Inicio Pólemos La soberanía de datos en el Perú, un problema de irrelevancia geopolítica
Pólemos

La soberanía de datos en el Perú, un problema de irrelevancia geopolítica

por PÓLEMOS
7 vistas

Jordi Sardá Paz, LL.M.

Abogado por la Pontificia Universidad Católica del Perú, y LL.M. por Georg-August Göttingen University, Alemania. Especializado en Derecho de las Tecnologías de la Información, Propiedad Intelectual y Protección de Datos Personales. Investigador para organismos internacionales.

I. Introducción

La creciente digitalización del comercio global ha impulsado un aumento masivo en los flujos internacionales de datos, planteando desafíos críticos para la privacidad, la seguridad y la soberanía estatal en el entorno digital.

Recientes modificaciones reglamentarias en materia de protección de datos personales, muestran la intención de caminar hacia la construcción de una noción de soberanía de datos. Sin embargo, la efectividad de estas medidas para gobernar eficazmente la circulación de los datos personales dentro y fuera del país, aún es objeto de debate.

Por lo tanto, el propósito de este análisis es determinar si las disposiciones nacionales han logrado operativizar realmente el concepto de soberanía de datos o si, por el contrario, seguimos anclados por otros factores que configuran un escenario de irrelevancia geopolítica.

II. El concepto de la soberanía de datos

Para establecer la relación existente entre la regulación de protección de datos personales y la noción de soberanía de datos es preciso presentar algunas definiciones con suficiente claridad. Iniciamos con el concepto de soberanía de datos, el cual por su propia nomenclatura puede ser comprendido extrapolando el concepto de soberanía al ciclo de vida del procesamiento de datos (Singi et al., 2020).

En primer lugar, el concepto de soberanía no resulta ajeno ya que este ha sido constantemente utilizado durante la última década en escenarios tan diversos como la política, el comercio internacional, la migración y, como veremos, la gestión de la información (Vatanparast, 2020). La elasticidad del concepto permite acercar su significado al fenómeno que hoy representan los grandes flujos de información. De este modo, la noción de soberanía debe ser entendida siempre que prestemos atención a los actores y las relaciones que estos desarrollan (Vatanparast, 2020).

Abordar este concepto necesariamente nos lleva a la capacidad para gobernar tanto a un territorio como a una población determinada (Philpott, 1995). Este es el concepto del Estado soberano, surgido en la segunda mitad del siglo XVI gracias a autores como Jean Bodín o Thomas Hobbes; aunque este concepto se aplique incluso a estructuras de gobierno anteriores al Estado moderno. Por lo tanto, la noción más clásica de soberanía la presenta como la forma absoluta y perpetua de poder ejercida sobre una sociedad; en otras palabras el gobierno de la misma (Vatanparast, 2020).

Es a través de la noción de gobierno o autoridad vinculada a un territorio (Philpott, 1995), que podemos encontrar sentido en el concepto soberanía de datos; aunque este presente particularidades propias (Hummel et al., 2021). La resignificación de este concepto a nuestro objeto de interés, los datos, nos lleva a definirla como la capacidad de gobernar la circulación de datos en una determinada sociedad (Vatanparast, 2020). Sin embargo, como ya advierte la literatura especializada, el concepto de territorialidad se encuentra profundamente vinculado al de soberanía (Couture y Toupin, 2021). Ello resulta desafiante para el fenómeno de la información, la cual se caracteriza por ser de carácter global y pocas veces restringible a un territorio determinado (Vatanparast, 2020).

Una de las principales manifestaciones de esta forma de soberanía se encuentra en la regulación que ejercen diversos Estados sobre el ciclo de vida de los datos, el cual incluye: la captura, almacenamiento, procesamiento, transmisión y aseguramiento de los datos (Singi et al., 2020). En varios casos tales legislaciones revelan estrategias estrategias para implementar una política de soberanía de datos. Por ejemplo, tratar de vincular los datos a un territorio mediante políticas de localización de datos, o por el contrario extender la jurisdicción y alcance de las normas para su aplicación más allá del territorio (Vatanparast, 2020). Una estrategia de mayor complejidad involucra la creación de acuerdos internacionales o la exportación de estándares de protección de datos (Singi et al., 2020).

