Glosario · Arquitectura cloud Soberanía de la nube
Propiedad arquitectónica y jurídica de la infraestructura en la nube que garantiza que los datos, las operaciones y el control permanezcan bajo la jurisdicción de un país o región concreto, normalmente la UE.
## Qué significa realmente la soberanía de la nube
La soberanía de la nube es la aplicación de los conceptos de [soberanía de los datos](/es/glossary/data-sovereignty/) y [soberanía digital](/es/glossary/digital-sovereignty/) específicamente a la infraestructura cloud. Una nube es "soberana" para una jurisdicción cuando:
1. La infraestructura cloud está físicamente ubicada en esa jurisdicción
2. La nube la operan entidades constituidas en esa jurisdicción (o en jurisdicciones con protecciones jurídicas equivalentes)
3. Las jurisdicciones externas no pueden obligar legalmente a la divulgación de datos, operaciones o accesos
Para la soberanía cloud europea en concreto, la tercera condición es la crítica, y es donde los proveedores cloud con sede en EE. UU. fallan estructuralmente debido a la [CLOUD Act](/es/glossary/cloud-act/).
## Los cuatro niveles de soberanía
La soberanía cloud europea no es binaria. Existe en un espectro:
### Nivel 0: sin soberanía
Cloud público estándar (AWS, Azure, GCP) sin configuración específica para la UE. Los datos pueden almacenarse en cualquier lugar del mundo; plena exposición jurídica a EE. UU.
### Nivel 1: residencia de datos en la UE
Cloud con sede en EE. UU. configurada explícitamente para mantener los datos en regiones de la UE. Mejor que el nivel 0, pero no aborda la coerción legal vía CLOUD Act.
Es lo que Microsoft comercializa como "EU Data Boundary". Útil para cargas generales del negocio, pero jurídicamente insuficiente para los requisitos más altos de soberanía.
### Nivel 2: cloud con sede en la UE
Cloud operada por entidades con sede en la UE sin control corporativo estadounidense. La CLOUD Act no se aplica (la entidad no tiene sede en EE. UU.). Los datos están bajo jurisdicción UE, controlados por una entidad UE, sin vía de coerción externa.
Ejemplos: [Hetzner](/es/alternativas/hetzner-vs-aws/), [Scaleway](/es/alternativas/scaleway-vs-google-cloud/), [OVHcloud](/es/alternativas/ovhcloud-vs-microsoft-azure/), [Infomaniak](/es/alternativas/infomaniak-vs-digitalocean/), IONOS.
Es el nivel práctico de soberanía para la mayoría de las empresas europeas.
### Nivel 3: nube soberana (certificada)
Cloud con sede en la UE con certificaciones adicionales que ofrecen garantías explícitas de soberanía:
- **Cloud de Confiance francés** (Nube de Confianza): certificación gubernamental francesa estricta que exige no estar bajo control jurídico extranjero
- **BSI C5 alemán de nube soberana**: certificación alemana de ciberseguridad para cargas soberanas
- **Marcos italianos y otros marcos nacionales de soberanía**
Ejemplos: Open Telekom Cloud (Alemania), T-Systems Sovereign Cloud (Alemania), Outscale (Francia, filial de Dassault Systèmes), Bleu (empresa conjunta Microsoft + Capgemini + Orange para la nube soberana francesa).
Es el nivel requerido para los casos de uso más críticos: sector público, sanidad, infraestructura crítica, defensa.
## Qué significan en realidad las afirmaciones de "nube soberana UE" de proveedores estadounidenses
Microsoft, AWS y Google Cloud comercializan ofertas de "nube soberana" para clientes europeos. Varían significativamente en la soberanía que realmente proporcionan:
**Microsoft EU Data Boundary**: nivel 1 de soberanía. Los datos se almacenan y procesan en la UE. Microsoft Corporation (matriz estadounidense) conserva el control corporativo. La CLOUD Act se aplica.
**AWS European Sovereign Cloud** (anunciada en 2023, despliegue limitado): aspira al nivel 2/3 con una entidad operativa separada. Calendario de implementación incierto.
**Google Cloud Sovereign Solutions**: varía según el socio. T-Systems Sovereign Cloud Germany lo opera Deutsche Telekom: soberanía significativa. Otras combinaciones de Google Cloud + socio UE varían.
