En el nuevo mapa de centros de datos de Amazon Web Services (AWS) aparece una etiqueta llamativa sobre Alemania: “AWS European Sovereign Cloud – Coming soon”. La promesa es seductora para gobiernos y empresas reguladas: una nube “soberana” para Europa, operada por personal europeo, con datos residentes en la Unión y pensada para cumplir RGPD, NIS2 y el resto de la artillería regulatoria comunitaria.
Tabla de contenidos
Sin embargo, detrás del eslogan emerge una pregunta incómoda:
¿puede una infraestructura controlada por una empresa estadounidense ser realmente soberana para Europa?
La respuesta, si se atiende al marco jurídico y geopolítico actual, es sencilla: no. O, como mínimo, no en el sentido fuerte de soberanía que muchos responsables públicos y reguladores dicen perseguir.
Lo que AWS promete: separación física, personal europeo, gran inversión
AWS detalla que su European Sovereign Cloud será una nube “independiente” para Europa: regiones físicamente y lógicamente separadas del resto de su red global, sin dependencias críticas de infraestructuras fuera de la UE, operadas y administradas exclusivamente por personal residente y ciudadano de la Unión, y con una primera región en Brandeburgo (Alemania) respaldada por una inversión de 7,8 millardos de euros hasta 2.040.
Sobre el papel, la propuesta resuelve varias preocupaciones:
- Residencia de los datos: todo se aloja en suelo europeo.
- Control operativo: solo personal europeo puede acceder y gestionar la plataforma.
- Autonomía técnica: la región está aislada del resto de regiones de AWS.
A todo ello se suma el argumento comercial: los clientes seguirán usando las mismas APIs, servicios y herramientas que en la nube global de AWS, evitando reescrituras de aplicaciones o nuevos proveedores.
El problema no está en los bits, sino en las leyes
El punto de fricción aparece cuando se deja de mirar el mapa físico y se analiza el marco legal. Las leyes estadounidenses, en particular el CLOUD Act y otras normas anteriores como el Patriot Act, otorgan a las autoridades de EE. UU. la capacidad de exigir datos a empresas sometidas a su jurisdicción, con independencia de dónde estén físicamente esos datos siempre que la compañía tenga “posesión, custodia o control” sobre ellos.
Dicho de otro modo: si la matriz sigue siendo una corporación estadounidense, con control último sobre la infraestructura, el software o las claves de gestión, la promesa de “soberanía” choca con una realidad jurídica extraterritorial.
No es un debate académico. Las autoridades de protección de datos suizas, por ejemplo, han desaconsejado a las administraciones el uso de servicios SaaS de grandes proveedores estadounidenses (Microsoft 365, AWS, Google Cloud) precisamente por el riesgo de acceso bajo el CLOUD Act, incluso cuando los datos se alojan en Europa y se adoptan medidas de cifrado estándar.
La contradicción es evidente: el RGPD y NIS2 construyen una arquitectura de protección y control europeo, mientras que el CLOUD Act introduce una puerta lateral que, en determinados casos, puede obligar a entregar información a un tercer país.
El espejismo de la soberanía “por configuración”
Ante estas críticas, los hiperescalares han desplegado una estrategia clara: multiplicar capas técnicas y corporativas para blindarse… sin cambiar la naturaleza de fondo del operador.
AWS habla de “sovereign-by-design”; Microsoft impulsa Bleu junto a Orange y Capgemini en Francia; Google colabora con Thales en S3NS. Todas estas iniciativas refuerzan el control local (filiales europeas, personal europeo, centros de datos en la UE, cifrado avanzado, gestión local de claves), y algunas aspiran a certificaciones como SecNumCloud de la ANSSI francesa, que fija criterios estrictos de inmunidad frente a leyes extraterritoriales.
Son pasos en la buena dirección para ciertos usos. Pero incluso en estos modelos “de confianza” la discusión jurídica sigue abierta:
¿basta con mayorías europeas y gobernanza local para neutralizar totalmente obligaciones legales en EE. UU.? ¿O sigue habiendo una tensión estructural imposible de resolver mientras el proveedor de tecnología base sea estadounidense?
El debate se enmarca en un contexto en el que los gigantes de EE. UU. concentran entre el 70 % y el 80 % del mercado mundial de cloud, y los intentos europeos de construir alternativas (como GAIA-X) han avanzado mucho más despacio de lo previsto.
