Durante los últimos años, la palabra mágica en Bruselas ha sido “soberanía digital”. Comisarios, gobiernos y grandes corporaciones la repiten como un mantra mientras anuncian a bombo y platillo nuevas regiones cloud de Microsoft, Amazon, Google o –en menor medida– proveedores chinos. Cada inauguración de un centro de datos en Europa se presenta como un avance hacia la autonomía estratégica.
Tabla de contenidos
Pero si la infraestructura crítica, el software y el gobierno corporativo siguen en manos de multinacionales estadounidenses o chinas, ¿de qué soberanía estamos hablando exactamente?
Qué significa realmente soberanía digital
En teoría, la soberanía digital europea persigue tres objetivos básicos:
- Control jurídico: que los datos de ciudadanos y empresas europeas estén protegidos por las leyes de la UE, sin interferencias externas.
- Control tecnológico: que Europa no dependa de un puñado de proveedores extranjeros para procesar, almacenar o analizar esos datos.
- Control estratégico: que, en un escenario de conflicto político, comercial o geopolítico, la infraestructura digital europea siga funcionando sin pedir permiso a terceros.
Sobre el papel suena bien. En la práctica, la realidad es muy distinta.
Un mercado en manos ajenas
El mercado cloud, tanto global como europeo, está dominado por el “trío” de siempre: AWS, Microsoft Azure y Google Cloud. Juntos concentran alrededor de dos tercios del mercado mundial de servicios de infraestructura en la nube, y su cuota sigue creciendo año tras año.
En Europa, el patrón es similar: la mayoría de administraciones públicas y grandes empresas corre sobre plataformas de estos proveedores. Incluso cuando contratan a integradores locales, el sustrato final suele ser el mismo: regiones europeas de proveedores no europeos.
A ello se suman los intentos de “cloud soberano” que han terminado reconvertidos o cerrados. El caso francés de Cloudwatt es paradigmático: nació con ambición de alternativa nacional, recibió fuertes subvenciones públicas y acabó desapareciendo sin apenas impacto, absorbiido por Orange tras años de pérdidas.
Mientras tanto, iniciativas como GAIA-X –la gran federación de datos europea– nacieron con el discurso de la autonomía, pero incorporaron rápidamente como miembros de pleno derecho a los mismos gigantes estadounidenses que supuestamente se pretendía equilibrar.
El resultado es un ecosistema donde la etiqueta de “soberano” convive con una dependencia estructural de actores externos.
El elefante en la sala: el CLOUD Act y la extraterritorialidad
Aunque un centro de datos esté físicamente en España, Alemania o Francia, si pertenece a una empresa con matriz en Estados Unidos se encuentra potencialmente sujeto al CLOUD Act, la ley estadounidense que permite requerir datos a compañías norteamericanas aunque estén almacenados fuera del país.
La Comisión Europea lleva años reconociendo públicamente esta preocupación: el riesgo de que datos sensibles de gobiernos o empresas estratégicas queden expuestos a jurisdicciones externas. Sin embargo, la respuesta práctica ha sido, en demasiados casos, confiar en cláusulas contractuales, arquitecturas “de confianza” y promesas de separación lógica… sin modificar la asimetría de poder de fondo.
Dicho de otro modo: Europa alquila tecnología y capacidad de cómputo a proveedores sobre los que no tiene capacidad real de decisión última. Eso no es soberanía; es, en el mejor de los casos, soberanía condicionada.
EUCS, GAIA-X y el choque entre discurso y realidad
La discusión en torno al esquema europeo de certificación cloud EUCS ha dejado al desnudo esta contradicción. Los primeros borradores incluían requisitos de “inmunidad frente a leyes extranjeras” y control europeo de las empresas certificadas; es decir, una definición exigente de lo que significa un proveedor verdaderamente soberano.
La reacción de los lobbies ha sido inmediata. Grandes empresas y cámaras de comercio han presionado para rebajar esos criterios porque, de aplicarse estrictamente, excluían de los niveles más altos de certificación a los hyperscalers estadounidenses. El debate sigue abierto, pero el mensaje es claro: cuando la soberanía choca con el negocio, suele ganar el negocio.
Algo similar ocurre con GAIA-X: el proyecto se comunica como símbolo de autonomía europea, pero en la práctica su gobernanza y sus especificaciones permiten que los gigantes no europeos sigan en el centro del tablero.
Soberanía “de alquiler”: centros de datos sí, control no
La nueva oleada de inversiones en centros de datos en Europa –como los megacampus previstos en Aragón o las regiones en Madrid, París, Frankfurt o Milán– se presenta como prueba del compromiso de estas compañías con el continente. Es innegable que generan empleo, impuestos y actividad económica local.
