Lee aquí la primera parte
Este movimiento toma la tesis del anterior —la de entender la jurisdicción material como acoplamiento norma, estándar y operación— y la traduce al método con el que los Estados del Sur Global vuelven exigibles derechos y políticas: fijación de estándares, operación de rieles y contratos con prueba. Si en la disputa transatlántica la soberanía digital se manifiesta como defensa del principio regulatorio nacional-internacional frente a plataformas con poder de mercado global, y ganancias gigantes, en el Sur Global este proceso adquiere una dimensión adicional y decisiva: la necesidad de fijar estándares y de operar infraestructuras críticas. En ese doble plano —normativo y tecno-material— se define la autonomía efectiva de los Estados. No basta con promulgar leyes; resulta imprescindible intervenir en foros de normalización, ordenar mercados mediante compras públicas y sostener con recursos propios infraestructuras de identidad, pagos, datos y nube que no reproduzcan dependencias estructurales.
La infraestructura pública digital, en estos términos, no es neutra: es una decisión técnica con consecuencias jurídicas (Lessig, 2006). Para que sea compatible con la soberanía, debe cumplir condiciones mínimas: (i) titularidad y custodia de claves en una entidad pública o consorciada (quién guarda las llaves de cifrado y bajo qué reglas); (ii) reversión probada antes de producción, con RTO (tiempo máximo para recuperar el servicio) y RPO (máxima pérdida de datos aceptable) definidos; (iii) portabilidad en formatos abiertos y sin cargos punitivos por salida de datos; (iv) auditoría técnica pública, con resultados y registros (logs) verificables y firmados; (v) métricas materiales verificadas por terceros —eficiencia eléctrica. uso de agua y energía limpia 24/7 con trazabilidad horaria—; (vi) accesibilidad e interoperabilidad lingüística desde el diseño (interfaces, datos y modelos que funcionen en varias lenguas y variantes); y además: (vii) uso preferente de software libre/código abierto y hardware abierto en componentes críticos, con repositorios públicos, licencias claras y compilaciones reproducibles (para poder auditar y mejorar sin cerrojos tecnológicos); (viii) soberanía y localización de datos: datos sensibles alojados en centros de datos con gobernanza pública o en territorio nacional/regional, con requisitos de energía 24/7 verificada; (ix) transferencia y desarrollo tecnológico propio: cláusulas contractuales de capacitación, entrega de know-how, contribución local en investigaci¡ón y desarrollo, y publicación de mejoras; y (x) inclusión efectiva: alternativas a biometría, diseño universal y soporte a lenguas indígenas y minoritarias.
Además, los protocolos y estándares que se elijan importan: para identidad y autenticación (como llaves físicas o de biometría y cartera de identidad), para transferencias y pagos (como el uso de un lenguaje común de mensajería financiera) y para datos/nube (arquitecturas y contratos). Estas decisiones técnicas condicionan cómo se aplica el derecho, la interoperabilidad entre instituciones y la rendición de cuentas.
Las trayectorias “laterales” —término que propongo para distinguir arquitecturas técnicas alternativas a las plataformas dominantes controladas por Big Tech— operan de manera ortogonal a la dicotomía centralización/descentralización absoluta. Son “laterales” porque evaden tanto la concentración obligatoria en servidores únicos (Google, Meta) como la dispersión total sin coordinación (blockchain pura), permitiendo federación selectiva donde cada nodo mantiene autonomía normativa mientras comparte protocolos técnicos. Estas trayectorias inscriben bienes públicos en el propio diseño del protocolo: en identidad, credenciales verificables (como VC Data Model 2.0) e identificadores descentralizados (p.ej. DID v1.0) para probar atributos sin concentrar una “llave maestra”; en mensajería social, ActivityPub y Matrix federan servidores para que cada comunidad administre su política y su regulación; en pagos, arquitecturas inspiradas en Interledger separan mensajería de liquidación para abaratar y abrir la interoperabilidad; en datos, el direccionamiento por contenido (IPFS/NDN) hace que lo determinante sea la integridad del contenido y no el lugar donde esté alojado.
Estos caminos comparten cuatro garantías “de fábrica” —portabilidad, reversibilidad, autenticación fuerte y trazabilidad—, pero sólo reducen dependencia cuando se acompañan de herramientas públicas de conformidad y de contratación condicionada a portabilidad efectiva, auditoría y reversibilidad técnica y contractual. Sin suites abiertas y cláusulas exigibles, la interoperabilidad se diluye en kits de desarrollo de software (SDKs) propietarios y contratos opacos. Del catálogo de protocolos “laterales” diseñados para inscribir portabilidad, reversibilidad y trazabilidad como obligaciones verificables, pasamos al caso que los convirtió en política de Estado a escala, aunque con una adaptación crucial que debe explicitarse.
