La Unión Europea empieza a asumir una realidad incómoda: no basta con regular la inteligencia artificial, proteger datos personales o hablar de autonomía estratégica si la infraestructura crítica sigue dependiendo de Amazon, Microsoft y Google. La nube se ha convertido en el sistema nervioso de administraciones públicas, bancos, hospitales, energía, defensa, industria y servicios digitales. Quien controla esa capa no solo aloja servidores; controla capacidad de cómputo, herramientas de IA, gestión de identidades, redes, observabilidad, automatización y continuidad operativa.
El nuevo frente abierto en Bruselas apunta precisamente ahí. Según documentos conocidos por Reuters, la Comisión Europea trabaja en criterios más estrictos para los servicios cloud utilizados en licitaciones públicas altamente críticas. La propuesta, vinculada a la futura Cloud and AI Development Act, podría dejar a los grandes proveedores estadounidenses en desventaja o incluso fuera de determinados contratos estratégicos si no cumplen requisitos de soberanía, control jurídico, protección de datos y cadena de suministro.
El debate llega tarde, pero llega. Durante años, Europa aceptó que su infraestructura digital quedara en manos de plataformas estadounidenses mientras concentraba su energía política en regular los efectos de esa dependencia. Ahora la inteligencia artificial ha cambiado el cálculo. Sin nube, centros de datos, chips, energía, software y talento operativo, no hay IA soberana. Y sin IA soberana, Europa corre el riesgo de regular un mercado que no controla.
La soberanía ya no es un discurso, es una licitación
La novedad no está solo en que Bruselas hable de soberanía digital. Eso lleva años ocurriendo. Lo relevante es que la Comisión quiere introducir criterios obligatorios no vinculados al precio en las compras públicas sensibles. Es decir, una administración no debería elegir solo la opción más barata o técnicamente potente, sino valorar quién controla la infraestructura, bajo qué leyes opera, qué proveedores intervienen, dónde están los datos y qué nivel de dependencia existe respecto a terceros países.
Ese cambio puede alterar el mercado. AWS, Microsoft Azure y Google Cloud dominan buena parte de la nube pública europea. El Parlamento Europeo ha advertido en distintos análisis sobre la fuerte concentración del mercado cloud en manos de compañías estadounidenses, mientras los proveedores europeos conservan una cuota mucho menor. A esto se suma una preocupación jurídica recurrente: la CLOUD Act estadounidense permite exigir a proveedores sujetos a jurisdicción de Estados Unidos la entrega de datos, incluso cuando están almacenados fuera del país.
Los hiperescalares han entendido el riesgo comercial y se han movido rápido. AWS ya comercializa su European Sovereign Cloud, con infraestructura separada en Alemania y una inversión anunciada de 7.800 millones de euros. Microsoft insiste en su Sovereign Cloud, en su EU Data Boundary y en fórmulas con socios locales como Bleu, controlada por Orange y Capgemini, o Delos Cloud, filial de SAP basada en tecnología Azure. Google ha optado por alianzas como S3NS con Thales y acuerdos con actores europeos para seguir siendo elegible en contratos sensibles.
La pregunta es si eso basta. Una nube puede estar alojada en Europa, ser operada por personal europeo, ofrecer cifrado fuerte, cumplir con el RGPD y aun así mantener dependencias técnicas, jurídicas o de actualización respecto a un proveedor no europeo. Puede ser segura. Puede ser útil. Puede ser incluso razonable para muchas cargas. Pero soberanía plena es otra cosa.
El riesgo del “sovereignty washing”
Europa corre el riesgo de inventarse una categoría intermedia cómoda: nubes “suficientemente soberanas” para no incomodar a los grandes proveedores, pero no lo bastante independientes como para reducir de verdad la dependencia estratégica. Es el mismo problema que ya se ha visto en otras áreas tecnológicas: se crea un marco, se asignan niveles, se aceptan excepciones y al final el mercado acaba llamando soberano a lo que solo es una versión más controlada de la dependencia anterior.
La propia Comisión ha empezado a medir la soberanía mediante su Cloud Sovereignty Framework y los niveles SEAL. El modelo distingue entre soberanía de datos, resiliencia digital y grados superiores de autonomía. Sobre el papel, es un avance: aporta criterios, obliga a documentar controles y permite comparar proveedores. Pero también abre una zona gris. En abril de 2026, la Comisión adjudicó un contrato de hasta 180 millones de euros para servicios de nube soberana a cuatro proveedores o consorcios europeos. Entre ellos figura un consorcio liderado por Proximus que utiliza S3NS, la joint venture de Thales y Google Cloud. La propia Comisión defendió que tecnologías no europeas pueden cumplir un nivel mínimo de soberanía si operan dentro de un marco estricto.
Ahí está el dilema. Si Europa acepta como soberana una nube basada en tecnología estadounidense porque el envoltorio contractual y operativo es europeo, puede aliviar el problema a corto plazo, pero también perpetuarlo. Si en cambio exige soberanía plena de golpe, corre el riesgo de quedarse sin suficiente capacidad, sin servicios avanzados de IA, sin elasticidad y con costes más altos en determinados proyectos.