Qué significa “soberanía digital” en serio
Desde la perspectiva europea, la soberanía digital no se limita a decidir en qué país se guardan los datos. Incluye al menos tres dimensiones:
- Jurisdicción
Que los datos, los sistemas y quienes los operan estén plenamente sometidos al derecho europeo, sin que leyes de terceros países puedan imponer obligaciones contradictorias. - Control tecnológico
Tener capacidad real para auditar, migrar, replicar o sustituir la infraestructura y el software sin quedar atrapados en un único proveedor (el famoso vendor lock-in). - Gobernanza y resiliencia
Poder decidir, como Unión o como Estado miembro, qué ocurre en casos de crisis geopolítica, sanciones, conflictos comerciales o choques regulatorios.
Las nubes “soberanas” ofrecidas por compañías estadounidenses mejoran la situación actual en varios puntos —sobre todo en residencia de datos y controles de acceso—, pero no alteran el hecho básico de que el timón corporativo sigue en Seattle, Redmond o Mountain View.
El ecosistema europeo que ya existe… y que se mira poco
Mientras se negocian memorandos y hojas de ruta con los hiperescalares, Europa dispone de un ecosistema de infraestructura propio que rara vez ocupa titulares:
- grandes proveedores de cloud europeo, como Stackscale, OVHcloud, Scaleway, Hetzner, Aruba Cloud, T-Systems, Deutsche Telekom, Orange Business y otros actores regionales;
- cientos de operadores de centros de datos neutros y proveedores de housing y bare metal repartidos por España, Francia, Alemania, Países Bajos, los países nórdicos o Italia;
- iniciativas públicas y privadas que combinan cloud privado, edge computing y servicios gestionados totalmente bajo derecho de la UE.
Estos actores, con sus luces y sombras, tienen una ventaja estructural: no están sometidos al CLOUD Act ni a otras normas extraterritoriales de EE. UU. y pueden alinearse sin fisuras con el RGPD, NIS2 y las futuras regulaciones de IA, datos industriales o ciberresiliencia.
El argumento habitual para relegarlos es que “no tienen todo el catálogo de servicios de los hiperescalares”. Es cierto: ninguno ofrece hoy la misma amplitud de productos que AWS, Azure o Google Cloud. Pero, para una parte significativa de cargas de trabajo —sobre todo infraestructuras críticas, datos especialmente sensibles o sistemas de gobierno—, la prioridad quizá no debería ser tener el último managed service, sino garantizar la máxima autonomía y control jurídico.
¿Qué debería hacer Europa?
El debate no trata de demonizar a los proveedores estadounidenses. Han sido y seguirán siendo socios tecnológicos clave y, para muchas empresas, la opción más eficiente. Pero si la UE se toma en serio su discurso de soberanía digital, tendrá que ir más allá de aceptar como suficiente cualquier “capa soberana” que le ofrezcan.
Algunas líneas de acción obvias serían:
- Condicionar la contratación pública: para determinados tipos de datos y servicios, exigir que el proveedor no esté sometido a leyes extraterritoriales incompatibles con el derecho europeo.
- Apoyar de forma decidida a los proveedores europeos de cloud e infraestructura, no solo con discursos, sino con contratos, programas de innovación y marcos regulatorios estables.
- Fomentar arquitecturas multi-cloud y abiertas, que eviten dependencia total de un único actor y faciliten mover cargas entre nubes europeas y globales según el nivel de sensibilidad.
- Clarificar jurídicamente los límites de la colaboración con nubes “soberanas” de origen estadounidense, para que administraciones y sectores regulados sepan exactamente qué riesgos asumen.
Soberanía no es un feature, es una decisión política
El anuncio del AWS European Sovereign Cloud, igual que las alianzas de Microsoft y Google con socios europeos, demuestra que Bruselas ya pesa en la agenda de los gigantes del cloud. Es una buena noticia: significa que las exigencias de regulación y soberanía han dejado de ser un ruido de fondo.
Pero conviene no confundir marketing con realidad. Un centro de datos en Alemania, operado por personal europeo y con gran inversión, puede ser una herramienta útil para muchos casos de uso. Lo que no puede ser, mientras la empresa siga sujeta al derecho de EE. UU., es plenamente soberano en términos europeos.
La elección, al final, no es técnica, sino política:
o Europa decide que su información más crítica y su infraestructura estratégica estarán siempre bajo su propio paraguas jurídico y tecnológico, o seguirá confiando en capas de soberanía diseñadas por terceros.
Y una cosa está clara: las alternativas europeas existen. La cuestión ya no es si pueden estar a la altura, sino si se les va a dar la oportunidad de demostrarlo.
