Espacios de datos soberanos (II): La batalla por la propiedad del dato en EE.UU., China y Europa
En la primera parte de esta serie de blog, definimos los espacios de datos soberanos como ecosistemas de gobernanza y técnicos que permiten a múltiples actores compartir información bajo reglas comunes y mantener siempre el control y cumplir con normativas clave como el GDPR y eIDAS2. El enfoque europeo, detallado en esa primera entrega, busca pasar de un simple intercambio a una gobernanza responsable del dato basada en la confianza, la transparencia y el respeto por los derechos digitales.
Pero ¿cómo se compara este ambicioso modelo europeo con las estrategias de las otras grandes potencias mundiales? La soberanía digital es un campo de batalla global y los modelos de gobernanza en Estados Unidos y China presentan contrastes fundamentales con la visión centrada en el ciudadano de la Unión Europea. En este artículo analizaremos la lucha por la propiedad del dato, desde el dominio corporativo hasta el control estatal, para entender la necesidad y el valor de la respuesta europea.
El modelo estadounidense: el dominio de las Big Tech
En Estados Unidos, el modelo de gestión de datos ha sido profundamente influenciado por las grandes tecnológicas (Big Tech). Estas corporaciones basaron sus negocios en dos modelos: o bien el usuario paga por un producto (como Microsoft, Apple o Amazon), o bien el usuario es el producto (como Meta o Alphabet). En este último caso, se recopilan de forma masiva datos personales a través de servicios que se ofrecen como “gratuitos,” aunque esta recopilación también puede ocurrir en productos de pago.
Una vez que el valor de los datos y su uso por parte de las Big Tech fue evidente para la sociedad, éstas ejercieron una intensa presión (lobby) sobre gobiernos globales, incluido el de EE. UU., para evitar medidas de protección de datos. Han logrado mantener el laissez-faire y la falta de regulación que inicialmente facilitó su crecimiento.
La consecuencia directa es un gran desequilibrio de poder. Las personas en EE. UU. carecen de protección frente a decisiones unilaterales de estas empresas, ya que en la práctica resulta casi imposible rechazar las cláusulas de uso dado lo extendidas que están estas plataformas en la sociedad. Aunque el Estado podría regular, es poco probable que la normativa sea realmente restrictiva contra las grandes corporaciones de origen estadounidense.
El riesgo principal va más allá del abuso del uso de datos: incluye la manipulación de la opinión pública. Casos como el escándalo de Cambridge Analytica abrieron los ojos a las sociedades democráticas sobre la enorme influencia de las redes sociales. El mayor riesgo es la capacidad de manipulación a gran escala y con un nivel de detalle sin precedentes, realizada por empresas privadas que no rinden cuentas políticas por sus acciones.
En términos de privacidad, este modelo genera perfilados y discriminación algorítmica, lleva a la pérdida de control sobre los datos personales y, potencialmente, sobre el pensamiento independiente. Además, existen los data brokers que venden legalmente información sin consentimiento explícito. A nivel de competencia global, el acceso a cantidades tan elevadas de datos proporciona una ventaja competitiva que tiende a generar oligopolios y expulsa a las empresas más pequeñas del mercado.
La única respuesta regulatoria significativa en EE. UU. hasta ahora han sido las denuncias antimonopolio, aunque estas han ejercido una presión mínima sin lograr cambiar la estrategia empresarial de las Big Tech.
El modelo chino: el estado como propietario absoluto del dato
En contraste radical con EE. UU., el modelo de gobernanza de datos en China prioriza la seguridad nacional por encima de la privacidad individual. Mientras otras regiones legislan para proteger la privacidad como derecho fundamental, China ve el dato como un recurso estratégico que requiere control estatal.
La gobernanza se regula principalmente a través de tres normas: la Ley de Ciberseguridad (2017), y las Leyes de Protección de la Información Personal y de Seguridad de Datos (ambas de 2021). Estas leyes exigen que los datos de los usuarios chinos se almacenen dentro del país, imponen auditorías de seguridad y controles aleatorios gubernamentales, definen los datos personales sensibles y establecen controles de exportación.
Aunque estas normas se asemejan a las europeas en algunos aspectos, su enfoque está mucho más centrado en la seguridad nacional. A diferencia de las leyes estadounidenses (como CLOUD, PATRIOT, FISA), que afectan a ciudadanos de todo el mundo debido a la cuota de mercado de sus empresas, las leyes chinas afectan especialmente a sus propios ciudadanos.
La principal ventaja de este control total del Estado chino es la facilidad para implementar sistemas a gran escala que afectan a toda la población. Esto permite desplegar políticas de seguridad o salud pública de forma inmediata y uniforme. Desde una perspectiva técnica, la concentración del procesamiento y almacenamiento de datos reduce costos operativos y mejora la eficiencia. Así, facilita proyectos a gran escala que requieren coordinación entre ministerios, empresas y universidades.
Sin embargo, los riesgos son altos. Si los intereses del gobierno no están alineados con los de la población, el modelo facilita la creación de sistemas de censura o represión. El riesgo de abusos de poder es elevado, ya que el acceso estatal es amplio y poco transparente y los ciudadanos tienen poco control sobre el uso de sus datos.
En cuanto a las relaciones comerciales, este enfoque obliga a las empresas chinas a crear nuevas entidades en países como EEUUEE. UU. o Singapur para gestionar datos bajo normativas externas, lo que puede impedir que sus innovaciones lleguen antes al resto del mundo.
