El ritmo de la legislación africana en materia de datos es, sin duda, notable. A principios de 2026, más de 40 países de todo el continente habían promulgado leyes de protección de datos, lo que representa aproximadamente el 80 % de los Estados miembros de la Unión Africana. Treinta y ocho cuentan con autoridades de protección de datos operativas. El número de países con legislación específica ha pasado de 36 en 2023-2024 a más de 40 en 2025, y se prevé que se aprueben nuevas leyes antes de que finalice 2026.

El carácter de la aplicación de la ley también ha cambiado. Los reguladores de todo el continente han pasado de las campañas de sensibilización a la adjudicación activa, imponiendo multas, obteniendo condenas y emitiendo órdenes vinculantes. El período de gracia que caracterizó a la primera generación de protección de datos en África ha terminado, según la mayoría de las opiniones. Nigeria, Angola y Marruecos compiten por promulgar una legislación específica sobre inteligencia artificial, pasando de las directrices éticas voluntarias a los requisitos legales de cumplimiento.

Sin embargo, para las ONG nacionales (NNGOs) y las organizaciones de la sociedad civil (CSOs), el cambio normativo ha creado tanto oportunidades como incertidumbre. La evidencia anecdótica sugiere que muchas CSOs siguen siendo solo parcialmente conscientes del impacto operativo que tienen en su trabajo el Reglamento de Protección de Datos de Nigeria (NDPR) o el RGPD de la Unión Europea. En la práctica, las organizaciones sin ánimo de lucro no fueron el objetivo principal de reguladores como la NITDA o las autoridades supervisoras de la UE durante los primeros años de aplicación. Ha llevado tiempo que el NDPR, publicado en 2019, estableciera los mecanismos normativos necesarios para una aplicación coherente.

Como observa Oyebisi Oluseyi, director ejecutivo de la Red de ONG de Nigeria (NNNGO):

«Aparte del sector privado, que parece estar poniéndose al día rápidamente en materia de normativa de protección de datos, el sector público y la sociedad civil están tardando en adaptarse a las condiciones normativas cambiantes que existen actualmente. En toda África, el EUDPR está configurando la forma en que las organizaciones sin ánimo de lucro procesan y utilizan los datos. Aunque las organizaciones sin ánimo de lucro no son el centro de atención de muchas normativas de protección de datos, algunos países africanos como Ghana, Kenia, Ruanda, Nigeria y Sudáfrica tienen cláusulas normativas claras sobre el uso de datos de organizaciones sin ánimo de lucro».

La Ley de Ciberdelitos (Prohibición, Prevención, etc.) de Nigeria de 2015 sigue siendo otro motivo de preocupación para las ONG y las OSC. Los artículos 24 y 38 han sido ampliamente criticados por los actores de la sociedad civil. El artículo 24, relativo al acoso cibernético, se ha citado repetidamente en casos que involucran a periodistas y críticos del Gobierno. El artículo 38, que describe las obligaciones de los proveedores de servicios en materia de conservación de datos, contiene disposiciones que, según los críticos, son vagas y potencialmente inconstitucionales. Los grupos de la sociedad civil se han dirigido al Tribunal Supremo para solicitar una revisión judicial de estos artículos debido a las preocupaciones sobre su constitucionalidad y su impacto en el espacio cívico.

Estas tensiones ilustran una cuestión más amplia: el debate sobre la soberanía digital en África no se limita a las infraestructuras o a los proveedores de servicios en la nube extranjeros. También se refiere a la supervisión cívica, las garantías constitucionales y la capacidad de las instituciones nacionales —incluidas las ONG nacionales— para configurar el ejercicio del poder digital.

Como argumenta Oluseyi:

«A medida que la IA impulsa aún más la necesidad de proteger los datos, la sociedad civil de toda África debe participar activamente en el debate desde la perspectiva del cumplimiento normativo y la protección del espacio cívico. El objetivo de cualquier regulación de datos para el sector sin ánimo de lucro debe ser fomentar la confianza pública, inspirar la colaboración y no regular en exceso».

Sin embargo, la cuestión más importante sobre los datos africanos —dónde residen físicamente— sigue sin cambiar en gran medida.

El desarrollo de la IA requiere enormes recursos computacionales, y África posee actualmente menos del 1 % de la capacidad mundial de centros de datos. Sin acceso a infraestructuras a gran escala, los investigadores, las empresas emergentes, las instituciones públicas y las organizaciones locales de la sociedad civil se enfrentan a barreras estructurales para crear, auditar y desplegar sistemas avanzados de IA a gran escala.

