El CEO de Airwallex niega la fuga de datos: los datos de clientes estadounidenses no se han transferido a China

El inversor Keith Rabois acusa a Airwallex de riesgo de fuga de datos debido a su gran equipo de ingeniería en China y la participación de accionistas chinos. El CEO y cofundador de Airwallex, Jack Zhang, niega las acusaciones y recalca que la empresa nunca transferirá datos de clientes estadounidenses a China. Aclara que los datos de clientes estadounidenses solo se almacenan en EE. UU., Países Bajos y Singapur, y que los empleados de China continental y Hong Kong no tienen acceso a ellos.

Acusaciones del inversor Keith Rabois en redes sociales desatan debate

Antes de la negación pública de Zhang, el conocido inversor Keith Rabois lanzó en X una serie de graves acusaciones contra Airwallex. Rabois afirma que la ley china exige a empresas y ciudadanos colaborar con los servicios de inteligencia nacional, por lo que cualquier empresa con estrechos vínculos con China podría enfrentar riesgos de seguridad de datos. Señala especialmente que Airwallex cuenta con un gran equipo de ingeniería en China, lo que inevitablemente supone un riesgo de fuga de información.

El argumento de Rabois se basa en artículos de la Ley de Inteligencia Nacional de China, que estipula que “toda organización y ciudadano debe apoyar, ayudar y cooperar legalmente con el trabajo de inteligencia nacional”. Sostiene que, incluso si los datos se almacenan en servidores estadounidenses, la ley china podría obligar a los ingenieros que trabajan en China a proporcionar acceso o colaborar para obtener datos. Además, Rabois considera que la participación de accionistas chinos en Airwallex es otro factor de riesgo importante.

Estas acusaciones han generado un amplio debate en el sector fintech y de criptomonedas. Algunas publicaciones fueron eliminadas posteriormente, pero la controversia ya se había extendido. Los defensores de Airwallex respondieron, y algunos usuarios pusieron en duda las pruebas tras las acusaciones, calificándolas de meras especulaciones. Un alto directivo de Airwallex también respondió que la empresa sigue invirtiendo en la segregación regional de datos y ha adoptado medidas que van más allá de los requisitos regulatorios.

El CEO de Airwallex detalla la arquitectura de almacenamiento de datos

En su respuesta, Zhang ofreció una explicación detallada de la arquitectura de almacenamiento de datos de Airwallex. Aclaró que Airwallex solo almacena los datos de clientes estadounidenses en EE. UU., Países Bajos y Singapur. Recalcó que los empleados ubicados en China continental y Hong Kong no tienen acceso a la información personal identificable (PII) de los clientes estadounidenses. Esta estrategia de aislamiento de datos es una parte central de la arquitectura de cumplimiento global de Airwallex.

Zhang explicó especialmente la diferencia entre la ubicación geográfica del equipo de ingeniería y los permisos de acceso a datos: “El talento puede estar en cualquier parte del mundo, pero los permisos de acceso a los datos no funcionan así”. Señaló que la ubicación de los ingenieros no determina dónde se almacenan los datos de los clientes, y que los derechos de acceso dependen del rol y la necesidad, no de la ubicación del empleado. Este enfoque basado en roles (RBAC) es una práctica estándar en la arquitectura de seguridad en la nube moderna.

Actualmente, Airwallex posee más de 70 licencias a nivel mundial y está regulada en más de 48 estados de EE. UU. La empresa afirma que sus sistemas legales y técnicos pueden impedir cualquier acceso no autorizado de gobiernos extranjeros a datos estadounidenses. Zhang también manifestó que Airwallex no responde a peticiones de agencias de inteligencia extranjeras para obtener datos sensibles fuera de su jurisdicción, y que la empresa sigue los estándares federales de protección de datos transfronterizos de EE. UU.

Los cuatro pilares de la protección de datos de Airwallex

Aislamiento geográfico: los datos de clientes estadounidenses solo se almacenan en EE. UU., Países Bajos y Singapur.

Control de acceso: los permisos sobre los datos se asignan según el rol y la necesidad, no por la ubicación del empleado.

Supervisión multinacional: más de 70 licencias de servicios financieros en jurisdicciones de todo el mundo.

Rechazo de solicitudes extranjeras: no se responde a peticiones de gobiernos extranjeros para acceder a datos sensibles fuera de su jurisdicción.

A su vez, el equipo directivo de Airwallex está repartido entre EE. UU., Europa, Singapur y Australia. Zhang añadió que reside en Londres y no tiene responsabilidades operativas directas en China. Esta estructura de liderazgo descentralizada reduce aún más la influencia de cualquier país individual en las decisiones de la empresa.

El lenguaje de la política de privacidad suscita nuevas dudas

Sin embargo, la controversia no cesó. Algunos usuarios señalaron términos ambiguos en el documento global de política de privacidad de Airwallex. Este documento afirma que la empresa podría procesar datos de clientes en diferentes países, incluida China. Los críticos consideran que esto contradice las declaraciones públicas de Zhang y exigen mayor claridad.

Esta diferencia de redacción expone los complejos retos de cumplimiento que enfrentan las fintech globales. Las compañías deben cubrir en sus políticas globales todas sus ubicaciones operativas, pero también garantizar que los datos de clientes de regiones específicas (como EE. UU.) reciban protección reforzada. La política global de privacidad de Airwallex podría estar diseñada para abarcar sus distintas líneas de negocio en varios países, pero no diferencia con claridad el tratamiento especial de los datos de clientes estadounidenses.

Airwallex no ha aclarado formalmente si esa cláusula de la política de privacidad global se aplica a clientes estadounidenses sujetos a una protección federal más estricta. La empresa sostiene que la información personal identificable (PII) de clientes estadounidenses solo se almacena en ubicaciones aprobadas, pero la incongruencia entre la declaración oral y la política escrita deja espacio para las críticas.

Desde el punto de vista legal, el lenguaje ambiguo de la política de privacidad global podría ser una forma de mantener flexibilidad operativa, pero en el actual contexto geopolítico sensible, esa ambigüedad puede convertirse en una carga para la empresa. Muchas fintech multinacionales están empezando a adoptar políticas de privacidad regionales más detalladas que distinguen claramente cómo se tratan los datos de clientes de distintas zonas.

Sin infracciones regulatorias, pero persisten las dudas sobre seguridad nacional

Por el momento, ningún regulador ha confirmado infracciones por parte de Airwallex. El Departamento del Tesoro de EE. UU., la Red de Ejecución de Delitos Financieros (FinCEN) y otros organismos no han anunciado investigaciones formales. Legalmente, Airwallex sigue cumpliendo los requisitos, posee las licencias necesarias y se somete a auditorías periódicas.

Aun así, este conflicto ha colocado a Airwallex en el punto de mira de la seguridad nacional, especialmente en un momento sensible para las fintech transfronterizas. En el contexto de la intensificación de la competencia tecnológica entre EE. UU. y China, cualquier flujo transfronterizo de datos vinculado a China puede ser objeto de un escrutinio adicional. Las experiencias de compañías como TikTok o Huawei demuestran que, incluso sin pruebas de abuso de datos, las preocupaciones de seguridad nacional pueden impactar gravemente en la operativa empresarial.

Hasta la fecha, Airwallex mantiene su posición. Zhang afirma que los hechos prevalecerán y que las acusaciones en la red abrirán paso a la verdad. La empresa está considerando adoptar medidas más transparentes, como invitar a auditorías independientes de su arquitectura de protección de datos y publicar políticas de tratamiento de datos regionales más detalladas.