En el mapa de centros de datos de Amazon Web Services (AWS) en Europa ha aparecido una nueva etiqueta sobre Alemania: AWS European Sovereign Cloud – Coming soon. Detrás de ese mensaje hay una inversión anunciada de 7,8 millardos de euros hasta 2.040 y la promesa de una nube “soberana” para gobiernos y sectores regulados de la Unión Europea.
El movimiento encaja en una tendencia más amplia: la UE endurece sus normas de protección de datos y resiliencia digital, mientras Washington mantiene leyes con alcance extraterritorial como el CLOUD Act. En medio de esa tensión, los gigantes estadounidenses del cloud intentan adaptar su oferta a las exigencias europeas… sin dejar de ser empresas sometidas al derecho de Estados Unidos.
La pregunta de fondo, incómoda pero inevitable para cualquier lector de la sección de Internacional, es sencilla:
¿puede una infraestructura controlada por una compañía estadounidense considerarse realmente “soberana” para Europa?
La apuesta de AWS: una nube “hecha en Europa” pero propiedad de Amazon
AWS presenta su European Sovereign Cloud como una región separada de su red global, con centros de datos en Brandeburgo, Alemania, que deberían estar operativos a finales de 2.025. La compañía asegura que:
- los datos se alojarán íntegramente en territorio de la UE;
- la operación y el soporte recaerán solo en ciudadanos de la Unión que trabajen desde la UE;
- la plataforma no dependerá de infraestructuras situadas fuera de Europa.
Sobre el papel, se trata de una respuesta directa a las preocupaciones de administraciones públicas, bancos, eléctricas o telecos que necesitan cumplir con el Reglamento General de Protección de Datos (RGPD), la directiva NIS2 de ciberseguridad o las nuevas normas financieras y de resiliencia digital.
La estrategia no es exclusiva de Amazon. Microsoft impulsa en Francia y Alemania “clouds de socios nacionales” como Bleu, una empresa conjunta con Orange y Capgemini que aspira a cumplir la estricta certificación SecNumCloud de la agencia de ciberseguridad francesa.
Google, por su parte, se ha asociado con Thales en S3NS, una oferta de “cloud de confianza” que opera centros de datos en Francia con personal local y busca el mismo sello de seguridad.
En todos los casos, el mensaje a los gobiernos europeos es similar: la tecnología de los grandes hiperescalares, pero envuelta en capas adicionales de control y gobernanza local.
El choque invisible: leyes extraterritoriales frente a soberanía europea
El problema para la narrativa de la “nube soberana” no está tanto en la ubicación física de los servidores como en el marco legal que los rodea.
Desde 2.018, el CLOUD Act permite a las autoridades de Estados Unidos exigir a empresas bajo su jurisdicción el acceso a datos que controlen, aunque estén almacenados fuera del país. El alcance es extraterritorial: lo importante no es dónde se guardan los datos, sino quién tiene “posesión, custodia o control” sobre ellos.
Ese principio choca frontalmente con la visión de Bruselas, que en los últimos años ha construido un entramado normativo —RGPD, NIS2, Data Act, DORA, futura regulación de IA— precisamente para reforzar la capacidad de la UE de proteger los datos de sus ciudadanos y su infraestructura crítica frente a injerencias externas.
El dilema ya no es teórico. Las autoridades de protección de datos de varios países europeos, entre ellos Suiza —que sigue de cerca los estándares de la UE—, han advertido que el uso de servicios en la nube de grandes proveedores estadounidenses puede entrar en conflicto con sus normas de privacidad cuando no existe cifrado de extremo a extremo o control suficiente sobre las claves.
En este contexto, que Amazon, Microsoft o Google creen “islas” europeas de sus servicios reduce ciertos riesgos, pero no elimina la cuestión de fondo: la matriz de estas compañías sigue en Estados Unidos y, en última instancia, responde a los jueces estadounidenses.
Un debate que divide también a los países de la UE
La discusión sobre qué debe entenderse por “soberanía en la nube” está abierta dentro de la propia Unión. Algunos Estados, con Francia a la cabeza, insisten en que la definición incluya expresamente la inmunidad frente a leyes extraterritoriales de terceros países. Otros gobiernos son más prudentes y temen que una posición demasiado dura se interprete en Washington como un gesto proteccionista.
