Leyes de Localización de Datos por País (2026)
Las leyes de localización de datos exigen que ciertos datos personales se almacenen en servidores dentro de las fronteras de un país. Los requisitos van desde la localización estricta, como la Ley Federal 242-FZ de Rusia, que prohíbe que las bases de datos primarias de ciudadanos salgan de Rusia, hasta modelos flexibles que permiten transferencias condicionadas. Más de 60 países aplican alguna forma de requisito de residencia de datos a 2026.
Las leyes de localización de datos exigen a las organizaciones almacenar, tratar o mantener copias de ciertos datos en servidores ubicados físicamente dentro del territorio de un país específico. Estas leyes han proliferado rápidamente desde 2015, impulsadas por preocupaciones de seguridad nacional, objetivos de protección de la privacidad, estrategias de desarrollo económico y consideraciones geopolíticas en torno a la soberanía digital.
El alcance y el rigor de los requisitos de localización varían drásticamente. Algunos países exigen que todos los datos personales sobre sus residentes permanezcan dentro de las fronteras nacionales. Otros aplican la localización únicamente a sectores específicos, como la banca, la salud o las telecomunicaciones. Varios países adoptan una postura intermedia, exigiendo una copia local mientras permiten transferencias al exterior bajo ciertas condiciones.
Esta guía ofrece un panorama país por país de los requisitos de localización de datos a 2026, explica la distinción entre la localización estricta y la localización flexible, cubre las reglas sectoriales, examina la postura de la UE, analiza el debate económico y describe estrategias prácticas de cumplimiento.
Localización estricta frente a localización flexible
Comprender la diferencia entre la localización estricta y la localización flexible es fundamental para la planificación del cumplimiento.
Localización estricta
La localización estricta prohíbe que ciertos datos salgan del país por completo. Los datos deben recopilarse, almacenarse y tratarse exclusivamente en servidores locales. No pueden transferirse copias al exterior, sin importar las salvaguardas. La ley de datos personales de Rusia y ciertas categorías bajo el marco de protección de datos de China representan la localización estricta.
Localización flexible
La localización flexible exige mantener una copia de los datos en servidores locales, pero permite la transferencia de copias a otros países, generalmente sujeta a condiciones como la aprobación gubernamental, el consentimiento o salvaguardas contractuales. El enfoque de India respecto de ciertas categorías de datos y las regulaciones de Indonesia representan la localización flexible.
Modelos de transferencia condicionada
Algunos países no exigen almacenamiento local, pero imponen condiciones a las transferencias transfronterizas que funcionan como una localización práctica. Por ejemplo, exigir la aprobación gubernamental para cada transferencia, requerir evaluaciones de seguridad antes de la exportación, o limitar las transferencias a países con protección "adecuada". Estos modelos condicionados pueden ser tan gravosos como los requisitos formales de localización.
Requisitos de localización de datos por país
La siguiente tabla resume los requisitos de localización de datos en las principales jurisdicciones. A continuación se presenta un análisis detallado de los países clave.
| País | Tipo | Alcance | Ley clave |
|---|---|---|---|
| China | Estricto/Condicionado | Información personal, datos importantes, datos de ICI | PIPL, DSL, CSL (enmendada en enero de 2026) |
| Rusia | Estricto | Datos personales de ciudadanos rusos | Ley Federal 242-FZ, 266-FZ |
| India | Flexible/Sectorial | Datos de pago (estricto); otros datos condicionados | Reglas DPDP 2025, directivas del RBI |
| Indonesia | Flexible | Datos de sistemas electrónicos públicos | GR 71/2019, Ley PDP (oct. 2024) |
| Vietnam | Flexible/Condicionado | Datos personales, datos de seguridad del Estado | Decreto 13/2023, Decreto 53/2022 |
| Nigeria | Flexible/Sectorial | Datos gubernamentales, datos de infraestructura crítica | NDPA 2023, Ley NITDA |
| Turquía | Condicionado | Datos personales | Ley 6698 (KVKK) |
| Arabia Saudita | Condicionado/Sectorial | Datos personales, financieros, gubernamentales | PDPL (aplicada desde sept. 2024) |
| Brasil | Ninguna (condicionado) | Sin localización; reglas condicionadas de transferencia | LGPD |
| Corea del Sur | Condicionado | Información personal | PIPA |
| Australia | Ninguna (condicionado) | Sin localización; reglas de transferencia del APP 8 | Ley de Privacidad de 1988 |
| Kazajistán | Flexible | Datos personales de ciudadanos | Ley sobre Datos Personales (enmendada en feb. 2024) |
| EAU | Sectorial | Datos financieros, de salud, gubernamentales | Diversos reguladores sectoriales |
| Tailandia | Condicionado | Datos personales | PDPA |
| Sudáfrica | Condicionado | Información personal | POPIA |
| Japón | Condicionado | Información personal | APPI (enmendada en 2022) |
China: el régimen de localización más complejo
China opera uno de los marcos de localización de datos más completos del mundo, construido sobre tres leyes interconectadas: la Ley de Ciberseguridad (CSL) de 2017, la Ley de Seguridad de Datos (DSL) de 2021, y la Ley de Protección de la Información Personal (PIPL) de 2021.
