El panorama regulatorio en rápida evolución requiere una gestión rigurosa de los datos y la infraestructura adecuada implementada en los lugares adecuados.
El volumen de datos que las empresas necesitan gestionar crece exponencialmente, a la vez que las regulaciones sobre la ubicación, la residencia y la soberanía de los datos se multiplican en jurisdicciones de todo el mundo. Las empresas deben estar atentas a las políticas nacionales y regionales, en constante evolución, sobre quién puede acceder a datos específicos; cómo se recopilan, procesan y almacenan; y desde dónde se acceden o adónde se transfieren. La situación se vuelve cada día más compleja.
Una gobernanza de datos eficaz es esencial para garantizar la transparencia de la IA y el cumplimiento de las normativas emergentes. Esto implica considerar los requisitos para acceder a los datos y saber exactamente qué ruta seguirán hasta su destino. Antes de establecer políticas de gobernanza de datos, las empresas deben comprender las leyes locales y cómo estas afectan dónde pueden generar, recopilar y almacenar datos. Según las conclusiones de la encuesta sobre el estado de la IA de McKinsey, el 70 % de los encuestados afirmó haber experimentado dificultades con los datos, incluyendo la definición de procesos para la gobernanza de datos. [1]
La gestión de datos se ve aún más complicada por la enorme cantidad de datos que las empresas obtienen para entrenar sus modelos de IA. No solo deben asegurarse de que sus datos no sean utilizados por modelos de IA inadecuados, sino también de que utilicen los datos correctos en los lugares adecuados. Para cumplir con las leyes y regulaciones globales sobre soberanía de datos, las empresas también deben considerar cuidadosamente dónde almacenarán sus datos de IA. Una infraestructura distribuida y una estrategia de datos de IA con visión de futuro pueden ayudar a las empresas a comprender y gestionar las complejidades de la soberanía de datos en un mundo impulsado por la IA.
Entendiendo la soberanía de los datos
La soberanía de datos se refiere a que los datos recopilados o almacenados en una localidad, país o región específica estén sujetos a las leyes y regulaciones de la entidad responsable. Muchas jurisdicciones han creado y están implementando normas sobre cómo se accede, almacena, procesa y transfiere la información dentro de sus fronteras.
Los datos almacenados dentro de fronteras específicas se rigen por el marco legal de esa jurisdicción, independientemente de la ubicación o propiedad de la sede de la empresa. Por ejemplo, una empresa con sede en California que recopila datos de personas o empresas en varios países debe cumplir con las leyes de soberanía y localización de datos de cada país, incluso si la empresa está en EE. UU.
Algunas leyes establecen condiciones para las transferencias transfronterizas, mientras que otras las prohíben por completo. Por ejemplo, en algunas jurisdicciones, las empresas deben demostrar un requisito legal para transferir los datos, conservar una copia local de los datos por motivos de cumplimiento normativo, o ambas cosas. Otras regulaciones regulan si las empresas pueden acceder a los datos almacenados en una región, generar información y luego exportarla a la sede central para su posterior análisis o entrenamiento de modelos.
Los subconjuntos de la soberanía de datos, como la localización y la residencia de datos, se relacionan con las leyes y normativas que rigen aspectos de la gestión de datos. La residencia de datos se refiere a la ubicación física (geográfica) donde una empresa almacena sus datos. Las empresas pueden seleccionar una región específica para el cumplimiento normativo, la seguridad o la optimización del rendimiento. Sin embargo, muchos sectores, como el financiero, el sanitario y el gubernamental, pueden estar obligados a almacenar datos en jurisdicciones específicas para cumplir con las leyes locales.
Es importante tener en cuenta que almacenar datos en un país determinado no implica necesariamente que se rijan únicamente por las leyes de dicho país. Las empresas pueden estar sujetas a obligaciones legales extranjeras según su país de constitución o acuerdos contractuales. Además, una entidad reguladora puede aplicar requisitos estrictos de seguridad de datos, control de acceso y localización, lo que podría incluir el control del acceso a los datos por parte de usuarios o empresas con sede fuera de sus fronteras. Algunas leyes también otorgan a las agencias gubernamentales acceso a los datos sin el consentimiento del titular.
