La soberanía digital ha dejado de ser una conversación reservada a juristas, responsables de ciberseguridad o instituciones europeas. Ahora entra de lleno en las decisiones de empresas, administraciones públicas y proveedores tecnológicos. El motivo es sencillo: buena parte de los servicios digitales esenciales dependen de infraestructuras cloud controladas por grandes compañías estadounidenses, y esa dependencia empieza a verse como un riesgo práctico, no solo político.
El debate ha vuelto a ganar fuerza en Finlandia después de que Joel Pihlajamaa, fundador y CTO de UpCloud, haya intervenido en Talouselämä para hablar de uno de los asuntos más sensibles del momento. Según la información difundida por la propia compañía a partir de esa entrevista, entre el 70 % y el 80 % de los servicios del sector público finlandés dependerían de proveedores cloud estadounidenses. La cifra, si se toma como estimación, ilustra un problema que no afecta solo a Finlandia: Europa ha digitalizado parte de sus servicios más importantes apoyándose en infraestructuras sobre las que no siempre tiene control jurídico, operativo o estratégico pleno.
La cuestión no es si Amazon, Microsoft o Google ofrecen tecnología de calidad. La ofrecen, y en muchos casos con niveles de escala, resiliencia y servicios gestionados difíciles de igualar. El problema es otro: quién controla la infraestructura, qué legislación se aplica, qué ocurre si cambia el contexto geopolítico y cuánto margen real tiene una organización para salir de un proveedor cuando sus sistemas críticos ya están profundamente integrados en él.
Dependencia, jurisdicción y bloqueo tecnológico
La soberanía digital no significa guardar todos los datos dentro de una frontera ni rechazar por principio a proveedores extranjeros. Significa poder decidir dónde viven los datos, bajo qué marco legal se procesan, quién puede acceder a ellos, qué dependencias técnicas existen y si una organización conserva capacidad real de cambiar de proveedor sin paralizar sus servicios.
Ahí aparece uno de los puntos que Pihlajamaa subraya: Europa tiene capacidad técnica para construir alternativas. No parte de cero. Existen proveedores europeos de cloud, centros de datos, redes, software, ciberseguridad, bases de datos, plataformas de contenedores y servicios gestionados. Lo que falta muchas veces es escala, visibilidad, contratación pública ambiciosa y una estrategia que no reduzca el cloud a una simple comparación de precio por máquina virtual.
El segundo punto es jurídico. Una parte importante de los datos críticos europeos puede quedar bajo la influencia de normas extraterritoriales cuando se aloja en proveedores sujetos a jurisdicciones no europeas. El debate sobre el CLOUD Act estadounidense y su encaje con el RGPD lleva años abierto. No todos los casos son iguales, y los grandes proveedores han desarrollado soluciones de residencia de datos y controles adicionales para clientes europeos. Pero la preocupación persiste: alojar datos en Europa no siempre equivale a controlarlos plenamente si el proveedor responde a una matriz situada fuera de la UE.
El tercer problema es el vendor lock-in. Muchas organizaciones empiezan usando cloud por flexibilidad y terminan atrapadas por servicios propietarios, dependencias de plataforma, bases de datos específicas, herramientas de automatización, APIs cerradas, costes de salida y equipos formados en un único entorno. Migrar después no es imposible, pero sí caro, lento y arriesgado. Para una administración pública o una empresa regulada, ese riesgo pesa tanto como la factura mensual.
Europa empieza a mover ficha
La preocupación por la soberanía cloud no es nueva, pero el contexto ha cambiado. La inteligencia artificial, la ciberseguridad, la guerra en Ucrania, las tensiones comerciales y la creciente dependencia de servicios digitales han convertido la infraestructura en un asunto estratégico. La nube ya no es solo “dónde se ejecuta una aplicación”; es la base sobre la que funcionan trámites públicos, historiales sanitarios, sistemas financieros, comunicaciones empresariales, plataformas educativas y servicios de emergencia.
La Comisión Europea ha empezado a traducir esa preocupación en criterios de compra. En 2026 adjudicó un contrato de nube soberana de hasta 180 millones de euros a proveedores europeos y desarrolló un Cloud Sovereignty Framework para medir la soberanía en objetivos concretos, como control legal, operación, seguridad, apertura tecnológica, transparencia de la cadena de suministro y cumplimiento de la legislación europea.
Este tipo de movimientos no resolverá por sí solo la dependencia. El mercado cloud europeo sigue dominado por los hiperescalares estadounidenses, y muchas empresas no van a reescribir sus arquitecturas de un día para otro. Pero sí envía una señal: la soberanía digital empieza a entrar en los pliegos, no solo en los discursos.