El caso paradigmático es India, pero representa una traducción específica: mientras los protocolos laterales buscan evitar la concentración de poder, India optó por centralización estatal como alternativa a la centralización corporativa. Esta aparente contradicción revela una distinción fundamental entre centralización orientada a extracción de valor (plataformas privadas) y centralización orientada a provisión de bienes públicos (infraestructura estatal), aunque esta última requiere salvaguardas estrictas contra la “centralización estatal por sustitución”: finalidad específica y legalidad estricta, prohibición de función comercial en la capa de identidad, gobernanza de claves con modelo split-key y control externo, evaluación de impacto en derechos ex-ante y periódica con remedios efectivos, y órgano independiente con potestad sancionatoria y competencia para ordenar desconexión o reversión.
En la India, el sistema de identificación biométrica Aadhaarl (el cual posee aproximadamente 1300 mil millones de registros biométricos, según el dashboard oficial de UIDAI), junto con la Interfaz de Pagos Unificada (UPI) (la cual procesa del orden de entre 15 y17 mil millones de transacciones mensuales por un valor cercano a los 260 o 290 mil millones de dólares según estadísticas mensuales de NPCI), complementados por sistemas de almacenamiento de datos y de certificación como DigiLocker (con más de 300 millones de cuentas registradas en 2024, según PIB), eKYC y el Account Aggregator como framework técnico, configuran un stack de infraestructuras públicas que trasciende lo financiero y opera como código institucional para la inclusión y coordinación administrativa (ver NITI Aayog, 2024 y Arun et al., 2019).[1] La incorporación de esta experiencia en el G20 bajo la categoría de Digital Public Infrastructure no fue un gesto retórico, sino el intento de elevar una gramática de gobernanza técnica al rango de estándar de desarrollo para el Sur Global (G20, 2023).
Sus límites, sin embargo, son ilustrativos: el Tribunal Supremo restringió usos desviados de Aadhaar y, mediante litigios, se documentaron exclusiones de beneficiarios —diversos estudios y litigios documentan fallas de autenticación que afectan a millones de beneficiarios, con exclusiones por biometría no verificable según el State of Aadhaar Report—; además, la orden gubernamental de bloquear más de dos mil cuentas en X en 2025 tensó la afirmación soberana de control frente a libertad de expresión y debido proceso. La lección es doble: la infraestructura pública expande capacidad estatal e inclusión masiva si y sólo si se apuntala con contrapesos constitucionales y pruebas públicas de conformidad (evaluaciones reproducibles, logs auditables, reversión calendarizada). Sin ese kit, la “soberanía técnica” puede degenerar en discrecionalidad —sobre-bloqueo, exclusión biométrica o desvíos en moderación— y reinstalar dependencias bajo otra etiqueta.
En América Latina, la trayectoria de las políticas estatales en materia de infraestructura digital es incipiente pero convergente. Brasil consolidó Pix como infraestructura pública de pagos instantáneos con 168 millones de usuarios a agosto de 2024 según el Banco Central do Brasil y avanza con Drex como moneda digital de banco central articulada con Pix y Open Finance (los cuales funcionan como arquitectura técnica), con 16 bancos en fase piloto. En México opera el Sistema de Pagos Electrónicos Interbancarios (SPEI), el cual funciona en tiempo real con volúmenes diarios muy elevados y cobertura nacional según estadísticas oficiales de Banxico con cobertura territorial amplia.
Además, en 2025 la cooperación México–Brasil se plasmó en acuerdos marco promovidos por la Cancillería mexicana para modernizar la relación bilateral y explorar coordinación técnica en pagos digitales —con Pix como referencia—. Esto ocurre en el contexto del nuevo régimen arancelario de Estados Unidos bajo la administración Trump, que introdujo un arancel base de 10% a todas las importaciones y, posteriormente, ajustes recíprocos por país, llegando al 50% en Brasil, reconfigurando incentivos regionales para reducir costos de transacción y ganar resiliencia. A la fecha no existe un instrumento público Banxico–BCB que establezca interoperabilidad SPEI–Pix; por prudencia, debe leerse como cooperación política en curso con potencial técnico, condicionada a los lineamientos que emitan los bancos centrales. Si esa coordinación se traduce en especificaciones abiertas, pruebas de conformidad y operación verificable, reforzará el acoplamiento norma–estándar–operación que convierte derechos en parámetros exigibles de cumplimiento.