Hacer que el cumplimiento de la soberanía de datos sea una parte esencial de sus estrategias de IA puede ayudar a las empresas a incorporar y priorizar el monitoreo continuo de leyes nuevas o cambiantes.
Cómo la soberanía de los datos influye en las decisiones sobre infraestructura de IA
Las empresas deben adaptar sus prácticas de gestión de datos para garantizar el cumplimiento normativo y contar con la infraestructura de IA adecuada en las ubicaciones correctas. Comprender todo su patrimonio de datos (qué datos posee, de dónde provienen y cómo están estructurados) puede revelar el riesgo de privacidad o regulatorio asociado a ellos.
Luego está la cuestión de dónde almacenar los datos. Si bien elegir un proveedor de nube pública puede parecer conveniente, a menudo implica renunciar a cierto nivel de control, como saber exactamente dónde se almacenan los datos. Es importante destacar que las empresas no pueden confiar en que los proveedores de nube apliquen los requisitos de soberanía de datos en su nombre. Conocer la ubicación geográfica exacta de la infraestructura en cuestión es crucial para garantizar que se ajuste a las normas de soberanía de datos pertinentes. Expandirse desde un único proveedor de nube o incorporar infraestructura privada puede ser conveniente para evitar la dependencia de un proveedor y los costos relacionados con los datos.
Piense en qué sucedería si su proveedor de nube necesitara conmutar por error de una nube en Londres a otra en Ámsterdam. ¿La ruta de red iría directamente de Francia a los Países Bajos o atravesaría otros países, lo que introduciría regulaciones adicionales sobre la soberanía de datos? Si los datos que transmite están altamente regulados, sería especialmente importante tener visibilidad de la infraestructura subyacente, y normalmente solo puede obtener ese nivel de visibilidad si es propietario de la infraestructura.
Si bien gran parte de la responsabilidad de cumplir con las regulaciones de soberanía de datos recae en la empresa propietaria de los datos, los proveedores de servicios en la nube y de soluciones de almacenamiento pueden ayudar. Pueden ser transparentes al proporcionar detalles sobre dónde se almacenan datos específicos y revelar cómo gestionan las rutas de transferencia de datos en caso de fallos en la nube u otras interrupciones.
Para habilitar una infraestructura de IA interconectada y distribuida, es fundamental establecer una conectividad segura con la capacidad de conectarse (o desconectarse) rápidamente a diversos servicios y ubicaciones, y responder a cualquier cambio o adición al marco regulatorio. Esto permite a las empresas acceder a los datos rápidamente, transferirlos de forma segura e intercambiarlos sin problemas con los participantes del ecosistema.
Es crucial tener total transparencia sobre la apariencia de su infraestructura distribuida y cómo está conectada. Debe poder certificar cómo se gestionan sus datos en todo momento, desde la recopilación hasta el almacenamiento, el procesamiento y la transferencia. Comprender y documentar esto a lo largo de toda la cadena de valor le permitirá alcanzar el máximo cumplimiento de las regulaciones de soberanía de datos. No puede permitirse el lujo de no ser exhaustivo al realizar la debida diligencia en su infraestructura distribuida. De lo contrario, se arriesga a incurrir en importantes sanciones y dañar su reputación.
Consideraciones específicas de cada país y región
Además de las leyes locales o nacionales sobre soberanía de datos, algunas regiones han emitido normativas que se aplican a más de un país. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la UE exige que cualquier empresa que almacene o procese datos personales de residentes de la UE cumpla estrictas normas de privacidad, independientemente de si dichos datos se almacenan dentro o fuera de la UE. Si una empresa con sede en EE. UU. almacena datos de ciudadanos de la UE en servidores en EE. UU., debe cumplir tanto con la legislación estadounidense como con el RGPD.
Otro reglamento impulsado por la UE, la Ley de Inteligencia Artificial de la Unión Europea , establece nuevos requisitos de gobernanza de datos en torno a los conjuntos de datos utilizados para entrenar modelos, sistemas de redundancia técnica y soluciones técnicas para abordar vulnerabilidades específicas de la IA.