La cuestión no es solo internacional, sino también regional. Las regiones de nube de Microsoft en Sudáfrica prestan servicio a clientes de toda África meridional, lo que plantea complejas cuestiones políticas sobre si los países vecinos pueden permitir que los datos de sus ciudadanos se almacenen fuera de sus fronteras sin dejar de respetar las leyes nacionales de protección de datos.

La Corporación Financiera Internacional y la GSMA estiman que la mayoría de los datos generados en África siguen almacenándose fuera del continente, principalmente en centros de datos europeos y norteamericanos. Por lo tanto, se está reivindicando la soberanía legal sobre datos que físicamente salen de esa soberanía en el punto de almacenamiento.

En respuesta a ello, los gobiernos africanos han instado constantemente a los proveedores de nube globales, como Microsoft, a invertir en centros de datos locales. A mediados de 2025, el continente albergaba aproximadamente 223 instalaciones en 38 países, menos del 0,02 % del total mundial, que supera las 11 800.

¿Qué significa realmente 5,5 megavatios?

Para comprender la brecha de infraestructura, es útil entender las cifras.

África cuenta actualmente con unas 220-230 instalaciones de centros de datos distribuidas en 38 países. Se prevé que el mercado crezca hasta alcanzar los 9200 millones de dólares en 2029. Sin embargo, la capacidad se concentra en unos pocos centros: Sudáfrica, Egipto, Kenia y Nigeria. La mayoría de los países africanos dependen totalmente del alojamiento en el extranjero.

Nigeria, la mayor economía del continente, con un sector fintech que procesa miles de millones de dólares en transacciones diarias, cuenta con aproximadamente 17 centros de datos operativos. Ninguno de ellos supera actualmente los 20 megavatios de capacidad. Las instalaciones de Kasi Cloud en Lekki, cuando estén terminadas, serán las primeras del país en superar el umbral de la hiperescala. Su fase inicial, prevista para abril de 2026, proporcionará 5,5 megavatios.

Para contextualizar, los campus de IA a hiperescala capaces de entrenar o dar servicio a grandes modelos de IA suelen tener como objetivo una capacidad instalada de entre 50 y 100 megavatios o más. Los densos racks de GPU utilizados para la inferencia de IA pueden consumir entre 50 y 150 kilovatios cada uno. Las demandas energéticas de las cargas de trabajo actuales de IA son transformadoras, ya que requieren una inversión en infraestructura que se mide en cientos de millones de dólares y años de construcción.

Las instalaciones de Kasi Cloud representan un auténtico avance. Se iniciaron con una inversión comprometida de 250 millones de dólares y tienen como objetivo alcanzar los 100 megavatios cuando estén completamente terminadas. Esto indica que el capital privado está empezando a tomarse en serio la infraestructura digital africana. Pero entre el inicio de las obras y un campus hiperescala en funcionamiento no solo hay un tiempo de construcción, sino también el reto más profundo de un suministro eléctrico fiable. La red nacional de Nigeria no puede soportar actualmente operaciones hiperescala a gran escala. Es probable que cualquier instalación que aspire a alcanzar los 100 megavatios tenga que generar la mayor parte de su propia energía.

Gobernanza de los datos comunitarios en un vacío de infraestructura

Los modelos de la sociedad civil y las ONG nacionales explorados en el primer artículo de esta serie —cooperativas de datos comunitarios, mecanismos de consentimiento a gran escala, marcos de distribución de beneficios y modelos de fideicomiso de datos— representan respuestas innovadoras en materia de gobernanza. Tratan los datos como un recurso colectivo que requiere una supervisión compartida, en lugar de como un bien puramente individual.

Sin embargo, estos modelos operan dentro de limitaciones físicas. Una cooperativa de datos comunitarios que negocia el reparto de ingresos o las condiciones de rendición de cuentas suele negociar sobre datos procesados y almacenados en una infraestructura que sigue siendo de propiedad extranjera y ubicada en el extranjero.

Esto no invalida la gobernanza comunitaria. Los marcos de gobernanza cambian el poder de negociación y establecen derechos incluso cuando la infraestructura es externa. Pero tanto la soberanía nacional como la comunitaria sobre los datos siguen siendo provisionales hasta que exista una infraestructura física que las respalde.

Para las ONG nacionales, esta realidad tiene implicaciones estratégicas. La defensa de los derechos digitales debe incluir cada vez más el conocimiento de las infraestructuras —la comprensión de la generación de energía, las rutas de fibra óptica, la arquitectura de la nube y los flujos de capital— y no solo la reforma legal.

Este artículo se ha escrito como parte del programa de becas de periodismo de Forus. Más información aquí.