Operadores de Infraestructura de Información Crítica (ICI)
Los operadores de ICI deben almacenar la información personal y los "datos importantes" recopilados y generados en China dentro del país. Las transferencias al exterior requieren una evaluación de seguridad gubernamental realizada por la Administración del Ciberespacio de China (CAC). Los sectores de ICI incluyen energía, transporte, finanzas, servicios públicos, gobierno electrónico, defensa y tecnología.
Enmienda a la CSL vigente desde el 1 de enero de 2026
El Comité Permanente del Congreso Nacional del Pueblo aprobó enmiendas a la CSL el 28 de octubre de 2025, con vigencia desde el 1 de enero de 2026. Las enmiendas de enero de 2026 no modifican el requisito central de localización de datos para los operadores de ICI conforme al artículo 39, pero cambian de manera significativa el panorama de aplicación:
- Las sanciones máximas para los operadores de ICI cuyas infracciones causen consecuencias especialmente graves ahora alcanzan los 10 millones de RMB (aproximadamente 1,4 millones de dólares estadounidenses).
- El alcance extraterritorial de la CSL se amplió más allá de las actividades que dañan la infraestructura crítica nacional, para cubrir a cualquier organización o individuo en el extranjero que realice actividades que dañen la ciberseguridad de China en un sentido amplio.
- Las obligaciones de gobernanza de IA ahora están explícitamente integradas en el marco de la CSL, incluido el apoyo estatal a la innovación en IA, el desarrollo de recursos de datos de entrenamiento, y la evaluación de riesgos y la gobernanza de seguridad de la IA.
- Las sanciones por vender equipos de seguridad de red no certificados incluyen multas de hasta diez veces el monto de la compra.
Responsables de la información personal y los cambios de umbral de marzo de 2024
Conforme a la PIPL, las organizaciones que tratan información personal de residentes chinos y necesitan transferir datos al exterior deben cumplir una de cuatro condiciones: aprobar una evaluación de seguridad de la CAC, obtener una certificación de una institución reconocida, celebrar un contrato estándar presentado ante la CAC, o cumplir con otras condiciones aplicables.
El 22 de marzo de 2024, la CAC emitió las Disposiciones sobre la Regulación y Promoción de los Flujos Transfronterizos de Datos, vigentes de forma inmediata. Estas disposiciones relajaron de manera significativa las reglas anteriores:
- La evaluación de seguridad de la CAC ahora solo se exige para las transferencias de datos personales de más de 1 millón de individuos por año calendario, o de datos personales sensibles de más de 10.000 individuos por año calendario.
- Las transferencias de datos personales de menos de 100.000 individuos por año calendario están exentas del requisito de presentación del contrato estándar.
- Las evaluaciones de seguridad aprobadas por la CAC ahora tienen una validez de tres años, ampliada respecto del plazo anterior de dos años.
- Las organizaciones en zonas francas de comercio designadas pueden seguir una lista negativa: la ZFT formula un catálogo de datos restringidos, y todos los datos fuera del catálogo pueden transferirse libremente. La ZFT de Shanghái publicó su primer catálogo general de datos en mayo de 2024, que cubre los sectores automotriz, biofarmacéutico y de fondos mutuos.
Datos importantes
La DSL introdujo una categoría separada de "datos importantes" sujeta a restricciones de localización y exportación. Los reguladores sectoriales tienen la tarea de definir qué constituye datos importantes en sus ámbitos. Los sectores automotriz, de servicios financieros y de salud han emitido catálogos borrador o definitivos de datos importantes.
Impacto práctico
El régimen de China representa el marco de localización más gravoso para las empresas multinacionales. Las organizaciones que operan en China suelen mantener una infraestructura de datos completamente separada, con centros de datos dedicados dentro del país y proveedores de nube chinos (Alibaba Cloud, Tencent Cloud, Huawei Cloud) que gestionan el tratamiento local.
Rusia: localización estricta de datos personales
La ley de localización de datos de Rusia, la Ley Federal N.º 242-FZ (que modifica la Ley de Datos Personales N.º 152-FZ), entró en vigor el 1 de septiembre de 2015. Exige que todas las bases de datos utilizadas para recopilar, registrar, sistematizar, acumular, almacenar, actualizar, modificar o recuperar los datos personales de ciudadanos rusos se ubiquen en servidores dentro de la Federación Rusa.
Alcance
La ley se aplica de manera amplia a cualquier operador (ruso o extranjero) que recopile datos personales de ciudadanos rusos. Esto incluye servicios en línea, plataformas de comercio electrónico, empresas de redes sociales y cualquier negocio que recopile datos de empleados o clientes residentes en Rusia.
Transferencias transfronterizas y los cambios de la FZ-266 (2023)
La Ley Federal N.º 266-FZ (firmada el 14 de julio de 2022; disposiciones principales vigentes desde el 1 de septiembre de 2022; disposiciones sobre transferencia transfronteriza vigentes desde el 1 de marzo de 2023) actualizó de manera sustancial el marco de transferencia transfronteriza. Desde marzo de 2023, los operadores deben notificar a Roskomnadzor su intención de transferir datos personales al exterior antes de hacerlo. Las transferencias a países no reconocidos como proveedores de protección adecuada ahora requieren un permiso explícito de Roskomnadzor.
