Kiteworks estudio: Un tercio de las organizaciones encuestadas en Canadá, Oriente Medio y Europa sufrió al menos un incidente de seguridad relacionado con la soberanía de datos en el último año, a pesar de que casi todas conocen las normativas aplicables.
Quienes creyeron que una mayor conciencia regulatoria conduce automáticamente a menos incidentes de seguridad encontrarán en el Informe de Soberanía de Datos 2026 de Kiteworks una conclusión muy diferente. Cuatro de cada cinco encuestados se consideran bien informados, pero uno de cada tres tuvo que notificar un incidente en los últimos doce meses. El estudio, que encuestó a 286 profesionales de Canadá, Oriente Medio y Europa, deja claro que el problema no es el conocimiento, sino la implementación.
La paradoja del conocimiento
Alrededor del 44 por ciento de los encuestados se describe como ‘muy bien informado’ sobre los requisitos de soberanía de datos que les aplican. Esta cifra es notablemente uniforme en las tres regiones: Canadá alcanza el 44 por ciento, Oriente Medio el 45 por ciento y Europa el 44 por ciento. Quienes esperaban que Europa, con años de experiencia en el RGPD, destacara claramente, se equivocaron. La conciencia regulatoria ha convergido en todas las regiones, incluso donde marcos más recientes como la Ley de Protección de Datos Personales (PDPL) de Arabia Saudí acaban de entrar en vigor.
Y aquí empieza la paradoja. Mientras que los niveles de conciencia son similares en todas las regiones, las tasas de incidentes distan mucho de ser uniformes. En total, uno de cada tres encuestados (33 por ciento) reportó al menos un incidente relacionado con la soberanía de datos en los últimos doce meses. En Oriente Medio, esta cifra alcanza un preocupante 44 por ciento: casi una de cada dos organizaciones. Europa sigue con un 32 por ciento, mientras que Canadá registra el 23 por ciento. La conclusión es clara: no es el conocimiento el factor determinante, sino la madurez de la implementación.
Qué ocurre cuando algo falla
Los tipos de incidentes más frecuentes son las brechas de datos con implicaciones de soberanía y los fallos de cumplimiento de terceros, ambos citados por el 17 por ciento de los encuestados. Las investigaciones o auditorías regulatorias afectaron al 15 por ciento, y las transferencias transfronterizas de datos no autorizadas fueron reportadas en el 12 por ciento de los casos. Además, el cinco por ciento de los encuestados prefirió no responder a la pregunta sobre incidentes, lo que sugiere que la cifra real podría ser aún mayor.
Especialmente reveladora es la relación entre el tamaño de la organización y la frecuencia de incidentes. Mientras que alrededor del 28 por ciento de las empresas con 500 a 999 empleados reportan incidentes, ese porcentaje asciende al 45 por ciento en organizaciones con más de 20.000 trabajadores. El tamaño no garantiza mejor protección: más sedes, más socios, más flujos de datos transfronterizos implican una mayor superficie de exposición.
Tres regiones, tres realidades
El informe describe tres paisajes regulatorios muy distintos. Europa opera bajo el marco normativo más complejo del mundo: el RGPD desde 2018, la Ley de Datos en vigor desde septiembre de 2025 y la Ley de IA de la UE con obligaciones para sistemas de uso general desde agosto de 2025. No sorprende que alrededor del 15 por ciento de los encuestados europeos se muestre ‘extremadamente preocupado’ por las posibles multas del RGPD, dado que el importe acumulado de sanciones ya supera los 5.660 millones de euros. Según IDC, la protección frente a solicitudes extraterritoriales de datos —sobre todo desde Estados Unidos— se ha convertido en el principal motor de demanda de nubes soberanas en Europa.
Canadá aparece como la región más tranquila de las tres, no por relajación, sino por contar con una base regulatoria más consolidada gracias a la PIPEDA. El 79 por ciento de los encuestados canadienses declara cumplimiento total con esta ley. No obstante, las miradas se dirigen inquietas al sur: el 40 por ciento cita posibles cambios en los acuerdos de intercambio de datos con Estados Unidos como su mayor preocupación, y el 21 por ciento considera la ley CLOUD de EE. UU. una amenaza directa a su soberanía de datos.
Oriente Medio es el entorno regulatorio que evoluciona con mayor rapidez. El 93 por ciento de los encuestados de la región afirma que la PDPL y el marco de la SDAIA (Autoridad de Datos e Inteligencia Artificial de Arabia Saudí) impactan directamente en sus operaciones. Al mismo tiempo, el 37 por ciento identifica la incertidumbre regulatoria como un obstáculo clave para adoptar proveedores de nube regionales, y el 33 por ciento señala la inestabilidad geopolítica como preocupación principal, una dimensión que no existe de la misma manera en Canadá o Europa.
