En los últimos meses, varios hiperescalares como AWS, Microsoft, Google y Oracle han presentado sus propias propuestas de "nube soberana" para Europa. Entre sus anuncios mencionan centros de datos en la UE, personal operativo local y regiones aisladas del resto de su infraestructura global. Sin embargo, pese a estos anuncios, hay una pregunta que sigue sin responderse:
Alojar datos en Europa es una condición necesaria, pero por sí sola no garantiza soberanía. A nivel legal existen normativas como el CLOUD Act y otras anteriores como el Patriot Act, que permiten a las autoridades de EE.UU. exigir a una empresa cuya matriz se encuentre en su jurisdicción a entregar datos o metadatos, incluso si estos se almacenan físicamente dentro de la UE.
El problema es que todavía no existe una jurisprudencia clara sobre cómo conciliar estas obligaciones con el RGPD, NIS2 o las futuras normativas europeas. En ausencia de resoluciones judiciales firmes, cualquier conflicto potencial queda abierto a interpretación en los tribunales.
Para responder a las exigencias europeas, varios hiperescalares han introducido nuevas capas de control operativo dentro de la Unión: regiones aisladas, personal exclusivamente europeo, gestión local de claves o filiales específicas para determinados países. Estas medidas mejoran ciertos aspectos del cumplimiento y aportan valor en usos concretos.
Pero todos estos controles comparten un límite estructural: ninguna modifica la jurisdicción que gobierna a la empresa matriz. Aunque la infraestructura se encuentre en la UE y la operación diaria la realice personal europeo, el proveedor sigue sometido a leyes extraterritoriales que pueden obligarlo a entregar datos o metadatos aun cuando permanezcan físicamente dentro de la Unión.
Este riesgo tiene precedentes concretos. Autoridades de protección de datos, como las suizas, han advertido que servicios SaaS de proveedores estadounidenses pueden quedar expuestos a solicitudes de acceso externas incluso cuando se adopten medidas avanzadas de cifrado y se garantice la residencia europea de los datos.
Frente al RGPD y NIS2, que construyen un marco de protección basado en la jurisdicción de la UE, el CLOUD Act introduce una obligación potencialmente incompatible cuando el control corporativo y tecnológico final está fuera de Europa.
La pregunta de fondo sigue abierta: ¿puede una arquitectura altamente controlada dentro de la UE compensar un marco legal que actúa desde fuera? Es un debate aún sin resolver. La tecnología puede aislar infraestructuras, pero las empresas siguen sometidas a las leyes que las gobiernan. Por ello la tensión tiene tanto una dimensión técnica como legal, y actualmente ninguna de las dos está resuelta.
Cuando hablamos de cloud, solemos pensar en servidores, racks y datacenters. Pero hay una pieza que resulta decisiva: el software que gobierna toda la infraestructura, lo que se conoce como plano de control.
Ese plano de control gestiona las máquinas virtuales, las redes y los snapshots. Administra accesos, almacena los metadatos más sensibles y define quién puede hacer qué dentro del cloud.
Si este software depende de una empresa sometida a jurisdicción externa, la soberanía sigue incompleta, incluso si los servidores se encuentran en territorio europeo. Controlar los servidores es importante, pero controlar el software que los gestiona resulta decisivo.
Primero, la jurisdicción exclusivamente europea. Que la infraestructura y el plano de control se encuentren bajo el mismo marco legal.
Segundo, el control tecnológico. La capacidad de auditar, mantener y evolucionar el cloud sin depender de decisiones tomadas fuera de la UE.
Tercero, la gobernanza y resiliencia. Poder responder de forma autónoma ante incidentes, ciberataques o conflictos regulatorios.
Sin estas tres capas, la "soberanía" se queda en el terreno del marketing.
Europa cuenta con proveedores de cloud que operan íntegramente bajo jurisdicción europea y con control tecnológico propio. A menudo pasan desapercibidos frente a los anuncios de los hiperescalares, pero existen y son competitivos, quedando opacados frente a anuncios de convenios con grandes proveedores globales, que se posicionan tácitamente como la única opción viable.
El debate debería centrarse en algo más estructural: ¿está Europa dispuesta a definir criterios propios de soberanía y aplicarlos en su contratación pública, su regulación y su estrategia digital?
Mientras la evaluación dependa de los anuncios externos y no de una política clara de autonomía tecnológica, la balanza seguirá inclinándose hacia las soluciones de mayor visibilidad, que no siempre son las de mayor soberanía.
Sácale el máximo partido a tu proyecto con el Cloud que tiene los discos más rápidos y CPU de alto rendimiento.
La soberanía digital combina jurisdicción, control tecnológico y capacidad de gobernanza. Los datacenters en Europa ayudan, pero por sí solos no resuelven el problema.
Si la Unión Europea quiere una verdadera autonomía en la gestión de sus datos y de su infraestructura crítica, necesitará definir criterios claros de soberanía, aplicarlos de forma coherente y dar espacio a las soluciones que ya existen dentro de su propio ecosistema tecnológico.
Hoy, más que preguntarnos si Europa tiene alternativas, deberíamos preguntarnos cuándo decidirá aprovecharlas.
