En 2019, se vio una gran disputa global sobre la regulación de las transferencias de datos transfronterizas, con una serie de economías emergentes tomando medidas para ejercer un mayor control soberano sobre sus datos. La controversia sobre este tema es producto del deseo de las economías emergentes de rechazar los sistemas económicos explotadores adoptados por las empresas de tecnología con sede en los EE. UU. y reparar un proceso engorroso para las agencias de aplicación de la ley que buscan acceder a los datos almacenados en los Estados Unidos. Una estrategia clave adoptada por estos países ha sido la localización de datos que exige una serie de medidas que prevén el almacenamiento o procesamiento obligatorio de datos dentro del territorio de un país determinado.
Una de las principales partes interesadas en el ecosistema político que rodea los debates sobre la localización de datos ha sido el lobby occidental que representa los intereses de las empresas de tecnología con sede en los Estados Unidos. A través de esfuerzos concertados realizados en conjunto con grupos de cabildeo liderados por la industria y esfuerzos diplomáticos respaldados por el estado, han logrado empujar a las economías emergentes a diluir el alcance de sus mandatos de localización de datos y aliviar las restricciones sobre el libre flujo de datos.
A principios de marzo, fui coautor de un estudio que rastreó todos los mandatos de localización de datos en todo el mundo e identificó a China, India, Indonesia y Vietnam como los países asiáticos clave que tenían leyes existentes o propuestas que exigían la localización de datos de alguna forma. Con la excepción de China (que no ha modificado sus estrictas leyes de localización de datos), los otros tres han incumplido sus respectivas tácticas de localización, hasta cierto punto.
Este artículo rastrea las disposiciones de localización cada vez más estrechas en tres economías emergentes críticas, India, Vietnam e Indonesia, y estudia los actores y la lucha geopolítica que dio forma a estas disposiciones.
Limitación de las disposiciones de localización de datos
¿Disfrutas de este artículo? Haga clic aquí para suscribirse y obtener acceso completo. Solo $5 al mes.
India
El gambito de localización de datos de India comenzó en abril de 2018 cuando el Banco de la Reserva de India emitió una directiva a todas las empresas para almacenar datos relacionados con los sistemas de pago en India. WhatsApp Pay, Google Pay, Mastercard y otras compañías extranjeras que manejan datos de pago están tratando de cumplir con esta directiva en prioridad. Desde entonces, ha habido ocho notificaciones sectoriales que exigen la localización de datos de alguna forma por parte de los reguladores sectoriales que rigen los datos de seguros, atención médica y comercio electrónico.
El gran punto de conversación global fue la introducción de una disposición de duplicación que exigía que se almacenara una copia de servicio en vivo de todos los datos personales en India en un borrador del Proyecto de Ley de Protección de Datos Personales que se hizo público en agosto de 2018 junto con una restricción de cualquier transfronterizo. transferencias de datos para todos los datos notificados como datos personales críticos.
Cuando finalmente se presentó una versión revisada del proyecto de ley en el parlamento en diciembre de 2019, la disposición de duplicación había desaparecido.
En su forma actual, el proyecto de ley ahora solo requiere el almacenamiento de datos personales confidenciales dentro de la India, un subconjunto de lo que estaba dentro del mandato anterior. Los datos personales confidenciales también pueden transferirse al extranjero con el fin de procesarlos si se cumplen ciertas condiciones, incluida la obtención del consentimiento explícito del usuario de los datos (llamado titular de los datos) y en cumplimiento de un contrato o un esquema intragrupo que salvaguarda los derechos del usuario, al mismo tiempo que garantiza la responsabilidad del procesador de datos (fiduciario) si se produce un daño.
Alternativamente, los datos personales confidenciales pueden transferirse al extranjero si se les va a otorgar un nivel adecuado de protección en esa jurisdicción. Además, las autoridades policiales indias deben tener acceso a esos datos cuando lo necesiten, para realizar investigaciones criminales.
