La “nube soberana” se ha convertido en una de las etiquetas más repetidas del sector tecnológico. Microsoft, AWS y Google han reforzado en los últimos meses sus propuestas europeas con mensajes sobre residencia de datos, operación local, controles reforzados, cifrado, regiones aisladas y cumplimiento regulatorio. El problema es que la palabra “soberana” se está usando para describir realidades muy distintas.
La cuestión de fondo ya no es solo dónde está el centro de datos. Un servidor en Frankfurt, París, Madrid o Ámsterdam puede mejorar la latencia, facilitar el cumplimiento del RGPD y reducir transferencias internacionales, pero no resuelve por sí solo la pregunta central: bajo qué jurisdicción opera el proveedor que controla la infraestructura, el plano de administración, el soporte, las claves, el software y la continuidad del servicio.
Residencia de datos no es soberanía
Durante años, buena parte del mercado ha presentado la residencia de datos como si fuera sinónimo de soberanía. La idea era sencilla: si los datos se almacenan y procesan dentro de la Unión Europea, el cliente europeo está protegido. Esa afirmación se ha quedado corta.
El debate ha cambiado porque las leyes extraterritoriales pesan tanto como la ubicación física de los servidores. La CLOUD Act estadounidense, aprobada en 2018, permite a las autoridades de EE. UU. solicitar datos controlados por empresas sometidas a su jurisdicción, incluso cuando esos datos están almacenados fuera del territorio estadounidense, siempre dentro de los cauces legales previstos. AWS, Microsoft y otros proveedores insisten en que no existe un acceso automático o ilimitado, y que las solicitudes deben cumplir requisitos legales. Pero la exposición jurídica sigue siendo una preocupación real para gobiernos, defensa, sanidad, energía, justicia, banca o servicios públicos críticos.
El caso de Microsoft ante el Senado francés puso el asunto en términos muy claros. Según informó The Register, representantes de Microsoft Francia reconocieron bajo juramento que no podían garantizar que datos de ciudadanos franceses no fueran transmitidos a las autoridades estadounidenses en caso de una orden legalmente válida. La compañía subrayó que revisa, limita y combate solicitudes indebidas, pero la respuesta clave fue que no podía ofrecer una garantía absoluta.
Ese es el punto donde la soberanía deja de ser un eslogan comercial. Una nube puede tener centros de datos europeos, personal europeo, controles técnicos avanzados y compromisos contractuales sólidos. Pero si la matriz está sujeta a una jurisdicción extranjera con capacidad legal sobre el proveedor, la soberanía no es plena. Puede ser una mejora frente a una nube global convencional, pero no equivale necesariamente a control europeo.
| Concepto | Qué significa | Por qué importa |
|---|---|---|
| Residencia de datos | Los datos se almacenan en una región concreta | Ayuda al cumplimiento, pero no resuelve la jurisdicción |
| Soberanía operativa | El servicio puede operar sin dependencia externa crítica | Importa en crisis, sanciones o interrupciones geopolíticas |
| Soberanía jurídica | El proveedor queda bajo leyes europeas y control europeo | Reduce exposición a normas extraterritoriales |
| Soberanía del plano de control | Administración, soporte, claves y privilegios quedan bajo control local | Evita que terceros puedan intervenir el servicio |
| Soberanía de cadena de suministro | Software, hardware y dependencias son auditables y controlables | Reduce riesgos ocultos en capas técnicas críticas |
| Soberanía real | Se combinan control jurídico, técnico, operativo y de gobierno | Es la que exige más que una etiqueta comercial |
La UE pasa de la retórica a los niveles de confianza
La Comisión Europea ha empezado a poner negro sobre blanco esta diferencia. Su nuevo paquete de soberanía tecnológica, presentado el 3 de junio de 2026, incluye la propuesta de Cloud and AI Development Act, una norma que introduce un marco por niveles para evaluar servicios cloud y de inteligencia artificial en el sector público. La propuesta todavía debe pasar por la negociación entre Comisión, Parlamento Europeo y Estados miembros, pero ya marca una dirección política clara.