La Administración de Ciberseguridad de China introdujo las Disposiciones para la Promoción y Regulación del Flujo Transfronterizo de Datos, que flexibilizan los estrictos requisitos para las transferencias transfronterizas de datos. Si bien esta nueva disposición permite a las empresas globales gestionar sus datos de forma más eficiente y al mismo tiempo mantener el cumplimiento normativo, aún existen muchos casos en los que los datos deben permanecer dentro de China.
Una tendencia que cobra fuerza es el desarrollo de nubes soberanas por parte de cada país para ayudarles a gestionar sus normativas de privacidad, protección y almacenamiento de datos, sin interferencias de otros países. Alemania es uno de los primeros países en hacerlo. En otros países, los gobiernos se están asociando con empresas para desarrollar la soberanía en la nube.
Una estrategia de almacenamiento de datos específica para cada región puede ser útil para gestionar el cumplimiento normativo. Algunos proveedores de nube ofrecen certificaciones de cumplimiento y centros de datos dedicados para garantizar que los datos permanezcan dentro de las jurisdicciones específicas. Esto permite a las empresas utilizar infraestructura de nube local y soluciones de residencia de datos que, en conjunto, ayudan a prevenir transferencias transfronterizas no intencionadas y permiten el cumplimiento de las leyes regionales de soberanía de datos.
Factores impulsores específicos de la industria
Como se mencionó anteriormente, ciertas industrias están más reguladas que otras. Esto añade complejidad al cumplimiento de las leyes de soberanía de datos.
En el ámbito sanitario, mantener la privacidad y confidencialidad del paciente al transferir datos internacionalmente requiere prácticas estrictas de gestión de datos. Los datos sensibles de los pacientes están protegidos y se rigen por las leyes del país de origen de la organización. En Estados Unidos, esto implica cumplir con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Con la HIPAA, los datos de los pacientes están sujetos a un amplio conjunto de protocolos y medidas de seguridad, lo que minimiza el riesgo de acceso no autorizado, filtraciones de datos y ciberamenazas. Cumplir con la HIPAA fortalece la capacidad de las organizaciones sanitarias para cumplir con otras normativas de gobernanza de datos.
El sector de servicios financieros cuenta con normativas similares para la protección de los datos de sus clientes. La Ley de Resiliencia de Operaciones Digitales (DORA) es una normativa financiera europea integral que establece estándares de tiempo de actividad e incluye normativas específicas de protección y soberanía de datos. Se trata de un conjunto de normativas más robustas que van más allá de las incluidas en el RGPD. Al igual que la HIPAA, las empresas de servicios financieros estarán mejor preparadas para cumplir con los requisitos de soberanía de datos si ya han tenido que cumplir con otras normativas de gobernanza de datos.
Estrategias de infraestructura que apoyan la soberanía de los datos
Para garantizar el cumplimiento de estas estrictas regulaciones, las empresas suelen considerar que mantener los datos regulados y sensibles de los equipos y hardware que controlan en ubicaciones accesibles es la estrategia más fiable. Pueden proteger esos datos con la infraestructura de gobernanza y seguridad adecuada y hacerlos accesibles mediante la implementación de un entorno de almacenamiento privado dedicado, que en Equinix denominamos Núcleo de Datos Autorizado . Este permite que los datos estén disponibles para su consumo interno o en cargas de trabajo de SaaS y nube pública. También reduce la cantidad de copias de datos regulados que existen entre los límites de la infraestructura corporativa, lo que disminuye el riesgo de fuga o robo de datos.
Otra opción es integrar las aplicaciones en sus datos, en lugar de transferirlos a aplicaciones y cargas de trabajo. Este enfoque le permite centrarse en garantizar una gobernanza y un control sólidos mediante la monitorización directa. Cada vez más empresas reguladas optan por almacenamiento privado dedicado para mantener lagos de datos y repositorios, incluidos los datos de archivo. El aumento de las capacidades de los actores maliciosos, junto con un entorno regulatorio en constante evolución, crea un nivel de riesgo que requiere un mayor control sobre los datos regulados.
