Tu cloud está en Europa, ¿pero bajo qué ley viven tus datos?

Aire celebró el 08/07/2026 la primera sesión de Despeja tu Cloud, una serie de encuentros pensada para aclarar las decisiones técnicas, jurídicas y económicas que rodean a la infraestructura digital. Zigor Gaubeca, CIO de Aire, y David Aibar Carretero, Head of Sales, centraron el webinar en una pregunta que muchas empresas todavía no saben responder: dónde están sus datos, quién puede ejercer autoridad sobre ellos y cuánto tardarían en trasladar sus cargas si las condiciones cambiasen. La grabación completa está disponible en el perfil de Aire en LinkedIn.

Las claves de la soberanía cloud en 20 segundos

  • Alojar información en un centro de datos europeo no implica que quede sometida exclusivamente a legislación europea.
  • La nacionalidad, la estructura societaria y el control efectivo del proveedor también determinan la exposición jurídica.
  • El CLOUD Act estadounidense permite exigir a determinados proveedores datos bajo su posesión, custodia o control, aunque estén almacenados fuera de Estados Unidos.
  • No supone un acceso arbitrario a cualquier empresa: requiere un procedimiento legal dirigido a información concreta y contempla mecanismos de impugnación.
  • El futuro Cloud and AI Development Act europeo, conocido como CADA, es una propuesta presentada en junio de 2026 y todavía debe negociarse.
  • El Data Act ya obliga a facilitar la portabilidad y a preparar mejor la salida de un proveedor cloud.
  • La soberanía no exige abandonar los hiperescaladores, sino evitar que toda la continuidad del negocio dependa de uno solo.
  • La primera medida práctica es clasificar los datos y probar un plan de salida antes de necesitarlo.

El punto de partida del encuentro fue el complejo marco normativo que se está formando alrededor del cloud. RGPD, Data Act, NIS2, Reglamento de Inteligencia Artificial y la futura iniciativa CADA no son piezas aisladas. Juntas están obligando a empresas y administraciones a conocer mejor sus dependencias, los países desde los que se prestan sus servicios y las condiciones para recuperar sus datos.

Durante la sesión, Gaubeca y Aibar insistieron en que la soberanía digital no debe tratarse como un debate teórico ni como una elección entre “Europa” y “la nube pública”. Es una cuestión de gestión de riesgos: saber qué ocurriría si un proveedor cambiase los precios, modificase sus licencias, recibiese una orden de una autoridad extranjera o dejase de prestar un servicio esencial.

La ubicación del servidor es solo una parte de la respuesta

Durante años, muchas decisiones cloud se han reducido a una pregunta aparentemente sencilla: ¿en qué región están alojados los datos? Elegir Madrid, París, Fráncfort o Dublín se interpretaba como una forma suficiente de mantener la información dentro de Europa.

La localización física es importante, pero no resuelve por sí sola la cuestión jurisdiccional. También hay que conocer quién controla la empresa contratada, qué sociedades intervienen en el servicio, qué personal puede administrar la plataforma y qué leyes extranjeras pueden exigirle actuar.

El CLOUD Act fue aprobado en Estados Unidos en marzo de 2018. La norma establece que los proveedores sujetos a su jurisdicción deben entregar, mediante el procedimiento legal correspondiente, datos que estén bajo su posesión, custodia o control, aunque se encuentren almacenados en otro país. Por eso un servicio desplegado en una región europea no queda automáticamente fuera de su alcance.

Esto necesita una aclaración importante. El CLOUD Act no permite que cualquier juez estadounidense solicite indiscriminadamente todos los datos de una compañía por una investigación que no guarda relación con ella. Las peticiones deben referirse a información concreta y apoyarse en órdenes, requerimientos o instrumentos jurídicos válidos. Los proveedores cuentan además con vías para recurrir determinadas solicitudes cuando entran en conflicto con derechos extranjeros.

