El Orden Multilateral Emergente en la Regulación de la Privacidad

Nota de Lionel: Bienvenidos al cuarto y último artículo de nuestra serie Future Insights 2025. En este artículo, el Field CTO y Director de Negocios Estratégicos para APAC, Nick Savvides, aborda la regulación de la privacidad y las fuerzas que la influirán en el futuro. Haz clic para leer publicaciones anteriores de la serie.

Hace dos años, ofrecí la primera de una serie de charlas prospectivas sobre el impacto de la geopolítica y la demografía en el panorama global de la ciberseguridad. Una de mis predicciones clave fue que se estaba formando un orden mundial más multilateral, con importantes implicaciones para la ciberseguridad. Desde consumir tecnologías hasta desarrollarlas; desde contratar expertos en ciberseguridad hasta implementar automatización con inteligencia artificial; desde financiar start-ups hasta cumplir con normativas—todo esto se volvería significativamente más difícil, más complejo y costoso.

Aquí me enfocaré en una parte de este panorama general: cómo la fragmentación (balkanization) de la regulación global de la privacidad impactará la seguridad de los datos. Veo que la adopción de la IA acelerará esta tendencia, llevando a desarrollos importantes y desafíos para 2025.

Una tendencia antigua que gana velocidad

Las regulaciones de privacidad no son nuevas, ya que han existido de una forma u otra durante décadas. Hemos tenido normativas a nivel nacional, subnacional y supranacional, cubriendo áreas diferentes y, a menudo, superpuestas.

Siempre ha sido un área compleja, pero la era de Internet amplificó esta complejidad a medida que los reguladores se esforzaban por modernizarse. Durante las décadas de 1990 y 2000, vimos cambios significativos y la introducción de nuevas leyes en todas las principales jurisdicciones. En algunos lugares, incluso surgieron normativas en competencia, típicamente en áreas como la recopilación y retención de datos, donde cumplir con una norma significaba no cumplir con otra.

A mediados de la década de 2010, las empresas luchaban por mantener el cumplimiento frente a una miríada de reglas, y las cosas se complicaron aún más con las implicaciones extraterritoriales del Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que amplió su alcance regulatorio a cualquier entidad que procesara información de ciudadanos de la UE.

Durante un tiempo, parecía haber esfuerzos concertados para simplificar las normativas, buscando no necesariamente la armonización, sino el reconocimiento mutuo. Esto se basaba en cómo el reconocimiento cruzado ha ayudado a otras áreas altamente reguladas, como telecomunicaciones, electrónica y las industrias aeronáutica y automotriz.

Es bien sabido que una regulación excesiva tiene un impacto negativo significativo en el crecimiento económico y la innovación. Los reguladores de todos los campos buscan equilibrar la regulación con la innovación. Lamentablemente, la naturaleza de las normativas tiende a expandirse constantemente. Se necesitan grandes cambios y un esfuerzo real para simplificarlas y optimizarlas. Durante un tiempo, tuve la esperanza de que esto sucediera en este ámbito.

Sin embargo, actualmente existe un nexo de fuerzas que trabajan en contra de esta simplificación, en un contexto donde las empresas recopilan, procesan y almacenan más datos que nunca, y ahora también alimentan con ellos sus modelos de inteligencia artificial.

Expansión y Fragmentación de la Regulación

Ya no creo que debamos tener demasiadas esperanzas de simplificar las regulaciones. Una de las principales razones de esto es el cambio geopolítico hacia un orden mundial multilateral.

Mi predicción es que veremos cierta simplificación, pero será en agrupaciones alineadas con bloques geopolíticos de países. Cuando digo esto, a menudo me preguntan: “¿Pero eso no es positivo si reduce la carga de cumplimiento?” El gran problema es que creo que habrá una falta intencionada de reconocimiento cruzado y la introducción deliberada de diferencias entre los bloques. La fricción y la complejidad serán diseñadas intencionalmente.

También pienso que veremos regulaciones significativamente conflictivas, donde lo que se obliga en una jurisdicción estará explícitamente prohibido en otra. Por ejemplo, las empresas podrían estar obligadas a recopilar cierta información en una jurisdicción, pero tener prohibido hacerlo en otra. Información recopilada que puede usarse para ciertos fines en una jurisdicción podría estar prohibida para esos mismos fines en otra.

Las empresas que operan en estas jurisdicciones tendrán que saber cuáles son sus obligaciones, ante qué reguladores, con qué usuarios, con qué datos, dónde se almacenan esos datos, cómo se utilizan y cómo se gestionan a lo largo de su ciclo de vida.

Todo esto suena caro y complicado, porque lo es. Probablemente resultará en duplicación de infraestructura y servicios, problemas de cumplimiento más grandes, riesgos residuales significativos y una multitud de políticas y procedimientos operando dentro de las organizaciones.