La Comisión Europea ha empezado a trabajar en marcos de referencia sobre soberanía cloud que recogen lecciones de iniciativas como Gaia-X o los esquemas nacionales de “cloud de confianza” francés y alemán. El objetivo es fijar criterios comunes para las compras públicas y para los proyectos que manejen datos especialmente sensibles.
Pero, de momento, el mercado cuenta otra historia: los tres grandes proveedores estadounidenses concentran entre el 70 % y el 80 % del negocio mundial de infraestructura cloud, y su peso en Europa sigue creciendo.
¿Soberanía o simple cumplimiento normativo?
Para muchas administraciones y empresas reguladas, el atractivo de propuestas como la de AWS es evidente. Migrar a un “cloud europeo” de Amazon permite:
- seguir utilizando servicios y herramientas ya conocidos;
- obtener garantías adicionales sobre residencia de datos y control de accesos;
- presentar ante el regulador una arquitectura más alineada con las exigencias de NIS2 o del RGPD.
Desde este punto de vista, la oferta de los hiperescalares puede verse como una forma pragmática de adaptarse al nuevo entorno normativo sin romper con el modelo actual de externalización tecnológica.
Sin embargo, varios expertos en derecho digital y ciberseguridad advierten del riesgo de confundir cumplimiento regulatorio con independencia estratégica. Las nuevas regiones “soberanas” reducen la exposición a algunos riesgos, pero no cambian el hecho de que, si un conflicto político o judicial entre la UE y EE. UU. escalara, el control último de la tecnología seguiría estando en manos de empresas estadounidenses.
El otro camino: construir soberanía con proveedores europeos
Mientras se multiplican los anuncios de nubes “soberanas” operadas por filiales de grupos estadounidenses, Europa dispone de un ecosistema propio de proveedores de infraestructura, centros de datos y servicios cloud que, en muchos casos, pasan desapercibidos fuera del sector.
Se trata de compañías con capital europeo, centros de datos situados en la UE y sometidas exclusivamente a las leyes europeas. Algunas operan a escala continental; otras, a nivel nacional o regional. A menudo combinan servicios de housing y bare metal con plataformas de nube privada, soluciones de edge computing y servicios gestionados.
Su principal debilidad es conocida: no pueden igualar, por ahora, la amplitud del catálogo de servicios de los hiperescalares, especialmente en áreas como inteligencia artificial gestionada, analítica avanzada o servicios serverless de última generación.
Pero tienen una ventaja difícil de imitar:
cuando un gobierno nacional o una institución europea contrata con ellas, sabe que cualquier litigio se resolverá dentro del espacio jurídico europeo, sin que entren en juego normas externas como el CLOUD Act.
Para los defensores de la “autonomía estratégica abierta”, ese matiz es crucial. La cuestión, insisten, no es expulsar a los gigantes estadounidenses del mercado europeo, sino evitar que la totalidad de los servicios críticos dependan de actores cuyo centro de gravedad político y jurídico está fuera de la Unión.
Un dilema de fondo para la política exterior europea
Lo que a primera vista parece un debate técnico sobre centros de datos y cumplimiento normativo es, en realidad, un capítulo más de la relación transatlántica.
Por un lado, la UE sigue siendo el principal aliado económico y político de Estados Unidos, y necesita cooperar con sus empresas tecnológicas para impulsar la innovación y competir con China en campos como la inteligencia artificial o las redes 5G/6G.
Por otro, cada crisis —desde las revelaciones sobre espionaje hasta las guerras comerciales, pasando por cambios bruscos en la política de Washington— recuerda a los europeos que la dependencia excesiva de tecnología extranjera puede convertirse en un problema de seguridad y de soberanía.
La llegada de la AWS European Sovereign Cloud, y de sus equivalentes en Microsoft y Google, coloca a los gobiernos europeos frente a una decisión que ya no se podrá aplazar eternamente:
¿basta con “europeizar” parte de la infraestructura de las grandes tecnológicas estadounidenses, o es necesario apostar de forma más decidida por un tejido propio de proveedores de nube e infraestructura, aunque sea a costa de renunciar a cierta comodidad a corto plazo?
Por ahora, la respuesta real se verá en los contratos: en qué nubes se alojan los sistemas de sanidad, defensa, justicia, energía o administración electrónica de los próximos años. Esa será, en última instancia, la medida de hasta dónde llega la soberanía digital europea… y de cuánto sigue dependiendo de servidores cuyo dueño final habla inglés con acento de Seattle, Redmond o Mountain View.