El sistema anterior de dos niveles (países del Convenio 108 del Consejo de Europa frente a otros) sigue siendo relevante para determinar qué países se presumen adecuados. Sin embargo, el requisito de notificación previa a la transferencia ahora se aplica sin importar el destino.
El requisito principal de almacenamiento de datos no ha cambiado: la base de datos maestra de los datos personales de los ciudadanos rusos debe permanecer en servidores ubicados en territorio ruso. Las copias pueden proporcionarse al exterior, pero la base de datos de origen debe permanecer en Rusia.
Aplicación
La autoridad rusa de protección de datos, Roskomnadzor, ha hecho cumplir el requisito de localización mediante medidas de bloqueo. LinkedIn fue bloqueado en Rusia en 2016 por incumplir el requisito de localización. Las sanciones por infracciones de localización ahora oscilan entre 60.000 y 18.000.000 de rublos, y las infracciones reiteradas pueden dar lugar al bloqueo del sitio web.
India: un panorama de localización en evolución
El marco de localización de datos de India ha cambiado de manera considerable. La Ley de Protección de Datos Personales Digitales de 2023 (DPDPA) reemplazó al anterior Proyecto de Ley de Protección de Datos Personales, que había incluido disposiciones estrictas de localización.
Marco actual: Reglas DPDP (noviembre de 2025)
Las Reglas DPDP se finalizaron y publicaron en noviembre de 2025. La Regla 15 establece: "Un Fiduciario de Datos puede transferir datos personales fuera de India, salvo que el Gobierno Central restrinja dicha transferencia". Se trata de un modelo de lista negativa: las transferencias se permiten hacia todos los destinos, salvo que el gobierno restrinja específicamente un país mediante notificación. El cumplimiento pleno en materia de transferencia transfronteriza se exige para mayo de 2027 (18 meses después del 13 de noviembre de 2025). A mayo de 2026, el gobierno no ha publicado su lista negativa de países restringidos.
Este enfoque es notablemente más permisivo que los borradores anteriores del Proyecto de Ley, que habían propuesto una lista blanca estricta. India optó por el modelo de lista negativa en lugar del enfoque de adecuación utilizado bajo el RGPD.
Localización de datos de pago
El Banco de la Reserva de India (RBI) emitió una directiva en abril de 2018 que exige que todos los datos del sistema de pagos se almacenen exclusivamente en India. Esto se aplica a los datos de transacciones domésticas tratados por los operadores del sistema de pagos, incluidas las redes de tarjetas, los agregadores de pagos y los proveedores de billeteras digitales. El requisito es uno de los mandatos sectoriales de localización más estrictos a nivel global y obligó a empresas como Visa, Mastercard y PayPal a establecer centros de datos en India. Este mandato permanece plenamente vigente y no se ve afectado por el marco de la DPDP.
Requisitos sectoriales
La Junta de Bolsa y Valores de India (SEBI) emitió una circular en 2024 que impone requisitos de residencia de datos a las entidades reguladas que utilizan proveedores de servicios en la nube, exigiendo que los datos regulatorios y de cumplimiento permanezcan en India. La Autoridad de Regulación y Desarrollo de Seguros de India (IRDAI) impone condiciones sobre dónde pueden tratarse y almacenarse los datos de seguros. Estas reglas sectoriales operan de manera independiente del marco de la DPDP.
Vietnam: ciberseguridad y almacenamiento de datos
La Ley de Ciberseguridad de Vietnam (Ley 24/2018), vigente desde el 1 de enero de 2019, y dos decretos de implementación imponen requisitos de localización por capas. Es importante distinguir entre los dos decretos:
- El Decreto 53/2022/ND-CP (vigente desde el 1 de octubre de 2022) implementa la Ley de Ciberseguridad y rige la localización de datos.
- El Decreto 13/2023/ND-CP (vigente desde el 1 de julio de 2023) es el reglamento de protección de datos personales de Vietnam y rige los procedimientos de transferencia transfronteriza.
Conforme al Decreto 53/2022, las empresas nacionales que prestan servicios de telecomunicaciones, internet, almacenamiento de datos, comercio electrónico, pago en línea, aplicaciones de transporte, redes sociales, mensajería, videojuegos y servicios relacionados deben almacenar en Vietnam tres categorías de datos: la información personal de los usuarios del servicio, los datos generados por el usuario (nombres de cuenta, marcas de tiempo de sesión, información de tarjetas de crédito, direcciones de correo electrónico, direcciones IP, números de teléfono registrados), y los datos de relaciones (amigos y grupos con los que el usuario se ha conectado).
Para las empresas extranjeras, el requisito de localización se activa por un desencadenante en lugar de ser automático. Una solicitud escrita del Ministerio de Seguridad Pública activa el requisito si los servicios de la empresa extranjera se utilizaron para infringir la ley de ciberseguridad vietnamita, o si la empresa no cumplió con solicitudes previas. Una vez activado, la empresa debe cumplir dentro de los 12 meses y conservar los datos especificados durante al menos 24 meses desde la recepción de la solicitud.
