La economía de la soberanía digital y la trampa de la dependencia de las infraestructuras
La soberanía digital no tiene que ver con la ubicación de los servidores, sino con quién controla muchos aspectos diferentes de los mismos.
La soberanía digital no se limita a la residencia de los datos. Tiene que ver con la propiedad, el poder económico, la infraestructura de IA y quién controla el futuro.
La mayoría de las conversaciones sobre la soberanía digital suelen quedarse estancadas en lo mismo: los requisitos de residencia de datos, el cumplimiento del RGPD, los programas de certificación en la nube… O, dicho de forma más sencilla, ¿dónde está exactamente el servidor físico?
Aunque para algunos estas son preocupaciones reales, todas las naciones del mundo —excepto China y EE. UU.— están siendo colonizadas digitalmente. La mayoría de la gente aborda estos temas, pero en la mayoría de los casos no son más que algunos de los síntomas. Como llevo años diciéndoles a los gobiernos y a las instituciones, el problema nunca es el problema en sí mismo. Es un síntoma de un sistema. Este sistema es mucho más grande, tiene mayores consecuencias y es más difícil de revertir de lo que la mayoría de los responsables políticos se dan cuenta actualmente.
La soberanía digital —la soberanía de verdad— es una cuestión económica, geopolítica y estructural sobre qué países producirán cosas y cuáles solo las consumirán. Si el diagnóstico es erróneo, las respuestas solo abordarán la superficie, mientras que la dinámica subyacente seguirá empeorando.
Déjame explicarte a qué me refiero con algunos ejemplos. Pero ten en cuenta que esta no es una lista exhaustiva de los temas afectados y que hay muchas más consideraciones que van más allá y son más complejas de lo que esta imagen sugiere:
Index
La necesidad jurídica: y la ficción jurídica de los datos «alojados en la UE»
Empecemos por lo más obvio: el marco normativo. La mayoría de los debates empiezan aquí y, por desgracia, a menudo también acaban aquí.
La Unión Europea ha desarrollado un marco normativo impresionante, que incluye el RGPD, la Directiva NIS2 —que entró en vigor en octubre de 2024 e impone multas de hasta el 2 % de la facturación global de una empresa— y la Directiva DORA, que desde enero de 2025 exige requisitos estrictos de resiliencia en la nube a más de 22 000 entidades financieras. Otras leyes clave son la Ley de Datos de la UE y la Ley de IA, que entrarán plenamente en vigor en agosto de 2026. Son instrumentos importantes. La idea que hay detrás —que Europa necesita normas sobre datos que se puedan hacer cumplir— es acertada y, de hecho, podría convertirse en una verdadera baza para Europa en el actual contexto geopolítico y económico.
Sin embargo, el problema es una asimetría jurídica fundamental que no se puede resolver solo con requisitos de residencia de datos.
La Ley CLOUD de EE. UU., aprobada en 2018, implica que las fuerzas del orden estadounidenses pueden obligar a cualquier empresa de propiedad estadounidense a entregar datos almacenados en cualquier parte del mundo, incluso en servidores ubicados físicamente en Fráncfort o Ámsterdam. La ubicación del servidor en Alemania es irrelevante desde el punto de vista legal si la empresa propietaria está constituida en Estados Unidos. Queridos hiperescaladores del «sovereign washing»: no estáis exentos de esto, por mucho marketing que hagáis. Vamos un paso más allá: la sección 702 de la FISA permite a las agencias de inteligencia estadounidenses recopilar y procesar datos de ciudadanos no estadounidenses fuera de Estados Unidos. Esta disposición se renovó en abril de 2024 con un alcance ampliado. A esto hay que añadir la Orden Ejecutiva 12333, que regula la recopilación de inteligencia fuera del territorio estadounidense, y las Cartas de Seguridad Nacional —mediante las cuales el FBI puede exigir datos sin autorización judicial previa y que a menudo van acompañadas de órdenes de silencio permanentes que impiden legalmente al proveedor notificártelo—; y ya tienes una arquitectura de vigilancia que es estructuralmente incompatible con la legislación europea de protección de datos.
La palabra clave en todo esto es la propiedad, no la ubicación. Si tu proveedor es estadounidense, tus datos nunca están totalmente fuera del alcance de la legislación de EE. UU., por mucho que afirmen los materiales de marketing sobre las «zonas soberanas de la UE». Como señalaba un análisis jurídico sobre este tema: «La ubicación de los datos no es lo mismo que la soberanía de los datos, y la nacionalidad del proveedor puede ser tan importante como la ubicación geográfica del servidor».
