Europa acaba de admitir, en un documento oficial redactado por sus propios juristas, que no controla la infraestructura sobre la que funcionan sus hospitales, sus redes eléctricas y sus gobiernos. No lo dijo así, por supuesto. Lo dijo con el lenguaje burocrático que Bruselas reserva para sus derrotas más incómodas, hablando de “dependencias estratégicas” y “marcos de evaluación de soberanía”. El 3 de junio de 2026 la Comisión Europea presentó el Paquete de Soberanía Tecnológica Europea, un conjunto de leyes destinado a reducir la dependencia del continente frente a Amazon, Microsoft y Google. La pieza central se llama Ley de Desarrollo de la Nube y la Inteligencia Artificial, conocida por su sigla en inglés, CADA. Detrás de la jerga hay una pregunta más simple y más vieja que cualquier reglamento. Quién controla los cables controla el poder.
El aviso que llegó en letra pequeña en 2018
La historia empieza en Washington, no en Bruselas. En 2018, bajo la primera administración Trump, el Congreso estadounidense aprobó una ley llamada CLOUD Act, sigla de Clarifying Lawful Overseas Use of Data Act. La norma establece que cualquier empresa estadounidense está obligada a entregar datos a las autoridades de su país, sin importar en qué territorio del planeta estén almacenados esos datos. La nube, es decir, los servidores remotos donde empresas y gobiernos guardan y procesan la información que antes se archivaba en papel, se convirtió así en territorio en disputa. Un hospital en Fráncfort puede guardar sus historias clínicas en un centro de datos alemán, gestionado por una empresa alemana subsidiaria de una matriz de Seattle, y ese detalle jurídico no cambia nada. Washington tiene una vía legal para pedir esa información, sin que un juez europeo intervenga en el proceso.
Durante años, los gobiernos europeos trataron esa ley como una curiosidad jurídica, una posibilidad remota que nunca se activaría en la práctica. Esa comodidad se sostenía en la idea de que las grandes tecnológicas estadounidenses, al construir centros de datos dentro de la Unión Europea, ofrecían una especie de blindaje geográfico. El argumento tenía un defecto evidente. La ley no habla de dónde están los servidores. Habla de dónde tiene su sede la empresa que los administra.
El diagnóstico que llegó dos años antes que la ley
El 9 de septiembre de 2024, el economista italiano Mario Draghi, expresidente del Banco Central Europeo, presentó ante la Comisión un informe encargado por la propia Ursula von der Leyen sobre el futuro de la competitividad europea. Entre sus conclusiones estaba la dependencia digital del continente frente a un puñado de proveedores extranjeros, señalada como una amenaza estructural y no como un detalle técnico. El informe recomendaba, entre otras cosas, construir capacidad europea propia en computación en la nube e inteligencia artificial. Un año después, una auditoría independiente encontró que apenas el 11% de las 383 recomendaciones del informe se habían aplicado por completo. La CADA es, en ese sentido, la traducción tardía y parcial de un diagnóstico que la propia Unión ya conocía desde hacía dos años.
La contabilidad de una dependencia
Las cifras que sostienen esta historia no son opiniones. Según estimaciones citadas por la propia Comisión Europea y por analistas de seguridad digital, las empresas estadounidenses concentran alrededor del 80% del gasto profesional en servicios de nube dentro de la Unión Europea. Los proveedores europeos, mientras tanto, han perdido terreno de forma sostenida durante la última década.
Según cifras recogidas por la Comisión Europea, la cuota de mercado de los proveedores europeos de computación en la nube cayó de aproximadamente el 29% en 2017 al 15% en 2022.
Son dos maneras distintas de medir el mismo desequilibrio, no la misma cifra repetida dos veces. La primera describe cuánto gastan hoy gobiernos y empresas europeas en proveedores estadounidenses. La segunda describe cuánto terreno han perdido, con los años, las empresas europeas que compiten por ese mismo negocio. Ese declive no ocurrió por accidente ni por conspiración. Ocurrió porque Amazon, Microsoft y Google ofrecían mejores precios, mayor capacidad y una integración más cómoda con las herramientas que los gobiernos y las empresas europeas ya usaban todos los días. El neoliberalismo digital no necesita coacción. Le basta con la eficiencia.
Bajo juramento en el Senado francés
El momento que convirtió esta discusión teórica en un problema político concreto ocurrió el 10 de junio de 2025, en una audición del Senado francés sobre el papel de la contratación pública en la soberanía digital del país. La comisión investigaba, entre otros casos, el Health Data Hub, la plataforma que centraliza datos médicos de millones de franceses y que funciona sobre servidores de Microsoft Azure, y el proyecto Bleu, una alianza entre Microsoft, Orange y Capgemini para ofrecer una nube supuestamente soberana. Anton Carniaux, director de asuntos públicos y jurídicos de Microsoft France, compareció junto a Pierre Lagarde, director técnico para el sector público de la misma empresa. Un senador le hizo una pregunta directa. Podía garantizar, bajo juramento, que los datos de ciudadanos franceses almacenados en la nube de Microsoft jamás serían transmitidos a las autoridades estadounidenses sin autorización explícita de Francia.
Carniaux respondió con una sola frase, registrada en el acta oficial del Senado. “No, no puedo garantizarlo.”