Soberanía de datos es más que la ubicación del almacenamiento
Uno de los hallazgos centrales del informe pone en cuestión una suposición muy extendida: que almacenar datos localmente es suficiente para garantizar soberanía. A finales de 2025, un tribunal canadiense ordenó a OVHcloud entregar datos de clientes alojados en servidores en Francia. La sentencia ilustra cómo la aplicación legal transfronteriza puede socavar las promesas de nube soberana. La soberanía real requiere no solo residencia de datos, sino controles de acceso auditables, procesos claros para responder a solicitudes gubernamentales y contratos que definan cómo los proveedores manejan las demandas extraterritoriales.
Quién sabe qué y quién actúa
El sector y el rol profesional condicionan la conciencia sobre soberanía de datos más que la región. Los profesionales de tecnología y software encabezan las valoraciones con un 48 por ciento que se declara ‘muy bien informado’, seguidos por los servicios financieros con un 45 por ciento. Manufactura llega al 41 por ciento y el sector público se queda en el 36 por ciento. Las diferencias son aún mayores según el cargo: los CISOs y CSOs alcanzan el 63 por ciento, mientras que los gerentes y especialistas de TI —el grupo más numeroso, con un 42 por ciento del total— llegan solo al 41 por ciento. Son quienes deben implementar el cumplimiento en la práctica, pero a menudo tienen el menor conocimiento regulatorio: una de las brechas más críticas que revela el informe.
Qué aporta el cumplimiento y cuánto cuesta
A pesar de todo, los beneficios percibidos del cumplimiento en soberanía de datos son notables. El 63 por ciento asocia sus esfuerzos de cumplimiento con una mejor postura de seguridad, el 52 por ciento con mayor confianza de los clientes, el 41 por ciento con una mejor gobernanza de datos y el 40 por ciento con menores riesgos legales. Un tercio identifica incluso una ventaja competitiva. Estas percepciones pueden ser subjetivas, pero su coherencia entre regiones e industrias les otorga un peso significativo.
Nada de esto es gratuito. Los cambios en infraestructura técnica son el principal recurso consumido para el 59 por ciento, seguido de la experiencia jurídica y de cumplimiento con el 53 por ciento. En las organizaciones con más de 20.000 empleados, aproximadamente el 45 por ciento declara un gasto anual superior a cinco millones en moneda local. No es un coste puntual; es un compromiso operativo permanente.
La IA como nueva frontera de soberanía
La inteligencia artificial introduce una nueva dimensión en el debate sobre soberanía. El enfoque más extendido para gestionar los datos de entrenamiento de IA es una estrategia mixta basada en la sensibilidad de los datos, adoptada por el 34 por ciento. El 36 por ciento mantiene todos los datos de entrenamiento de IA dentro de su región de origen, especialmente las organizaciones gubernamentales. Preocupante: el 21 por ciento aún está desarrollando su estrategia de datos para IA. Estas organizaciones carecen de un marco consistente para tomar decisiones de localización y, a medida que la Ley de IA de la UE y los requisitos de la SDAIA se endurezcan, esa brecha se convertirá en una responsabilidad de cumplimiento.
Lo que viene después
Los datos prospectivos muestran una industria en movimiento. El 53 por ciento planea invertir en automatización del cumplimiento en los próximos dos años, cifra que sube al 69 por ciento en las grandes empresas. El 50 por ciento quiere reforzar los controles técnicos y el 45 por ciento prevé usar más proveedores de nube regionales. Las prioridades regionales divergen notablemente: Europa apuesta con más fuerza por la automatización (55 por ciento) y la expansión de equipos legales y de cumplimiento (42 por ciento). Oriente Medio enfatiza los proveedores regionales (48 por ciento) y la reestructuración de operaciones internacionales (35 por ciento). Canadá lidera en localización de datos (42 por ciento), pero también tiene el mayor porcentaje de organizaciones que no planea cambios significativos (12 por ciento): una fractura reveladora entre inversores activos y autocomplacientes.
El veredicto del informe es inequívoco: la soberanía de datos ya no es un tema del futuro. Es realidad operativa, con costes medibles, beneficios demostrables y un número creciente de incidentes que prueban que el conocimiento solo no protege. Las organizaciones que inviertan ahora en automatización, formación, infraestructura regional y seguimiento regulatorio serán las ganadoras. El resto arriesga aparecer como estadística de incidentes en el próximo informe.
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de