Menu

Menu

Menu

De interés

Nuestro propósito y nuestros valores: Código de conducta

Reconocimientos

Loading Results

Soberanía operativa en tratamientos de datos personales
Soberanía operativa en tratamientos de datos personales

Analizamos el concepto de soberanía operativa en los tratamientos de datos personales como exigencia práctica derivada del principio de responsabilidad proactiva del RGPD. El artículo examina su fundamento normativo y los riesgos asociados a la pérdida de control efectivo sobre los tratamientos en entornos de externalización y servicios en la nube. Asimismo, se ofrecen recomendaciones prácticas para las organizaciones y se sitúa este concepto en el contexto más amplio de la estrategia europea de soberanía digital y de las nuevas obligaciones introducidas por el Data Act.

La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha puesto el foco recientemente sobre un concepto que, sin ser nuevo en el marco normativo europeo, adquiere una relevancia creciente en el contexto actual de dependencia tecnológica: la soberanía operativa en los tratamientos de datos personales. Este concepto, estrechamente vinculado al principio de responsabilidad proactiva del Reglamento General de Protección de Datos (en adelante, “RGPD”), exige que los responsables del tratamiento mantengan un control real y efectivo sobre las operaciones que realizan, con independencia de los proveedores tecnológicos que intervengan en la cadena de tratamiento.

Introducción: el contexto de la soberanía operativa

En un entorno marcado por la adopción masiva de servicios en la nube, la externalización de procesos y la creciente concentración del mercado tecnológico en un número reducido de proveedores globales, las organizaciones se enfrentan a un desafío fundamental: garantizar que no pierden la capacidad de decisión y de control sobre sus tratamientos.

La soberanía operativa no se refiere únicamente a la localización geográfica de los datos —cuestión que, siendo relevante, constituye solo uno de sus factores—, sino que abarca la capacidad del responsable del tratamiento de definir, supervisar, auditar y, en su caso, modificar o cesar las condiciones en las que se realiza el tratamiento de datos personales. Se trata, en definitiva, de que el responsable conserve en todo momento el gobierno efectivo de sus operaciones tal y como exige el artículo 24 del RGPD en relación con el principio de responsabilidad proactiva.

La AEPD, en su reciente publicación, ha subrayado que la pérdida de soberanía operativa puede suponer un incumplimiento del RGPD, en la medida en que el responsable deja de estar en condiciones de garantizar y demostrar que el tratamiento se realiza conforme a los principios y obligaciones establecidos en la normativa.

Fundamento normativo

El concepto de soberanía operativa se sustenta en diversas disposiciones del RGPD y en otras normativas europeas.

En primer lugar, el artículo 5.2 del RGPD establece el principio de responsabilidad proactiva, conforme al cual el responsable del tratamiento no solo debe cumplir con los principios relativos al tratamiento de datos personales, sino que además debe ser capaz de demostrar dicho cumplimiento. Esta obligación resulta difícilmente compatible con situaciones en las que el responsable carece de visibilidad o control real sobre las operaciones de tratamiento realizadas por sus encargados o subencargados.

En segundo lugar, el artículo 28 del RGPD regula la relación entre responsable y encargado del tratamiento, exigiendo que este último actúe únicamente siguiendo las instrucciones documentadas del responsable. Cuando los contratos con proveedores tecnológicos contienen cláusulas que limitan la capacidad del responsable de impartir instrucciones, auditar el cumplimiento o cambiar de proveedor, la soberanía operativa se ve comprometida.

Adicionalmente, el Reglamento (UE) 2018/1807 sobre la libre circulación de datos no personales y, más recientemente, el Reglamento de Datos (Data Act, Reglamento (UE) 2023/2854) refuerzan el marco jurídico orientado a evitar situaciones de dependencia tecnológica y a facilitar la portabilidad y el cambio de proveedores de servicios de tratamiento de datos.