Al igual que en la iteración anterior de los proyectos de ley, el gobierno indio tiene el poder de notificar cualquier dato como información personal crítica, que debe almacenarse y procesarse solo en India.
Es importante tener en cuenta que, a pesar de la dilución del mandato en el Proyecto de Ley de Protección de Datos Personales, todas las demás notificaciones sectoriales, incluida la Directiva de Pagos RBI, que exigen la localización de los datos de pago, siguen estando en vigor.
Indonesia
La ley de Indonesia ha tenido requisitos estrictos de localización de datos desde 2012. La Directiva gubernamental 82 de 2012 ordenó que todos los operadores de sistemas electrónicos que brindan
¿Disfrutas de este artículo? Haga clic aquí para suscribirse y obtener acceso completo. Solo $5 al mes.
los servicios públicos deben establecer un centro de datos en Indonesia. Siete años después, en octubre de 2019, a través de la Regulación 71 de 2019, Indonesia relajó el requisito de localización de datos al limitar la aplicación a los operadores de sistemas electrónicos públicos limitados a las siguientes entidades: organismos públicos (ejecutivo central o regional, legislaturas, poder judicial y cualquier otro organismo establecido de conformidad con un estatuto), y entidades que están operando sistemas electrónicos en su nombre. Fundamentalmente, los organismos públicos que operan en los sectores bancario y financiero están exentos del mandato. Además, para brindar una mayor flexibilidad, los organismos públicos u operadores designados en su nombre pueden almacenar y procesar datos en el extranjero si el gobierno decide que la tecnología específica de almacenamiento de datos no está disponible en Indonesia.
Vietnam
La Ley de Ciberseguridad de Vietnam entró en vigor el 1 de enero de 2019 en medio de preocupaciones de que las empresas con presencia económica e interés comercial, pero sin presencia física, también entrarían en el ámbito de esta ley. El artículo 26 (3) exige que los proveedores nacionales y extranjeros de servicios de telecomunicaciones, servicios de Internet y servicios de valor agregado en el ciberespacio de Vietnam que recopilen, analicen o procesen información privada de los usuarios de sus servicios en Vietnam conserven los datos durante el período de tiempo requerido según lo dispuesto por Vietnam. gobierno. La misma disposición también requiere que todas las empresas extranjeras establezcan una sucursal u oficina de representación en Vietnam.
Luego de la notificación del decreto, faltaba claridad sobre el tipo de empresas que estarían cubiertas por este mandato. Surgió más inquietud cuando un proyecto de decreto rector identificó los servicios en el ciberespacio como incluidos todos los servicios, telecomunicaciones, almacenamiento e intercambio de datos, nombre de dominio, comercio electrónico, pago en línea, pagos, redes de transporte, redes sociales y medios sociales, juegos de azar en línea y proveedores de otros servicios como mensajes, llamadas de voz, videollamadas, correos electrónicos y juegos en línea. Según un informe reciente de Business Times, el Ministerio de Seguridad Pública redujo en gran medida el alcance de la disposición de localización y declaró que una empresa tendría que cumplir con todas las siguientes condiciones para estar bajo el mandato:
(1) La empresa presta servicios en redes de telecomunicaciones, Internet o cualquier otro ciberespacio; Y
(2) La empresa recopila, explota, analiza o procesa datos sobre información personal, datos generados por usuarios de servicios en Vietnam o datos sobre relaciones de usuarios de servicios en Vietnam Y
(3) Se ha notificado a la empresa que sus servicios se han utilizado para cometer infracciones de la ley vietnamita, pero la empresa (i) no ha tomado medidas para detener o manejar las infracciones y (ii) se resiste, obstruye o no cumple con las solicitudes de las autoridades pertinentes en la cooperación para investigar y manejar tales violaciones o (iii) neutraliza y deshabilita el efecto de las medidas de protección de ciberseguridad tomadas por las autoridades.