Europa: hacia la soberanía digital del ciudadano
Frente a la hegemonía corporativa estadounidense y el control estatal chino, la Unión Europea (UE) se enfoca en los derechos de la ciudadanía. La UE busca establecer un marco legal que dé a las personas la capacidad de controlar sus propios datos. Este es el significado de la “soberanía digital del ciudadano”.
Mientras en EE. UU. se confía en el libre mercado y la autorregulación y en China, la soberanía reside en el Estado, Europa busca activamente crear medios para la protección de los datos personales. La gobernanza europea se basa en principios éticos y de transparencia, con leyes que buscan una gestión centrada en el usuario. En Europa se considera la privacidad como un derecho fundamental. Esto da al usuario el poder de decidir quién accede a los datos que genera y con qué propósito.
Los retos del modelo europeo
El principal desafío que enfrenta Europa es el de la competitividad. Como señaló el informe Draghi, la competitividad europea ha declinado comparada con EEUU y China en lo que va de siglo.
La normativa que protege a los ciudadanos puede traducirse en procesos tediosos y burocráticos para los emprendedores. Existe el riesgo de que personas con conocimiento técnico para impulsar proyectos transformadores prefieran no hacerlo, ante la posibilidad de infringir normas europeas sin contar con un amplio y costoso equipo jurídico. Esto obstaculiza el desarrollo en Europa de empresas con capacidad de atraer riqueza y generar empleo.
El mayor reto actual de la UE es conciliar la protección ciudadana con la simplificación de la burocracia y dotar de mayor competitividad a las empresas europeas a nivel global.
PETs y FL: las claves tecnológicas para la competitividad segura
Para superar el reto de conciliar protección e innovación, el modelo europeo se apoya en soluciones técnicas, no solo regulatorias. Aquí entran en juego las PETs (Privacy-Enhancing Technologies) y el Aprendizaje Federado (FL).
Las PETs son herramientas fundamentales para garantizar la privacidad sin aumentar la burocracia empresarial, ya que abordan los desafíos de privacidad desde una perspectiva técnica. El Aprendizaje Federado complementa esto que permite cumplir con principios del RGPD como la minimización de datos y la limitación de la finalidad, dado que los datos no se transfieren ni se exponen innecesariamente; solo se comparten los resultados del aprendizaje.
Conciliación y beneficios
El FL, mejorado con PETs, permite el entrenamiento de modelos de IA de forma colaborativa sin comprometer la privacidad. Esto es esencial para la innovación responsable en sectores sensibles como salud, banca, transporte o educación.
El principal beneficio del Aprendizaje Federado frente al modelo tradicional de centralización es que los datos permanecen en su origen (hospitales, bancos, etc.). Solo se comparten las actualizaciones del modelo (como pesos o gradientes), lo que reduce la exposición de datos sensibles. Al no centralizar los datos, también se disminuye la superficie de ataque y el riesgo de brechas masivas.
Desafíos
A pesar de sus beneficios, estas tecnologías enfrentan desafíos. El principal reto técnico es crear sistemas escalables, ya que algunas decisiones técnicas actuales (como el uso de listas confiables en el marco de identidad europeo) podrían suponer una limitación a medio plazo. En cuanto a la adopción, es crucial que las soluciones sean usables y que los actores relevantes creen los incentivos correctos para que individuos y organizaciones utilicen estas tecnologías.
TRUSTED y Gradiant: la respuesta europea y soberana
Gradiant, a través de la iniciativa TRUSTED, ofrece una propuesta concreta para garantizar la soberanía del dato en Europa.
TRUSTED integra el uso de la Cartera Digital Europea y los Espacios de Datos para lograr una gestión de la información centrada en el usuario. Además, implementa PETs que brindan garantías adicionales para mejorar la privacidad de la gestión de datos, incluso por encima de las altas protecciones asociadas a las tecnologías base. Específicamente, ciertas PETs se aplican en el intercambio de datos de identidad, y otras se unen a los entrenamientos federados (FL) para hacer más robusta la plataforma en la que se compartirán modelos asociados a datos médicos.
Respuesta a los modelos globales
TRUSTED responde a los desafíos de los modelos de EE. UU. y China mediante la protección de los datos bajo el enfoque europeo de la privacidad como derecho fundamental. Ofrece una gestión de datos (identidad, salud, etc.) que es transparente para el ciudadano, un beneficio que podría extenderse a personas de cualquier país.
Al mismo tiempo, permite a los investigadores entrenar modelos de IA. Para ello, asegura la privacidad de los datos de entrenamiento y garantiza que Europa pueda competir en Inteligencia Artificial con plenas garantías para la ciudadanía.
TRUSTED, liderado por Gradiant, se posiciona como una alianza que puede servir de referencia para iniciativas de espacios de datos que buscan una gestión ética, que garantiza la privacidad a nivel técnico con tecnología de vanguardia. Si más organizaciones y sectores empresariales adoptan este enfoque, podría imponerse en el mercado como el estándar para proteger la privacidad en los espacios de datos. Esto posibilitaría tanto el intercambio soberano de credenciales verificables como el entrenamiento de modelos de IA con privacidad asegurada a nivel de sistema.
En esencia, TRUSTED fortalece la autonomía tecnológica de Europa y demuestra que la privacidad y la innovación no solo pueden coexistir, sino que son los pilares necesarios para construir una economía del dato más segura, ética y competitiva. Es el engranaje de seguridad y privacidad que garantiza que la infraestructura de los espacios de datos europeos cumpla su promesa de soberanía digital.
This project has received funding from the European Union’s Horizon Europe research and innovation programme under grant agreement No. 101168467
