Las promesas y los límites de la soberanía de datos en África

En junio de 2025, al declarar bajo juramento ante una comisión de investigación del Senado francés, el director de asuntos públicos y jurídicos de Microsoft Francia admitió que la empresa «no puede garantizar» la soberanía de los datos de los clientes franceses en caso de que un tribunal estadounidense dicte una orden judicial legalmente justificada. Esto se debe a que, en virtud de la Ley CLOUD de 2018, las autoridades estadounidenses pueden ordenar a cualquier empresa con sede en Estados Unidos que entregue los datos que controla, independientemente de dónde se encuentren o de qué filial los posea.

Si Francia, con su régimen de protección de datos líder en el mundo, no puede garantizar que las grandes tecnológicas respeten su soberanía de datos, ¿qué pueden esperar países africanos como Nigeria, Kenia o Sudáfrica?

Esta pregunta se cierne sobre el continente a medida que los gobiernos adoptan estrategias de inteligencia artificial y regulan los flujos de datos. La Ley de Protección de Datos de Nigeria, promulgada en 2023 y aplicada en marzo de 2025, ha establecido protecciones sólidas que su proyecto de ley de soberanía digital, si se aprueba, reforzaría aún más. La Ley de Protección de Datos de Kenia de 2019 ha demostrado tener fuerza, ya que los tribunales kenianos ordenaron a Worldcoin, la empresa de escaneo del iris cofundada por Sam Altman, que eliminara los datos biométricos que había escaneado de cientos de miles de kenianos y suspendieron un acuerdo de intercambio de datos sanitarios por valor de 2.500 millones de dólares con Estados Unidos por motivos de soberanía.

Estos países no están solos. Sudáfrica, Egipto, Ruanda, Ghana y Senegal han dado pasos hacia la protección digital y la gobernanza de la IA. La Estrategia Continental de Inteligencia Artificial de la Unión Africana, adoptada en julio de 2024, busca crear una arquitectura regional coherente para integrar estos esfuerzos nacionales (aunque sigue siendo en gran medida una aspiración).

En lugar de limitarse a intentar ponerse al día a regañadientes, los países africanos persiguen activamente la autodeterminación digital, legislando medidas de protección sobre cómo se recopilan, almacenan y utilizan los datos de los africanos. Pero por muy sofisticadas que sean sus regulaciones, se enfrentan a barreras estructurales inherentes.

Quizá lo más importante es que los gigantes de la Big Tech —como Microsoft, Google, Amazon y Meta— que controlan la infraestructura en la nube de la que depende cada vez más la vida digital del continente son empresas estadounidenses con filiales africanas, lo que dificulta la aplicación de las medidas.

Por ejemplo, la arquitectura regulatoria de Nigeria funcionó según lo previsto cuando la Comisión Federal de Competencia y Protección del Consumidor impuso una multa de 220 millones de dólares a Meta en julio de 2024 (confirmada por un tribunal en abril de 2025) por violar las leyes locales de protección del consumidor y de datos. Pero la multa no se ha pagado. La filial nigeriana de Meta no pudo aportar los fondos por sí sola, mientras que la empresa matriz estadounidense estaba fuera del alcance de las autoridades nigerianas encargadas de hacer cumplir la ley. (Al parecer, Meta se está preparando para impugnar la multa ante el Tribunal de Apelación y ha llegado a un acuerdo extrajudicial con los reguladores para una sanción independiente).

La soberanía nigeriana sobre Meta termina en la frontera entre la filial y la matriz, la misma frontera que ignora la Ley CLOUD de Estados Unidos Esto ha impulsado una carrera por construir una infraestructura de nube soberana. Pero la experiencia de Kenia muestra los límites de las soluciones arquitectónicas alternativas. En 2024, Microsoft y G42 (respaldada por el fondo soberano de los Emiratos Árabes Unidos), junto con el Gobierno de Kenia, anunciaron planes para construir un centro de datos de 1000 millones de dólares en el país. Se promocionó como parte de una «zona de datos de confianza», en la que los datos de otros países se regirían por sus respectivas leyes incluso mientras estuvieran almacenados en Kenia.

Pero la localización geográfica supervisada por empresas estadounidenses implica una soberanía que es solo de nombre. El centro de datos keniano, por ejemplo, funcionaría con los servicios en la nube de Microsoft Azure, y Microsoft tiene una participación minoritaria en G42 y un puesto en el consejo de administración de la empresa. Otras empresas líderes que prestan servicios de centros de datos en el continente, como Teraco y MainOne, fueron fundadas por empresarios africanos, pero ahora son propiedad de empresas estadounidenses.

Consciente de ello, Francia ha ideado soluciones más elaboradas: empresas conjuntas como Bleu y S3NS, en las que las empresas estadounidenses suministran tecnología en lugar de tener participaciones mayoritarias, que funcionan como entidades jurídicas francesas y constituyen una capa adicional entre los datos franceses y las matrices corporativas estadounidenses. Pero, como sugiere la investigación del Senado francés, no han resuelto del todo el problema.

No se trata de un fracaso de la regulación africana. Nigeria, Kenia y otros países africanos cuentan con una legislación bien diseñada, y sus organismos reguladores han mostrado voluntad de actuar, mientras que la UA ha forjado una visión estratégica. El problema es que la concepción actual de la soberanía de los datos se basa en una falacia: que lo que importa es dónde se almacenan los datos y qué leyes nacionales los rigen. De hecho, la restricción vinculante es dónde tiene su sede la empresa matriz que supervisa los datos, y qué gobierno puede obligar a esa matriz.

Teniendo esto en cuenta, los gobiernos africanos deben dar tres pasos. En primer lugar, deben diseñar un instrumento continental que prohíba a las filiales registradas en África transferir datos a gobiernos extranjeros sin una base treaty, siguiendo el modelo del artículo 48 del Reglamento General de Protección de Datos de la Unión Europea.

África es la clave para el crecimiento mundial sostenido

En segundo lugar, los responsables políticos deben proteger las categorías más sensibles de datos africanos —números de identificación nacional, información bancaria, historiales médicos y comunicaciones gubernamentales— en infraestructuras construidas y gestionadas por empresas que sean propiedad al 100 % de una matriz africana.

Por último, la Zona de Libre Comercio Continental Africana, cuyos protocolos de comercio digital siguen en fase de negociación, debe utilizarse para condicionar el acceso de las grandes empresas tecnológicas a los mercados africanos al cumplimiento de las disposiciones sobre soberanía africana.

Ninguna de estas medidas es fácil. Cada una requiere un nivel de coordinación que el continente aún no ha alcanzado. Pero la alternativa es aceptar que las leyes africanas de protección de datos solo se aplicarán a las empresas, plataformas y corredores de datos locales. La soberanía que se detiene en la frontera de las empresas estadounidenses aún no es soberanía; es una promesa, y cumplirla requiere un cambio estructural.

*Samuel W. Ugwumba, investigador visitante sénior en el Instituto Max Planck para la Innovación y la Competencia, es investigador académico en la Catholic Global School of Law. Jake Okechukwu Effoduh es profesor adjunto en la Facultad de Derecho Lincoln Alexander de la Universidad Metropolitana de Toronto.