III. El flujo de datos en un contexto global

La evolución de la soberanía de datos da forma a la gobernanza moderna, impactando la prosperidad económica, la seguridad nacional y la identidad cultural, especialmente en un contexto globalizado. La modernidad permitió el tránsito de una noción de soberanía originada en el poder sobre la vida y la muerte, luego en la disciplina de los cuerpos para desembocar en las actuales «sociedades de control» (Foucault, 2003).

Esto es explicado por el filósofo francés Giles Daleuze bajo el concepto «sociedades de control», con el cual enfatiza el papel de los datos como una nueva forma de control y modulación de los comportamientos humanos (Deleuze, 2006). Bajo tal contexto, esta clase de tecnología desempeña un rol fundamental, ya que el gobierno de las personas se transforma, en cierta medida, en el gobierno de sus datos mediante la extracción y procesamiento de los mismos para fines como la banca, el empleo y la publicidad.

Gracias a este análisis es razonable evaluar la posibilidad de que los ciudadanos de un Estado sean gobernados por las reglas de otro Estado, a través del procesamiento de sus datos. Por lo tanto, es posible ver cómo el tráfico de datos abarca múltiples niveles de riesgo, que van desde preocupaciones personales hasta preocupaciones de seguridad nacional (Kokas, 2023).

A nivel individual, los usuarios enfrentan violaciones de privacidad y vigilancia debido a las prácticas de intercambio de datos, exacerbadas cuando los datos se fusionan con otras fuentes (Kokas, 2023). Económicamente, los métodos predatorios de recolección de datos ponen en peligro la competitividad tanto de las empresas como de los países, ya que, grandes conjuntos de datos de consumidores impulsan el desarrollo de las capacidades de empresas extranjeras (Kokas, 2023).

IV. De la soberanía a la transferencia de datos

Entendiendo el significado de la soberanía de datos y sus implicancias reales sobre la evolución de las sociedades podemos preguntarnos, si es que es posible traducir esta propuesta teórica en categorías jurídicas útiles para proteger los derechos de los titulares de datos personales. Desde la perspectiva de la técnica legislativa, la soberanía de datos se entiende como la capacidad de traducir el poder soberano, tradicionalmente entendido como absoluto, perpetuo y territorial, en normas jurídicas capaces de gobernar la circulación y el ciclo de vida de los datos.

Dado que la naturaleza de la información se presenta como intrínsecamente capaz de superar cualquier límite territorial, el legislador debe resignificar la autoridad del Estado para, por un lado, evitar que sus ciudadanos queden absolutamente desprotegidos una vez sus datos personales escapen la materialidad de los sistemas de comunicación locales. Por otro lado, debe impedir que esos mismos ciudadanos queden supeditados a reglas de potencias extranjeras mediante el procesamiento de su información. Bajo esta lógica, las normas vinculadas a la soberanía de datos no solo protegen el derecho de autodeterminación informativa, sino que se convierten en un instrumento de control y modulación del comportamiento social, salvaguardando la seguridad nacional y la competitividad económica frente a métodos de recolección de datos predatorios.

Para reflejar esta soberanía, la legislación emplea mecanismos como las políticas de localización de datos, que intentan vincular físicamente la información a un territorio, o la extensión de la jurisdicción y el alcance de las normas para su cumplimiento extraterritorial. Un ejemplo ineludible es el Reglamento General de Protección de Datos (RGPD) de la Unión Europea; el cual establece requisitos estrictos para transferencias internacionales. Ello significa que si un responsable del tratamiento desde fuera de la Unión Europea (UE) desea “importar” datos de ciudadanos establecidos en el territorio europeo deberá cumplir con los estándares que el RGPD establece (Mann y Daly, 2020).

Muchas veces, sobre todo en el caso de empresas tecnológicas, al cumplir con estas obligaciones para un mercado tan grande como el de la UE, acaban internalizando dichos estándares en sus procesos y por tanto “exportan” tales estándares como normas globales de facto, a otros países. Este es el llamado “efecto Bruselas”, que ha posicionando a la UE como una superpotencia regulatoria (Roberts et al., 2021).

También se encuentran ejemplos en respuestas legislativas a desafíos de soberanía externa, como la iniciativa europea de computación en la nube GAIA-X, diseñada para contrarrestar los efectos de la CLOUD Act de Estados Unidos, la cual autoriza el acceso a comunicaciones en poder de sus empresas tecnológicas incluso si se encuentran fuera de su territorio (Theodorakis, 2018; Roberts et al., 2021). Efectos similares se presentaron tras, la decisión del Tribunal de Justicia de la Unión Europea en el caso «Schrems II», el cual se invalidó el denominado Escudo de Privacidad UE-EE.UU., un acuerdo internacional que beneficiaba el flujo transfronterizo de datos del continente europeo hacia el país norteamericano (Mann y Daly, 2020).