El ejecutivo aclaró que esa situación nunca se había producido en la práctica y que Microsoft resiste las solicitudes estadounidenses cuando las considera infundadas. Ninguna aclaración técnica logró disolver el efecto político de esas seis palabras. Un representante de una de las tres corporaciones que sostienen la infraestructura digital de un continente entero acababa de confirmar, ante el órgano legislativo de una de sus principales economías, que la protección ofrecida a los datos europeos depende en última instancia de la voluntad de un gobierno extranjero. Lagarde intentó matizar el golpe explicando que, desde enero de 2025, los datos de los clientes europeos no salen del territorio de la Unión en ningún momento del procesamiento. El senador que presidía la comisión calificó esa garantía de puramente declarativa, sin supervisión externa que la verifique. Francia ya había aprobado en 2024 una ley conocida como SREN, que obliga a migrar los datos más sensibles del Estado hacia proveedores certificados bajo el estándar SecNumCloud, diseñado específicamente para excluir a empresas sujetas al CLOUD Act. La aplicación de esa ley avanza con lentitud, y buena parte de los ministerios franceses sigue contratando, mientras tanto, a los mismos gigantes estadounidenses que la norma pretendía evitar.
Cuatro niveles para blindar la desconfianza
La respuesta de Bruselas fue construir un sistema de clasificación. La CADA establece cuatro niveles de soberanía para los proveedores de nube que quieran trabajar con instituciones públicas europeas. El primer nivel exige que los datos se procesen y almacenen dentro de territorio de la Unión. El segundo obliga al proveedor a demostrar independencia frente a gobiernos de terceros países y transparencia sobre su cadena de suministro de software. El tercero impone que la empresa esté controlada y sea propiedad de entidades europeas, con requisitos adicionales sobre la nacionalidad de su personal. El cuarto nivel, reservado a las cargas de trabajo más sensibles en materia de seguridad nacional, exige garantías todavía más estrictas de control y protección frente a cualquier influencia extranjera.
Henna Virkkunen, vicepresidenta ejecutiva de la Comisión encargada de soberanía tecnológica, fue clara sobre las implicaciones prácticas de ese diseño. Declaró a la prensa que sería extremadamente difícil para las empresas estadounidenses alcanzar los niveles más altos de soberanía, precisamente por las obligaciones que les impone el CLOUD Act en su propio país. No se trata de un obstáculo administrativo casual. Es una arquitectura legal diseñada para que ciertas empresas no puedan pasar la prueba, sin importar cuántos centros de datos construyan en suelo europeo. La Asociación de la Industria de Computación y Comunicaciones, que representa a Amazon, Microsoft y Google ante los reguladores, calificó el marco en un comunicado oficial como una fórmula de cierre progresivo del mercado disfrazada de política de seguridad.
La lección de Ámsterdam
Lo que en Bruselas todavía es una propuesta legislativa, en Ámsterdam ya fue un susto real. En octubre de 2025, el municipio eligió a la empresa neerlandesa Solvinity para gestionar su nube pública, precisamente para reducir su dependencia de proveedores estadounidenses, y firmó con ella un contrato de catorce millones de euros. Solvinity gestiona, entre otras cosas, la infraestructura de DigiD, el sistema de identidad digital que usan dieciséis millones y medio de neerlandeses para trámites con el Estado. Semanas después, el 5 de noviembre de 2025, la estadounidense Kyndryl anunció que compraría Solvinity. El municipio se enteró apenas un día antes del anuncio público. La elección de soberanía digital que Ámsterdam creía haber hecho quedó, de la noche a la mañana, bajo jurisdicción de una empresa sujeta al CLOUD Act.
El caso generó una petición con ciento cuarenta mil firmas y una comparecencia parlamentaria de urgencia. El gobierno neerlandés terminó bloqueando la operación en mayo de 2026, alegando riesgo para el interés público. Es, hasta ahora, el ejemplo más concreto de lo que la CADA intenta prevenir por ley. No hizo falta ningún interruptor apagado ni ninguna orden judicial para que Ámsterdam entendiera el problema. Bastó con leer, en un comunicado de prensa, el nombre de la empresa compradora.
El símbolo llegó antes que la ley
Un día después de presentar el paquete legislativo, el Parlamento Europeo hizo algo que ninguna ley obliga todavía a hacer. A partir del 4 de junio de 2026, el buscador francés Qwant reemplazó a Google como motor de búsqueda predeterminado en los navegadores Firefox y Edge de las computadoras institucionales del Parlamento, un cambio que afecta a setecientos veinte legisladores y a miles de asistentes y funcionarios. Cualquier eurodiputado puede seguir usando Google si lo prefiere. El gesto no busca imponer nada. Busca mostrar algo.
Los símbolos suelen llegar antes que las leyes, porque cuestan menos y se entienden más rápido. La Unión Europea tardará años en negociar, votar y aplicar la CADA entre sus veintisiete estados miembros. Cambiar un buscador predeterminado toma una tarde de trabajo informático. Entre ambos gestos hay una distancia que mide, con bastante precisión, cuánto cuesta realmente construir soberanía digital y cuánto cuesta simplemente anunciarla.
América Latina observa esta disputa desde una posición todavía más frágil que la europea. Ningún país de la región cuenta con un bloque de cuatrocientos cincuenta millones de habitantes, un presupuesto conjunto ni una Comisión capaz de legislar sobre soberanía de datos frente a Washington o frente a Pekín. Los hospitales, los ministerios y las universidades latinoamericanas dependen de la misma infraestructura estadounidense que hoy preocupa a los legisladores franceses y neerlandeses, sin que exista, por ahora, un debate público equivalente sobre lo que eso significa el día en que alguien decida activar ese interruptor…
G.S.



