Soberanía operativa en tratamientos de datos personales
La incidencia sufrida por uno de los principales proveedores de servicios en la nube el pasado 20 de octubre de 2025, que afectó a servicios globales desde su región en EEUU, ha puesto de manifiesto una realidad técnica que a menudo pasa desapercibida en los análisis de cumplimiento normativo: la dependencia crítica operativa de los medios de tratamiento. Este evento destaca la importancia de que los responsables evalúen la soberanía operativa de sus medios de tratamiento como parte integral de las medidas de seguridad y garantías exigidas por el Reglamento General de Protección de Datos (RGPD).
¿Mis datos no estaban en Europa?
Tras el incidente, muchos responsables se preguntaron por qué sus aplicaciones, alojadas en centros de datos de la Unión Europea (como Madrid, Paris, Frankfurt o Dublín) para cumplir con la normativa de localización, dejaron de funcionar debido a un fallo técnico en Virginia (EEUU).
La respuesta reside en la arquitectura de la nube. Si bien el almacenamiento de los datos puede estar localizado regionalmente, la gestión de esos recursos (gestión de los medios de tratamiento) esto es, quién tiene permiso para acceder, cómo se escalan los servidores o cómo se gestionan las claves de cifrado, a menudo depende de servicios centralizados en la región de origen del proveedor.
Si el servicio de gestión de identidades (IAM), el DNS global o cualquier otro similar fallan en origen, la capacidad de tratar los datos regionalmente se ve comprometida, afectando a la disponibilidad y a la resiliencia, dos de los pilares fundamentales para la seguridad en los tratamientos de datos personales.
La disponibilidad y resiliencia como obligación del RGPD
El Artículo 32 del RGPD establece la obligación de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto incluye explícitamente:
"La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento".
Un tratamiento de datos personales que se detiene porque su infraestructura de autenticación depende de un tercer país, no solo sufre un problema técnico; sufre una brecha de disponibilidad que puede afectar a los derechos y libertades de los ciudadanos (por ejemplo, impidiendo el acceso a un historial médico o a un servicio bancario).
De la Soberanía de Datos a la Soberanía Operativa
No basta con elegir una casilla que diga "Región: Europa" en el panel de configuración de un sistema en la nube. La verdadera soberanía digital implica soberanía operativa real: la capacidad de operar y gestionar los sistemas de tratamiento de forma autónoma, sin dependencias críticas de infraestructuras situadas fuera del Espacio Económico Europeo (EEE) que puedan verse afectadas por incidencias técnicas o decisiones legales en terceros países.
Recomendaciones para responsables del tratamiento
A la luz de estos hechos, las organizaciones que utilizan servicios en la nube deberían:
- Revisar las evaluaciones de impacto (EIPD): Analizar si se han contemplado los riesgos de dependencias transfronterizas en la disponibilidad del servicio.
- Exigir transparencia en la arquitectura: Solicitar a los proveedores información clara sobre qué servicios son "globales" y cuáles son verdaderamente "regionales". ¿Puede su base de datos autenticar usuarios si se corta el cable con EEUU?
- Diseño para la desconexión: Implementar arquitecturas que puedan operar en "modo isla" o degradado, manteniendo las funciones críticas activas localmente incluso si el plano de control central falla.
- Diversificación: Valorar estrategias multi-cloud o híbridas para evitar puntos únicos de fallo sistémicos.
La nube ofrece indudables ventajas, pero la responsabilidad sobre el tratamiento permanece siempre en quien decide los fines y los medios. Garantizar la resiliencia ante fallos globales es, hoy más que nunca, un deber de cumplimiento.
En el ecosistema digital actual, ciertos proveedores de infraestructura y software son estándares de facto, presentando una alta barrera de salida o siendo difícilmente sustituibles. El objetivo de este análisis no es señalar como inherentemente incumplidoras a las organizaciones que, de forma legítima, utilizan dichos servicios.
Por el contrario, el foco se sitúa en el principio de responsabilidad proactiva (accountability) que el RGPD exige al responsable del tratamiento. Ante una dependencia crítica de un proveedor no sustituible, en línea con las obligaciones establecidas por la normativa de seguridad de control de cadena de suministro, el responsable debe demostrar la diligencia debida en la gestión de dicho riesgo antes de que se materialice. Esto incluye haberlo identificado y analizado en su evaluación de impacto, haber exigido al proveedor la máxima transparencia sobre su propia resiliencia y, fundamentalmente, haber diseñado e implementado medidas de mitigación realistas en el marco de un plan de contingencia. Estas medidas, como arquitecturas que permitan operar en "modo degradado" o estrategias de continuidad de procesos, deben permitir mantener, incluso en caso de fallo del proveedor, al menos de aquellas operaciones esenciales en tratamientos que pueden tener un gran impacto para los derechos fundamentales.
Este post está relacionado con otros materiales publicados desde la División de Innovación y Tecnología de la AEPD, como son:
- Brechas de datos personales: Seguridad enfocada a tratamientos
- Brechas de datos personales: Ransomware y gestión del riesgo
- Brechas de datos personales: el correo electrónico y las plataformas de productividad online
- Brechas de datos personales: El Top 5 de las medidas técnicas que debes tener en cuenta
- Brechas de datos personales: comunicación a los interesados
- Brechas de datos personales: protégete ante la pérdida o robo de un dispositivo portátil
- Brechas de datos personales: qué son y cómo actuar
- Brechas de datos personales: protégete ante el ransomware
