En los últimos meses, la soberanía digital ha dejado de ser un debate académico para convertirse en una prioridad en los consejos de administración. No hay un único detonante, sino la suma de varios y, sobre todo, la constatación de que más del 90% de los datos europeos están controlados por empresas estadounidenses. No es retórica: son cifras de la propia Comisión Europea.
El problema es conocido, pero sus ramificaciones para una empresa no siempre se entienden bien. Conviene aterrizarlas. La primera es jurisdiccional. La CLOUD Act estadounidense permite a sus autoridades exigir datos alojados por empresas sujetas a su ley, incluso si residen físicamente en un centro de datos europeo. Cláusulas contractuales, cifrado gestionado por el proveedor o regiones europeas de un hyperscaler no bastan: si la matriz responde ante un juez en Virginia, sus filiales también. El RGPD y esa obligación conviven en tensión, y la empresa cliente queda atrapada en medio.
La segunda es operativa. Una decisión política —un arancel, una restricción de exportación, un cambio de licencia— puede alterar de un día para otro el coste, la disponibilidad o las funcionalidades del servicio del que depende nuestra infraestructura. Lo hemos visto con software empresarial, con modelos de IA y con partes enteras del stack cloud. Resiliencia no es sólo tener copias de seguridad, es poder seguir operando si el proveedor desaparece, sube el precio o cambia las reglas.
La tercera es estratégica. Quien controla la infraestructura define, en la práctica, cómo se gestionan los datos, qué modelos de IA se entrenan y a qué precio. Europa corre el riesgo, como advertían los informes Letta y Draghi, de convertirse en proveedora de datos y consumidora de tecnología. El colonialismo digital no es una metáfora, es un modelo de negocio.
La buena noticia es que ya existe un marco para reaccionar. En octubre de 2025, la Comisión Europea publicó el ‘Cloud Sovereignty Framework’, que define ocho objetivos de soberanía y cinco niveles de aseguramiento (SEAL-0 a SEAL-4), desde «ninguna soberanía» hasta «soberanía digital plena». Es una brújula útil también para el sector privado: cualquier CISO puede tomarla y evaluar honestamente a sus proveedores.
A esto se suma la hoja de ruta ‘Acelerar la soberanía digital en España’, que el Gobierno ha presentado en febrero, y que recuerda algo que tendemos a olvidar: partimos mejor de lo que creemos. España está entre los cinco países más ciberseguros del mundo según la UIT, tiene la tercera mayor red de edge computing de Europa, lidera el despliegue de fibra óptica de la UE y alberga superordenadores como MareNostrum. Existe ecosistema europeo, existe tecnología europea y, por supuesto, existe alternativa europea.
¿Por qué debería entonces una empresa elegir proveedores europeos? No por patriotismo, sino por gestión del riesgo. Porque la jurisdicción aplicable importa cuando llega una citación judicial. Porque la continuidad de servicio importa cuando cambia el contexto geopolítico. Porque los datos de los clientes pesan más que el descuento por volumen. Y porque si Europa toma colectivamente la misma decisión —el principio Buy European que ya empujan las instituciones—, en unos años tendremos un stack tecnológico propio que hoy parece lejano. Desde Transparent Edge venimos defendiendo esto desde hace años. La soberanía digital no va de cerrar fronteras, va de no cederlas sin pensarlo.