En 2025, AWS lanzó su «AWS European Sovereign Cloud» en Brandeburgo, respaldada por una inversión de 7.8 mil millones de euros, según sus propias cifras. Aunque esto confirma la demanda, también pone de relieve la tendencia al «sovereign-washing» (uso de la soberanía como reclamo) y su aprovechamiento con fines de imagen de marca, así como lo complicado y políticamente cargado que se ha vuelto este tema. Sin embargo, como señalaron mis compañeros de TechCrunch en el momento del lanzamiento, los datos están, en última instancia, bajo el control de un gigante tecnológico estadounidense. Infraestructura localizada, propiedad no local. El riesgo legal no desaparece, y sigue existiendo la posibilidad de extracción económica.
Este no es un problema que se pueda resolver redactando contratos ingeniosos. Es estructural. Hasta que los responsables políticos europeos y mundiales lo reconozcan, cualquier sistema de certificación de «soberanía» que desarrollen tendrá fallos fundamentales.
Extracción económica: la trampa del doble pago es cómo los países cofinancian su propia extracción
Ahora, pasemos del plano jurídico al económico, porque es aquí donde el público entiende menos el daño y lo aborda de forma insuficiente.
La narrativa habitual es que los hiperescaladores invierten en centros de datos europeos, proporcionando infraestructura a Europa y beneficiando a todo el mundo. Las cifras más destacadas son sustanciales. Se calcula que Microsoft, Amazon y Google habrán gastado más de 250 mil millones de dólares en inversiones de capital para centros de datos solo en 2025. Los anuncios de cada país —como la expansión de Microsoft de 3,2 mil millones de dólares en Suecia y su compromiso de 3 mil millones de dólares con Dinamarca, o las inversiones de Amazon en varios mercados europeos— generan buena prensa y buena voluntad política. Esas cifras tan impresionantes siempre causan impacto, y la gente quiere asociarse con ellas.
Sin embargo, el ciclo de anuncios no refleja la estructura de costes real que supone para las economías que reciben estas inversiones, ni el hecho de que la mayor parte del dinero invertido vuelve directamente a proveedores estadounidenses como AMD, Intel y NVIDIA. Además, la creación de empleo es limitada, ya que incluso los centros de datos más grandes apenas generan puestos de trabajo: son solo las cifras las que suenan impresionantes.
Así que demos un paso atrás y veamos el panorama completo: se prevé que la demanda energética de los centros de datos en Europa aumente de 96 TWh en 2024 a 236 TWh en 2035, lo que elevará su porcentaje respecto a la demanda total de electricidad europea de aproximadamente un 3 % a casi un 6 %. Los costes por congestión de la red en Europa ya ascendieron a 4.3 mil millones de euros en 2024, según la Agencia de la UE para la Cooperación de los Reguladores de la Energía, pero, como siempre, esta cifra no incluye los costes indirectos, como las consecuencias económicas de los retrasos en los proyectos. Conseguir una conexión a la red para un nuevo centro de datos en los principales núcleos europeos lleva actualmente entre siete y diez años, solo por la longitud de la cola de espera. Según la AIE, los precios de la electricidad en Europa para las industrias con alto consumo energético ya son, de media, aproximadamente el doble que en EE. UU., una diferencia que no hará más que aumentar a medida que las grandes cargas de trabajo de IA se concentren donde la energía es más barata, lo que hará que los precios sean inasequibles para otras industrias y, por lo tanto, que los precios suban.
Este mecanismo es importante porque, cuando un hiperescalador construye un gran centro de datos en tu país, alguien tiene que construir la infraestructura de la red necesaria para dar servicio a ese centro, incluyendo líneas de transmisión, subestaciones y ampliaciones de capacidad. Este «alguien» puede ser el Estado, la empresa de servicios públicos o, en última instancia, el contribuyente. Mientras que el centro de datos es un activo privado que genera beneficios para sus propietarios estadounidenses, la red es un coste público que comparten todos los ciudadanos del país.
Ahora piensa en lo que pasa después. El hiperescalador gestiona estos centros de datos europeos y vende servicios a empresas, gobiernos, hospitales, colegios y desarrolladores europeos con importantes márgenes de beneficio. Se estima que el mercado europeo de la nube soberana tendrá un valor de 26.8 mil millones de dólares en 2024, y se prevé que crezca hasta situarse entre 191 mil millones y 321 mil millones de dólares a principios de la década de 2030. Estos ingresos van a parar a los balances de las empresas estadounidenses, subvencionados por los consumidores, las empresas y los contribuyentes europeos. Para las empresas estadounidenses, esto supone un flujo de caja directo, que se reinvierte (y se aprovecha) en más potencia informática, centros de datos, talento y adquisiciones; la mayor parte de las cuales se realizan, por supuesto, en Estados Unidos, con solo unos pocos puestos de trabajo marginales en otros lugares. Los clientes europeos pagan por el «privilegio» de financiar una infraestructura que fortalece a sus competidores.
