Qué propone realmente el borrador
El 3 de junio de 2026 la Comisión Europea adoptó una propuesta para la Ley de Desarrollo de la Nube y la IA, conocida como CADA. Es una propuesta, no una ley en vigor. Todavía tiene que superar la negociación entre el Parlamento Europeo y el Consejo, y su redacción puede cambiar antes de que alguna parte resulte vinculante. Así que esto es una señal sobre la dirección, no una norma que deba cumplir hoy. La dirección, sin embargo, es lo bastante clara como para planificar en torno a ella.
La parte que importa a los compradores es un único marco a escala de la UE que califica a los proveedores de nube e IA en cuatro niveles de garantía de la Unión. El nivel más bajo se concibe como el mínimo para dar servicio al sector público, con excepciones limitadas. Los niveles más altos se aplican cuando un proveedor respalda funciones ligadas al orden público, tras una evaluación de riesgo por parte de los Estados miembros y los organismos de la Unión, en sectores como la energía, la sanidad, el transporte, el agua, las fuerzas del orden, la gestión de fronteras, la seguridad nacional y la defensa. En resumen, cuanto más sensible es el papel, más alto es el listón que un proveedor debe superar.
Por qué los hiperescaladores de EE.UU. topan con un techo
Se informa de que los niveles de garantía más altos miran más allá de la ubicación del centro de datos y examinan quién es el propietario del proveedor, quién controla sus operaciones y si el servicio puede blindarse frente al derecho ajeno a la UE. Esa última prueba es donde los grandes proveedores estadounidenses chocan con un límite estructural. Bajo la Ley CLOUD de EE.UU., una empresa con sede en EE.UU. puede ser obligada a entregar datos que controla, con independencia del lugar del mundo donde esos datos residan físicamente. Una región de datos europea no elimina ese alcance.
Esto no es una afirmación de que AWS, Microsoft o Google sean inseguros ni de que la mayoría de las cargas de trabajo se vean afectadas. Para la gran mayoría de los datos empresariales, siguen siendo opciones sólidas y convencionales. El planteamiento es más acotado y se refiere a la cúspide de la escala. Para las categorías más sensibles a las que apunta el borrador, un proveedor controlado desde EE.UU. no puede garantizar plenamente el aislamiento jurídico, porque un ordenamiento jurídico extranjero aún puede reclamar los datos. Es una cuestión de jurisdicción, no de ingeniería, y por eso vale la pena vigilar los criterios exactos por nivel de los anexos del borrador a medida que se negocia el texto.
Convierta la dependencia en un control de compra
Durante años la soberanía de la nube se trató como un riesgo de dependencia abstracto, fácil de anotar y fácil de aplazar. CADA lo reformula como algo concreto: un filtro en el momento de la firma. Si un contrato afecta a datos regulados o genuinamente sensibles, la jurisdicción a la que responde su proveedor se convierte en una condición del acuerdo, no en una nota al pie. Ese cambio premia a los compradores que hacen la pregunta pronto y penaliza a quienes la descubren durante una auditoría o una renovación.
La respuesta ponderada es una evaluación de riesgo jurisdiccional antes de firmar o renovar. Determine cuáles de sus datos caerían en las categorías sensibles que describe el borrador, identifique quién posee y controla en última instancia cada proveedor, y compruebe qué dicen sus contratos sobre el acceso jurídico extranjero, la ubicación de los datos y la salida. Allí donde el riesgo es real, puede mantener las cargas de trabajo cotidianas donde están y dirigir solo el nivel sensible a un proveedor que pueda alcanzar un nivel de garantía más alto. Nada de esto es asesoramiento jurídico, y el texto puede cambiar, pero la evaluación en sí cuesta poco y le posiciona bien caiga como caiga la ley final.
Leer a continuación: Tu IA ya habla por ti ante la ley · Un plazo cuántico de EE. UU. llega a su cadena