Si bien los dos primeros criterios son bastante genéricos, el cumplimiento obligatorio del último criterio reduce en gran medida el número de empresas que se encuentran dentro del alcance del mandato de localización. Solo si se notifica a la empresa que está cometiendo violaciones de varios aspectos de la ley vietnamita y no se toman medidas correctivas, se la puede obligar a cumplir con el mandato de localización, que actúa como un indulto para muchas empresas tecnológicas globales que operan en Vietnam.
La geopolítica de la localización de datos
Los protagonistas de la saga de localización de datos en todos los países han sido similares y la pelea ha seguido una línea similar. En India, los principales patrocinadores de la localización de datos fueron las grandes corporaciones indias, como Reliance o Phone Pe, que tenían la capacidad de construir centros de datos en India o tenían los recursos financieros para pagar el almacenamiento de datos en India. (Hay una lista detallada de todas las partes interesadas clave y sus respectivas posiciones en la página 76 en adelante aquí).
Mukesh Ambani, presidente de Reliance Industries, ha sido un firme defensor de la localización de datos, argumentando que era un medio para prevenir la colonización de datos por parte de empresas tecnológicas de Occidente, que obtienen ganancias económicas rabiosas de los datos generados por ciudadanos indios.
La segunda fuerza importante detrás de la localización de datos fueron las empresas de tecnología chinas como Alibaba y Xilinx que ya habían establecido centros de datos en India y, por lo tanto, consideraron la localización de datos como una oportunidad para competir en India con empresas occidentales como Amazon que aún no lo habían hecho.
Los principales defensores de la localización de datos en Indonesia fueron las empresas de centros de datos de Indonesia. En un comunicado de prensa conjunto con fecha de noviembre de 2018, varias organizaciones comerciales, incluidas la Asociación de Computación en la Nube de Indonesia (ACCI) y la Asociación de Proveedores de Servicios de Internet de Indonesia (APJII), expresaron una fuerte oposición a la relajación de las normas de localización sin éxito ya que el gobierno de Indonesia siguió adelante con la emisión de la Norma General 71 de 2019 independientemente.
A pesar de la presión interna en apoyo, las verticales de política pública de Big Tech participaron en un cabildeo prolongado contra los mandatos de localización de datos en los tres países.
Con respecto a la India, el vicepresidente de políticas públicas de Facebook, Nick Clegg, y el director ejecutivo de Google, Sundar Pichai, se opusieron constantemente a la localización de datos e hicieron viajes a Nueva Delhi para subrayar ese mensaje. Los grupos de cabildeo de la industria, incluido el Foro de Asociación Estratégica entre EE. UU. e India (USISPF), el Consejo Empresarial EE. UU. e India (USIBC) y la Asociación Nacional de Empresas de Software y Servicios (NASSCOM) que representan sus intereses permitieron que estos grupos proporcionaran un frente unido. Los esfuerzos de cabildeo de toda la industria también se vincularon con el gobierno, que hizo de la localización de datos un tema de conversación crucial en las negociaciones comerciales entre EE. UU. e India, y el secretario de Comercio de EE. UU., Wilbur Ross, lo señaló continuamente como una disposición que dañará indebidamente a las empresas estadounidenses. Según los informes, el secretario de Estado Mike Pompeo consideró restringir las visas H1B para cualquier país que tenga un requisito de localización de datos y el presidente Donald Trump se ha opuesto explícitamente a la localización de datos en una declaración realizada al margen de la cumbre del G-20 en Osaka.
¿Disfrutas de este artículo? Haga clic aquí para suscribirse y obtener acceso completo. Solo $5 al mes.
La diplomacia comercial y el cabildeo de la industria también colaboraron con redes de tarjetas como Visa y Mastercard para convencer al gobierno de Indonesia de relajar las reglas de localización para sus sistemas de pago nacionales. Más de 200 correos electrónicos descubiertos por Reuters bajo una solicitud de la Ley de Libertad de Información de EE. UU. (FOIA) mostraron que Mastercard presionó al Representante Comercial de los Estados Unidos (USTR) para que se opusiera a las nuevas reglas sobre los sistemas de pago locales en India, Vietnam, Laos, Ucrania y Ghana, con Visa. estar involucrado en muchas de las discusiones.
