La reciente reflexión de la Agencia Española de Protección de Datos sobre la denominada “soberanía operativa” en los tratamientos de datos personales introduce, a mi juicio, uno de los desarrollos conceptuales más relevantes en la evolución contemporánea del Derecho de protección de datos. No se trata únicamente de una categoría descriptiva, sino de una auténtica clave hermenéutica que obliga a replantear el entendimiento tradicional del cumplimiento del RGPD en entornos tecnológicos complejos, particularmente en el contexto de infraestructuras cloud y servicios digitalizados de carácter global.
El punto de partida de esta construcción es la constatación de una disociación entre localización y control. Durante años, la praxis jurídica —y en buena medida también la regulatoria— ha operado sobre la premisa de que la residencia de los datos en territorio de la Unión Europea constituía un elemento suficiente, o al menos altamente indicativo, de cumplimiento. Sin embargo, la arquitectura tecnológica actual demuestra que esta premisa es, en el mejor de los casos, incompleta. La localización física de los datos no garantiza, por sí sola, que el responsable del tratamiento ostente un control efectivo sobre los mismos, ni sobre los procesos que determinan su acceso, uso, disponibilidad o integridad.
En este sentido, la noción de soberanía operativa desplaza el eje de análisis desde una lógica territorial —propia de las categorías clásicas del Derecho internacional privado— hacia una lógica funcional basada en el control efectivo del tratamiento. Lo jurídicamente relevante ya no es únicamente dónde se encuentran los datos, sino quién tiene la capacidad real de decidir sobre los elementos esenciales del tratamiento, incluyendo la gestión de accesos, el control de las claves criptográficas, la administración de los sistemas y la respuesta ante incidentes. Este desplazamiento no es menor, pues incide directamente en la configuración del principio de responsabilidad proactiva y en la interpretación del artículo 32 RGPD.
En efecto, la obligación de adoptar medidas técnicas y organizativas apropiadas presupone necesariamente la existencia de un poder de disposición y control sobre los medios del tratamiento. No puede exigirse al responsable una garantía de seguridad —aunque sea en términos de diligencia— si este carece de la capacidad real para implementar o supervisar las medidas necesarias. Desde esta perspectiva, la soberanía operativa no es un elemento adicional del cumplimiento, sino una condición estructural del mismo. La ausencia de control efectivo sobre la arquitectura del tratamiento constituye, en sí misma, un factor de riesgo que debe ser evaluado conforme al enfoque basado en riesgos que caracteriza al RGPD.
La aportación de la AEPD pone asimismo de relieve una tensión estructural en el ecosistema digital contemporáneo: la creciente dependencia de grandes proveedores tecnológicos que operan sobre infraestructuras distribuidas y modelos de servicio altamente estandarizados. En estos entornos, el responsable del tratamiento puede ver significativamente limitada su capacidad de intervención, hasta el punto de que las decisiones críticas sobre el tratamiento se desplazan hacia el proveedor. Este fenómeno plantea interrogantes de notable calado dogmático, en particular en relación con la delimitación de responsabilidades y con la efectividad del control exigido por el RGPD.
Desde la perspectiva del Derecho internacional privado, la soberanía operativa introduce un criterio de conexión de naturaleza material que complementa —y en determinados supuestos puede incluso tensionar— los criterios territoriales tradicionales. La determinación del lugar del tratamiento, la identificación del establecimiento relevante o la localización de los flujos de datos siguen siendo elementos centrales, pero resultan insuficientes si no se atiende a la localización del control efectivo. En este contexto, la soberanía operativa puede operar como un factor corrector que permita adecuar la aplicación del RGPD a la realidad tecnológica subyacente, especialmente en escenarios de transferencias internacionales o de prestación transfronteriza de servicios digitales.
Desde un punto de vista práctico, la consecuencia más inmediata de esta construcción es la necesidad de integrar el análisis jurídico con la comprensión técnica del tratamiento. El cumplimiento deja de ser una cuestión meramente documental —articulada en torno a contratos, políticas y registros— para convertirse en una cuestión de gobernanza tecnológica. El responsable debe ser capaz de identificar y, en la medida de lo posible, controlar los elementos críticos de la arquitectura del sistema, evaluando las dependencias respecto de terceros y adoptando decisiones informadas sobre los riesgos asociados.
En definitiva, la noción de soberanía operativa contribuye a clarificar una idea que, aunque implícita en el RGPD, no siempre ha sido adecuadamente interiorizada en la práctica: el Derecho de protección de datos no es, en esencia, un derecho de localización, sino un derecho de control. Lo que el ordenamiento protege no es tanto el dato en sí mismo considerado, como el conjunto de procesos que determinan su tratamiento. En un entorno caracterizado por la desmaterialización de las infraestructuras y la globalización de los servicios digitales, esta afirmación adquiere una relevancia singular y anticipa, previsiblemente, una evolución del Derecho de protección de datos hacia modelos cada vez más centrados en la gestión del riesgo y en la garantía de un control efectivo por parte de los responsables del tratamiento.