La región no es homogénea: el Cono Sur (Brasil/Argentina/Uruguay) combina banca densa —con índices de bancarización superiores al 70% de la población adulta (Global Findex Argentina, Global Findex Uruguay) y más de 5 instituciones financieras por cada 100,000 habitantes (sucursales bancarias por 100,000 adultos – indicador WBG)—, capacidad de compra pública consolidada y entes reguladores con músculo técnico. México conjuga un sistema completo con el SPEI – Banxico, alto volumen de remesas (63.3 mil millones de dólares en 2023, según Banxico) y complejidad federal para identidad manifestada en 32 sistemas estatales de registro civil no interoperables (ecosistema federado documentado por RENAPO–SEGOB), con CURP federal, INE electoral y RFC fiscal operando como identificadores paralelos sin integración efectiva. El eje andino (Colombia/Perú/Ecuador) avanza en pagos de baja denominación y facturación electrónica, con brecha en suite pública de conformidad (véase diagnóstico regional en BIS–pagos rápidos LAC y BID–pagos digitales); en el Caribe, la fragmentación jurídica entre tradiciones de common law (Jamaica, Barbados, Trinidad y Tobago) y civil law (República Dominicana, Haití), sumada al hecho de que sean países relativamente pequeños, sugiere una estrategia diferenciada: federación regional de rieles compartidos (identidad/pagos/datos) con reconocimiento mutuo de certificaciones pero manteniendo soberanía regulatoria local.
Esto implica secuencias distintas (pagos → identidad; identidad → datos; nube → datos críticos), si bien se mantiene un mínimo común: estándares abiertos con pruebas públicas, reversibilidad y métricas materiales exigibles. La gramática propuesta para la región no presupone homogeneidad institucional ni fiscal. Existen trayectorias distintas de bancarización, identidades legales y capacidad de compra pública, así como dispersiones en poder de mercado, densidad de proveedores locales y madurez regulatoria. Por ello, el mínimo común latinoamericano —estándares abiertos con pruebas públicas de conformidad y reversibilidad técnica y contractual, métricas materiales exigibles y cláusulas anti-lock-in debe coexistir con sendas nacionales que difieren en ritmo y campo prioritario: algunos países iniciarán por pagos de baja denominación, otros por identidad civil o almacenamiento y tratamiento de datos en el sector público. De tal suerte, la interoperabilidad es una arquitectura incremental condicionada por capacidades concretas, pero que puede beneficiarse de modelos de “soberanía cooperativa” con arquitecturas federadas donde municipios, universidades o cooperativas operan nodos de identidad/pagos/datos bajo los mismos estándares y pruebas públicas —no como retórica, sino como arquitectura de multi-tenancy público con tarifas y garantías simétricas.
Este poder infraestructural reubica categorías del derecho financiero público: la autoridad ya no regula únicamente conductas, sino que diseña y explota rieles que materializan obligaciones de acceso, no discriminación y resiliencia. Anclada en estándares abiertos y pruebas públicas de conformidad, su gobernanza deviene jurídicamente auditable. En el plano intergubernamental, en 2024 los BRICS impulsaron planes para interconectar pagos y reforzar arreglos financieros con pilotos y coordinación incremental más que un sistema único ya operativo. No es un régimen cerrado, sino un encadenamiento de capas: coordinación política, líneas de financiación, pilotos técnicos y convergencia incremental en estándares de mensajería y liquidación (ISO 20022 adoption roadmap). El reto jurídico es traducir esa convergencia técnica en compatibilidad regulatoria —competencia, protección de datos, debida diligencia contra el lavado de dinero y el terrorismo (FATF standards), así como remedios efectivos— y evitar que la reducción de dependencia del dólar derive en nuevas concentraciones de poder regional.