El Decreto 13/2023 exige a las organizaciones que transfieren datos personales de ciudadanos vietnamitas al exterior preparar una Evaluación de Impacto de la Transferencia y presentarla ante el Ministerio de Seguridad Pública. Se requiere un certificado de registro antes de que las transferencias puedan realizarse.
Indonesia: reglamento gubernamental sobre sistemas electrónicos
El Reglamento Gubernamental N.º 71 de 2019 de Indonesia (GR 71/2019) sobre Sistemas y Transacciones Electrónicas exige a los operadores de sistemas electrónicos públicos ubicar sus centros de datos y centros de recuperación ante desastres en territorio indonesio. Los operadores de sistemas electrónicos privados pueden ubicar sus datos fuera de Indonesia sujeto a condiciones: la ubicación en el extranjero no debe disminuir la eficacia de la supervisión gubernamental, y debe proporcionarse acceso para fines de supervisión y aplicación de la ley.
La Ley de Protección de Datos Personales de Indonesia (Ley N.º 27 de 2022) se promulgó en octubre de 2022. El período de transición de dos años para el cumplimiento finalizó el 17 de octubre de 2024, y las organizaciones ahora deben cumplir plenamente. La Ley PDP permite a los responsables del tratamiento almacenar datos personales dentro de Indonesia o en el extranjero, manteniendo la coherencia con el enfoque del GR 71/2019 para los operadores privados.
El sector de servicios financieros enfrenta requisitos adicionales de la Autoridad de Servicios Financieros de Indonesia (OJK), que exige a los bancos e instituciones financieras mantener centros de datos primarios dentro del país.
Nigeria: la NDPR elevada a ley estatutaria
Los requisitos de localización de datos de Nigeria ahora se fundamentan en la Ley de Protección de Datos de Nigeria (NDPA) de 2023, promulgada en junio de 2023. La NDPA reemplazó al Reglamento de Protección de Datos de Nigeria (NDPR) de 2019 y elevó el marco de protección de datos al rango de ley estatutaria. Estableció la Comisión de Protección de Datos de Nigeria (NDPC) como organismo estatutario que reemplaza la disposición regulatoria anterior bajo la NITDA.
La NDPA no impone una localización general, pero exige que los datos personales transferidos fuera de Nigeria reciban protección adecuada en el país de destino, o que se implementen salvaguardas apropiadas. La NDPC no reconoce a Estados Unidos como proveedor de protección adecuada, lo que significa que las transferencias hacia Estados Unidos requieren cláusulas contractuales estándar u otras salvaguardas.
Una orden gubernamental de 2024 designó varios sistemas críticos como Infraestructura Nacional de Información Crítica (CNII): la base de datos del Número de Verificación Bancaria (BVN), la base de datos del Número de Identificación Nacional (NIN) y el Sistema Interbancario de Liquidación de Nigeria (NIBSS). Los sistemas designados como CNII están sujetos a reglas más estrictas de tratamiento y localización de datos.
Los datos gubernamentales enfrentan requisitos adicionales. Las directrices de la NITDA exigen que los datos gubernamentales y los datos tratados en nombre de organismos gubernamentales se alojen dentro de Nigeria. El Banco Central de Nigeria (CBN) exige a las instituciones financieras mantener almacenamiento de datos local y obtener aprobación para ciertas transferencias transfronterizas.
Arabia Saudita: la PDPL ahora plenamente aplicada
La Ley de Protección de Datos Personales (PDPL) de Arabia Saudita entró en vigor el 14 de septiembre de 2023, con un período de gracia de un año para el cumplimiento. La aplicación plena comenzó el 14 de septiembre de 2024. La PDPL se aplica de manera extraterritorial: cubre el tratamiento de datos personales de residentes sauditas por parte de entidades ubicadas fuera de Arabia Saudita.
En agosto de 2024, la Autoridad Saudita de Datos e IA (SDAIA) emitió el Reglamento sobre la Transferencia de Datos Personales Fuera del Reino de Arabia Saudita. Los Reglamentos de Transferencia permiten transferencias transfronterizas si: el país de destino ofrece protección adecuada, o el responsable del tratamiento implementa salvaguardas apropiadas, o se aplica alguna de las bases legales especificadas (consentimiento, necesidad contractual, intereses vitales o interés público).
Las regulaciones de la SAMA (Autoridad Monetaria de Arabia Saudita) exigen a las instituciones financieras mantener el almacenamiento primario de datos en Arabia Saudita. El Centro Nacional de Información de Salud impone requisitos adicionales para los datos de salud. La Autoridad Nacional de Ciberseguridad (NCA) exige que los datos gubernamentales permanezcan en suelo saudita.
Turquía: marco de transferencia condicionada
La Ley de Protección de Datos Personales N.º 6698 (KVKK) de Turquía no impone una localización estricta de datos, pero crea un marco de transferencia condicionada que puede funcionar como una localización práctica.