La Revolución de la IA

No sería una discusión contemporánea si no mencionáramos la inteligencia artificial (IA). Las empresas están apresurándose para usarla, y los gobiernos para regularla. La IA ha capturado la imaginación no solo de los creadores, sino también de los reguladores.

Estamos aún en las primeras etapas de la era de la IA generativa y de la delegación de decisiones a esta tecnología, pero los reguladores están avanzando rápidamente. Ya hemos visto nuevas normativas y propuestas regulatorias significativas en torno a la IA. Lamentablemente para la innovación, también estamos viendo regulaciones que van desde moderadamente excesivas hasta extremadamente onerosas en algunas jurisdicciones.

Hace unas semanas, fui invitado a participar en un panel en GovWare sobre consideraciones de seguridad de datos al adoptar IA. GovWare, siendo la conferencia de ciberseguridad más grande de Asia-Pacífico, reunió a más de 13,000 asistentes. Aunque suena obvio decirlo, el enorme espacio de exposición estaba completamente cubierto con las letras “IA”. Incluso con todo eso, creo que aún no hemos alcanzado el pico del entusiasmo por la IA.

El panel tuvo lugar el segundo día de la conferencia, y aunque los asistentes ya habían sido inundados con contenido sobre IA, seguían ansiosos por más. Después de una conversación de amplio alcance, nos bombardearon con preguntas, no sobre la tecnología de la IA, sino sobre gobernanza y seguridad, con un enfoque real en cómo gestionar todos los datos que la IA demanda.

Esto nos lleva al problema multilateral. Para que la IA sea efectiva, productiva y generativa, necesita vastos volúmenes de datos.

Este es un problema cuando estos datos están sujetos no solo a regulaciones fragmentadas y conflictivas sobre privacidad, sino también a normativas específicas sobre IA.

Estamos enfrentándonos a la posibilidad de que las organizaciones solo puedan usar IA con datos recopilados en ciertas jurisdicciones. Las obras derivadas—los resultados generados—y los resultados empresariales podrían variar entre jurisdicciones. Los datos combinados que podrían ser aceptables para el acceso humano podrían no estar permitidos para la IA.

Peor aún, ¿qué sucede con los modelos basados en datos donde el permiso de uso por parte de la IA puede ser revocado por el sujeto de los datos en cualquier momento?

Estas no son solo consideraciones de diseño; son consideraciones operativas y continuas.

La IA se ha convertido en un proxy para los objetivos estratégicos geopolíticos, y espero que los desafíos actuales relacionados con el acceso a semiconductores, herramientas de IA y software se extiendan al ámbito de la protección de datos.

No Podemos Renunciar a la Regulación de la Privacidad de los Datos

Después de leer todo esto, es fácil asumir que simplemente seguiremos luchando: algunos serán vulnerados, otros violarán leyes, algunos recibirán enormes multas y otros pasarán años en los tribunales. Aunque hay algo de verdad en esto, hay cosas que podemos hacer para estar preparados.

Un marco que me ha servido bien en este ámbito consiste en responder dos preguntas:

1. “¿Soy un buen custodio de los datos que poseo?”
2. “¿Estoy haciendo lo que se espera de mí para proteger los datos?”

Estas preguntas siguen siendo muy valiosas hoy, incluso en un mundo multilateral. Por lo general, cuando algo sale mal, los reguladores y las autoridades razonables medirán tus acciones en función de estas preguntas para determinar los pasos a seguir.

Elegí deliberadamente la palabra custodio porque implica mucho. Para ser un buen custodio, debes saber qué datos posees, dónde están, por qué están regulados y quién tiene acceso a ellos. De la protección surgen la capacidad de observación y los controles sobre el uso de los datos.

Este es un buen comienzo, pero el orden multilateral exige que también prioricemos la eficiencia. Esto puede sorprender con tantas otras consideraciones en juego, pero creo que la eficiencia será clave para todo lo demás.

Las organizaciones deben adoptar tecnologías que les permitan escalar sus prácticas de seguridad y privacidad de datos para abarcar este nuevo entorno complejo. Si esto no ocurre, los programas colapsarán al limitarse a las jurisdicciones principales, mientras que las demás quedarán desatendidas. En el pasado, esto podría haber sido desafortunado; ahora podría ser catastrófico.

De la eficiencia surgen herramientas que capacitan a los empleados para identificar rápidamente qué regulaciones aplican a los datos que manejan. Esto debe complementarse con programas de educación actualizados que mejoren la comprensión y gestión de datos de los usuarios.

Aunque algunos puedan no estar de acuerdo con mi tesis, creo que todos podemos coincidir en que los problemas relacionados con la seguridad, privacidad y regulación de los datos solo serán más grandes y desafiantes. Es nuestra tarea identificar e implementar soluciones que eviten que estos problemas se descontrolen.