**Bleu (Microsoft + Capgemini + Orange)**: nube soberana francesa construida sobre tecnología Azure pero operada como entidad totalmente francesa. Diseñada para cualificar como nivel 3 / certificada Cloud de Confiance.
El patrón: los proveedores estadounidenses pueden alcanzar niveles altos de soberanía mediante estructuras de partenariado complejas que separan las entidades operativas del control corporativo. Funcionan, pero requieren evaluar con cuidado las garantías contractuales y técnicas específicas.
## Cuándo tiene sentido cada nivel de soberanía
Para las empresas europeas que toman decisiones de arquitectura cloud:
**Nivel 0 (cloud público estándar)**: aceptable para cargas generales del negocio sin requisitos específicos de soberanía. Ejemplos: alojamiento de webs de marketing, activos públicos, productividad ofimática general.
**Nivel 1 (residencia de datos UE)**: aceptable para la mayoría de cargas del negocio con necesidades generales de cumplimiento del RGPD. Ejemplos: SaaS orientado al cliente, herramientas internas de colaboración, alojamiento de aplicaciones empresariales.
**Nivel 2 (cloud con sede UE)**: recomendado para datos sensibles, sectores regulados y empresas donde la soberanía sea una característica competitiva. Ejemplos: aplicaciones del ámbito sanitario, servicios jurídicos, SaaS B2B que sirve a empresas europeas.
**Nivel 3 (nube soberana)**: requerido para sector público, defensa, sectores muy regulados (banca bajo DORA, sanidad con datos de pacientes) y cualquier organización con mandatos explícitos de soberanía.
La mayoría de las empresas europeas operan en el nivel 1 con nivel 2 selectivo para cargas sensibles. La cuestión estratégica es si ampliar la huella de nivel 2 / nivel 3 con el tiempo.
## Soberanía de la nube y DORA
DORA (Digital Operational Resilience Act, en vigor desde enero de 2025) crea presiones específicas de soberanía cloud para las entidades financieras europeas:
- **Requisitos de riesgo de concentración**: las entidades financieras no pueden tener toda su infraestructura crítica en un único proveedor cloud, presionando hacia estrategias multinube que a menudo incluyen proveedores con residencia UE
- **Supervisión de proveedores TIC terceros críticos**: los grandes proveedores cloud que sirven a múltiples entidades financieras están ahora bajo supervisión regulatoria directa de la UE
- **Requisitos contractuales específicos**: DORA exige cláusulas que los términos estándar de los proveedores estadounidenses suelen necesitar enmendar
Para la fintech europea en concreto, la soberanía cloud ha pasado de preferencia a requisito operativo.
## Implicaciones de coste
Niveles más altos de soberanía suelen costar más, pero la diferencia es menor de lo que se cree:
- **Nivel 0 vs nivel 1**: diferencia mínima (sobre todo configuración)
- **Nivel 1 vs nivel 2**: los proveedores con sede UE (Hetzner, Scaleway) suelen ser *más baratos* que los hyperscalers estadounidenses, a menudo entre un 50 % y un 80 %
- **Nivel 2 vs nivel 3**: las certificaciones de nube soberana añaden coste, normalmente una prima del 20 al 50 % sobre el cloud estándar con sede UE
La transición nivel 1 a nivel 2 es especialmente favorable económicamente: mejor soberanía a menor coste. La transición nivel 2 a nivel 3 cuesta más, pero es necesaria para casos de uso específicos de alto riesgo.
Para una comparación concreta de costes, consulta nuestra [calculadora de costes AWS vs nube UE](/es/cloud-savings-calculator/).
## Qué traen 2026-2027
La soberanía de la nube es un área regulatoria y técnica muy activa. Vigila:
- **EU Cloud Certification Scheme (EUCS)**: certificación paneuropea de seguridad y soberanía cloud, actualmente en finalización
- **Marcos nacionales de soberanía** que siguen evolucionando (German Cloud Act 2024, criterios actualizados de Cloud de Confiance francés)
- **Aplicación de DORA** que aclara las expectativas de soberanía cloud en el sector financiero
- **EU AI Act** que añade consideraciones de soberanía cloud específicas para IA
- **IA soberana** a medida que la soberanía cloud se cruza con las obligaciones del EU AI Act
Para las empresas europeas, tratar la soberanía de la nube como una postura estratégica continua, en lugar de una decisión puntual, se alinea con la dirección regulatoria.
¿Te resultó útil?
¡Gracias por tu opinión!