la profesión de abogado)

Las obligaciones prácticas que se derivan de ello

En concreto, los abogados y las profesiones liberales deben implantar una gobernanza de los datos adaptada a su actividad. Esto pasa por varias etapas:

  1. Identificar dónde están alojados sus datos: ¿en qué país se encuentran los servidores de sus proveedores (software profesional, mensajería, herramientas colaborativas)? La residencia de los datos debe conocerse y documentarse.
  2. Verificar la ley aplicable a esos proveedores: una empresa cuya sede está en Estados Unidos sigue sujeta a la Cloud Act, aunque aloje sus datos en Europa. La localización de los datos no basta por sí sola para garantizar su protección.
  3. Examinar los contratos de subcontratación: el RGPD impone la celebración de un contrato de tratamiento de datos con todo proveedor que trate datos por cuenta del responsable del tratamiento. Las cláusulas relativas a la transmisión de los datos merecen una atención particular.
  4. Privilegiar, cuando sea posible, soluciones certificadas: el sello SecNumCloud de la ANSSI certifica que un proveedor cloud responde a medidas de seguridad reforzadas y a exigencias de soberanía definidas por el Estado francés.
  5. Asegurar el cifrado de los datos: el cifrado de los datos, ya sea en reposo o en tránsito, representa una de las medidas técnicas más eficaces para limitar los riesgos de acceso no autorizado, incluso en un contexto transfronterizo.
  6. Informar a sus clientes de las condiciones en las que sus datos son tratados y alojados.

La soberanía de los datos en la práctica contractual

Más allá del cumplimiento interno, la soberanía de los datos es también un tema que los abogados encuentran en su práctica de asesoramiento. Las empresas que externalizan actividades, migran hacia soluciones de cloud computing o establecen alianzas internacionales necesitan ser acompañadas en estas cuestiones de gobernanza de los datos.

Las cláusulas que vigilar en los contratos cloud: localización y seguridad de los datos

Durante la negociación o la revisión de contratos con proveedores de servicios digitales, varios puntos merecen una atención particular:

  • La localización de los datos: ¿precisa el contrato en qué país se alojarán los datos? ¿Puede esta localización ser modificada unilateralmente por el proveedor?
  • Las transferencias hacia países terceros: ¿regula el contrato las eventuales transmisiones de datos fuera de la UE? ¿Están actualizadas las garantías previstas (cláusulas contractuales tipo, etc.)?
  • Las exigencias de acceso a los datos por parte de las autoridades: ¿prevé el contrato una obligación de información al cliente en caso de solicitud de acceso procedente de una autoridad extranjera?
  • El cifrado y la seguridad de los datos: ¿qué medidas técnicas pone en marcha el proveedor para proteger los datos, en particular su cifrado en tránsito y en reposo?
  • La reversibilidad: en caso de finalización del contrato, ¿en qué condiciones pueden recuperarse o suprimirse los datos?

Los desafíos para las empresas clientes

Para las empresas a las que los abogados asesoran, la soberanía de los datos puede tener implicaciones en ámbitos variados: derecho de la competencia (protección de los secretos comerciales), derecho laboral (datos de los empleados), derecho de la salud (datos de salud sujetos a reglas de alojamiento específicas en materia de residencia de los datos), o incluso derecho de la contratación pública (algunos contratos públicos imponen exigencias de soberanía). En cada uno de estos ámbitos, la protección de los datos personales se articula con limitaciones sectoriales que conviene identificar con precisión.

Hacia una soberanía de los datos reforzada: las evoluciones que seguir

El marco normativo sigue evolucionando. Varios frentes merecen ser seguidos de cerca por los profesionales del derecho:

  • El proyecto Gaia-X: esta iniciativa europea pretende construir una infraestructura de datos común, interoperable y respetuosa con las reglas europeas en materia de seguridad de los datos. Su despliegue efectivo sigue siendo progresivo, pero dibuja una orientación política clara.
  • El marco de adecuación UE-Estados Unidos: adoptado en julio de 2023, el Data Privacy Framework regula de nuevo las transferencias de datos entre la UE y Estados Unidos. Su solidez jurídica ya es objeto de impugnación y podría ser objeto de un nuevo recurso ante el TJUE.
  • Las exigencias sectoriales: en algunos sectores (salud, finanzas, defensa), reglas específicas imponen ya niveles elevados de soberanía. Estas exigencias tienden a reforzarse y a extenderse a otros ámbitos, conllevando medidas de seguridad reforzadas y nuevas obligaciones en materia de cifrado de los datos.

Lo que hay que recordar

La soberanía de los datos no es un concepto reservado a los especialistas del derecho digital. Concierne a todo profesional que trate datos en el marco de su actividad, lo que, hoy en día, representa al conjunto de los abogados y las profesiones liberales. Comprender este principio, identificar los riesgos que conlleva y adaptar las propias prácticas en consecuencia forma parte de las obligaciones de vigilancia que todo profesional serio debe integrar.

Entre las exigencias del RGPD, los desafíos ligados al cloud computing, la localización de los datos, su residencia y su cifrado, la gobernanza de los datos de un despacho o de una profesión liberal se apoya en un conjunto coherente de decisiones técnicas y contractuales. La cuestión no es saber si la soberanía de los datos le concierne. Es saber en qué medida su organización ya responde a ella, y lo que queda por hacer.

Sobre el autor

Pierre Colliot
Pierre Colliot

Fondateur Zevra, hôte du podcast Quasar, expert Legal Tech & vibe coding. +50 projets livrés.
Volver al blog