Soberanía de datos para empresas mexicanas en 2022: opciones reales y cuándo conviene
El concepto de "soberanía de datos" llevaba años circulando como tema casi académico en presentaciones de cumplimiento. En 2022 dejó de serlo. La invasión rusa a Ucrania mostró cómo las decisiones políticas internacionales pueden congelar acceso a servicios cloud globales en horas; el GDPR europeo, ya con cinco años de aplicación, generó precedentes con multas serias que afectan a empresas que mueven datos sin atención al destino; y los rumores de controles más estrictos a chips y tecnología hacia ciertos mercados sugieren que la geopolítica va a seguir presionando arquitecturas. Para una empresa mediana mexicana, soberanía de datos pasa de tema teórico a decisión operativa que conviene revisar.
En este artículo mapeamos los drivers actuales, las opciones reales en México, los trade-offs honestos y los casos donde sí (y donde no) conviene mover trabajo crítico a infraestructura local.
Qué está empujando soberanía hacia la agenda
Driver geopolítico. El reordenamiento global iniciado en febrero con la guerra en Ucrania creó precedente: empresas tecnológicas estadounidenses y europeas suspendieron servicios en Rusia en cuestión de días. Aunque México no está en escenario equivalente, el mensaje quedó claro: depender al 100% de proveedores extranjeros de cloud para infraestructura crítica implica riesgo soberano que antes era invisible. Las empresas más conservadoras (banca, gobierno, energía, salud) están reevaluando.
Driver regulatorio. GDPR ya generó multas históricas que tocan a empresas mexicanas con presencia o clientes europeos. La Ley Federal de Protección de Datos Personales en Posesión de Particulares mexicana exige consentimiento explícito para transferencias internacionales, y el INAI ha endurecido criterios. Sectores regulados (financiero por CNBV, salud por COFEPRIS, energía por CRE) tienen requisitos específicos sobre dónde y cómo se almacenan ciertos datos.
Driver de cliente. Empresas grandes mexicanas y multinacionales que operan en México están incluyendo cláusulas de residencia de datos en sus RFPs. Si vendes B2B y tu infraestructura está en us-east-1, vas a perder oportunidades frente a competidores que ofrezcan opción local.
Driver de costo en pesos. Con dólar a niveles arriba de 20 MXN buena parte del año, facturación cloud en USD impacta más que antes. Operar parte de la carga en infraestructura facturada en pesos suaviza exposición cambiaria.
Opciones reales en México (a agosto 2022)
El abanico de opciones para residencia de datos y compute en México es más amplio de lo que parece, aunque cada uno tiene perfil distinto.
KIO Networks. Operador con varios data centers en CDMX, Monterrey, Querétaro y otros polos. Servicio de colocation, cloud privado, conectividad. Particularmente fuerte en sectores regulados (banca, gobierno) y con experiencia en cumplimiento local.
Triara. Parte del grupo Telmex, opera centros tier III/IV en CDMX, Monterrey y Querétaro. Oferta de colocation y servicios gestionados, con red propia. Buen perfil para empresas que ya están en ecosistema Telmex.
Ascenty. Operador regional latinoamericano con presencia creciente en México (Querétaro). Foco en hyperscale y cliente corporativo grande.
Equinix. Presencia en México con interconexión a múltiples carriers y proveedores cloud. Bueno para arquitecturas híbridas.
AWS Local Zones (próximamente en Querétaro). AWS anunció región local en México en planeación, pero a agosto 2022 todavía no opera. Local Zones extiende presencia AWS a metros específicos.
Microsoft Azure (región México planeada). También anunciada, no operativa todavía.
Oracle Cloud Querétaro. Oracle tiene región operativa en Querétaro desde 2020, opción real para cargas que se acomodan a su stack.
Google Cloud (sin región en México todavía). GCP atiende México desde us-central1 o us-south1.
Esto significa que en agosto 2022, para hyperscalers la única opción operativa con región mexicana es Oracle. Para AWS, Azure y GCP la espera continúa. Las opciones no-hyperscaler (KIO, Triara, Ascenty) ofrecen residencia local hoy mismo, con trade-offs distintos en servicios, automatización y ecosistema.
Trade-offs honestos
Mover carga a infraestructura mexicana tiene ventajas pero también costos reales que conviene tener claros antes de comprometerse.
Ventajas. Datos físicamente en México (cumplimiento más fácil de demostrar). Latencia menor para usuarios locales. Facturación en pesos en muchos casos. Soporte en español y horario mexicano. Resiliencia frente a decisiones extranjeras.
Costos. Catálogo de servicios menor que el de hyperscalers (no esperes equivalente nativo de cada servicio AWS o Azure). Automatización y herramientas devops menos maduras en algunos proveedores. Costo unitario por compute o storage suele ser más alto que el de hyperscalers a misma escala. Equipo interno necesita aprender nuevas plataformas. Migración tiene costo y riesgo.
La pregunta correcta no es "¿debo mover todo a México?" sino "¿qué cargas específicas se benefician de estar en México y a qué costo?".
Casos donde sí conviene
Hay tres patrones donde la migración o despliegue local tiene sentido claro.
Datos personales sensibles regulados. Información financiera detallada de clientes, datos de salud, datos de menores, datos biométricos. Aquí la residencia local simplifica cumplimiento y reduce riesgo regulatorio.
Cargas críticas con clientes mexicanos. Aplicaciones donde latencia importa (trading, gaming, video) y donde los usuarios son predominantemente locales. La latencia desde región mexicana es sustancialmente menor que desde norte de Virginia.
Empresas que venden a sector público o regulado mexicano. Si tu cliente exige residencia local en RFP, no hay debate. Mejor tenerlo construido que perder oportunidades.
Casos donde no conviene
Cargas con audiencia global. Si tus usuarios están repartidos en varios continentes, una región mexicana introduce latencia para los demás. Conviene quedarse con hyperscaler con CDN apropiado.
Stack profundamente integrado a servicios específicos de hyperscaler. Si dependes de Lambda, DynamoDB, BigQuery o servicios gestionados específicos, replicarlos en infraestructura local es proyecto largo y caro. La cuenta probablemente no sale.
Equipos pequeños sin músculo para operar infraestructura propia. Mover de SaaS-cloud a algo más cercano a IaaS implica más trabajo de operación. Si no tienes equipo, mejor quedarse con hyperscaler y elegir región más cercana.
Patrón híbrido como punto medio
Para muchas empresas medianas, la respuesta sensata no es "todo en México" ni "todo en hyperscaler", sino híbrido por carga. Datos personales sensibles y aplicaciones de cara a cliente mexicano regulado en infraestructura local; analítica, cargas internas y aplicaciones globales en hyperscaler donde aprovechan servicios nativos. La complejidad operativa sube pero el balance riesgo-costo-cumplimiento mejora.
Cierre
La soberanía de datos dejó de ser tema de presentación y se convirtió en componente real de arquitectura para empresas mexicanas con datos sensibles, clientes regulados o exposición geopolítica. Las opciones en México existen, son operativas hoy y tienen trade-offs claros. La decisión correcta depende de carga específica, no de doctrina general. Lo que sí es claro es que postergarla deja de ser opción para sectores regulados o para empresas que venden al gobierno y a clientes corporativos serios.
¿Estás pensando soberanía? Hagamos el análisis. En ALCA acompañamos a CTOs, CIOs y equipos de cumplimiento mexicanos a evaluar opciones de soberanía de datos con criterio técnico y de negocio. Agenda 30 minutos con nuestro equipo.