Google y Facebook también presionaron al gobierno vietnamita al hablar a través de su grupo de cabildeo regional, la Coalición de Internet de Asia, quien argumentó que el requisito de localización sofocaría la inversión y dañaría el crecimiento económico.
Si bien el lobby de las grandes tecnologías y los diplomáticos comerciales eran figuras claramente importantes en los tres países, de ninguna manera eran los únicos jugadores en el juego. Otras partes interesadas se beneficiaron de esta batalla geopolítica. Las empresas emergentes más pequeñas en India que habrían enfrentado grandes problemas económicos debido a los costos de cumplimiento relacionados con la localización ciertamente tienen las cosas más fáciles. Si bien la sociedad civil y la academia en los tres países se habían pronunciado en contra de los onerosos requisitos de localización de datos, finalmente fue el cabildeo corporativo el que influyó en los gobiernos para llevar a cabo discusiones geoestratégicamente sólidas.
El futuro de los debates multilaterales sobre la gobernanza de datos
A pesar de la reducción de los requisitos de localización en respuesta al lobby industrial global y las relaciones diplomáticas, ninguno de los tres países ha comprometido su autonomía estratégica. Las disposiciones relajadas continúan brindando a los gobiernos de los tres países el poder de intervenir cuando un proveedor de servicios de Internet extranjero no cumple con la ley o no brinda acceso a los datos cuando es necesario y, por lo tanto, preserva el interés soberano.
El debate multilateral sobre el libre flujo de datos llegó al G-20 en julio de este año con los países BRICS emitiendo una fuerte declaración que enfatiza el derecho soberano de las naciones a usar los datos para mejorar el bienestar de los ciudadanos, mientras que Trump hizo una declaración oponiéndose explícitamente a la localización de datos. El primer ministro japonés, Shinzo Abe, defendió la Declaración de Osaka sobre la economía digital que promueve el libre flujo de datos con confianza. Si bien la declaración, conocida como la Vía de Osaka, recibió firmas de más de 50 países, incluidos Brasil, China y Vietnam, India se abstuvo notablemente de firmar porque sentía que las negociaciones plurilaterales fuera de la Organización Mundial del Comercio (OMC) socavarían los foros multilaterales que buscan fomentar el consenso. sobre transferencias transfronterizas de datos.
Extendiendo la batalla de India en la OMC para garantizar un mayor control soberano sobre los flujos de datos, India inicialmente bloqueó el capítulo de comercio electrónico de la Asociación Económica Integral Regional (RCEP) debido a su obligación sobre el libre flujo de datos. Sin embargo, finalmente India cedió y permitió que este capítulo se llevara a cabo. La razón esgrimida para abandonar finalmente el RCEP fue la falta de salvaguardias que pudieran mitigar los aumentos repentinos de las importaciones de varios países del RCEP, especialmente de China. Esto muestra una voluntad por parte de la India de comprometer su postura en el debate, si considera que esto es de su mayor interés geoeconómico. A pesar de las disposiciones de localización de datos en su ley, Vietnam e Indonesia no se opusieron al capítulo de comercio electrónico del RCEP y siguieron adelante con la firma del acuerdo comercial.
Está claro que las empresas de tecnología con sede en los EE. UU. seguirán dando forma a la trayectoria geoeconómica de la gobernanza de datos y, por lo tanto, desempeñarán un papel clave en el comercio, la inversión y el panorama diplomático en Asia. Mientras el lobby de las grandes tecnologías trabaje en estrecha colaboración con los gobiernos de las economías emergentes para respetar la autonomía soberana y promover el bienestar de los ciudadanos por encima de la rabiosa avaricia corporativa, seguirá siendo una parte interesada clave en la configuración de un futuro digital libre, justo y equitativo.
Arindrajit Basu es Gerente de Investigación en el Centro para Internet y Sociedad, India. Abogado de formación, tiene un LLM en Derecho Internacional Público de la Universidad de Cambridge.