Las transferencias transfronterizas requieren el consentimiento explícito del titular de los datos o una decisión de adecuación de la Junta de Protección de Datos Personales (Junta de la KVKK). En marzo de 2024, la Junta de la KVKK actualizó su enfoque, permitiendo transferencias basadas en normas corporativas vinculantes, cláusulas contractuales estándar u otras salvaguardas aprobadas, acercando el marco de Turquía al modelo del RGPD. Esta actualización se alinea con la aspiración de larga data de Turquía de obtener el reconocimiento de adecuación del RGPD. Véase nuestra guía sobre las leyes de privacidad de datos de Turquía para más detalles.
Kazajistán: localización con enmiendas de 2024
La Ley sobre Datos Personales y su Protección (Ley N.º 94-V) de Kazajistán exige a los operadores que tratan datos personales de ciudadanos kazajos almacenar esos datos en servidores ubicados dentro de Kazajistán. Las enmiendas vigentes desde el 11 de febrero de 2024 (aprobadas el 11 de diciembre de 2023) introdujeron nuevas obligaciones: las organizaciones deben notificar al Ministerio de Desarrollo Digital sobre cualquier vulneración de seguridad de datos personales, con el requisito de notificación vigente desde el 1 de julio de 2024. Ahora está prohibido recopilar y tratar copias físicas de documentos de identidad. El Ministerio obtuvo la facultad de realizar inspecciones de cumplimiento no programadas.
Patrones sectoriales de localización
En varias jurisdicciones surgen patrones donde la localización se aplica a sectores específicos en lugar de a todos los datos.
Datos financieros
Los reguladores bancarios de todo el mundo suelen imponer las reglas de localización más estrictas. El mandato de datos de pago del RBI de India, los requisitos de la OJK de Indonesia, las directivas del CBN de Nigeria, las reglas de datos bancarios de China y las regulaciones de la SAMA de Arabia Saudita exigen todos algún grado de almacenamiento local para los datos financieros. La localización de datos financieros es el patrón sectorial más consistente a nivel global.
Datos de salud
La localización de datos de salud aparece en Australia (Ley de Registros de Salud Personal), Turquía (regulaciones de datos de salud), Arabia Saudita (requisitos del Centro Nacional de Información de Salud), y varios Estados miembros de la UE que imponen restricciones adicionales sobre los datos de salud más allá del piso del RGPD.
Telecomunicaciones
Los metadatos de telecomunicaciones y los datos de suscriptores enfrentan requisitos de localización en Rusia, China, Vietnam, India (a través de condiciones de licencia de telecomunicaciones), y varios países africanos. Estas reglas suelen derivar de preocupaciones sobre seguridad nacional y acceso para la aplicación de la ley.
Datos del gobierno y del sector público
Casi de manera universal, los países exigen que los datos gubernamentales se almacenen dentro del país. Esto incluye el GR 71/2019 de Indonesia para sistemas electrónicos públicos, las directrices de la NITDA de Nigeria, la política de nube gubernamental de India, y los requisitos de la NCA de Arabia Saudita.
Datos de entrenamiento de inteligencia artificial
Las regulaciones de gobernanza de IA de China, ahora integradas en el marco de la CSL desde las enmiendas de enero de 2026, incluyen componentes de localización para los datos de entrenamiento de IA tratados por operadores de ICI. Las organizaciones que entrenan modelos de IA con datos recopilados de usuarios chinos dentro de sectores de ICI deben garantizar que los datos de entrenamiento sigan sujetos a los requisitos estándar de localización y evaluación de seguridad.
La UE y la soberanía de datos
El RGPD no exige localización de datos dentro de la UE ni del EEE. En cambio, permite transferencias transfronterizas hacia países con protección adecuada o a través de mecanismos de transferencia aprobados, como las Cláusulas Contractuales Tipo, las Normas Corporativas Vinculantes, o las decisiones de adecuación. El marco del RGPD se construye en torno a condiciones de transferencia, no a mandatos de almacenamiento.
Sin embargo, la UE no está del todo libre de presiones de soberanía de datos.
El Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS), desarrollado por ENISA en el marco de la Ley de Ciberseguridad de la UE, ha sido objeto de un debate prolongado sobre requisitos de soberanía. Borradores anteriores del EUCS incluían requisitos explícitos de soberanía para el nivel más alto de certificación (High+): sede en la UE, control jurisdiccional de la UE, y ninguna obligación legal de divulgar datos a gobiernos de terceros países. Estos requisitos habrían excluido de manera efectiva a los principales proveedores de nube estadounidenses de alcanzar el nivel de certificación más alto. En septiembre de 2024, el Consejo de la UE instó a ENISA y a la Comisión Europea a acelerar el proceso del EUCS y aclarar cómo se incorporarían los criterios de soberanía. Se preveía que el Grupo Europeo de Certificación de Ciberseguridad (ECCG) adoptara el esquema en 2025, aunque la cuestión de la soberanía seguía siendo objeto de controversia.
Varios Estados miembros de la UE imponen requisitos sectoriales de localización que van más allá del piso del RGPD. Alemania, Francia y los Países Bajos imponen requisitos adicionales para los datos de salud. Múltiples Estados miembros exigen que los datos relacionados con el gobierno permanezcan en suelo nacional. Estas reglas a nivel de Estado miembro coexisten con el marco general de transferencia del RGPD.