También se nota en el mercado. Proveedores europeos como UpCloud intentan posicionarse como alternativa para organizaciones que buscan mantener datos y cargas de trabajo dentro de jurisdicciones europeas. La propia UpCloud destaca su presencia en varios centros de datos europeos y ha reforzado mensajes orientados al sector público, a la residencia de datos y a la reducción de dependencias externas. Es una posición comercial, evidentemente, pero conecta con una demanda real: más empresas quieren saber no solo cuánto cuesta la nube, sino quién la controla.
No se trata de apagar una nube y encender otra
El mayor error sería plantear la soberanía digital como una migración ideológica inmediata. Muchas organizaciones dependen de servicios avanzados de los grandes proveedores: analítica, inteligencia artificial, ciberseguridad, bases de datos distribuidas, herramientas DevOps, plataformas serverless o servicios globales de baja latencia. Sustituir todo eso de golpe puede ser inviable o incluso contraproducente.
La transición más razonable pasa por clasificar cargas de trabajo. No todos los datos tienen el mismo nivel de sensibilidad. No es igual una web pública que un sistema sanitario, una base de datos fiscal, una plataforma de identidad digital o un repositorio documental de una administración. Algunas cargas pueden seguir en entornos globales; otras deberían tener requisitos más estrictos de jurisdicción, portabilidad, cifrado, auditoría y control operativo.
También hace falta diseñar salidas desde el principio. Contratos que contemplen portabilidad real, uso de estándares abiertos, contenedores, Kubernetes, bases de datos menos propietarias, copias de seguridad exportables, cifrado con claves controladas por el cliente y planes de migración probados. La soberanía no empieza cuando se decide salir de un proveedor; empieza cuando se evita quedar atrapado.
Para las administraciones públicas, la cuestión es todavía más sensible. Si un país quiere mantener autonomía sobre servicios esenciales, debe poder operar, auditar y recuperar sus sistemas críticos incluso en escenarios de tensión jurídica, comercial o geopolítica. Eso no significa aislarse tecnológicamente, sino diversificar y reducir puntos únicos de dependencia.
Una oportunidad industrial para Europa
Pihlajamaa plantea la transición hacia proveedores cloud europeos como una oportunidad de crecimiento para la región. La idea tiene sentido. Si Europa quiere competir en inteligencia artificial, servicios digitales, ciberseguridad y software empresarial, necesita más que regulación. Necesita infraestructura propia, empresas capaces de escalar y clientes públicos y privados dispuestos a comprar tecnología europea cuando cumple los requisitos.
El desafío es grande. Los proveedores europeos no pueden competir solo apelando a la soberanía. También deben ofrecer rendimiento, disponibilidad, buen soporte, precios competitivos, herramientas modernas, integración con estándares de mercado y una experiencia de uso a la altura de lo que esperan los equipos técnicos. La soberanía puede abrir la puerta, pero la calidad del servicio es lo que mantiene al cliente.
La oportunidad tampoco se limita al cloud básico. Hay espacio para plataformas de datos, servicios de IA soberana, almacenamiento seguro, edge computing, backup inmutable, observabilidad, identidad, ciberseguridad gestionada y soluciones sectoriales para salud, administración, industria o finanzas. Cuanto más regulado o sensible sea el sector, más valor tendrá una infraestructura bajo control europeo.
El debate finlandés refleja una conversación que se está extendiendo por toda Europa. La nube estadounidense seguirá siendo importante, pero ya no se acepta sin preguntas. Las empresas y los gobiernos empiezan a revisar dónde están sus datos, qué contratos firmaron, qué riesgos asumieron y qué alternativas tienen.
La soberanía digital no consiste en cerrar puertas, sino en recuperar capacidad de elección. Y esa capacidad empieza por una pregunta muy concreta: si mañana fuera necesario mover un servicio crítico, ¿podría hacerse sin perder el control?
Preguntas frecuentes
¿Qué es la soberanía digital en la nube?
Es la capacidad de una organización para controlar dónde se alojan sus datos, bajo qué leyes se procesan, quién puede acceder a ellos y qué margen real existe para cambiar de proveedor.
¿Por qué preocupa la dependencia de proveedores estadounidenses?
Porque muchas cargas críticas europeas se ejecutan sobre empresas sujetas a legislación no europea, lo que puede generar dudas sobre acceso a datos, dependencia contractual, continuidad operativa y capacidad de salida.
¿Significa esto que las empresas deben abandonar AWS, Azure o Google Cloud?
No necesariamente. La estrategia más realista es clasificar cargas, aplicar requisitos de soberanía donde haga falta, evitar bloqueo tecnológico y diversificar proveedores en los sistemas más sensibles.
¿Qué oportunidad tienen los proveedores cloud europeos?
Pueden crecer si ofrecen infraestructura competitiva, bajo jurisdicción europea, con garantías de residencia de datos, portabilidad, seguridad y soporte adecuado para empresas y administraciones públicas.
vía: LinkedIN
