Soberanía de datos para empresas mexicanas en 2024: por qué importa más este año

Hasta hace un par de años, "soberanía de datos" era un tema reservado a sectores muy regulados (banca con CNBV, salud con NOM-024, gobierno federal) y al departamento legal de empresas exportadoras. En 2024 el tema saltó al centro de la discusión técnica por una combinación de factores que se acumulan rápidamente: la EU AI Act entró en vigor el 1 de agosto, EE.UU. ajusta sus export controls hacia China casi cada trimestre, en México se discute la reforma a los órganos autónomos (incluyendo el INAI) y Claudia Sheinbaum toma protesta el 1 de octubre con mayoría calificada en el Congreso.

La pregunta que nos están haciendo CIOs y CTOs en sesiones de planeación de Q4 es la misma: ¿qué cargas conviene tener efectivamente en infraestructura mexicana, cuáles pueden seguir donde están, y cuáles no?

Drivers de 2024 que conviene tener en cuenta

Cuatro fuerzas que cambiaron la conversación este año:

EU AI Act. Si exportas servicios a Europa, hay obligaciones nuevas de documentación, transparencia y, para sistemas de alto riesgo, controles que en la práctica favorecen procesar datos europeos en infraestructura europea o en jurisdicciones con marcos equivalentes.

Transferencias EE.UU.-UE bajo escrutinio constante. El Data Privacy Framework está vigente, pero el ecosistema regulatorio europeo sigue mirando con lupa los proveedores estadounidenses. Eso afecta indirectamente a empresas mexicanas que actúan como subprocesadores.

Reforma a INAI y órganos autónomos. En México la conversación legislativa sobre extinguir o absorber el INAI introduce incertidumbre regulatoria. La Ley Federal de Protección de Datos Personales sigue vigente, pero el enforcement y los criterios de interpretación pueden cambiar.

Aranceles y contexto geopolítico. La disputa por chips, semiconductores y software entre EE.UU., China y aliados se traduce en cambios de pricing, disponibilidad y acuerdos de servicio que afectan directamente a empresas mexicanas con cargas en los hyperscalers.

Opciones disponibles en México (panorama 2024)

A mediados de 2024 las opciones reales para alojar datos y cargas en México son cuatro categorías:

1. Operadores de data center mexicanos

• KIO Networks. El más grande del país por capacidad, con sites en CDMX, Querétaro, Monterrey y otros. Buena base para colocation, hosting administrado, nube privada.
• Triara (Telmex). Data centers en CDMX, Querétaro, Apodaca, con servicios de colocation y nube administrada.
• Ascenty. Operador con presencia en Querétaro y proyectos de expansión, conectividad con Brasil y operación regional.
• MCM Telecom y otros operadores especializados.

Conviene cuando: necesitas control físico, latencia local, contratos en pesos, cumplimiento estricto con criterios de residencia mexicana.

2. Hyperscalers con Local Zones o regiones cercanas

• AWS: hay Local Zones en Querétaro y Monterrey (extensiones de la región us-east-1) más anuncios sobre infraestructura local creciente. Para cargas que requieren baja latencia con servicios de AWS, es la opción más madura.
• Microsoft Azure: anunció regiones para México (Querétaro) en años recientes. Disponibilidad de servicios sigue creciendo.
• Google Cloud (GCP): opera región en México en Querétaro desde 2023 con servicios principales disponibles.
• Oracle Cloud: tiene región en México y posicionamiento fuerte en banca y gobierno.

Conviene cuando: ya operas con un hyperscaler y quieres traer cargas a México para cumplir requerimientos de residencia, sin reescribir todo.

3. Soluciones híbridas

Combinaciones específicas: nube pública en EE.UU. para servicios donde el catálogo es más amplio, colocation en México para datos sensibles, conectividad dedicada (Direct Connect, ExpressRoute, Cloud Interconnect) para mantener experiencia de operación unificada.

4. On-premises con nube privada

Para sectores muy regulados (banca core, gobierno federal, salud crítica) sigue siendo viable y a veces necesario. Operación más compleja pero control total.

Trade-offs reales

No todo lo que está en México es mejor que lo que está en Virginia. Hay que ponderar:

Latencia. Para usuarios en México, una región mexicana o Local Zone reduce latencia significativamente. Para usuarios fuera o para servicios que dependen mucho de otros servicios alojados en regiones americanas o europeas, puede ser peor.

Costo. Las regiones mexicanas tienden a ser ligeramente más caras que us-east-1 o us-west-2 por servicio. La diferencia varía. Cargas grandes pueden tener overhead notable.

Catálogo de servicios. No todos los servicios de un hyperscaler están disponibles en regiones nuevas. Antes de migrar, revisa que los servicios específicos que usas estén disponibles localmente.

Ecosistema y soporte. Operadores mexicanos tienen ventaja en relaciones locales, contratos en pesos y soporte en español. Hyperscalers tienen ventaja en madurez de servicios avanzados (especialmente IA, analytics, datos).

Cuándo conviene mover a México (y cuándo no)

Después de varios assessments este año, la lectura práctica:

Mueve a México si:

• Tu sector (banca, salud, gobierno, seguros) tiene requerimiento explícito de residencia.
• Procesas datos personales de mexicanos a gran escala y quieres reducir riesgo regulatorio futuro.
• Tu operación es 100% local y la latencia hace diferencia (POS, retail, logística).
• Quieres aislar cargas críticas de exposición a sanciones o cambios de proveedor extranjero.

No muevas (todavía) si:

• Tu base de usuarios es global y la latencia desde otra región es aceptable.
• Dependes de servicios de IA (Bedrock, Vertex, Azure OpenAI) que aún tienen mejor disponibilidad en regiones grandes.
• Los datos no son sensibles y el costo de migración no se paga con beneficios concretos.
• Estás a meses de salir a producción y la migración añadiría riesgo desproporcionado.

Plan operativo

Para empresas que están evaluando seriamente, un plan en cuatro fases:

1. Inventario de cargas y datos clasificados por sensibilidad y por requerimiento regulatorio.
2. Mapeo de cada carga a una de las cuatro opciones (operador local, hyperscaler local, híbrido, on-prem).
3. Plan de migración por fases, empezando por cargas con requerimiento regulatorio claro y baja complejidad técnica.
4. Política de gobernanza que defina dónde puede ir cada tipo de dato nuevo, evitando volver a la dispersión.

Una recomendación final: revisa contratos de subprocesadores. Muchas empresas asumen que sus datos están en una región específica y descubren que su SaaS principal procesa información en otra jurisdicción. Sin claridad sobre la cadena completa, soberanía es un objetivo que no aterriza.

Lo que viene en los próximos seis meses

Vemos tres movimientos previsibles en el tablero:

• Anuncios de infraestructura adicional en México por parte de hyperscalers, presionados por demanda de nearshoring y por requerimientos crecientes.
• Definición legislativa sobre el destino del INAI y posibles ajustes a la ley de datos personales.
• Mayor claridad sobre el AI Act vía códigos de práctica que la Comisión Europea va a publicar entre Q4 2024 y Q1 2025.

El momento para revisar tu postura es ahora. En enero las decisiones se complican porque hay que combinarlas con presupuestos cerrados.

---

¿Estás pensando en mover cargas a México? Hagamos el análisis juntos. En ALCA hacemos assessments de soberanía de datos, diseño de arquitectura híbrida y planes de migración. Agenda una sesión de 45 minutos.