El debate económico y de política comercial
Los requisitos de localización de datos conllevan costos económicos medibles. La Fundación para la Tecnología de la Información y la Innovación (ITIF) ha identificado 154 casos de regulaciones de localización de datos explícitas o de facto en 66 países. Utilizando un índice de restricción de datos derivado de la OCDE, la ITIF estima que un aumento de un punto en el índice de restricción de datos de un país reduce su producto comercial bruto en un 7%, ralentiza la productividad en un 2,9%, y aumenta los precios en las industrias dependientes de datos en un 1,5% durante un período de cinco años.
Los países más restrictivos en materia de datos según el análisis de la ITIF son China (29 medidas de localización), India (12), Rusia (9) y Turquía (7).
En la Organización Mundial del Comercio, las discusiones sobre comercio digital dentro de la Iniciativa de Declaración Conjunta sobre Comercio Electrónico han abordado los flujos transfronterizos de datos. Varios miembros de la OMC han propuesto compromisos vinculantes sobre la liberalización de los flujos de datos, pero no se ha concluido ningún acuerdo multilateral vinculante sobre localización de datos.
Los defensores de la localización argumentan que sirve a intereses legítimos: la seguridad nacional (impidiendo el acceso de inteligencia extranjera a los datos de los ciudadanos), el acceso para la aplicación de la ley (garantizando que los datos estén disponibles para investigaciones dentro de la jurisdicción), el desarrollo económico (construyendo industrias nacionales de nube y manteniendo empleos de tratamiento de datos a nivel local), y la protección de la privacidad (manteniendo los datos de los ciudadanos bajo el derecho nacional). Los críticos argumentan que la localización fragmenta la internet global, incrementa los costos de cumplimiento para las empresas que operan entre fronteras, perjudica a los países en desarrollo que carecen de infraestructura de nube nacional, y duplica infraestructura a un costo económico significativo sin beneficios de seguridad proporcionales.
El equilibrio entre estos intereses no está resuelto. La tendencia global apunta hacia más localización, no menos, aunque algunos países (notablemente India con la Ley DPDP) se han movido hacia marcos base más permisivos que los propuestos en sus borradores anteriores.
Novedades recientes (2024-2026)
Se han producido varios avances significativos desde la revisión anterior de esta página (marzo de 2026):
China. Las enmiendas a la CSL entraron en vigor el 1 de enero de 2026, aumentando las sanciones máximas a 10 millones de RMB, ampliando el alcance extraterritorial e integrando la gobernanza de IA. Las disposiciones transfronterizas de la CAC de marzo de 2024 relajaron los umbrales de transferencia e introdujeron listas negativas de ZFT, lo que representa la flexibilización más significativa de las reglas transfronterizas de China hasta la fecha.
India. Las Reglas DPDP se finalizaron y publicaron en noviembre de 2025. La Regla 15 establece el modelo de lista negativa para las transferencias transfronterizas. El cumplimiento pleno se exige para mayo de 2027. Aún no se ha publicado la lista negativa de países restringidos.
Arabia Saudita. El período de gracia de la PDPL finalizó el 14 de septiembre de 2024. La SDAIA emitió el reglamento de transferencia transfronteriza en agosto de 2024. El régimen de protección de datos de Arabia Saudita ahora está plenamente operativo y es exigible.
Nigeria. La NDPA, promulgada en junio de 2023, reemplazó a la NDPR como base estatutaria de la protección de datos. La designación CNII de 2024 del BVN, el NIN y el NIBSS agregó nuevas obligaciones de localización de infraestructura crítica.
Indonesia. El período de transición de dos años de la Ley PDP finalizó el 17 de octubre de 2024. Todas las organizaciones debieron alcanzar el cumplimiento pleno a partir de esa fecha.
Rusia. El requisito de notificación de transferencia transfronteriza de la FZ-266 (vigente desde marzo de 2023) agregó un paso obligatorio de notificación previa a la transferencia ante Roskomnadzor para cualquier transferencia transfronteriza de datos personales.
Kazajistán. Las enmiendas de febrero de 2024 introdujeron obligaciones de notificación de vulneraciones (vigentes desde julio de 2024) y prohibieron la recopilación física de documentos de identidad.
Estrategias de cumplimiento para organizaciones multinacionales
Las organizaciones que operan en múltiples jurisdicciones con distintos requisitos de localización pueden adoptar varias estrategias.
Arquitectura regional de centros de datos
Desplegar centros de datos (o contratar proveedores de nube) en jurisdicciones clave garantiza el cumplimiento del almacenamiento local. Los principales proveedores de nube, como AWS, Microsoft Azure y Google Cloud, ofrecen opciones de residencia de datos específicas por región. Las organizaciones pueden configurar políticas de residencia de datos para garantizar que los datos de países específicos permanezcan dentro de las regiones designadas. Los principales proveedores también han introducido ofertas de nube soberana: la Nube Soberana de Google, el Límite de Datos de la UE de Microsoft, y productos comparables permiten a las organizaciones comprometerse contractualmente a que ciertos datos nunca salgan de una zona geográfica definida, lo cual puede satisfacer los requisitos de localización flexible sin el gasto de capital de una infraestructura dedicada.