El riesgo real no es una puerta abierta sin controles, sino la superposición de dos marcos jurídicos. Una empresa europea puede estar obligada por el RGPD y, al mismo tiempo, depender de un proveedor que debe responder ante una autoridad estadounidense. Esa tensión fue señalada por las autoridades europeas de protección de datos poco después de aprobarse la norma.

De ahí que la expresión “los datos están en Europa” resulte insuficiente. Para conocer la exposición real hay que formular más preguntas: ¿quién controla las claves de cifrado?, ¿desde dónde se presta el soporte?, ¿qué subcontratistas participan?, ¿puede la matriz acceder técnicamente a los sistemas?, ¿qué información publica el proveedor sobre solicitudes gubernamentales?, ¿existe una entidad europea realmente independiente?

El cifrado reduce el riesgo, pero tampoco funciona como una respuesta universal. Cuando el proveedor controla las claves o necesita acceder al contenido en claro para prestar el servicio, una orden puede seguir afectando a los datos. Las garantías aumentan cuando el cliente conserva el control exclusivo de las claves y el diseño impide que el operador pueda reconstruirlas, aunque esto no resulta viable para todas las aplicaciones.

Europa quiere convertir la soberanía en una condición medible

La Comisión Europea presentó el 03/06/2026 un paquete para reducir la dependencia tecnológica exterior. Una de sus piezas es el Cloud and AI Development Act, CADA, que propone reforzar la capacidad europea en cloud, inteligencia artificial y centros de datos.

CADA todavía no es una norma en vigor. Tendrá que negociarse con el Parlamento Europeo y el Consejo antes de conocer su redacción definitiva. Esta precisión resulta importante para las empresas: hoy no existen obligaciones directamente exigibles derivadas del nuevo texto, aunque su orientación ya permite anticipar hacia dónde se mueve la contratación pública y la infraestructura crítica.

La propuesta incorpora criterios de soberanía para servicios utilizados en sectores sensibles y contratos públicos. La residencia de los datos seguirá importando, pero se valorarán también la legislación aplicable, el control societario, la tecnología utilizada y la posibilidad de que una autoridad extranjera interrumpa el servicio o acceda a la información.

La Comisión ha expresado preocupación por los llamados kill switches: la posibilidad de que una compañía o un gobierno extranjero suspenda una tecnología de la que dependen hospitales, redes energéticas, administraciones o servicios financieros. El debate ya no se limita a la privacidad. Incluye continuidad, capacidad industrial y autonomía para mantener sistemas esenciales durante una crisis.

Gaubeca explicó durante el webinar que este marco se suma al RGPD, al Reglamento de Inteligencia Artificial y a NIS2. Cada norma actúa sobre un riesgo distinto, pero todas elevan la responsabilidad de las empresas sobre sus proveedores, sus flujos de información y sus procesos de continuidad.

NIS2 amplía el número de sectores sometidos a obligaciones de ciberseguridad e incorpora a proveedores cloud, centros de datos y empresas de servicios gestionados dentro de una cadena que debe evaluar riesgos, proteger operaciones y notificar incidentes. España seguía completando su transposición cuando se celebró el webinar.

El Reglamento de Inteligencia Artificial añade otra dimensión. Cuando una empresa lleva sus datos a una herramienta generativa no solo debe preguntarse dónde se aloja la infraestructura. También debe controlar qué información introducen los empleados, si existe una base jurídica para tratarla, cómo se evita la fuga de datos y qué proveedores secundarios participan.

Un contrato que asegure que el modelo no entrenará con la información corporativa es útil, pero no sustituye a controles de prevención de pérdida de datos, clasificación, permisos y trazabilidad. El uso empresarial de IA está aumentando la cantidad de información sensible que sale de los sistemas tradicionales mediante acciones tan sencillas como copiar un texto en una ventana de chat.