V. Soberanía de datos y flujo transfronterizo en el ordenamiento jurídico peruano

En el ordenamiento peruano en materia de protección de datos personales, se define básicamente por dos normas fundamentales, la Ley N° 29733 de protección de datos personales (la Ley) y su Nuevo reglamento aprobado mediante el Decreto Supremo Nº 016-2024-JUS (el Reglamento). Los dos únicos aspectos que se podrían vincular de la legislación en esta materia con el concepto de soberanía de datos son (i) [el alcance territorial] y (ii) las reglas de flujo transfronterizo de datos personales.

Según este conjunto de normas, el tratamiento de datos personales se define ampliamente como cualquier operación o conjunto de operaciones, sean automatizadas o no, efectuadas sobre datos personales o conjuntos de estos (Gayo, 2019). Según señala el Art. III(23) del Reglamento, esta concepción técnica abarca la totalidad del ciclo de vida de la información, permitiendo que la norma tutele el derecho fundamental a la protección de datos frente a los riesgos de las nuevas tecnologías. Esta regulación se aplica de manera transversal a toda modalidad de tratamiento, ya sea realizado por personas naturales, entidades públicas o instituciones privadas, independientemente del soporte físico o digital en el que la información se encuentre (Art. IV(4.2) del Reglamento).

En cuanto a su alcance, este trasciende las fronteras territoriales para asegurar la protección de los titulares en el entorno digital, superando de forma posiblemente problemática la premisa inicial de aplicación exclusiva al tratamiento realizado en territorio nacional (Art. 3 de la Ley). Según señala el Art. VI del Reglamento, la normativa posee efectos extraterritoriales bajo criterios específicos: es aplicable cuando un responsable no establecido en Perú utiliza medios situados en el país para ofrecer bienes o servicios a titulares locales o para realizar el análisis de su comportamiento y la elaboración de perfiles (Arts. VI(3.1) y VI(3.2) del Reglamento). Este despliegue de autoridad se refuerza con la obligación de designar un representante en o para el territorio peruano que actúe como punto de contacto ante la Autoridad Nacional (Art. VII(7.1) del Reglamento), y se extiende incluso a sujetos extranjeros cuando la legislación peruana resulte aplicable por disposición contractual o por normas de derecho internacional (Art. VI(4) del Reglamento).

Respecto a las reglas sobre el flujo transfronterizo de datos personales, definidos como la transferencia de datos a un destinatario situado en otro país con independencia del medio empleado (Art. 2(8) de la Ley), la legislación supedita su licitud a que el país de destino proporcione un «nivel adecuado de protección» (Gayo, 2019). De acuerdo con el Art. 18.1 del Reglamento, esto significa que el flujo de datos se permite cuando el receptor se encuentra en un Estado con protección equiparable a la peruana, evaluada bajo criterios como la existencia de un marco legal y una autoridad de supervisión (Art. 19.2 del Reglamento).

En caso de que el destino no cuente con dicho nivel, el emisor debe otorgar garantías adecuadas, como el uso de cláusulas contractuales modelo, salvo excepciones como el consentimiento previo e inequívoco del titular o la ejecución de una relación contractual (Art. 15 de la Ley; Art. 20.1 del Reglamento). Finalmente, es imperativo que todo flujo internacional sea comunicado a la Autoridad Nacional para su inscripción en el Registro Nacional de Protección de Datos Personales (Art. 21.2 del Reglamento).

VI. La soberanía de datos y los límites de su ejecución

Las medidas sobre flujos transfronterizos de datos y sobre todo las recientes disposiciones sobre la aplicación extraterritorial de nuestros estándares de protección de datos, demuestran cierta internalización de la importancia de los conceptos de soberanía de datos hasta aquí discutidos. Sin embargo, al hablar aplicación de leyes locales con efectos extraterritoriales, vieja discusión del Derecho Internacional Privado, no bastará con garantizar la existencia misma de la norma, sino que igualmente importante será encontrar mecanismos que garanticen su eficacia sobre actores que podrían estar o no ubicados en el territorio nacional (Delgado, 2017).