Según Tech Policy Press, el marco plantea cuatro niveles de confianza para servicios cloud utilizados por autoridades públicas. Los criterios incluyen propiedad y control, dependencias de la cadena de suministro, procesamiento de datos, localización de infraestructura y ciberseguridad. Todos los organismos públicos deberían usar al menos servicios de nivel 1, mientras que las funciones más sensibles, como seguridad nacional, defensa, fuerzas de seguridad o gestión fronteriza, tendrían que recurrir a niveles superiores sometidos a auditorías independientes.
TechTimes describe ese marco de forma más directa: el nivel 1 se centra en infraestructura situada físicamente en la UE; el nivel 2 añade independencia frente a gobiernos de terceros países y transparencia de la cadena de suministro; el nivel 3 exige propiedad y control dentro de la UE; y el nivel 4 reclama control y transparencia completos sobre toda la cadena de software, sin interferencia de terceros países.
La consecuencia es evidente. Un hiperescalares estadounidense puede cumplir requisitos de residencia de datos o incluso crear regiones europeas aisladas, pero tendrá difícil alcanzar los niveles más altos si sigue estando sometido a legislación estadounidense. No se trata de que sus tecnologías sean peores. En muchos casos son líderes mundiales en escala, seguridad, disponibilidad, catálogo de servicios e innovación. El problema es otro: quién tiene la última palabra legal sobre el proveedor.
La propia Comisión admite la escala de la dependencia. Según Tech Policy Press, las compañías cloud estadounidenses controlan más del 70 % del mercado cloud europeo, mientras que la UE produce menos del 10 % de los semiconductores mundiales y gasta unos 264.000 millones de euros anuales, en gran parte, en productos y servicios de TI propietarios estadounidenses. Europa quiere corregir esa asimetría, pero no puede hacerlo solo cambiando etiquetas.
La reacción de la industria confirma que el cambio importa
La respuesta de los lobbies tecnológicos estadounidenses muestra que la propuesta europea no es decorativa. La Computer and Communications Industry Association, que representa a grandes tecnológicas de EE. UU., calificó los niveles superiores del marco como requisitos de “mercado cerrado” disfrazados de umbrales de política pública, según TechTimes. Su argumento es que esos criterios podrían excluir por diseño a proveedores internacionales de contratos sensibles.
Esa crítica tiene parte de lógica desde el punto de vista comercial. Si la UE exige control europeo para determinadas cargas críticas, los grandes proveedores estadounidenses perderán acceso a una parte del mercado público más sensible. Pero también confirma que los niveles de soberanía tienen efectos reales. Si todo fuera solo marketing, no habría tanta resistencia.
La tensión no está en si AWS, Microsoft o Google son buenos o malos proveedores. El debate es más incómodo: Europa ha delegado durante años gran parte de su infraestructura digital crítica en empresas no europeas. Ahora intenta recuperar margen de maniobra en un contexto donde la nube ya no es solo una herramienta empresarial, sino la base de la administración, la inteligencia artificial, la defensa, la sanidad, las redes energéticas y la economía digital.
Los hiperescalares han reaccionado con sus propias fórmulas. AWS ha lanzado su European Sovereign Cloud, presentada como una infraestructura independiente para Europa. Microsoft ha anunciado nuevas capacidades de soberanía para clientes europeos y su propuesta Microsoft Sovereign Cloud. Google ha trabajado con Thales en S3NS y en nuevas iniciativas de nube soberana en Europa. Todas estas respuestas son relevantes y pueden cubrir muchos casos de uso. Pero no eliminan automáticamente la pregunta jurídica de fondo.
Por eso empieza a cobrar fuerza una distinción que el mercado había evitado: no es lo mismo una nube “más soberana” que una nube soberana. Hay grados, controles, riesgos residuales y casos de uso distintos. Para una web corporativa, una aplicación comercial o una carga no crítica, una región europea de un hiperescalares puede ser suficiente. Para secretos de Estado, datos judiciales, defensa, infraestructuras críticas o inteligencia artificial pública sensible, el listón puede ser otro.