Segregación y clasificación de datos
Implementar marcos de clasificación de datos que etiqueten los datos por jurisdicción y categoría permite a las organizaciones aplicar las reglas de localización de manera selectiva. No todos los datos de un país determinado requieren localización; a menudo, solo categorías específicas (financieras, de salud, gubernamentales) están sujetas a requisitos de almacenamiento local.
Arquitecturas híbridas
Algunas organizaciones mantienen almacenamiento local "activo" con fines de cumplimiento, mientras tratan o analizan los datos de forma centralizada. Este enfoque satisface los requisitos de localización preservando al mismo tiempo la eficiencia de la analítica centralizada. La clave es asegurarse de que la copia local cumpla con el requisito de "almacenamiento primario" cuando corresponda.
Estratificación de mecanismos de transferencia
En jurisdicciones de localización flexible, las organizaciones pueden mantener el almacenamiento local mientras utilizan mecanismos de transferencia (CCT, decisiones de adecuación, consentimiento o cláusulas contractuales) para exportar copias de datos destinadas a operaciones globales.
Monitoreo regulatorio
Las leyes de localización cambian con frecuencia. Las organizaciones necesitan un proceso sistemático para hacer seguimiento de los avances legislativos y regulatorios en cada país donde operan. El período 2024-2026 vio cambios significativos en India, Arabia Saudita, Indonesia, Nigeria, Kazajistán y China. Las revisiones trimestrales de cumplimiento son un mínimo para las organizaciones con presencia significativa en estos mercados.
Esta es información legal general, no asesoría legal. Las organizaciones que navegan requisitos de localización de datos en múltiples jurisdicciones deben consultar a un abogado habilitado en la jurisdicción correspondiente para obtener asesoría específica sobre su situación. Esta página refleja la información disponible a mayo de 2026.
Preguntas frecuentes
¿Qué es la localización de datos?
La localización de datos se refiere a los requisitos legales de que los datos personales u otras categorías de datos se almacenen, traten o mantengan en servidores ubicados físicamente dentro de las fronteras de un país específico. Estas leyes pueden exigir que todos los datos sobre los residentes de un país permanezcan dentro del país (localización estricta), exigir una copia local mientras permiten transferencias al exterior (localización flexible), o imponer condiciones a las transferencias transfronterizas que funcionan como una localización práctica.
¿Qué países tienen las leyes de localización de datos más estrictas?
China, Rusia y Vietnam mantienen los regímenes de localización más completos a 2026. China exige a los operadores de ICI almacenar localmente la información personal y los datos importantes, con evaluaciones de seguridad gubernamentales requeridas antes de cualquier transferencia transfronteriza. Las enmiendas a la CSL vigentes desde el 1 de enero de 2026 elevaron las sanciones máximas a 10 millones de RMB y ampliaron el alcance extraterritorial de la ley. Rusia exige que todas las bases de datos primarias de los datos personales de los ciudadanos rusos se almacenen en servidores dentro de Rusia; desde marzo de 2023, los operadores también deben notificar a Roskomnadzor antes de cualquier transferencia transfronteriza. Vietnam exige el almacenamiento local por parte de los proveedores de servicios nacionales e impone obligaciones de localización activadas por desencadenante a las empresas extranjeras.
¿El RGPD exige localización de datos dentro de la UE?
El [RGPD](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/what-is-gdpr) no exige localización de datos dentro de la UE ni del EEE. En cambio, permite transferencias transfronterizas hacia países con protección adecuada o a través de mecanismos de transferencia aprobados, como las [Cláusulas Contractuales Tipo](/world-laws/world-data-privacy-laws/standard-contractual-clauses), las Normas Corporativas Vinculantes, o las [decisiones de adecuación](/world-laws/world-data-privacy-laws/eu-adequacy-decisions). Sin embargo, el debate sobre la certificación en la nube del EUCS y ciertas reglas sectoriales de los Estados miembros de la UE para datos de salud y gubernamentales van más allá del piso del RGPD.
¿Cuál es la diferencia entre la localización estricta y la localización flexible de datos?
La localización estricta prohíbe que ciertos datos salgan del país por completo. Los datos deben almacenarse y tratarse exclusivamente en servidores locales sin que se transfieran copias al exterior. La localización flexible exige mantener una copia de los datos en servidores locales, pero permite la transferencia de copias a otros países, generalmente sujeta a condiciones como la aprobación gubernamental, el consentimiento o salvaguardas contractuales. La ley de datos personales de Rusia representa la localización estricta, mientras que el marco de Indonesia representa la localización flexible.
¿India exige localización de datos?
Las Reglas de Protección de Datos Personales Digitales de India, finalizadas en noviembre de 2025, no imponen una localización general. La Regla 15 permite transferencias transfronterizas hacia cualquier país, salvo que el gobierno central restrinja específicamente ese destino mediante una lista negativa. A mayo de 2026, no se ha publicado ninguna lista negativa. El cumplimiento pleno en materia de transferencia transfronteriza se exige para mayo de 2027. Sin embargo, el Banco de la Reserva de India exige que todos los datos del sistema de pagos se almacenen exclusivamente en India, lo que lo convierte en uno de los mandatos sectoriales de localización más estrictos a nivel global.
