Soberanía de datos: hacia la privacidad total en la mensajería instantánea empresarial

No es casualidad que los servicios para procesar y almacenar datos basados en la nube sean tan populares entre las empresas: las soluciones SaaS que funcionan en servidores externos son económicas y escalables y pueden estar operativas en un tiempo récord, mientras el proveedor se encarga de las actualizaciones y del mantenimiento. Además, permiten reducir el trabajo del departamento interno de TI, por lo que ayudan a ahorrar recursos financieros y humanos.

Las soluciones SaaS facilitan el acceso al software para las empresas, pero al mismo tiempo están expuestas a una ciberdelincuencia que sigue en auge: a escala global, las organizaciones sufrieron una media de 1.876 ciberataques por semana durante el tercer trimestre de 2024, es decir, una media de 268 ataques al día, fines de semana incluidos. Por lo tanto, las empresas que operan con soluciones SaaS necesitan medidas de seguridad: el cifrado de extremo a extremo, unos sólidos protocolos de seguridad y una gestión estricta de los derechos de acceso de los usuarios sólo son algunas de las precauciones imprescindibles.

Sin embargo, la protección de datos en un entorno SaaS no sólo depende aspectos técnicos, sino también de la elección de un proveedor de confianza: ¿dónde se encuentran exactamente los servidores del proveedor y a qué jurisdicción están sujetos? ¿Se recopilan metadatos para transmitirlos a terceros? ¿Pueden las autoridades acceder a los servidores y consultar datos sensibles de la empresa?

La seguridad de los datos también depende del marco jurídico

En la UE, el tratamiento y almacenamiento de datos personales en las empresas está regulado por el Reglamento General de Protección de Datos (RGPD). Sin embargo, es posible que los servidores o las instalaciones de back-up de un proveedor de SaaS estén ubicados en un país fuera de la UE, por lo que estarían sujetos a un marco legal que no ofrece las mismas garantías que el RGPD. En este escenario, existe el riesgo de que se recopilen los metadatos almacenados y se transmitan a terceros. En el contexto de una app de mensajería, por ejemplo, esto significa que los metadatos, con información sobre la ubicación, la hora y la duración de la comunicación, así como números de teléfono y direcciones IP, no están protegidos.

Por otro lado, conviene recordar que alrededor de dos tercios de los servicios SaaS europeos están gestionados por proveedores con sede en Estados Unidos y que estos están sujetos a la «CLOUD Act», una ley que permite a las autoridades estadounidenses acceder a los archivos almacenados en cualquier momento.

Por todo lo mencionado, una solución SaaS exige examinar tanto los aspectos técnicos de seguridad como los criterios jurídicos en materia de protección de datos. De lo contrario, las empresas corren el riesgo de infringir las disposiciones legales aplicables en la UE. No hay que olvidar que los requisitos de almacenamiento y gestión de datos son cada vez más exigentes con la llegada de las normativas DORA, NIS2  y CER, que colocan la responsabilidad de la protección de datos en la dirección de las empresas y organismos. Ante este panorama, parece que el tratamiento de datos sensibles y personales conduce inevitablemente a la necesidad de la soberanía de datos, ya que dicha información está sujeta a las leyes de protección de datos y a las estructuras de gobierno de un país, de un sector o de una empresa.

Soberanía de datos y privacidad en la comunicación móvil

A diferencia de las soluciones SaaS, el autoalojamiento de datos permite a las empresas confiar exclusivamente en sus propios servidores. Esta solución garantiza la propiedad física de los datos, la capacidad de determinar dónde y cómo se recopilan, almacenan, gestionan y utilizan. La independencia de proveedores de servicio externos reduce el intercambio de datos, minimizando así el riesgo de «perder» información sensible.

En el actual entorno empresarial, el flujo de información es constante y se canaliza cada vez más por el teléfono móvil. Concretamente, las app de mensajería instantánea han ido ganando terreno: son sencillas de manejar, agilizan los procesos de trabajo y permiten el intercambio rápido de textos, documentos y ficheros.

A menudo se trata de información sensible y para aquellas organizaciones que quieren dar un paso más, como p. ej. las administraciones públicas, las fuerzas de seguridad (p. ej. policía, ejército) o las organizaciones de los sectores críticos, el autoalojamiento de su app de mensajería es una solución que fortalece la seguridad y la privacidad de sus comunicaciones móviles. La soberanía de datos así obtenida permitirá cumplir con las normativas vigentes y garantizará el máximo control sobre el acceso, el uso y la seguridad de los datos.

En conclusión, las soluciones SaaS ofrecen ventajas significativas en términos de eficiencia operativa y reducción de costes pero no están exentas de riesgos asociados a la seguridad de los datos y el cumplimiento legal. La creciente complejidad de las normativas de protección de datos exige una gestión rigurosa sobre dónde y cómo se gestionan los datos. La soberanía de datos surge como una solución para asegurar que las organizaciones mantengan el control sobre su información sensible, cumpliendo con las normativas vigentes y minimizando el riesgo de exposición a ciberataques.

Firmado: Miguel Rodríguez, CRO y miembro del consejo de Threema