Cloud privado vs. público vs. híbrido: cuál elegir
Un marco de decisión claro según coste, control, rendimiento y cumplimiento. Sin dogmas: la respuesta correcta depende de tu carga, no de la moda.
Soberanía del dato y CLOUD Act: por qué importa dónde están tus servidores
“Nuestros datos están en Europa, así que estamos cubiertos.” Es una de las frases más repetidas y más equivocadas que se oyen en reuniones de IT. La ubicación física de un servidor es una parte de la ecuación de soberanía, pero ni de lejos la más importante. La que casi nadie tiene en cuenta es la jurisdicción a la que está sujeto quien controla ese servidor.
Vamos a explicar por qué dónde están tus servidores, y sobre todo quién los opera, puede determinar si un gobierno extranjero puede acceder a tus datos sin que tú te enteres.
Qué es la soberanía del dato (sin abstracciones)
Soberanía del dato significa que tus datos están sujetos exclusivamente a las leyes de la jurisdicción que tú eliges, y que nadie fuera de esa jurisdicción puede obligar a su entrega. Para una empresa europea con datos sensibles, eso suele querer decir: bajo derecho europeo, punto.
Se apoya en tres palancas, y las tres tienen que cumplirse:
- Ubicación. Los datos residen físicamente en la UE. Necesario, pero no suficiente.
- Jurisdicción. La entidad que controla la infraestructura está sujeta a derecho europeo, no extracomunitario.
- Control de claves. Tú controlas el cifrado, de modo que ni el proveedor puede leer los datos sin tu consentimiento.
Quédate con esto: ubicación sin jurisdicción no es soberanía.
La CLOUD Act, en cristiano
La Clarifying Lawful Overseas Use of Data Act es una ley estadounidense de 2018. En una frase: permite a las autoridades de EE. UU. requerir datos a empresas sujetas a jurisdicción estadounidense independientemente de dónde estén alojados físicamente esos datos.
Léelo otra vez. No importa que el servidor esté en Fráncfort, Madrid o Dublín. Si la empresa que opera ese servicio es estadounidense, o filial de una estadounidense, puede recibir un requerimiento legal de EE. UU. para entregar datos. Y, según el caso, con una orden de confidencialidad que le impide avisarte.
Esto choca de frente con el RGPD, que prohíbe en principio transferir datos personales fuera de la UE sin garantías adecuadas. El resultado es una contradicción jurídica en la que la empresa europea queda en medio.
Por qué la “región Europa” de un hiperescalar no basta
Los grandes hiperescalares estadounidenses ofrecen regiones europeas, y son técnicamente excelentes. Pero la región europea resuelve la ubicación, no la jurisdicción. El proveedor sigue siendo una empresa sujeta a la CLOUD Act.
Las iniciativas de “nube soberana” (joint ventures, operadores locales con tecnología licenciada) intentan cerrar ese hueco, y algunas avanzan. Pero conviene leer la letra pequeña: ¿quién tiene el control operativo real? ¿Quién tiene las claves? ¿De quién depende el personal con acceso administrativo? Si la respuesta lleva a una matriz estadounidense, el riesgo jurisdiccional sigue ahí, por mucho que el datacenter esté en Aragón.
¿Esto me afecta a mí?
No todo el mundo necesita el mismo nivel de soberanía. Sé honesto sobre tu caso:
| Perfil | Sensibilidad a la soberanía |
|---|---|
| Sector público / Administración | Muy alta (ENS, obligaciones legales) |
| Sanidad, banca, seguros | Alta (datos especialmente protegidos) |
| Empresa con secretos industriales / I+D | Alta (espionaje económico) |
| SaaS con clientes regulados | Alta (te lo exigirán tus clientes) |
| Blog corporativo, web de marketing | Baja |
Si estás en las filas de arriba, la jurisdicción deja de ser un matiz legal. Es un requisito que un auditor o un cliente te pedirá demostrar. Y se cruza directamente con ENS, RGPD y NIS2.
Cómo se consigue soberanía de verdad
No hay magia, hay control. Las medidas concretas:
- Proveedor y operador bajo derecho europeo. No solo el datacenter: la entidad que controla y opera la infraestructura.
- Datos físicamente en la UE, con inventario claro de dónde reside cada conjunto.
- Cifrado en reposo y en tránsito, con gestión de claves bajo tu control (BYOK / HYOK). Si tú tienes las claves, un requerimiento al proveedor obtiene datos ilegibles.
- Trazabilidad de accesos administrativos: quién toca el hardware y desde qué jurisdicción.
Un cloud privado gestionado en datacenters europeos, operado por una entidad europea, convierte la soberanía de una promesa contractual en una propiedad verificable: sabes dónde está cada dato, quién accede y bajo qué ley. Es, de largo, el camino más limpio para sectores regulados, y se complementa con un buen plan de continuidad y recuperación.
La pregunta que debes hacerte
La soberanía del dato no se compra con una casilla de “región: Europa”. Se construye eligiendo a quién dejas controlar tu infraestructura y quedándote tú con las llaves. Si tu sector es de los regulados, haz la pregunta difícil antes de firmar: si un gobierno extranjero requiriese mis datos a mi proveedor, ¿podría entregarlos legibles sin mi consentimiento? Si la respuesta no es un “no” rotundo, todavía no tienes soberanía.