No se trata de una conspiración (aunque haya quien lo trate literalmente como tal). Sin embargo, es un modelo de negocio perfectamente racional —algo que conocemos de otra época y otro contexto, pero eso daría para una discusión más larga—. Significa que, como país, estás pagando efectivamente dos veces: una como cofinanciador de la infraestructura a través de los costes de la red pública, las mejoras de la red y la presión sobre los precios de la energía; y una segunda vez como cliente, pagando por los servicios que esa infraestructura proporciona. El valor que se extrae de la transacción no circula por tu economía. Se extrae y se concentra en otro lugar.
Riesgos políticos: cuando te cortan el suministro
Sin una demostración concreta de lo que está en juego, el argumento económico puede seguir pareciéndote abstracto. El argumento sobre la dependencia política no es nada abstracto.
Cuando Rusia invadió Ucrania en 2022, las empresas tecnológicas occidentales empezaron a retirarse del mercado ruso en coordinación con las sanciones. Oracle se marchó «de forma repentina, llevándose consigo las licencias prepagadas», lo que desencadenó litigios entre distribuidores y clientes finales. Microsoft suspendió todas las nuevas ventas en marzo de 2022 y, para marzo de 2024, había cortado el acceso a más de 50 productos en la nube, incluidos Teams, Power BI y Dynamics, para las organizaciones rusas. Amazon dejó de aceptar nuevas altas en AWS procedentes de Rusia y Bielorrusia. Toda la infraestructura de la nube occidental, que las empresas y organismos públicos rusos habían integrado profundamente en sus operaciones, dejó de funcionar. En el momento de la retirada, hasta el 90 % de las empresas y organismos públicos de Rusia utilizaban Microsoft.
En este caso, el Gobierno ruso inició una guerra, lo que provocó una respuesta geopolítica en forma de sanciones. El debate gira en torno a lo que este suceso demuestra a otros países.
Demuestra que, si tu infraestructura crítica, tus sistemas gubernamentales, tus operaciones industriales y tus datos económicos dependen de tecnología extranjera —controlada por empresas de una única jurisdicción con sus propios intereses estratégicos—, entonces tu continuidad operativa depende de la buena voluntad constante de esa jurisdicción. El interruptor se puede accionar. Se puede accionar.
Este no es un riesgo hipotético para las democracias aliadas en condiciones normales. Pero las condiciones no siempre son normales. Las tensiones comerciales pueden agravarse. Los gobiernos cambian. Los intereses estratégicos divergen. Los países que han observado el caso ruso y aún así dan por sentado que su dependencia es inofensiva porque actualmente están alineados con Washington están apostando por una estabilidad geopolítica que la historia no respalda.
La dimensión de la seguridad agrava aún más este problema. Cuando las empresas retiran el soporte y las actualizaciones —como hizo Oracle de inmediato al dejar de proporcionar parches de seguridad a los usuarios rusos—, los sistemas que quedan atrás no solo dejan de funcionar. Quedan expuestos. Una infraestructura sin parches es una infraestructura vulnerable. Los países que han externalizado su continuidad operativa a proveedores extranjeros también están, por extensión, externalizando parte de su postura de seguridad.
Sin embargo, hay muchas otras formas en las que esto está afectando a las naciones soberanas.
Uno de los muchos ejemplos: la «extracción de innovación»
Y ya sabes que me encantan las startups: los argumentos económicos y políticos anteriores se refieren principalmente a instituciones como gobiernos, grandes empresas u operadores de infraestructuras críticas. Pero hay una cuarta dimensión a la que se le presta mucha menos atención y que determina dónde se construye el futuro: el ecosistema de las startups.
AWS, Microsoft y Google han creado programas de créditos muy agresivos dirigidos a las startups desde el primer día. AWS Activate ofrece hasta 100 000 dólares en créditos (hasta 1 millón de dólares para determinados grupos de aceleradoras); Microsoft for Startups ofrece hasta 150 000 dólares en créditos de Azure; Google for Startups ofrece hasta 350 000 dólares para startups centradas en la IA. No son cantidades insignificantes para una empresa en fase inicial que vigila de cerca su liquidez. Son realmente valiosas, y los hiperescaladores saben exactamente lo que están comprando con ellas.