La solución no pasa por negar la potencia de los hiperescalares. AWS, Microsoft y Google ofrecen tecnología extraordinaria, especialmente en inteligencia artificial, servicios gestionados, bases de datos, observabilidad, seguridad y despliegue global. Muchas empresas europeas no pueden reemplazarlos mañana sin perder capacidades. Pero tampoco conviene aceptar sin más el argumento de que una capa comercial europea convierte automáticamente en soberana una plataforma que sigue dependiendo de decisiones técnicas, licencias, actualizaciones, propiedad intelectual y jurisdicciones externas.
Europa necesita proveedores propios, no solo reglas más duras
La futura Cloud and AI Development Act puede ser un paso importante si se usa para crear demanda real para proveedores europeos. Stackscale (Aire), OVHcloud, Scaleway, StackIT, Clever Cloud, T-Systems, Orange Business, Aruba, IONOS, SAP, Proximus, operadores regionales y compañías de infraestructura privada como Stackscale tienen una oportunidad si Europa decide comprar de forma coherente. No basta con pedir soberanía en discursos y luego adjudicar los contratos más sensibles a la misma cadena de dependencia de siempre.
Pero también hay que reconocer los límites. Europa no tiene una alternativa equivalente a AWS, Azure o Google Cloud en todas las capas. Tiene buenos proveedores de infraestructura, cloud privado, bare-metal, colocation, Kubernetes, servicios gestionados y plataformas soberanas, pero carece de una oferta continental integrada con la misma profundidad en IA, chips, modelos fundacionales, software PaaS, analítica y servicios globales. Además, buena parte del hardware crítico procede de cadenas de suministro asiáticas o estadounidenses. Decir que todo el hardware debe ser europeo suena bien en una licitación, pero hoy es difícil de cumplir de forma estricta.
Por eso la política debe ser inteligente y gradual. Las cargas más críticas, como sanidad pública, justicia, defensa, identidad digital, energía, banca sistémica o datos sensibles de administraciones, deberían tener requisitos mucho más exigentes de control europeo, portabilidad, reversibilidad, cifrado, operación local y ausencia de dependencia crítica de terceros países. Para cargas menos sensibles, puede tener sentido una nube híbrida donde los hiperescalares sigan teniendo un papel, siempre que el cliente mantenga control real sobre datos, claves, salida y arquitectura.
El error sería convertir la soberanía en una nueva etiqueta premium que se compra al mismo proveedor de siempre con un sobrecoste y un contrato más largo. La soberanía no debería ser una opción de catálogo, sino una condición de diseño: quién opera, quién administra, quién puede acceder, quién actualiza, quién audita, quién responde en una crisis y cómo se sale del proveedor si deja de encajar.
Europa está ante una decisión incómoda. Puede comprar soberanía digital empaquetada por empresas estadounidenses y declarar resuelto el problema. O puede usar el poder de la contratación pública para construir capacidad europea real, aunque sea más difícil, más lento y menos brillante en las presentaciones comerciales. Lo primero reduce tensiones a corto plazo. Lo segundo construye independencia.
La soberanía digital no se consigue prohibiendo logos americanos ni levantando barreras sin capacidad alternativa. Se consigue invirtiendo, comprando europeo cuando la carga lo exige, exigiendo portabilidad, reforzando cloud privado y público europeo, apoyando software abierto, creando demanda pública estable y dejando de confundir cumplimiento con control. Si Europa no hace bien esa distinción, acabará pagando más por una soberanía que seguirá sin tener del todo.
Preguntas frecuentes
¿Qué quiere cambiar la Unión Europea en las licitaciones cloud?
Bruselas trabaja en criterios más estrictos para contratos públicos altamente críticos. La idea es que no solo cuente el precio, sino también la soberanía, la protección de datos, la jurisdicción, la cadena de suministro y el control operativo.
¿Podrían quedar fuera AWS, Microsoft y Google?
Podrían quedar excluidos o en desventaja en algunos contratos estratégicos si los requisitos finales exigen control europeo fuerte y baja exposición a jurisdicciones extracomunitarias. La propuesta todavía puede cambiar y necesitará apoyo político.
¿Una nube de AWS, Microsoft o Google alojada en Europa es soberana?
Puede mejorar residencia de datos, cumplimiento y controles operativos, pero eso no implica soberanía plena. La clave está en quién controla la tecnología, la operación, las claves, las actualizaciones, el plano de administración y la salida del servicio.
¿Qué debería hacer Europa para no depender tanto de los hiperescalares?
Usar la contratación pública para generar demanda estable de cloud europeo, reforzar proveedores locales, exigir portabilidad, invertir en centros de datos, software, talento, chips y modelos abiertos, y reservar las cargas críticas para infraestructuras bajo control europeo verificable.