El plan de salida deja de ser opcional

Uno de los mensajes más prácticos de la charla fue la necesidad de diseñar la salida antes de entrar. David Aibar utilizó el ejemplo del alquiler de una oficina: quien ocupa un inmueble no calcula únicamente la adaptación y la renta mensual, también debe prever cuánto costará abandonarlo y devolverlo en las condiciones acordadas.

Con el cloud no suele ocurrir lo mismo. Las empresas presupuestan la migración inicial, los recursos informáticos y el consumo mensual, pero rara vez reservan dinero para extraer datos, transformar aplicaciones y reconstruir servicios en otro proveedor.

El problema aparece cuando la salida deja de ser voluntaria. Una subida de precios, un cambio de licencias, una adquisición empresarial, una decisión regulatoria o un conflicto geopolítico pueden convertir una arquitectura rentable en una dependencia difícil de sostener.

El Data Act europeo intenta reducir algunas de estas barreras. Sus disposiciones principales son aplicables desde el 12/09/2025 y obligan a los proveedores a incluir condiciones claras para cambiar a otro servicio o regresar a una infraestructura propia.

La norma establece, como regla general, un periodo transitorio máximo de 30 días naturales para completar el cambio después del preaviso contractual. Si el proveedor demuestra que el plazo no es técnicamente viable, puede proponer una alternativa que no supere los siete meses. También debe colaborar, mantener la continuidad y explicar qué datos y activos digitales pueden exportarse.

El reglamento también obliga a los proveedores a informar de la jurisdicción aplicable a su infraestructura y de las medidas adoptadas para evitar accesos gubernamentales internacionales que entren en conflicto con el Derecho europeo. Es una obligación de transparencia directamente relacionada con la pregunta planteada por Aire: bajo qué ley viven realmente los datos.

Los cargos vinculados al cambio, incluidos determinados costes de salida de datos, deben limitarse mientras dure el periodo transitorio. Desde el 12/01/2027 los proveedores no podrán imponer gastos por las actuaciones obligatorias del proceso de cambio, aunque seguirán existiendo servicios adicionales, costes de terceros y penalizaciones contractuales que no formen parte estrictamente de esa operación.

La eliminación de una tarifa no convierte automáticamente una aplicación en portable. Una plataforma construida alrededor de servicios propietarios, bases de datos administradas, funciones serverless y herramientas exclusivas puede necesitar meses de desarrollo para funcionar en otro entorno.

El bloqueo más difícil no siempre está en los contratos. Puede encontrarse en la arquitectura.

Soberanía no significa renunciar a los hiperescaladores

La charla evitó plantear a AWS, Microsoft Azure o Google Cloud como enemigos. Sus plataformas ofrecen escala, servicios avanzados y una velocidad de innovación difícil de replicar. Para muchas cargas siguen siendo una elección razonable.

La soberanía operativa consiste en mantener la capacidad de decidir qué se ejecuta en cada lugar y evitar que un solo proveedor tenga poder sobre todas las funciones esenciales. Una empresa puede utilizar un hiperescalador para servicios globales o innovación y reservar una nube europea, una infraestructura privada o un segundo operador para datos críticos, copias y continuidad.

Aibar recuperó un principio conocido en el desarrollo de software: bajo acoplamiento y alta cohesión. Durante décadas se ha enseñado a programar evitando que un componente condicione toda la aplicación, pero muchas organizaciones han construido infraestructuras completamente dependientes de una única plataforma.

La diversificación tampoco debe confundirse con distribuir cargas sin planificación. Un multicloud improvisado eleva la complejidad, duplica herramientas y dificulta la seguridad. La organización necesita definir qué riesgos quiere reducir y qué aplicaciones justifican realmente una alternativa.

La conversación debería comenzar por la clasificación de la información. Los datos públicos, las aplicaciones internas, los expedientes médicos, las credenciales, los algoritmos propios y las copias de seguridad no requieren el mismo nivel de protección.