Pero una cosa es localizar la infraestructura y otra muy distinta es localizar el poder.
La propiedad de los activos, el diseño del hardware, el software que los orquesta, la hoja de ruta de producto, la fijación de precios, la priorización de innovaciones… todo eso se decide lejos de Bruselas, Madrid o Berlín. Si mañana una decisión regulatoria en Washington o un cambio de estrategia corporativa afecta a esas plataformas, Europa tiene poco margen de maniobra.
En la práctica, Europa se está convirtiendo en una colonia digital de alto nivel: consume servicios avanzados, aloja data centers de última generación, pero no controla ni define las reglas profundas de ese ecosistema.
¿Hay alternativas europeas? Sí, pero necesitan aire
Ser críticos con la dependencia no significa negar que existan opciones europeas. De hecho, están ahí:
- Proveedores de cloud y hosting como Stackscale, OVHcloud, Scaleway, STACKIT (Schwarz Digits), Deutsche Telekom o múltiples actores locales en cada país, que operan centros de datos bajo derecho europeo y con decisiones estratégicas tomadas en suelo europeo.
- Proyectos sectoriales de “cloud de confianza” en ámbitos como salud, administración pública o industria, donde cooperan empresas europeas de infraestructura, software y ciberseguridad.
- Iniciativas en torno a procesadores europeos, almacenamiento, redes ópticas o ciberseguridad que buscan reconstruir una base industrial propia.
El problema no es que no existan, sino que compiten en clara desventaja frente a gigantes con escalas de inversión casi inalcanzables, apoyados además por la inercia de mercado: “nadie fue despedido por elegir a los de siempre”.
Si los contratos millonarios de gobiernos y grandes corporaciones europeas siguen yendo masivamente a proveedores no europeos, será difícil que nuestros propios actores alcancen la masa crítica necesaria para innovar y competir.
Qué exigencias debería tener una verdadera soberanía digital europea
Si Europa quiere algo más que un eslogan, la discusión debería pasar de la cosmética a los criterios concretos. Un proveedor digital soberano, en sentido fuerte, debería cumplir al menos:
- Propiedad y sede principal en la UE
Que la empresa esté controlada desde Europa y sujeta únicamente a jurisdicción europea, sin matrices en países con leyes de acceso extraterritorial a los datos. - Infraestructura crítica en territorio europeo
Centros de datos, redes y operaciones clave ubicadas en la UE, con capacidad de operar de forma autónoma si se rompe el acceso a terceros países. - Uso de estándares abiertos y portabilidad real
Plataformas que eviten el lock-in tecnológico y faciliten mover cargas de trabajo entre proveedores europeos sin costes prohibitivos. - Gobernanza transparente y auditable
Mecanismos que permitan a administraciones y reguladores auditar cómo se gestionan los datos, cómo se aplican las medidas de seguridad y cómo se responde ante requerimientos legales. - Ecosistema de talento y hardware propio
Inversión sostenida en formación, investigación y fabricación –desde chips hasta sistemas de almacenamiento– para no depender completamente de cadenas de suministro externas.
Esto no implica cerrar las puertas a la colaboración con empresas de fuera de la UE, pero sí invertir la relación de dependencia: pasar de ser meros clientes cautivos a socios que eligen, integran y combinan tecnologías desde una posición de fuerza.
Un proyecto político, no sólo tecnológico
La soberanía digital no se construye solo con ingenieros y centros de datos; es un proyecto político que requiere decisiones incómodas: priorizar proveedores europeos en las compras públicas estratégicas, apoyar a campeones locales, coordinar políticas industriales entre países y aceptar que, durante un tiempo, algunas soluciones propias quizá no sean tan baratas o completas como las de los gigantes globales.
Europa ha demostrado en otros ámbitos –como la regulación de privacidad con el RGPD o, más recientemente, con el Reglamento de IA– que puede marcar estándares globales. Pero regular sin tener infraestructura propia es como escribir las normas de una liga en la que otros poseen todos los estadios, los árbitros y los derechos de televisión.
Conclusión: dejar de confundir hosting local con soberanía
Llamar “soberanía digital europea” a una estrategia basada casi por completo en plataformas estadounidenses o chinas es, como mínimo, engañoso. Tener los datos físicamente en Europa no basta si las palancas esenciales –propiedad, jurisdicción, hoja de ruta tecnológica– están fuera del continente.
Si de verdad se quiere una Europa dueña de su destino digital, la ecuación es sencilla, aunque políticamente complicada: hay que trabajar con empresas europeas, con bases y decisiones en territorio europeo, y construir con ellas un ecosistema competitivo, abierto y robusto.
Todo lo demás –por mucho que se vista de “cloud de confianza” o de promesas de inversión– será, en el mejor de los casos, soberanía alquilada por horas de CPU.