Las empresas también utilizan IA federada para crear modelos de IA que cumplan con los requisitos de gobernanza. Esto implica entrenar modelos más pequeños localmente en varios sitios de borde, cerca de la fuente de datos. Esto elimina la necesidad de que las empresas transfieran datos sin procesar. En su lugar, solo necesitan transferir las ponderaciones del modelo (los parámetros que reflejan lo que los modelos locales aprendieron durante el proceso de entrenamiento) y agregarlos para formar un modelo global.
Centralizar los esfuerzos de desarrollo de IA en centros de excelencia de IA es otro enfoque que muchas empresas adoptan por razones de coste y gobernanza. Quieren comprender y gestionar cómo los diferentes grupos de sus empresas utilizan los datos y modelos externos para garantizar el cumplimiento de la soberanía de datos. Por ejemplo, exigen que los propietarios de los datos depuren los datos personales antes de enviarlos a una ubicación central para el desarrollo de IA. Posteriormente, los modelos desarrollados pueden distribuirse para su uso en diferentes organizaciones.
Casos de uso de infraestructura distribuida para la soberanía de datos
Hemos estado trabajando con nuestros clientes para que puedan cumplir con los diversos requisitos de almacenamiento y procesamiento de datos de las jurisdicciones donde recopilan y procesan datos. A continuación, se presentan tres ejemplos de cómo están implementando infraestructura distribuida para el cumplimiento de la soberanía de datos:
Inferencia de IA: una empresa de tecnología de comunicaciones estableció nodos de almacenamiento en todo el mundo para cumplir con las regulaciones que exigen que almacenen y procesen datos dentro de las regiones donde se recopilan.
Procesamiento y almacenamiento de datos: un fabricante de automóviles necesita implementar una infraestructura distribuida para almacenar y procesar datos en múltiples ubicaciones en varias regiones.
Implementación de clústeres de IA: una empresa de software de diseño gráfico utilizará clústeres de IA para cumplir con las regulaciones de almacenamiento y procesamiento de datos de clientes en la región donde se generan.
Con Equinix, las empresas pueden implementar las capacidades específicas de computación, energía y almacenamiento que necesitan en cada ubicación y conectar esas ubicaciones con conectividad física y virtual que es rápida, privada y segura.
Implementando soluciones de soberanía de datos
Proteger y gestionar datos en un mundo de regulaciones, tecnologías y riesgos en constante evolución requiere colaboración. Equinix se dedica a colaborar con nuestros clientes para desarrollar soluciones de infraestructura distribuida que les permitan cumplir con los requisitos de soberanía de datos. Equinix es el punto de conexión de las fuentes de datos distribuidas, dondequiera que se encuentren: localmente, en nuestra infraestructura de coubicación o en la nube. Esto es especialmente importante para la IA. Sin embargo, esta tarea es demasiado grande para que la resuelvan solo dos empresas. Confiamos en nuestros socios y proveedores del ecosistema digital para que nos ayuden a integrar soluciones que aborden estos desafíos.
Los centros de datos de Equinix , preparados para IA, están estratégicamente ubicados en los mercados más conectados del mundo y ofrecen una infraestructura escalable que las empresas pueden usar para mejorar sus capacidades de IA. Con más de 260 centros de datos en 74 áreas metropolitanas de todo el mundo, nuestra cartera global de centros de datos Equinix IBX® le permite ubicar, interconectar y gestionar de forma segura sus datos en cualquier lugar del mundo. Ofrecemos la única plataforma global con diferentes tipos de centros de datos, un completo ecosistema de nubes y proveedores de servicios, y servicios de interconexión virtual bajo demanda.
Como líder mundial en accesos a la nube, Equinix proporciona conexiones con los principales proveedores de servicios en la nube en nuestros centros de datos en todo el mundo. Las empresas pueden incorporar un entorno de almacenamiento dedicado a su arquitectura multicloud híbrida, lo que les ayuda a mantener el control de sus datos y a cumplir con los requisitos de privacidad y soberanía de los mismos.
Para obtener más información sobre el futuro de la IA y cómo preparar sus estrategias de datos para la IA, lea el Indicador Equinix .
Para obtener más información sobre cómo los centros de datos preparados para IA pueden respaldar su transición hacia la IA, mire nuestra charla técnica: Por qué necesita un centro de datos de alto rendimiento preparado para IA . Equinix Blog. J. L. Traducido al español
Contacto