¿Qué cambió en las reglas de localización de datos de China en 2024 y 2026?
Se produjeron dos cambios importantes. En marzo de 2024, la CAC emitió nuevas disposiciones sobre el flujo de datos transfronterizo que relajaron de manera significativa los umbrales de transferencia: las evaluaciones de seguridad ahora solo se exigen para transferencias que involucren a más de 1 millón de individuos o a más de 10.000 sujetos de datos sensibles por año. Las transferencias de menos de 100.000 individuos están exentas del requisito de presentación del contrato estándar. En enero de 2026, entraron en vigor las enmiendas a la Ley de Ciberseguridad, que aumentaron las sanciones máximas a 10 millones de RMB, ampliaron el alcance extraterritorial para cubrir cualquier actividad que dañe la ciberseguridad de China, e integraron la gobernanza de IA en el marco de la CSL.
¿Cómo cumplen las empresas multinacionales con los distintos requisitos de localización?
Las estrategias comunes incluyen desplegar centros de datos regionales o utilizar proveedores de nube con opciones de residencia de datos específicas por jurisdicción (incluidos productos de nube soberana como Google Sovereign Cloud y Microsoft EU Data Boundary), implementar marcos de clasificación de datos que etiqueten los datos por país y categoría, mantener arquitecturas híbridas con almacenamiento local para el cumplimiento y tratamiento centralizado para la analítica, estratificar mecanismos de transferencia como las CCT para jurisdicciones de localización flexible, y establecer procesos trimestrales de monitoreo regulatorio para hacer seguimiento de los cambios en todos los países operativos.
¿Qué sectores enfrentan más requisitos de localización de datos?
Los servicios financieros y la banca enfrentan las reglas de localización sectoriales más estrictas y extendidas, con reguladores en India (RBI), Indonesia (OJK), Nigeria (CBN), Arabia Saudita (SAMA) y China exigiendo todos el almacenamiento local de datos. Los datos de salud enfrentan localización en múltiples jurisdicciones. Los metadatos de telecomunicaciones se localizan con frecuencia por razones de seguridad nacional. Los datos del gobierno y del sector público están sujetos a requisitos de localización en casi todos los países que tienen leyes de residencia de datos. Los datos de entrenamiento de IA constituyen una categoría emergente de localización, particularmente en China.
¿Los requisitos de localización de datos están aumentando o disminuyendo a nivel global?
La tendencia global apunta hacia más localización. El número de países con algún tipo de mandato de localización ha crecido de manera significativa desde 2015. La ITIF identificó 154 medidas de localización en 66 países según sus informes más recientes. Los impulsores incluyen preocupaciones de seguridad nacional, estrategias de desarrollo económico para construir industrias nacionales de nube, tensiones geopolíticas en torno a la soberanía digital, y requisitos de acceso para la aplicación de la ley. Algunos países (notablemente India con sus Reglas DPDP) han adoptado marcos más permisivos que los propuestos en sus borradores anteriores, pero la tendencia más amplia es de expansión, no de contracción.
Fuentes y referencias
- PIPL de China(npc.gov.cn).gov
- Ley de Seguridad de Datos de China(npc.gov.cn).gov
- Ley de Ciberseguridad de China (enmendada en enero de 2026)(npc.gov.cn).gov
- Enmienda a la CSL de China (octubre de 2025, vigente en enero de 2026)(gov.cn).gov
- Disposiciones de la CAC sobre el Flujo Transfronterizo de Datos (marzo de 2024)(chinalawtranslate.com)
- Contrato Estándar de la CAC para la Exportación de Datos (2023)(cac.gov.cn).gov
- Ley Federal 242-FZ de Rusia(pravo.gov.ru).gov
- Convenio 108 del Consejo de Europa(coe.int).gov
- Ley DPDP 2023 de India(meity.gov.in).gov
- Directiva del RBI sobre Almacenamiento de Datos de Pago(rbi.org.in).gov
- Localización de Datos de Ciberseguridad de Vietnam (ITA de EE. UU.)(trade.gov).gov
- Ley de Protección de Datos de Nigeria 2023(cert.gov.ng).gov
- Comisión de Protección de Datos de Nigeria(ndpc.gov.ng).gov
- Ley KVKK 6698 de Turquía(mevzuat.gov.tr).gov
- GR 71/2019 de Indonesia(jdih.kominfo.go.id).gov
- Reglamentos de Implementación de la PDPL de Arabia Saudita(istitlaa.ncc.gov.sa).gov
- Aplicación de las Reglas de Transferencia Transfronteriza TIC de Arabia Saudita (ITA de EE. UU.)(trade.gov).gov
- Panorama de la Localización de Datos de Kazajistán (Morgan Lewis, 2024)(morganlewis.com)
- ITIF: Barreras a los Flujos Transfronterizos de Datos(itif.org)
- ITIF: Restricciones a los Servicios en la Nube de la UE (2025)(itif.org)
- Hogan Lovells: Debate sobre la Soberanía de Datos en el EUCS(hoganlovells.com)