X-twitter
  • Noticias
  • 7 minutos de lectura

Microsoft admite en Francia que no puede garantizar la soberanía de datos frente a EE. UU.

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

La soberanía digital europea ha dejado de ser un concepto abstracto para convertirse en una cuestión política, económica y jurídica de primer nivel. Y pocas escenas la han retratado con tanta claridad como la comparecencia de Microsoft Francia ante una comisión de investigación del Senado francés. Allí, preguntado expresamente sobre si podía garantizar que los datos de ciudadanos y administraciones francesas alojados por Microsoft nunca serían transferidos a autoridades estadounidenses sin autorización de Francia, Anton Carniaux, director de asuntos públicos y jurídicos de Microsoft Francia, respondió con una frase tan breve como reveladora: “No, no puedo garantizarlo”.

La admisión, producida durante la audiencia del 10 de junio de 2025 y recogida después en el informe del Senado publicado el 8 de julio de 2025, ha reabierto con fuerza un debate que en Bruselas, París y otras capitales europeas lleva tiempo creciendo: hasta qué punto puede hablarse de “soberanía de datos” cuando la infraestructura cloud depende de empresas sometidas a jurisdicción estadounidense. Porque esa es la cuestión de fondo. No basta con que los datos estén en Europa. Tampoco basta con que los servidores estén en Francia, Alemania o España. Si la empresa que controla el servicio está sujeta al derecho estadounidense, Europa no tiene la última palabra.

Esa es precisamente la gran diferencia entre residencia de datos y soberanía de datos. La primera se refiere al lugar físico donde se almacenan o procesan los datos. La segunda implica quién tiene la capacidad jurídica real de decidir sobre ellos y bajo qué leyes quedan protegidos. En el caso de proveedores como Microsoft, AWS o Google, la residencia europea puede reducir algunos riesgos operativos y regulatorios, pero no elimina el problema de fondo: la posible aplicación extraterritorial del derecho de Estados Unidos.

La frase que desmonta el relato tranquilizador

La comparecencia en el Senado francés no fue un desliz menor ni una frase sacada de contexto. La comisión de investigación analizaba el papel de la contratación pública en la soberanía económica y digital de Francia y había puesto el foco en el uso de tecnologías estadounidenses tanto para herramientas ofimáticas como para alojamiento de datos públicos. Microsoft era, por tanto, uno de los actores clave de la investigación.

Cuando el senador y rapporteur Dany Wattebled preguntó a la compañía qué mecanismos técnicos y jurídicos impedían que los datos de las administraciones públicas francesas gestionados a través de contratos públicos pudieran acabar en manos del gobierno estadounidense, la respuesta de Carniaux fue directa: no podía garantizar que eso no ocurriera. Añadió que, según Microsoft, no se había producido hasta la fecha un caso así con clientes franceses de ese tipo y defendió que la empresa combate solicitudes imprecisas o abusivas. Pero el punto esencial ya había quedado fijado: si una orden estadounidense es jurídicamente válida, Microsoft reconoce que no puede prometer inmunidad total.

La relevancia de esta admisión es enorme porque desmonta parte del relato corporativo que grandes proveedores cloud han mantenido durante años en Europa. Durante ese tiempo, compañías como Microsoft han insistido en conceptos como “trusted cloud”, “European data boundary” o soluciones locales de partner cloud para transmitir una idea de mayor control europeo. Sin embargo, la propia audiencia francesa ha dejado claro que ni la localización física ni determinadas arquitecturas comerciales bastan por sí solas para neutralizar el conflicto de jurisdicciones.

El Cloud Act, el RGPD y el choque de marcos legales

El problema tiene nombre y no es nuevo: Cloud Act. Esta ley estadounidense, aprobada en 2018, permite a las autoridades de Estados Unidos solicitar datos a empresas bajo su jurisdicción incluso cuando esos datos están almacenados fuera de territorio estadounidense. Esa extraterritorialidad es la que ha convertido a los grandes hyperscalers norteamericanos en una fuente permanente de preocupación para gobiernos y reguladores europeos.

El choque con Europa es evidente. El artículo 48 del RGPD establece que una resolución judicial o administrativa de un tercer país que exija transferir o comunicar datos personales solo puede ser reconocida o ejecutada si se basa en un acuerdo internacional en vigor entre ese país y la Unión Europea o uno de sus Estados miembros, sin perjuicio de otras vías previstas en el reglamento. Es decir, el RGPD no acepta sin más que una autoridad extranjera pueda reclamar datos europeos fuera de un marco jurídico reconocido por la UE.

Ese choque normativo no es teórico. El Comité Europeo de Protección de Datos publicó el 5 de junio de 2025 la versión final de sus directrices sobre el artículo 48, subrayando precisamente que las solicitudes de autoridades de terceros países deben analizarse con gran cautela y no pueden asumirse automáticamente como válidas por el mero hecho de que existan bajo el derecho del país solicitante. La soberanía digital europea, por tanto, no es solo una cuestión política: también es una tensión jurídica constante entre marcos regulatorios incompatibles en algunos puntos clave.

Health Data Hub, Project Bleu y el límite de las “nubes soberanas”

La comparecencia de Microsoft ha vuelto a poner el foco sobre uno de los casos más sensibles de Francia: el Health Data Hub, la plataforma nacional de datos de salud, alojada desde su origen sobre infraestructura de Microsoft Azure. El asunto lleva años generando controversia por la naturaleza extremadamente sensible de esos datos y por el riesgo de que pudieran quedar expuestos a solicitudes de autoridades estadounidenses.