Lo que están comprando es dependencia arquitectónica en el momento de máxima maleabilidad, como un traficante de drogas que se centra en las personas con mayor sufrimiento personal.
Una startup que construye toda su pila de productos sobre servicios propios de AWS —es decir, ofertas propias como Bedrock, Lambda y DynamoDB— no se limita a usar infraestructura en la nube. Está tomando decisiones arquitectónicas que se vuelven cada vez más caras de revertir a medida que la empresa crece. Por lo tanto, los costes de salida están lejos de ser cero: las tarifas de salida son elevadas, las dependencias de API propias obligan a reescribir el código, y las habilidades y la «memoria muscular» del equipo de ingeniería se adaptan al conjunto de herramientas de un único proveedor. Para cuando se agotan los créditos, el coste de la migración suele ser prohibitivo en comparación con seguir pagando sin más.
La distorsión competitiva que esto genera no pasa desapercibida. Una startup europea que se basa en una infraestructura de nube soberana europea parte de una base de costes que los hiperescaladores estadounidenses pueden rebajar con créditos subvencionados durante años. El resultado estructural es que las startups europeas más prometedoras quedan atrapadas en la infraestructura estadounidense en su fase de crecimiento más crítica, antes de que sean lo suficientemente grandes como para evaluar alternativas de forma creíble. Las alternativas europeas como OVHcloud o Scaleway también ofrecen este tipo de programas para startups, pero sin una potente maquinaria de marketing es difícil competir.
Incluso el famoso informe Draghi sobre la competitividad europea dejó claro este aspecto estructural: «Dado el dominio de los proveedores estadounidenses, la UE debe encontrar un término medio entre promover su industria nacional de la nube y garantizar el acceso a las tecnologías que necesita». Los proveedores locales de la UE controlan actualmente alrededor del 15 % del mercado europeo de la nube; los hiperescaladores, alrededor del 70 %. Esta brecha no era inevitable. Se fue creando, poco a poco, precisamente a través de estas dinámicas —créditos, mecanismos de captación, la gravedad del ecosistema— que se han ido acumulando a lo largo de una década. Literalmente, la invitamos y la celebramos.
Lo que realmente exige la soberanía
Así que, después de todas las «quejas», ¿cómo es la verdadera soberanía digital, teniendo en cuenta todo esto?
No es un muro. Intentar aislar a las empresas europeas de los servicios en la nube estadounidenses destruiría una enorme cantidad de valor y no es ni realista ni deseable en absoluto. Somos una economía global y esto no va a cambiar a medida que aumente la complejidad; hay ciertas cosas que no podemos cambiar. El objetivo no es la autarquía —que es, en realidad, lo que la mayoría defiende en el debate sobre la soberanía—. Es la capacidad de tomar decisiones: tener alternativas viables, mantener influencia y evitar ese tipo de dependencia crítica que te quita la libertad de acción cuando más te importa.
Eso implica varias cosas que deben funcionar al mismo tiempo:
- Claridad normativa sobre la propiedad, no solo sobre la ubicación. El Sistema de Certificación de la Nube de la UE (EUCS) sigue sin resolverse. Hasta que no marque una línea clara sobre la cuestión de la propiedad —no solo dónde se almacenan los datos, sino quién controla legalmente el acceso a ellos—, corre el riesgo de generar un «teatro del cumplimiento» que no beneficia a nadie. La sección 702 de la FISA está pendiente de renovación; por lo tanto, las instituciones europeas deberían dejar constancia de su incompatibilidad estructural con cualquier marco transatlántico viable de gobernanza de datos. Al menos ahora, en abril de 2026 se lanzaron los Niveles de Garantía de Eficacia de la Soberanía (SEAL) para aportar mayor claridad a la definición de soberanía. Sin embargo, la iniciativa mezcla varios conceptos —control legal, soberanía y autarquía— que aún no se distinguen de forma coherente, lo que hace que sea un paso en la dirección correcta, pero no totalmente alineado con la realidad práctica.
- Una inversión real en alternativas europeas, no solo en infraestructura de cumplimiento normativo. La asignación de 1.8 mil millones de euros del plan de recuperación francés para la soberanía en la nube y el compromiso de Alemania de 3 mil millones de euros para su estrategia digital son medidas significativas. Pero los 50 mil millones de euros anuales en nuevas inversiones de capital (CapEx) que se necesitarían para duplicar de forma significativa la capacidad europea en la nube que actualmente se alquila a los tres hiperescaladores —como señala el informe Draghi— muestran la magnitud de lo que realmente hace falta. La inversión en infraestructura europea de IA (el Plan de Acción «IA Continente» de la UE tiene como objetivo triplicar la capacidad de los centros de datos de la UE en un plazo de cinco a siete años) debe ir acompañada de una política de contratación pública que ofrezca a los proveedores europeos una oportunidad realista de competir por los contratos que financien su crecimiento.
