¿Qué es la soberanía de los datos?

Definición

La soberanía de los datos es la capacidad de una organización para ejercer un control efectivo, tanto jurídico como operativo, sobre los datos y sobre las condiciones de su tratamiento dentro de una jurisdicción determinada. Incluye la toma de decisiones sobre la ubicación del procesamiento y del almacenamiento, las transferencias transfronterizas, los encargados del tratamiento, así como las medidas técnicas y organizativas aplicadas. En el contexto de la anonimización de imágenes y vídeo, la soberanía de los datos abarca tanto los materiales fuente (grabaciones y fotografías) como los archivos derivados (versiones anonimizadas) y los metadatos del proceso.

La base jurídica en la Unión Europea se deriva del RGPD, en particular de los principios de limitación de la finalidad, minimización de datos, integridad y confidencialidad, así como de las disposiciones relativas a las transferencias fuera del EEE. También son relevantes las directrices del CEPD sobre transferencias internacionales y la jurisprudencia del TJUE, que exige un control estricto de los flujos de datos hacia terceros países. La soberanía de los datos combina aspectos legales, técnicos y operativos para garantizar que el tratamiento sea conforme, auditable y resistente a solicitudes de acceso contradictorias desde el extranjero.

El papel de la soberanía de los datos en la anonimización de imágenes y vídeo

• Cumplimiento del RGPD: selección de la ubicación del procesamiento y de las herramientas de forma que no se produzcan transferencias no autorizadas de datos personales captados en las grabaciones antes de su anonimización. La base legal se encuentra en los artículos 5 y 25 y en el capítulo V del RGPD.
• Reducción del riesgo legal: tras la sentencia del TJUE en el asunto C‑311/18, las organizaciones deben evaluar la posibilidad de acceso a los datos por parte de autoridades de terceros países. El procesamiento on‑premise en el EEE y la limitación de dependencias externas de red pueden simplificar esta evaluación.
• Continuidad probatoria: el material de vídeo suele tener valor probatorio. La soberanía de los datos exige el control de la cadena de custodia, la inmutabilidad y la rendición de cuentas de todo el proceso de anonimización.
• Limitación de la exposición: la reducción de registros y telemetría que podrían revelar la presencia de rostros o matrículas refuerza el principio de minimización.
• Diferencias nacionales: el estatus de las matrículas como dato personal se interpreta de forma distinta según el país. El CEPD indica que la identificación puede ser indirecta, lo que favorece el enmascaramiento de matrículas en materiales publicados. En la práctica, se recomienda adoptar un enfoque prudente.

Tecnologías que respaldan la soberanía de los datos

• Procesamiento on‑premise: instalación del software en infraestructura propia o en nube privada dentro del EEE, con control total de redes y actualizaciones.
• Edge computing y modo offline: anonimización en estaciones de trabajo o servidores perimetrales sin conexión permanente a Internet.
• Contenerización y políticas de localización: orquestación con reglas de restricted egress y fijación explícita de recursos en regiones del EEE.
• Cifrado: datos en reposo cifrados con AES conforme a FIPS 197 y transmisiones protegidas mediante TLS 1.3 conforme a RFC 8446. Gestión de claves en HSM ubicados en el EEE.
• Control de transferencias: registros de evaluaciones de impacto de transferencias (TIA), cláusulas contractuales tipo y medidas complementarias recomendadas por el CEPD.
• Rendición de cuentas: registros de auditoría inmutables del proceso (hashes de archivos y sellos de tiempo), sin generar logs que revelen características biométricas o detecciones de objetos.
• Ingeniería de la privacidad: privacy by design conforme a ISO/IEC 27701, seudonimización y minimización del alcance de los datos necesarios para la detección de rostros y matrículas.

Parámetros y métricas clave de la soberanía de los datos

Retos y limitaciones

• Conflictos jurisdiccionales: riesgo de acceso a los datos en virtud de la legislación de terceros países. Requiere evaluaciones de transferencia y medidas técnicas que dificulten el acceso a datos no cifrados.
• Diferentes interpretaciones legales: autoridades y tribunales difieren en el tratamiento de las matrículas. El CEPD destaca la identificabilidad indirecta, elevando el nivel de protección al publicar grabaciones de espacios públicos.
• Dependencia de proveedores: algunas soluciones en la nube pueden introducir transferencias implícitas o telemetría externa. Es necesario eliminar componentes que envíen metadatos fuera de la infraestructura controlada.
• Equilibrio entre rendición de cuentas y minimización: los logs deben permitir auditoría y cadena de custodia, pero no conservar datos que posibiliten la identificación de personas.

Ejemplos de uso: anonimización de imágenes y vídeo

• Una entidad municipal procesa grabaciones de videovigilancia en servidores on‑premise en el EEE, anonimiza rostros y matrículas y conserva las versiones originales en una zona segregada con retención corta. La ausencia de servicios externos y de telemetría de detecciones refuerza la soberanía de los datos.
• Una empresa industrial comparte con socios grabaciones anonimizadas de sus instalaciones. Todo el pipeline funciona en una red aislada y las claves de cifrado se almacenan en HSM dentro del país. Las transferencias internacionales solo incluyen archivos ya anonimizados.
• Una entidad de investigación crea conjuntos de imágenes anonimizadas para su publicación. Antes del tratamiento realiza una DPIA y una TIA, y el pipeline bloquea el tráfico saliente. Se aplican TLS 1.3 y AES, y la auditoría cubre cada etapa de detección y enmascaramiento.
• Soluciones de la clase Gallio PRO en modalidad on‑premise: enmascaran automáticamente rostros y matrículas, no ocultan siluetas completas, no realizan anonimización en streaming en tiempo real y permiten el enmascaramiento manual de otros objetos en el editor. La ausencia de logs con información de detecciones limita la exposición de datos.

Referencias normativas y fuentes

1. RGPD - Reglamento (UE) 2016/679 de 27.04.2016, en particular los artículos 5 y 25 y el capítulo V. DOUE L 119/1.
2. CEPD, Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia, versión 2.0, 18.06.2021.
3. TJUE, Sentencia de 16.07.2020, C‑311/18, Data Protection Commissioner v Facebook Ireland y Maximillian Schrems (Schrems II).
4. CEPD, Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo, versión 2.0, 29.01.2020.
5. ISO/IEC 27001:2022 - Seguridad de la información, ciberseguridad y protección de la privacidad - SGSI.
6. ISO/IEC 27002:2022 - Controles de seguridad de la información (logging, monitorización y criptografía).
7. ISO/IEC 27701:2019 - Extensión de ISO/IEC 27001 y 27002 para la gestión de información de privacidad.
8. ISO/IEC 27018:2019 - Protección de datos personales en nubes públicas que actúan como encargados del tratamiento.
9. FIPS 197 - Advanced Encryption Standard (AES), NIST, 2001.
10. RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3, IETF, 2018.
11. Reglamento (UE) 2023/2854 - Data Act, 13.12.2023, incluidas las salvaguardas frente al acceso transfronterizo no autorizado a datos almacenados en la UE.