El contraste con Europa muestra diferencias de densidad institucional, pero no de método. Más que un “EuroStack” unitario, la Unión ha articulado instrumentos que convierten la agenda de soberanía digital en normas, estándares y operación: el Chips Act orienta la política de semiconductores con €45 mil millones en inversión pública; el Data Act fija reglas de acceso y conmutación entre nubes con portabilidad a costo en transición hasta su prohibición general el 12-ene-2027 (aquí un análisis jurídico); el marco de Identidad Digital Europea (EUDI) crea la cartera EUDI con objetivo de 80% de adopción para 2030; y el Interoperable Europe Act obliga a la interoperabilidad del sector público y al sharing de soluciones. Sobre esa base, la Estrategia de Normalización y el Rolling Plan for ICT Standardisation 2025 conectan políticas con tareas de estandarización y con contratación pública que incorpora especificaciones por referencia y promueve evaluación de conformidad (CEN-CENELEC, ETSI). El punto crítico —a menudo orillado— es el cómo contractual: cláusulas anti-lock-in (portabilidad con procesos de switching y fees a costo alineados al Data Act, pruebas de reversibilidad antes de producción, derecho de auditoría de código en componentes críticos) y métricas materiales (de gasto energético, gasto hídrico y emisión de contaminantes) trasladan la soberanía del discurso a la exigibilidad verificable. Sin estas bisagras, la “nube soberana” es cosmética: si no existe custodia pública o consorciada de claves, ni reversibilidad probada y reportes auditados de agua y energía, el control material permanece privado.
En suma, el “kit mínimo” de contratación pro-soberanía no es un pliego de ingenieros: es un cortafuegos democrático contra la captura tecnológica. Significa que el Estado puede entrar y salir de un proveedor sin castigos: datos y servicios deben moverse sin peajes de salida ni candados; las tarifas deben ser públicas y comparables; las llaves y los metadatos quedan bajo custodia pública o compartida, no en manos exclusivas de una empresa. Implica auditorías con resultados abiertos y verificables; contratos que impidan ataduras entre capas y habiliten competencia por módulo; seguridad basada en estándares abiertos, sin intermediarios privativos obligatorios; una huella ambiental evaluada por terceros y publicada; servicios accesibles e inclusivos en todas las lenguas; reglas que obliguen a probar la compatibilidad cada vez que cambien las interfaces; y una salida ordenada con transferencia de conocimiento para que lo construido no dependa del proveedor. Convertir estos principios en cláusulas exigibles —con sanciones, transparencia y preferencia por tecnologías abiertas— es lo que vuelve operativa la soberanía: menos promesas y más poder público para proteger derechos, rendir cuentas y decidir sobre su propia infraestructura.
La perspectiva crítica es clave: si estas condiciones no se convierten en cláusulas exigibles con evidencia pública, se quedan en discurso. Por eso, los contratos deben obligar a publicar resultados periódicos —incluidas pruebas reales de reversión y los tiempos y costos de portar datos y servicios—, prever sanciones automáticas por incumplimiento en lugar de vagas promesas de “mejores esfuerzos”, fijar topes tarifarios y reconocer derechos efectivos de inspección tecnológica. Cuando el desempeño sea equivalente, debe existir preferencia por software libre/código abierto y hardware abierto en los componentes críticos, con repositorios y licencias claras: así se reducen asimetrías, se facilita la auditoría y se impulsa desarrollo tecnológico propio. Toda excepción debería ser técnica, justificada y temporal. Solo así la contratación deja de reproducir dependencias y pasa a materializar derechos mediante el acoplamiento entre norma, estándar y operación.
Aterrizar esto requiere un ciclo de conformidad que sea operativo y público. Primero se define lo que se pide —especificación abierta—; luego se construye una implementación mínima de referencia que cualquiera pueda auditar; después se ejecuta una batería de pruebas, con casos límite y publicación de resultados; se hace un piloto con trazas y métricas observables; y se mantiene la conformidad durante todo el ciclo de vida, con pruebas de reversión calendarizadas en un entorno seguro y reportes periódicos sobre desempeño técnico y material. No son rituales: son los pasos que vuelven verificable lo que está en el papel.
El aprendizaje latinoamericano no es copiar una arquitectura ajena, sino adoptar su gramática. Eso implica acordar catálogos mínimos de estándares abiertos y verificables para identidad, pagos, datos, nube y redes —actualizados constantemente—; incorporarlos por referencia en pliegos y contratos, con suites de prueba públicas y organismos que publiquen resultados; exigir portabilidad y reversibilidad técnica y contractual alineadas con las nuevas reglas de conmutación en la nube; y consolidar consorcios público-académicos regionales con presencia sostenida en los foros de estandarización, no solo como oyentes, sino ocupando sillas de dirección y edición. A todo ello hay que sumarle la interoperabilidad lingüística como requisito de infraestructura: sin repositorios abiertos y reglas de internacionalización robustas —codificación, normalización de grafías, segmentación y reconocimiento de entidades en lenguas subrepresentadas—, identidad, pagos e intercambio de datos excluyen de facto a comunidades enteras. La conformidad lingüística debe auditarse al mismo nivel que la seguridad o el rendimiento, con corpus y métricas públicos.