Una posible estrategia separa tres grupos. Las cargas sin información sensible pueden permanecer donde resulte más eficiente. Los sistemas importantes pueden diseñarse para trabajar en un entorno híbrido. Los datos cuya pérdida, acceso o interrupción comprometería la actividad necesitan el mayor control jurídico, técnico y operativo posible.

Cuatro trabajos que una empresa debería iniciar antes de 2027

ÁreaPregunta que debe responderTrabajo recomendado
Jurisdicción¿Qué países y sociedades pueden ejercer control sobre el servicio?Elaborar un mapa de proveedores, matrices, subcontratistas, ubicaciones, personal administrador y legislación aplicable
Clasificación¿Qué datos sostienen el negocio y cuáles pueden moverse con menor riesgo?Clasificar información y cargas por sensibilidad, dependencia, RTO, RPO e impacto regulatorio
Salida¿Cuánto tiempo y dinero costaría cambiar de proveedor?Documentar formatos, volúmenes, ancho de banda, herramientas, transformaciones, personal y costes de migración
Prueba técnica¿El plan funciona fuera de un documento?Realizar exportaciones, restauraciones y arranques periódicos en una infraestructura alternativa

El plan debe incluir algo más que una cláusula contractual. Hace falta saber cuántos terabytes deben transferirse, cuánto tardaría la operación con el ancho de banda disponible y qué servicios no pueden reproducirse fuera del proveedor original.

Las copias también deben ser recuperables en un entorno distinto. Una copia almacenada en el mismo proveedor y dependiente de sus herramientas no protege frente a un bloqueo comercial, jurídico o técnico de toda la plataforma.

El contrato debería identificar qué datos pueden exportarse, en qué formatos, con qué ayuda, en qué plazo y a qué coste. También debe definir el borrado posterior, la disponibilidad de registros, la devolución de claves y la asistencia durante la transición.

La última fase es probar. Una organización no sabe si es soberana porque el proveedor lo afirme en una presentación. Lo sabe cuando puede restaurar una aplicación, reconstruir una red y continuar el servicio en otro entorno dentro de un plazo conocido.

Esa fue la idea que recorrió la primera sesión de Despeja tu Cloud: la soberanía no es una etiqueta comercial ni una ubicación en el mapa. Es la capacidad de mantener el control cuando cambia una ley, un contrato, un precio o el contexto geopolítico.

La grabación del webinar con Zigor Gaubeca y David Aibar Carretero puede volver a verse en el perfil de Aire en LinkedIn. La sesión abre una conversación que durante los próximos meses dejará de estar limitada a los departamentos jurídicos. CADA, el Data Act, NIS2 y el crecimiento de la IA colocarán la jurisdicción, la portabilidad y el plan de salida en la agenda de cualquier responsable de tecnología y continuidad.

Preguntas frecuentes

¿Tener los servidores en Europa garantiza que el CLOUD Act no se aplique?
No. La ubicación física es solo uno de los factores. También importa si el proveedor está sujeto a jurisdicción estadounidense y si posee, controla o puede acceder a los datos solicitados.

¿Puede Estados Unidos acceder libremente a cualquier dato alojado en un proveedor estadounidense?
No. Debe existir un procedimiento jurídico válido dirigido a información concreta. Los proveedores pueden recurrir determinadas peticiones, aunque el alcance extraterritorial de la norma genera conflictos con la legislación europea.

¿CADA ya obliga a las empresas a contratar un cloud europeo?
No. El Cloud and AI Development Act fue presentado como propuesta en junio de 2026 y todavía debe superar el proceso legislativo europeo.

¿Qué debería hacer primero una empresa preocupada por su soberanía cloud?
Inventariar proveedores y jurisdicciones, clasificar los datos críticos y calcular cuánto costaría trasladar cada carga. Después debe realizar una prueba de salida real.

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Las últimas novedades de tecnología y cloud

Suscríbete gratis al boletín de Revista Cloud. Cada semana la actualidad en tu buzón.

Suscripción boletín
×