En els últims mesos, diversos hiperescalars com AWS, Microsoft, Google i Oracle han presentat les seves pròpies propostes de "núvol sobirà" per a Europa. Entre els seus anuncis esmenten centres de dades a la UE, personal operatiu local i regions aïllades de la resta de la seva infraestructura global. Tanmateix, malgrat aquests anuncis, hi ha una pregunta que continua sense resposta:
Pot existir sobirania digital si el proveïdor està sotmès a lleis extraterritorials?
Allotjar dades a Europa és una condició necessària, però per si sola no garanteix sobirania. A nivell legal existeixen normatives com el CLOUD Act i altres anteriors com el Patriot Act, que permeten a les autoritats dels EUA exigir a una empresa amb seu a la seva jurisdicció que lliuri dades o metadades, fins i tot si aquestes es troben emmagatzemades físicament dins de la UE.
El problema és que encara no existeix una jurisprudència clara sobre com conciliar aquestes obligacions amb l' RGPD, NIS2 o les futures normatives europees. En absència de resolucions judicials fermes, qualsevol conflicte potencial queda obert a interpretació als tribunals.
Per respondre a les exigències europees, diversos hiperescalars han introduït noves capes de control operatiu dins la Unió: regions aïllades, personal exclusivament europeu, gestió local de claus o filials específiques per a determinats països. Aquestes mesures milloren certs aspectes del compliment i aporten valor en usos concrets.
Però tots aquests controls comparteixen un límit estructural: cap modifica la jurisdicció que governa a l' empresa matriu.Tot i que la infraestructura es trobi a la UE i l’operació diària la realitzi personal europeu, el proveïdor continua sotmès a lleis extraterritorials que poden obligar-lo a lliurar dades o metadades encara que es mantinguin físicament dins de la Unió.
Aquest risc té precedents concrets. Autoritats de protecció de dades, com les suïsses, han advertit que serveis SaaS de proveïdors nord-americans poden quedar exposats a sol·licituds d’accés externes encara quan s’adoptin mesures avançades de xifratge i es garanteixi la residència europea de les dades.
Davant al RGPD i NIS2, que construeixen un marc de protecció basat en la jurisdicció de la UE, el CLOUD Act introdueix una obligació potencialment incompatible quan el control corporatiu i tecnològic final està fora d’Europa.
La pregunta de fons continua oberta: pot una arquitectura altament controlada dins de la UE compensar un marc legal que actua des de fora? És un debat encara sense resoldre. La tecnologia pot aïllar infraestructures, però les empreses continuen sotmeses a les lleis que les governen. Per això, la tensió té tant una dimensió tècnica com legal, i actualment cap de les dues està resolta.
Quan parlem de cloud, solem pensar en servidors, racks i datacenters. Però hi ha una peça que resulta decisiva: el software que governa tota la infraestructura, conegut com a pla de control.
Aquest pla de control gestiona les màquines virtuals, les xarxes i els snapshots. Administra accessos, emmagatzema les metadades més sensibles i defineix qui pot fer què dins del cloud.
Si aquest software depèn d’una empresa sotmesa a jurisdicció externa, la sobirania continua incomplerta, fins i tot si els servidors es troben en territori europeu. Controlar els servidors és important, però controlar el software que els gestiona resulta decisiu.
Primer, la jurisdicció exclusivament europea. Que la infraestructura i el pla de control es trobin sota el mateix marc legal.
Segon, el control tecnològic.La capacitat d’auditar, mantenir i evolucionar el cloud sense dependre de decisions preses fora de la UE.
Tercer, la gobernança i resiliència. Poder respondre de manera autònoma davant incidents, ciberatacs o conflictes regulatoris.
Sense aquestes tres capes, la "sobirania" es queda en el terreny del màrqueting.
Europa compta amb proveïdors de cloud que operen íntegrament sota jurisdicció europea i amb control tecnològic propi. Sovint passen desapercebuts davant dels anuncis dels hiperescalars, però existeixen i són competitius, quedant ofuscats davant dels anuncis de convenis amb grans proveïdors globals, que es posicionen tàcitament com l’única opció viable.
El debat hauria de centrar-se en alguna cosa més estructural: està Europa disposada a definir criteris propis de sobirania i aplicar-los en la seva contractació pública, la seva regulació i la seva estratègia digital?
Mentre l’avaluació depengui dels anuncis externs i no d’una política clara d’autonomia tecnològica, la balança continuarà inclinant-se cap a les solucions de major visibilitat, que no sempre són les de major sobirania.
Treu-li el màxim partit al teu projecte amb el Cloud que té els discos més ràpids i CPU d'alt rendiment.
La sobirania digital combina jurisdicció, control tecnològic i capacitat de governança. Els datacenters a Europa ajuden, però per si sols no resolen el problema.
Si la Unió Europea vol una veritable autonomia en la gestió de les seves dades i de la seva infraestructura crítica, necessitarà definir criteris clars de sobirania, aplicar-los de manera coherent i donar espai a les solucions que ja existeixen dins del seu propi ecosistema tecnològic.
Avui, més que preguntar-nos si Europa té alternatives, hauríem de preguntar-nos quan decidirà aprofitar-les.
