Business

¿De quién son tus datos de IoT? Propiedad, residencia y GDPR

De quién son tus datos de IoT, dónde deben residir y qué exige realmente el GDPR. Las preguntas sobre propiedad y residencia de datos que le debes hacer a cualquier proveedor de plataformas de IoT antes de firmar.

Fabio Rosa ·
¿De quién son tus datos de IoT? Propiedad, residencia y GDPR

La propiedad de los datos de IoT parece un tema resuelto, hasta que intentas abandonar una plataforma, repruebas una auditoría o un cliente europeo te pregunta dónde residen físicamente sus datos. Ahí descubres que “tus datos” hacían un trabajo silencioso pero importante en el contrato, y que la respuesta sobre quién los controla no era la que dabas por sentada.

La mayoría de los equipos nunca hacen estas preguntas durante la selección, porque evalúan la plataforma por funciones y precio, y la sección de gobernanza de datos se lee como texto de relleno. Pero la propiedad, la residencia y el cumplimiento no son relleno. Deciden si puedes salir, si puedes vender en mercados regulados y si una auditoría es un trámite o un incendio que apagar.

En realidad hay tres preguntas distintas escondidas bajo la etiqueta de “propiedad de los datos”, y las responden tres partes diferentes de la relación con un proveedor. Así se separan y esto es lo que debes preguntar.

Propiedad y residencia son dos preguntas distintas con respuestas distintas.

Primera pregunta: de quién son los datos

La propiedad es una cuestión contractual, no técnica, y las palabras importan. Quieres que el acuerdo diga con claridad que los datos son tuyos y que el proveedor es un encargado del tratamiento que los almacena y gestiona en tu nombre, no un dueño ni un copropietario de ellos.

Las pruebas prácticas de una propiedad real son la exportación y la eliminación. ¿Puedes sacar todos tus datos, en un formato usable, cuando quieras, sin una tarifa que vuelva doloroso irte? ¿Y puedes solicitar que se eliminen y obtener una confirmación? Si cualquiera de las dos está condicionada, restringida o es ambigua, no eres del todo dueño de los datos por más que el titular diga lo contrario. La postura de TagoIO aquí es clara: tus datos son tuyos y accesibles en cualquier momento a través de la API, lo que convierte la exportación en una llamada rutinaria y no en una negociación.

Haz la versión directa de la pregunta durante la selección: “¿Cómo sacamos todo, y cuánto cuesta, si nos vamos dentro de dos años?” La calidad de la respuesta te dice quién es el verdadero dueño de los datos.

Segunda pregunta: dónde residen los datos

La residencia es una cuestión aparte de la propiedad, y confundir ambas causa problemas reales. Puedes ser dueño absoluto de tus datos y aun así tenerlos almacenados en una región que rompe un contrato con un cliente o una regulación. La residencia trata sobre la ubicación física y legal de los datos, y para un número creciente de acuerdos es un requisito estricto, no una preferencia.

Las razones son concretas. Un cliente europeo puede exigir que sus datos permanezcan en la UE. Un cliente del sector público o de la salud puede imponer una jurisdicción específica. Una ley de soberanía de datos puede prohibir que los datos salgan del país. Si tu plataforma lo almacena todo en una sola región sin opción a elegir, no puedes atender a esos clientes, y punto.

Aquí es donde importa el modelo de despliegue. La nube de instancias compartidas de TagoIO opera en las principales regiones y, para requisitos más estrictos, TagoDeploy ofrece despliegues dedicados en 12 o más regiones sobre AWS, de modo que los datos puedan residir donde lo exija el contrato o la ley. La pregunta que debes hacerle a cualquier proveedor: “¿En qué regiones se pueden almacenar nuestros datos? ¿Podemos elegir?” Si la respuesta es “en una”, ese es el techo de tu mercado potencial.

Tercera pregunta: qué exige realmente el GDPR

El GDPR es donde la propiedad y la residencia se cruzan con la regulación, y es más específico que “mantener los datos en Europa.” Evaluar si una plataforma está preparada para el GDPR se reduce a unos pocos puntos verificables, no a una impresión general.

Busca un DPA que el proveedor esté dispuesto a firmar, que lo defina como tu encargado del tratamiento y establezca sus obligaciones. Busca soporte para los derechos de los interesados: la capacidad de exportar, corregir y eliminar datos personales cuando se solicite, lo que enlaza directamente con las pruebas de propiedad de antes. Busca controles de seguridad acordes a los datos, cifrado en tránsito y en reposo y un control de acceso real. Y busca una certificación de seguridad independiente como prueba de que los controles son reales y no solo declarados. TagoIO cuenta con la certificación ISO 27001 y está preparado para el GDPR, lo que significa que el equipo de cumplimiento de un cliente revisa un programa auditado en lugar de creer en tu palabra.

El error que cometen los equipos es tratar el GDPR como una casilla legal al final. Es un criterio de selección de plataforma, porque si la plataforma no puede dar soporte a los derechos de los interesados y a la residencia, ninguna cláusula contractual podrá añadirlos después.

Júntalo todo antes de firmar

Estas tres preguntas son baratas de hacer durante la selección y caras de descubrir después. La propiedad se define en el contrato, y las pruebas de exportación y eliminación lo demuestran. La residencia se define por las opciones regionales de la plataforma, y decide a qué clientes puedes atender. La preparación para el GDPR se define por un DPA firmado, el soporte a los derechos de los interesados y una certificación independiente, y decide si los mercados regulados están abiertos para ti.

Hazlas las tres antes de comprometerte, no durante tu primera auditoría. Si estás armando una lista corta de proveedores, la lista de verificación complementaria en las preguntas clave que debes hacer antes de elegir una plataforma de IoT las integra en la evaluación más amplia, y cómo elegir entre AWS IoT Core y una plataforma gestionada explica dónde recae la carga de cumplimiento en cada modelo.

Tus datos deben ser tuyos, almacenados donde los necesitas y gestionados de una forma que puedas demostrar. Haz que el proveedor demuestre las tres cosas. ¿Quieres ver cómo TagoIO maneja la propiedad, la residencia y el GDPR? Agenda una demostración o empieza gratis.