La soberanía también exige construir capacidad europea
Europa tiene razón al exigir más control sobre sus datos críticos, pero esa exigencia solo será creíble si va acompañada de capacidad industrial real. No basta con excluir o limitar. Hace falta construir alternativas europeas competitivas en cloud, software, ciberseguridad, chips, inteligencia artificial, redes, centros de datos, energía y talento.
La Comisión lo sabe. El paquete de soberanía tecnológica incluye medidas para acelerar zonas de centros de datos, coordinar capacidad cloud entre Estados miembros mediante una futura EuroCloud Federation, fomentar estrategias nacionales de cloud e IA y revisar la política de semiconductores con un Chips Act 2.0. Tech Policy Press recoge que las necesidades de inversión son enormes: 120.000 millones de euros para semiconductores, 200.000 millones para centros de datos hasta 2036, 100.000 millones para cloud e IA y 2.000 millones para software open source durante siete años.
La soberanía no se decreta de un día para otro. Requiere proveedores sólidos, interoperabilidad, estándares abiertos, financiación, contratación pública inteligente y clientes dispuestos a pagar por algo más que el precio por máquina virtual. También exige evitar la trampa del “soberanía washing”: soluciones que parecen europeas en la capa comercial, pero dependen profundamente de tecnología, soporte, control o propiedad extranjera.
El primer contrato cloud soberano de la Comisión Europea, de 180 millones de euros, ya mostró esa complejidad. Los adjudicatarios fueron grupos europeos como Post Telecom con CleverCloud y OVHcloud, StackIT, Scaleway y Proximus, pero la presencia de S3NS, la joint venture de Thales con Google Cloud, provocó críticas de CISPE por el riesgo de institucionalizar una soberanía incompleta. La Comisión defendió que tecnologías no europeas operadas bajo gobernanza estricta pueden cumplir ciertos umbrales, lo que confirma que el debate no será binario.
La pregunta para empresas y administraciones ya no debería ser “¿mi nube está en Europa?”, sino “¿qué nivel de soberanía necesito?”. No todos los datos requieren el mismo tratamiento. Pero los más sensibles sí exigen una respuesta clara sobre propiedad, jurisdicción, soporte, claves, continuidad, auditoría y capacidad de operar bajo presión geopolítica.
La nube soberana ha dejado de ser una etiqueta cómoda. Europa está empezando a convertirla en una clasificación jurídica y operativa. Eso molestará a quienes vendían soberanía como residencia de datos con otra marca, pero también obligará a los compradores a ser más rigurosos. Al final, la cuestión no es si el servidor está en Frankfurt. Es quién puede apagarlo, administrarlo, auditarlo, obligarlo legalmente o acceder a sus datos cuando las cosas se complican.
Preguntas frecuentes
¿Qué diferencia hay entre nube soberana y residencia de datos?
La residencia de datos indica dónde se almacenan o procesan los datos. La nube soberana añade otros elementos: jurisdicción del proveedor, control operativo, claves, soporte, cadena de suministro, continuidad del servicio y capacidad de resistir interferencias externas.
¿Una nube de AWS, Microsoft o Google en Europa es soberana?
Puede cumplir requisitos de residencia, seguridad y operación local, pero no necesariamente alcanza soberanía plena si el proveedor sigue sometido a leyes extraterritoriales de terceros países. Dependerá del caso de uso, la arquitectura y el nivel de control exigido.
¿Qué plantea la nueva propuesta europea sobre cloud e IA?
La propuesta de Cloud and AI Development Act introduce niveles de confianza para servicios cloud y de IA usados por el sector público. Las cargas más sensibles requerirían niveles superiores de soberanía, con más exigencias sobre propiedad, control, cadena de suministro y jurisdicción.
¿Por qué importa la CLOUD Act en este debate?
Porque puede obligar a proveedores sujetos a jurisdicción estadounidense a entregar datos bajo determinadas órdenes legales, aunque esos datos estén almacenados fuera de Estados Unidos. Los proveedores insisten en que no hay acceso automático, pero la exposición jurídica existe.
