Un centro de datos de OVHCloud en Quebec en junio de 2022. No importa en qué país opere un centro de datos, sino bajo qué jurisdicción cae, escribe Joshua van Es.
Joshua van Es trabaja en derecho corporativo y escribe sobre soberanía y política tecnológica. Desde principios de la década de 2000, hemos estado contentos de depender de grandes empresas estadounidenses para gran parte de nuestras necesidades tecnológicas, manteniendo la convicción de que el riesgo de hacerlo era bajo. Pero ese mismo cálculo de riesgo ya no se mantiene en la era de la inteligencia artificial y frente a un Estados Unidos hostil.
Hay un mayor reconocimiento en Canadá y en todo el mundo de que los datos y la informática son ahora activos estratégicos y productivos, capaces de ser tanto un poderoso impulsor del crecimiento económico, como una vulnerabilidad de seguridad crítica cuando se externalizan a proveedores extranjeros. La idea de que una entidad controlada por extranjeros pudiera «apagar las luces» de los sistemas digitales que permiten que nuestro país funcione tiene un poco más de peso en 2026 que incluso hace unos años.
Las empresas canadienses han sido rápidas en capitalizar este nuevo reconocimiento, más recientemente con el anuncio de BCE Inc. de un centro de datos de $1.7 mil millones en Saskatchewan la semana pasada. El acuerdo implica asociarse con CoreWeave y Cerebras, ambas empresas estadounidenses, en la construcción, y fue acompañado por una declaración del director ejecutivo de BCE, Mirko Bibic, de que el proyecto permitiría a los canadienses que sus datos sean gestionados por canadienses bajo leyes canadienses.
Este proyecto y otros similares han sido elogiados por permitir y expandir las capacidades soberanas de datos de Canadá. Pero la soberanía, en el caso de los datos, no se mide por la ubicación de un centro de datos, ni siquiera por la nacionalidad de la empresa que lo posee.
Sigue la exposición jurisdiccional de la empresa que controla y opera ese centro de datos. Este principio se refleja en el caso judicial de 2018 en los Estados Unidos Plixer International, Inc. v. Scrutinizer GmbH, que determinó que una empresa de software alemana sin oficinas ni empleados en EE. UU. estaba sujeta a la jurisdicción de EE. UU. y, por lo tanto, sujeta a las leyes de EE. UU., simplemente porque anunciaba a clientes estadounidenses y aceptaba sus pagos.
De manera similar, si una empresa canadiense toma la decisión deliberada de hacer negocios en Estados Unidos, esa empresa cae bajo la jurisdicción de las autoridades estadounidenses. Eso luego abre a estas mismas empresas a la Ley CLOUD, que permite a EE. UU. obligar a las empresas a producir datos dentro de su «posesión, custodia o control», independientemente de dónde se encuentren esos datos.
Los hipervisores de EE. UU. son los primeros en señalar esto. Al defender su posición, ahora distribuyen material que destaca el hecho de que las principales empresas canadienses también probablemente estén sujetas a la Ley CLOUD de EE. UU. Señalan correctamente que Bell, por ejemplo, mantiene operaciones significativas en EE. UU., cotiza en el NYSE y se ha expandido en el mercado estadounidense a través de adquisiciones como Ziply Fiber.
También señalan que la Ley CLOUD rara vez se ha invocado para acceder a datos canadienses. Pero si la soberanía es el juego, entonces los canadienses deben entender que cuando los datos son manejados por una empresa con operaciones significativas en EE. UU., esos datos están expuestos a procesos legales en EE. UU., por raros que sean.
Para las empresas e instituciones canadienses, esta información puede resultar inquietante. El uso creciente e impreciso del término soberanía como etiqueta de marketing ha añadido a la confusión. El problema se complica por el hecho de que las empresas tecnológicas cambian frecuentemente de propietario a través de adquisiciones o inversión de capital privado. Frente a esa complejidad, algunas organizaciones pueden simplemente renunciar a tratar de entender dónde están realmente expuestos sus datos.
En mi propia investigación de más de 750 empresas de tecnología que ofrecen sus servicios a los canadienses, he encontrado que conceptualizar la soberanía como un binario simple de sí o no no siempre es útil. En su lugar, pregúntese cuál es su objetivo.
Si no maneja datos sensibles y no le importa quién pueda acceder a ellos o si ese acceso podría ser interrumpido en el peor de los casos, los principales hipervisores harán el trabajo. Si está contento con la noción de una exposición poco frecuente pero aún posible a procesos legales de EE. UU., pero desea reducir la posibilidad de que los datos sean interrumpidos por órdenes de un capital extranjero, las nubes que están construyendo las empresas de telecomunicaciones canadienses pueden ser lo que necesita.
Si está en el campo de la salud, la defensa u otros campos sensibles, busque una empresa canadiense que opere solo en Canadá. Eso es lo más cercano a la verdadera soberanía que puede obtener.
Cuando haya dudas, recuerde que la soberanía se determina por qué tribunal puede obligar al acceso de datos, no por dónde están almacenados esos datos en última instancia.