En ese marco, el llamado soft law sirve para construir convergencias sin esperar tratados que tardan años, pero hay que nombrarlo con precisión. Los memorandos de entendimiento crean compromisos políticos con efectos reputacionales; los códigos de conducta articulan autorregulación con vigilancia privada; las guías orientan la interpretación administrativa; y los sandboxes permiten experimentar bajo inmunidad acotada a cambio de reportes y evaluación. No todo cabe en el mismo saco: cada instrumento tiene efectos jurídicos distintos y, para que funcionen, necesitan anclajes duros —autoridades independientes con dientes, remedios procompetencia que habiliten interoperabilidad y portabilidad, leyes de protección de datos con garantías justiciables y obligaciones de diligencia y transparencia para los intermediarios con poder significativo. No hay “soberanía por decreto” sin interoperabilidad técnica, ni “soberanía por soft law” sin exigibilidad judicial.
También están los riesgos y sus contrapesos. La teatralidad de cumplimiento aparece cuando las suites de prueba están capturadas por proveedores; se contiene con bifurcaciones públicas de las suites y replicación por terceros independientes. Los costos de reversión pueden volver inviable la portabilidad; se enfrían obligando a publicar, en cada versión mayor, el costo y el tiempo reales de portar. La interoperabilidad mal diseñada puede excluir a quienes no pasan una biometría o no hablan la lengua dominante; se previene con rutas alternativas de autenticación y mecanismos de excepción supervisados por defensorías y órganos de control. El “SDK drift” —cambios de interfaces que no violan la letra del contrato, pero rompen la práctica— se enfrenta con contratos de interfaz versionados y pruebas de regresión obligatorias con penalizaciones. Y, en todos los casos, las salvaguardas materiales deben ser visibles: suites públicas y reproducibles, topes de egreso auditados, reversiones calendarizadas, métricas de agua y energía verificadas externamente y criterios de accesibilidad como condición de entrada. Solo así la soberanía deja de ser consigna y se vuelve capacidad concreta de decisión colectiva.
Entre un modelo liberal-corporativo —que deja en manos privadas la definición material de la infraestructura y trata los datos como patrimonio empresarial (es el caso de Estados Unidos)— y un modelo estatal-estratégico —que moviliza recursos públicos para asegurar independencia funcional, como China— existe un campo intermedio que rara vez se toma en serio: los híbridos. Corea del Sur coordina a los chaebols bajo dirección estatal; Singapur diseña en lo público y opera por concesión; Estonia usa X-Road como base pública para servicios privados. La salida latinoamericana no pasa por adhesiones acríticas a ninguno de estos arreglos, sino por un régimen mixto —soberanía cooperativa— que combine estándares abiertos para evitar cerrojos, mecanismos de rendición de cuentas técnica (auditorías, trazabilidad, pruebas públicas de conformidad) y capacidad estatal sobre infraestructuras esenciales, con participación federada de actores públicos subnacionales y sociales.
Allí donde se acoplan derecho positivo, normalización y operación —y donde la contratación pública ata las adquisiciones a portabilidad, auditabilidad y conformidad— la soberanía deja de ser consigna y se vuelve capacidad exigible de decisión colectiva. Cuando esos planos se desacoplan, la soberanía regresa como metafísica: una aspiración abstracta sin anclaje material en las relaciones de poder tecnológico. La agenda es concreta: especificaciones por referencia, pruebas abiertas, métricas materiales verificadas por tercero, custodia pública de claves, topes a egresos y preferencia por tecnologías abiertas con excepción justificada y temporal. Solo así la región podrá gobernar sus rieles —no apenas interoperar— y traducir derechos en garantías efectivas.
Lee aquí la tercera parte
Agradezco a mi tutor, al Programa de Becas Posdoctorales y a la Coordinación de Humanidades de la UNAM el apoyo brindado durante mi estancia posdoctoral en el PUEDJS.
Nota
[1] Un análisis crítico de Adhaar puede encontrarse en Khera, 2019. Asimismo, recomiendo la lectura de D’Silva et al., 2019 para un análisis del modelo de la UPI.