Para entender el problema frente al cual nos encontramos, analizaremos el caso visto ante la Autoridad Nacional de Protección de Datos Personales (ANPDP) en la Resolución Directoral N° 026-2016-JUS/DGPDP contra Google S.R.L. y Google Inc. (posteriormente identificado como Google LLC).

En este caso el reclamante solicitó la cancelación y el bloqueo de sus datos personales en el motor de búsqueda Google Search, debido a que los resultados lo vinculaban con una investigación fiscal por delitos que había sido sobreseída años atrás, afectando su reputación y empleabilidad. La ANPDP declaró fundado el reclamo y ordenó el bloqueo de la información mediante su desindexación al considerar que, tras el archivo del proceso penal, los datos carecían de interés público y su difusión vulneraba el derecho a la privacidad y a la cancelación previsto en los artículos 13.1 y 28(5) de la Ley (Sampieri y Alarcón, 2024).

Asimismo, la ANPDP determinó que Google Inc. estaba sujeta a la normativa peruana por realizar operaciones técnicas y poseer un establecimiento en el país (Google Perú S.R.L.), conforme al Art. 5 de la Ley. No obstante, ni la empresa Google Perú S.R.L., quien continuó este proceso y perdió nuevamente ante el fuero contencioso administrativo, ni Google LLC acataron de forma efectiva las sanciones impuestas por la Autoridad (Sampieri y Alarcón, 2024).

Siete años después del mandato original, hacia agosto de 2023, la situación de desacato persistía, pues Google LLC no solo seguía sin acreditar el cumplimiento de las medidas de desindexación en 14 casos distintos, sino que había promovido hasta 13 procesos ante el Poder Judicial para cuestionar lo resuelto. Ante esta reticencia a acatar los mandatos de tutela, la ANPD intensificó su potestad sancionadora imponiendo en 2022 multas de S/ 419,452 (USD 113,365 aprox.) y S/ 307,986 (USD 83,239 aprox.), sumando en 2023 una nueva sanción de 100 UIT equivalente a S/ 430,000 (USD 116,216 aprox.).

Casi diez años después del inicio del conflicto, la Resolución Directoral N.º 033-2025-JUS/DGTAIPD confirma que la Autoridad continúa interponiendo multas sin lograr que la empresa acate su mandato administrativo. En sus disposiciones finales, la ANPD resolvió reformular una sanción previa, fijándola en aproximadamente S/ 347,000 (USD 93,740 aprox.) tras desestimar ciertos agravantes, pero confirmando la responsabilidad de Google por la infracción muy grave de no cumplir con las medidas correctivas ordenadas.

Este escenario revela que, a pesar de casi una década de litigio administrativo, la Autoridad no ha podido hacer efectiva la desindexación ni el pago de las multas, poniendo aprietos no solo a la incipiente política de soberanía de datos del Perú, sino además a la soberanía del Estado peruano en su conjunto.

VII. Conclusión

Este caso revela que el Perú no cuenta con mecanismos jurídicos realmente eficaces para hacer valer un fallo absolutamente legal dentro de nuestro ordenamiento y completamente razonable a la luz de los estándares internacionales de protección de datos. Queda también en evidencia que un tema como la soberanía digital requiere considerar más elementos que el puro marco jurídico, sobre todo si consideramos que un caso emblemático como el conflicto entre la AEPD v. Google España SL y Google Inc (conocido como el caso Costeja), resuelto el 2014 por el Tribunal de Justicia de la Unión Europea concluyó con el cumplimiento inmediato de la sentencia por parte del gigante tecnológico.

El contraste entre ambos escenarios demuestra que fueron todos los otros elementos, más allá de la argumentación jurídica, los que hicieron que Google no se plantee ignorar las medidas dispuestas tras haber perdido la contienda judicial. Por ello, cuando la soberanía digital sea un tema que pueda ocupar los debates legislativos o de políticas públicas, debemos recordar que este es un problema fundamentalmente geopolítico, y que por lo tanto requiere de acciones estratégicas y multilaterales que permitan a países como el Perú reequilibrar la balanza un poco hacia su favor.