Dimensiones de la soberanía operativa

La soberanía operativa en materia de protección de datos puede desglosarse en varias dimensiones clave que los responsables del tratamiento deben evaluar y gestionar de forma continua:

El responsable debe asegurarse de que los contratos de encargo de tratamiento reflejan fielmente su capacidad de decisión sobre los aspectos esenciales del tratamiento: finalidades, medios, medidas de seguridad, subcontratación, transferencias internacionales y condiciones de devolución o supresión de datos. Las cláusulas estándar impuestas unilateralmente por grandes proveedores tecnológicos, que a menudo no admiten negociación, pueden erosionar significativamente esta dimensión.

El responsable debe mantener la capacidad de supervisar y auditar, directa o indirectamente, las medidas técnicas y organizativas aplicadas por sus encargados de tratamiento. Esto incluye el cifrado, la gestión de accesos, la segregación de datos, la trazabilidad de las operaciones y la capacidad de respuesta ante incidentes de seguridad.

Un elemento esencial de la soberanía operativa es la posibilidad real —no meramente teórica— de migrar los datos y los servicios a otro proveedor o de revertirlos a una infraestructura propia. Los costes excesivos de salida, las incompatibilidades técnicas deliberadas y la ausencia de formatos interoperables constituyen barreras que limitan esta capacidad y, con ella, la autonomía del responsable. En última instancia, la mejor garantía de portabilidad reside en la existencia de mercados verdaderamente competitivos y abiertos, donde la libre elección del responsable —y no solo la intervención regulatoria— actúe como mecanismo corrector frente a las prácticas abusivas de los proveedores dominantes.

Cuando los datos personales son objeto de transferencias a terceros países, el responsable debe poder verificar que se cumplen las garantías exigidas por el Capítulo V del RGPD, incluida la evaluación del impacto de la legislación del país de destino sobre la protección de los datos transferidos, conforme a la doctrina sentada por el Tribunal de Justicia de la Unión Europea en la sentencia Schrems II (C-311/18).

Riesgos asociados a la pérdida de soberanía operativa

La dependencia excesiva de proveedores tecnológicos puede generar riesgos de diversa naturaleza para las organizaciones, que van más allá del incumplimiento normativo y afectan a la continuidad de negocio y a la confianza de los interesados.

En el plano regulatorio, la imposibilidad de demostrar el cumplimiento del RGPD puede derivar en procedimientos sancionadores por parte de las autoridades de control. La AEPD ha señalado que la falta de control efectivo sobre el tratamiento constituye, en sí misma, un factor de riesgo que el responsable debe evaluar y mitigar en el marco de sus evaluaciones de impacto relativas a la protección de datos (en adelante, “EIPD”), conforme al artículo 35 del RGPD.

En el plano operativo, la concentración en un único proveedor genera un punto único de fallo que puede comprometer la disponibilidad de los datos y la continuidad del servicio. Los incidentes sufridos por grandes proveedores de servicios en la nube en los últimos años han evidenciado que la resiliencia operativa exige estrategias de diversificación y planes de contingencia que contemplen escenarios de indisponibilidad prolongada.

En el plano reputacional, la percepción por parte de los ciudadanos y de los clientes de que una organización no tiene el control real de sus datos puede erosionar la confianza y generar un daño difícilmente reparable, especialmente en sectores sensibles como el sanitario, el financiero o el de las administraciones públicas.

Recomendaciones prácticas para las organizaciones

Para preservar y reforzar su soberanía operativa, las organizaciones deberían considerar la adopción de las siguientes medidas:

  • La realización de una evaluación exhaustiva de los proveedores tecnológicos antes de su contratación, que incluya no solo aspectos de seguridad y cumplimiento normativo, sino también la viabilidad técnica y económica de una eventual migración a otro proveedor. Esta evaluación debería incorporarse como parte del proceso de debida diligencia en materia de protección de datos.
  • La negociación activa de los contratos de encargo de tratamiento, evitando la aceptación acrítica de cláusulas estándar que limiten la capacidad de auditoría, la portabilidad de los datos o la facultad de impartir instrucciones vinculantes al encargado. En aquellos casos en los que la negociación no sea posible por la posición dominante del proveedor, el responsable deberá documentar esta circunstancia y adoptar medidas compensatorias.
  • La implementación de estrategias multi-cloud o de arquitecturas híbridas que reduzcan la dependencia de un único proveedor y faciliten la portabilidad de los datos y las aplicaciones. El Data Act, introduce obligaciones específicas para los proveedores de servicios de tratamiento de datos en relación con la eliminación de barreras al cambio de proveedor.
  • La inclusión de la soberanía operativa como criterio en las EIPDs, de modo que los riesgos derivados de la dependencia tecnológica sean identificados, evaluados y mitigados de forma sistemática.
  • La monitorización continua de las condiciones de tratamiento, mediante auditorías periódicas, revisiones contractuales y la exigencia de informes de cumplimiento a los encargados de tratamiento, en línea con lo previsto en el artículo 28.3.h) del RGPD.

El papel de las autoridades de control y la perspectiva europea

La publicación de la AEPD se enmarca en un contexto más amplio de preocupación por la soberanía digital a nivel europeo. Iniciativas como la Estrategia Europea de Datos, el proyecto GAIA-X para la creación de una infraestructura de datos europea federada y soberana, y la propia regulación del Data Act reflejan la voluntad de la Unión Europea de garantizar que las organizaciones europeas —y, en última instancia, los ciudadanos— mantengan el control sobre sus datos en un ecosistema tecnológico cada vez más globalizado. No obstante, conviene preguntarse si la proliferación de marcos regulatorios cada vez más densos y prescriptivos alcanza verdaderamente ese objetivo o si, paradójicamente, eleva las barreras de entrada y consolida la posición de aquellos grandes operadores que son los únicos con recursos suficientes para absorber los costes de cumplimiento, restringiendo así la capacidad de elección de las organizaciones que se pretende proteger.

Las autoridades de protección de datos, en su papel de supervisión, están llamadas a desempeñar una función esencial en la vigilancia de estas dinámicas, promoviendo estándares de transparencia y control que permitan a los responsables del tratamiento ejercer efectivamente su soberanía operativa. Es posible que, en los próximos años, veamos un incremento de las actuaciones inspectoras y de las directrices regulatorias en esta materia, especialmente en relación con el uso de servicios de computación en la nube por parte de administraciones públicas y sectores estratégicos.

Conclusiones

La soberanía operativa en los tratamientos de datos personales no es un concepto abstracto, sino una exigencia práctica derivada del principio de responsabilidad proactiva que vertebra el RGPD. En un contexto de creciente dependencia tecnológica, las organizaciones deben adoptar un enfoque proactivo para garantizar que conservan el control efectivo sobre sus operaciones de tratamiento, más allá de la mera formalización contractual.

La reciente publicación de la AEPD constituye un recordatorio oportuno de que la externalización de servicios de tratamiento de datos no exime al responsable de sus obligaciones, y de que la pérdida de soberanía operativa puede tener consecuencias regulatorias, operativas y reputacionales significativas. Las organizaciones que aborden esta cuestión de forma estratégica, integrándola en sus marcos de gobernanza de datos y en sus procesos de selección y gestión de proveedores, estarán mejor posicionadas para cumplir con el marco normativo y para generar confianza entre sus clientes y los ciudadanos cuyos datos tratan. 

Artículo elaborado por Ignacio De Sebastián, Manager de NewLaw, y Fina Sastre Coll, senior associate de NewLaw

Contacta con nosotros

Fernando Fernández-Miranda

Fernando Fernández-Miranda

Socio de Regulación Digital, PwC Tax & Legal

Email
Sandra López

Sandra López

Directora de Regulación Digital (New Law), PwC Tax & Legal

Email

© 2016 - 2026 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.