Durante las audiencias del Senado, el caso del Health Data Hub apareció como ejemplo emblemático de una dependencia tecnológica que Francia lleva tiempo intentando corregir. En 2019, según se explicó en la propia comisión, se consideró que no existían alternativas europeas suficientemente maduras para lanzar el proyecto con la rapidez necesaria. Pero ese argumento de urgencia técnica ha ido perdiendo fuerza a medida que la soberanía digital se ha convertido en prioridad política.

Aquí entra en juego Bleu, la empresa creada por Orange y Capgemini para ofrecer en Francia un “cloud de confianza” basado en tecnologías de Microsoft 365 y Azure, pero explotado por una estructura francesa e independiente, con la vocación de obtener la calificación SecNumCloud 3.2 de ANSSI. Sobre el papel, Bleu intenta responder precisamente a esta tensión entre funcionalidad y soberanía. El problema es que en el Senado francés han persistido las dudas sobre si esa separación entre la tecnología de Microsoft y la operación francesa es suficiente para disipar por completo el riesgo jurídico.

Y no se trata de una inquietud marginal. El informe del Senado es muy claro al afirmar que Microsoft Francia no está en condiciones de garantizar la soberanía de los datos de los ciudadanos franceses que aloja. Además, la propia lógica de SecNumCloud 3.2 va en esa línea: exige, entre otras cosas, inmunidad frente a legislaciones extracomunitarias para determinados servicios cloud sensibles. En la práctica, esto significa que el estándar francés más exigente reconoce implícitamente que la mera residencia local no basta.

Un aviso para toda Europa, no solo para Francia

Aunque la escena se haya producido en el Senado francés, la lectura es plenamente europea. Francia ha verbalizado con crudeza un problema que afecta a toda la Unión: la dependencia del software, del cloud y de las plataformas estadounidenses no desaparece porque los datos crucen menos fronteras físicas. Mientras el control jurídico último siga en EE. UU., la autonomía europea seguirá siendo parcial.

Microsoft, de hecho, ha tratado de responder a esta presión con iniciativas como el EU Data Boundary, que busca almacenar y procesar más datos de clientes europeos dentro de la UE y la EFTA. Pero incluso esa estrategia responde más a la residencia y a la limitación de flujos que a una soberanía plena en sentido estricto. La propia comparecencia en Francia lo deja en evidencia: una cosa es reducir la circulación de datos fuera de Europa, y otra muy distinta poder prometer que nunca estarán sometidos a una orden válida bajo derecho estadounidense.

Por eso la admisión de Microsoft tiene un valor tan simbólico. No solo porque confirma lo que muchos expertos llevan años advirtiendo, sino porque lo hace en sede parlamentaria y con todas las implicaciones políticas que eso conlleva. El debate ya no es si Europa debe tener más cloud local, más centros de datos o más normas. El debate real es si quiere seguir confiando sus datos más sensibles a proveedores cuya lealtad jurídica última no depende de Europa.

La respuesta todavía no está cerrada. Pero desde la comparecencia en París ha quedado una conclusión difícil de matizar: si una empresa sometida al derecho estadounidense reconoce que no puede garantizar soberanía plena frente a Washington, entonces Europa no tiene un problema de percepción. Tiene un problema de dependencia estructural.

Preguntas frecuentes

¿Qué dijo exactamente Microsoft ante el Senado francés?
Anton Carniaux, director de asuntos públicos y jurídicos de Microsoft Francia, respondió que no podía garantizar que los datos de ciudadanos franceses alojados por Microsoft no fueran remitidos a autoridades estadounidenses sin autorización francesa.

¿La residencia de datos en Europa garantiza la soberanía digital?
No. La residencia se refiere a dónde están físicamente los datos. La soberanía depende también de la jurisdicción que puede imponer el acceso a esos datos. Si el proveedor está sometido a leyes extraterritoriales, la residencia por sí sola no basta.

¿Qué papel tiene el Cloud Act en este debate?
El Cloud Act permite a las autoridades estadounidenses reclamar datos a empresas bajo su jurisdicción aunque esos datos estén almacenados fuera de Estados Unidos. Ese es uno de los principales motivos de fricción con el marco europeo de protección de datos.

¿Qué es Bleu y por qué aparece en esta discusión?
Bleu es una empresa creada por Orange y Capgemini para ofrecer en Francia un cloud de confianza basado en tecnologías de Microsoft, con vocación de cumplir los requisitos de SecNumCloud. Se presenta como una vía para reforzar la soberanía, aunque sigue generando debate sobre si basta para neutralizar el riesgo jurídico extraterritorial.

vía: actuia y the register

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Silvia A. Feliz

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

YMTC prepara tres nuevas fábricas y desafía el cerco tecnológico

Artec deja VMware por Proxmox y gana un 40% de rendimiento

NVIDIA lanza Ising para acercar la computación cuántica útil

Meta amplía su apuesta por CoreWeave con un contrato de IA de 21.000 millones

Las últimas novedades de tecnología y cloud

Suscríbete gratis al boletín de Revista Cloud. Cada semana la actualidad en tu buzón.

Suscripción boletín
×