- Una política económica honesta en materia de centros de datos. Los países deberían dejar de evaluar las inversiones en centros de datos de los hiperescaladores únicamente como victorias o historias de éxito. Los costes de la infraestructura pública —mejoras de la red eléctrica, presión sobre los precios de la energía, costes de congestión— deberían tenerse en cuenta, sobre todo porque los proyectos soberanos podrían acabar resultando demasiado caros o quedar desplazados. La cuestión no es si el centro de datos genera empleo (los estudios se muestran cada vez más escépticos respecto a que cree empleo tecnológico local significativo); la cuestión es si el intercambio económico total es favorable o si el país está, en la práctica, subvencionando una infraestructura que extrae valor.
- La interoperabilidad y la portabilidad como estándares no negociables. Las disposiciones de la Ley de Datos de la UE sobre el cambio de nube (que se aplicarán gradualmente hasta 2027) son un paso en la dirección correcta, pero su aplicación determinará si realmente importan. Las elevadas tarifas de salida y el bloqueo por API propietarias no son inevitabilidades técnicas, sino decisiones de diseño deliberadas. Tratarlas como tales en la normativa cambia la dinámica.
- La infraestructura soberana de IA como prioridad estratégica, no como algo «que estaría bien tener». Los argumentos económicos y geopolíticos convergen en un único punto: a medida que la IA se convierte en la capa de infraestructura de la economía —afectando a la sanidad, la educación, las finanzas, el ámbito jurídico y los servicios públicos—, la cuestión de quién controla esa infraestructura no es una cuestión de política tecnológica. Es una cuestión de soberanía económica, en la misma categoría que la independencia energética o financiera. Los países que se den cuenta de esto antes serán los que sigan teniendo opciones dentro de diez años.
La verdadera cuestión
Quiero terminar donde empecé: con cómo se plantea todo este debate.
Cada vez que se habla de soberanía digital en una comisión parlamentaria, en una junta directiva, en un acto político o en una reunión ministerial, la conversación se plantea como un reto de cumplimiento normativo o una cuestión de protección de datos («¿Puede alguien acceder a nuestros datos?»). Estos problemas son reales, pero son consecuencia de algo más amplio y mucho más preocupante: las implicaciones de convertirnos en clientes, en lugar de productores, de la infraestructura que impulsará la próxima revolución industrial.
Así que deberíamos plantearnos la verdadera pregunta: ¿dónde se crea el valor, dónde se acumula y qué poder concentra?
Europa alberga a cientos de millones de usuarios, algunas de las empresas más importantes del mundo e instituciones de investigación punteras, así como a una generación de emprendedores que desarrollan productos de primer nivel. Toda esta actividad genera datos, valor económico e influencia estructural. La cuestión es si este valor permanece dentro del sistema, circulando y acumulándose para financiar a la próxima generación de desarrolladores, o si se extrae a través de la capa de infraestructura y se reinvierte en otro lugar. Aunque no estoy a favor de las tendencias nacionalistas, las economías de circuito cerrado ni el proteccionismo, la infraestructura digital se está convirtiendo en una parte importante de la sociedad, y deberíamos tratarla igual que tratamos el agua o las carreteras.
De momento, nos conformamos en su mayoría con ceder nuestra soberanía y nos alegramos cuando entregamos infraestructuras críticas a otros para que se aprovechen de nosotros. Esto no se debe a que los europeos seamos menos capaces. Es porque los sistemas —los marcos legales, los flujos de inversión, los hábitos de contratación pública y los programas de crédito para startups— están estructurados de tal forma que la extracción se convierte en el camino más fácil.
Como me gusta decir, el problema nunca es el problema, porque la gente suele ver el síntoma de un problema como el problema en sí mismo. Y sí, la mayoría de los debates hoy en día giran en torno a un síntoma del sistema. El sistema en este caso tiene una forma clara: Europa paga por usar infraestructuras que no controla, cofinancia esas infraestructuras con fondos públicos de los que no rinde cuentas del todo, forma a la próxima generación de constructores para que usen herramientas que los limitan y, luego, se queda mirando cómo el poder económico se acumula en otros lugares.
Para cambiar esto, primero hay que verlo con claridad. Para eso sirve este artículo, y espero que mucha más gente se dé cuenta de lo que está pasando.
Los comentarios están cerrados.