Bibliografía

  • Couture, S., y Toupin, S. (2021). What does the notion of ‘sovereignty’ mean when referring to the digital? New Media & Society, 21(10-11), 2305–2327.
  • Deleuze, G. (2006). Post-scriptum sobre las sociedades de control. Polis. Revista Latinoamericana, 13(1), 1–7.
  • Delgado, Cesar, y Delgado, María Antonieta. (2017). Derecho internacional privado (Vol. 22). Fondo Editorial de la PUCP.
  • Foucault, M. (2003). Society must be defended: Lectures at the Collège de France, 1975-1976. Picador.
  • Gayo, Miguel. (2019). Nivel adecuado para transferencias internacionales de datos. Derecho PUCP: Revista de la Facultad de Derecho, (83), 207-240.
  • Hummel, P., Braun, M., Tretter, M., y Dabrock, P. (2021). Data sovereignty: A review. Big Data & Society, 8(1), 1–17.
  • Kokas, A. (2023). Trafficking data: How China is winning the battle for digital sovereignty. Oxford University Press.
  • Mann, M., y Daly, D. (2020). Geopolitics, jurisdiction and surveillance. Internet Policy Review, 9(3), 1–19.
  • Philpott, Daniel. (1995). Sovereignty: An Introduction and Brief History. Journal of International Affairs, 48(2), 353–368.
  • Roberts, H., Cowls, J., Casolari, F., Morley, J., Taddeo, M., y Floridi, L. (2021). Safeguarding European values with digital sovereignty: An analysis of statements and policies. Internet Policy Review, 10(3), 1–28.
  • Sampieri, Agneris y Alarcón, Ángela. (2024). Análisis de la jurisprudencia sobre el “derecho al olvido” en América Latina. Access Now.
  • Singi, Kapil, et al. (2020). Data Sovereignty Governance Framework. 42nd IEEE/ACM International Conference on Software Engineering Workshops, 303–310
  • Theodorakis, K. (2018). Cross Border Data Transfers Under the GDPR: The Example of Transferring Data from the EU to the US (TTLF Working Paper No. 39). Stanford Law School.
  • Vatanparast, Roxana. (2020). Data Governance and the Elasticity of Sovereignty. Brooklyn Journal of International Law, 46(1), 1–70.

 

Artículos relacionados

Control de constitucionalidad y control de convencionalidad: tensiones, límites y posibles excesos en el análisis...

Justicia para un futuro: El amparo ambiental como garante de la supervivencia intergeneracional

La vinculación a las interpretaciones de la CADH que estatuye la Corte IDH

La Directiva del Oficial de Datos Personales: ¿se acabaron realmente las dudas?

Javier Milei y la política de competencia peruana

La Amazonía y el Derecho Internacional ¿cómo se configura su protección jurídica frente a la...

La distinción entre los negocios circulares, econegocios y bionegocios

El ambiente y su protección en la denominada “Constitución ecológica” del sistema jurídico peruano

El derecho a la intimidad del menor en discordancia al derecho a la libertad de...

¿Cambio de nombre o cambio de paradigma? La prevención como fundamento de la JPRD

Deja un comentario

Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez que comente.

¿Quieres publicar en Pólemos? Envía tu artículo y revisa nuestras Políticas de Publicación antes de enviarlo.

 

    descargar políticas de publicación

    El Portal Jurídico-Interdisciplinario «Pólemos» es un espacio académico orientado al análisis de temas jurídicos y de actualidad. Nos distinguimos por tratar el Derecho desde un enfoque interdisciplinario, integrando conocimientos de distintas disciplinas para ofrecer una comprensión más integral y enriquecedora.

    Facebook X-twitter Youtube Linkedin Instagram Tumblr

    EQUIPO EDITORIAL

    Directora: Mariana Isabel García Jiménez

    Consejo Editorial:
    Camila Alexandra Infante García
    Guadalupe Quinteros Guerra

    Luis Sebastian Cabrejos Vilcarino

    María Fernanda Rojas Linares

    Luz Violeta Arce Castro

    Alessandro Paredes Chumpitazi

    Geraldine Chuquillanqui Guerra

    Ariana Delia Aleman Benites

    SELECCIONADO POR EDITORES

    La soberanía de datos en el Perú, un problema de irrelevancia geopolítica
    Control de constitucionalidad y control de convencionalidad: tensiones, límites y posibles excesos en...
    La evolución del Derecho Mercantil y la nueva Lex Mercatoria

    ÚLTIMOS ARTÍCULOS

    La soberanía de datos en el Perú, un problema de irrelevancia geopolítica
    Control de constitucionalidad y control de convencionalidad: tensiones, límites y posibles excesos en el análisis de los casos PEMM y Azul Rojas Marín
    La evolución del Derecho Mercantil y la nueva Lex Mercatoria
    Introductory Notes on Comparative Law