Bruselas pone fecha a la soberanía de la nube
La Ley de Nube e IA, el reglamento que la Comisión Europea presentó en junio, se publicará en el Diario Oficial el 15 de julio de 2026 y entra en vigor el 4 de agosto. Es el primer marco de toda la UE que indica a las administraciones de sectores sensibles, defensa, justicia, seguridad e infraestructuras críticas, cómo sopesar quién controla su nube antes de contratarla.
El motivo es un hecho de mercado. Tres proveedores estadounidenses, Microsoft, Amazon Web Services y Google, controlan más del 70 por ciento del mercado europeo de nube, mientras que los proveedores europeos rondan el 15 por ciento. Durante años el debate de soberanía se sostuvo sobre sellos voluntarios y rúbricas de puntuación. Este es el punto en que se convierte en una ley con fecha y una obligación de compra.
Cuatro niveles, y dónde aterriza de verdad el dinero
La ley fija cuatro niveles de garantía. El Nivel 1 exige datos alojados en servidores de la UE y la garantía de que ninguna ley obligue al proveedor a revelar vulnerabilidades de software a un tercer país. El Nivel 2 añade que ningún Estado extranjero pueda alcanzar los datos ni activar un interruptor de corte. El Nivel 3 exige que el proveedor esté libre de control de terceros países, hasta en el personal. El Nivel 4 reclama componentes y productos sin ninguna injerencia extranjera y la más alta certificación de ciberseguridad.
El reparto es la parte que la mayoría de los titulares pasa por alto. La Comisión espera cerca del 70 por ciento de los contratos en el Nivel 1, en torno al 20 por ciento en el Nivel 2, menos del 10 por ciento en el Nivel 3 y alrededor del 1 por ciento en el Nivel 4. Dicho de otro modo, la mayor parte de la nube pública en Europa sigue admitiendo a los hiperescaladores. La ley no los expulsa, los califica, y reserva los niveles estrictos para la pequeña parte de cargas donde el control no se negocia.
Las salidas de emergencia se escribieron a propósito
Dos excepciones amortiguan el impacto de forma deliberada. El artículo 30 permite una excepción cuando no existe un servicio alternativo adecuado o razonable, un eco del caso de 2023 en que Francia concluyó que solo Microsoft podía operar su Health Data Hub. El artículo 18 abre una vía para proveedores de terceros países asociados amparados por una decisión de adecuación de la UE, una puerta que en principio podría incluir a Estados Unidos, aunque las exigencias contra el interruptor de corte aún podrían descartarlos.
Esa estructura indica cómo leer el corto plazo. Un comprador europeo no está obligado a arrancar AWS o Azure este año. El trabajo inmediato es la clasificación: asignar cada contrato a un nivel, documentar el porqué y defender la elección. La cuestión de soberanía pasa de eslogan a línea de un expediente de contratación, un cambio menor de lo que sugiere la retórica y más duradero.
La verdadera palanca es hormigón, no ley
La ambición más dura de la ley es física. Busca al menos triplicar la capacidad de centros de datos de la UE en cinco a siete años e intenta despejar el camino con permisos más rápidos y mejor acceso a energía, suelo, agua y financiación. Sus tres pilares, investigación, capacidad y autonomía, ponen la construcción al mismo nivel que el reglamento, porque una soberanía que no puedes alojar es una afirmación de papel.
El calendario confirma dónde están los dientes. El reglamento entra en vigor el 4 de agosto de 2026, pero el primer nivel de requisitos de soberanía se aplica desde febrero de 2028 y el nivel más alto pasa a ser obligatorio en agosto de 2029. El reloj del cumplimiento y el de la obra corren juntos, y los proveedores con capacidad controlada por la UE sobre el terreno en 2028 son los que los niveles estrictos fueron escritos para favorecer.
Qué hace un propietario antes de agosto
El movimiento práctico es un inventario de nube leído a través de los cuatro niveles: qué cargas podría alterar una orden extranjera, cuáles están en sectores sensibles y cuáles no superarían hoy una prueba de Nivel 3. Las empresas que venden nube o software a organismos públicos europeos afrontan la cara opuesta de esa pregunta, porque sus clientes pedirán pronto un nivel, no un logotipo. El conflicto transatlántico es real: un proveedor atrapado entre una petición de la US CLOUD Act y una garantía de CADA afronta una elección imposible, y ese riesgo ya pertenece a la evaluación de proveedores.
Conviene mantener honesto el techo. Como señala el analista jurídico Kenneth Propp, la UE ya intentó antes instrumentos de soberanía, desde un estatuto de bloqueo hasta la Data Act, con escaso efecto práctico, y la propia existencia de CADA se lee más como síntoma de baja confianza transatlántica que como remedio. La ley no apaga las nubes estadounidenses este año. Le pone a la dependencia un precio con fecha y con nota, y los propietarios que mapeen ese precio ahora no serán los que corran en 2028.
Leer a continuación: Un nuevo filtro en sus contratos de nube | PEGI ya clasifica tu modelo de negocio



