Glosario · Soberanía cloud en la UE

EU Data Boundary (Frontera de Datos UE de Microsoft (y ofertas similares de hiperescaladores estadounidenses))

Oferta comercial de Microsoft que se compromete a almacenar y procesar los datos de los clientes de la UE en centros de datos de la UE. AWS (European Sovereign Cloud) y Google (Sovereign Controls) ofrecen acuerdos similares. Es importante entender: la residencia de datos en centros de datos de la UE NO cambia la jurisdicción corporativa subyacente del proveedor de servicios domiciliado en EE. UU.

## Qué es realmente la Frontera de Datos UE La Frontera de Datos UE de Microsoft es una oferta comercial, lanzada en 2023 y ampliada progresivamente desde entonces, por la que Microsoft se compromete a almacenar y procesar los datos de los clientes de Microsoft 365, Dynamics 365, Power Platform y Azure dentro de centros de datos de la UE/EFTA. AWS (European Sovereign Cloud) y Google Cloud (Sovereign Controls) han lanzado acuerdos similares. La Frontera es un *compromiso técnico y comercial* sobre *dónde* se procesan y almacenan los datos del cliente. **No es una reasignación jurisdiccional**: el proveedor sigue siendo una persona jurídica domiciliada en EE. UU. sujeta al proceso legal estadounidense con independencia de dónde resida físicamente el dato del cliente. Esta distinción es operativamente crítica. Y es también ampliamente malinterpretada en las conversaciones de contratación. ## Qué hace realmente la Frontera de Datos UE Para la Frontera de Datos UE de Microsoft en concreto (la más madura de estas ofertas), los compromisos incluyen: ### Residencia de datos - **Datos del cliente** (los principales datos de negocio) almacenados en centros de datos de la UE/EFTA - **Datos personales seudonimizados** procesados dentro de la frontera UE/EFTA - **Registros del sistema y datos de diagnóstico** progresivamente incorporados a la frontera (ha sido la parte más complicada, llevando más tiempo del que sugerían los compromisos iniciales) - **Contenido generado** (salidas de IA, etc.) para los servicios incluidos dentro de la frontera ### Servicios cubiertos La Frontera cubre (a fecha de 2026): - Servicios principales de **Microsoft 365** (Exchange Online, SharePoint, OneDrive, Teams) - Servicios principales de **Dynamics 365** - Servicios principales de **Power Platform** - Servicios principales de **Azure** de cómputo, almacenamiento y red (excluyendo algunos servicios regionales especializados) Algunos servicios permanecen fuera de la Frontera, en particular ciertos servicios relacionados con IA, algunos análisis avanzados y servicios donde el enrutamiento global es estructuralmente necesario (algunos servicios de CDN, edge e identidad). ### Cambios operativos Microsoft ha invertido significativamente en: - Personal operativo radicado en la UE para los servicios cubiertos por la Frontera - Ingenieros de soporte residentes en la UE que gestionan las interacciones con clientes dentro del alcance de la Frontera - Cambios en la arquitectura técnica para enrutar los datos cubiertos exclusivamente a través de infraestructura de la UE ## Lo que la Frontera de Datos UE NO hace Esta es la parte operativamente crítica y la fuente de la mayor parte de la confusión en contrataciones. ### No cambia la jurisdicción corporativa Microsoft Corporation sigue siendo una empresa estadounidense domiciliada en el estado de Washington. Microsoft Ireland Operations Limited sigue siendo una filial irlandesa de Microsoft Corporation. Los compromisos de la Frontera de Datos son operativos; la jurisdicción corporativa no cambia. ### No elimina la exposición a la CLOUD Act La CLOUD Act estadounidense permite a las autoridades de EE. UU. obligar a las empresas domiciliadas en EE. UU. a divulgar datos con independencia de dónde se almacenen físicamente. Esto se aplica a Microsoft Corporation (y sus filiales) con independencia del estado de la Frontera de Datos UE. La Frontera trata sobre la ubicación física de los datos; la CLOUD Act trata sobre qué entidad corporativa posee las claves. ### No elimina la exposición a la FISA 702 La sección 702 de la FISA permite a las agencias de inteligencia estadounidenses obligar a los proveedores domiciliados en EE. UU. a divulgar comunicaciones y datos de personas no estadounidenses. La condición de Microsoft como proveedor domiciliado en EE. UU. hace que esta exposición persista con independencia de los compromisos de la Frontera de Datos UE. ### No aporta protección estructural frente a la terminación del servicio impulsada por sanciones El [incidente ICC / Microsoft de 2025](/es/blog/icc-microsoft-sanctions-cloud-sovereignty-lesson/) es la demostración operativa. La Frontera de Datos UE de Microsoft no impidió (ni podía impedir estructuralmente) el corte del correo del fiscal en virtud de las sanciones estadounidenses. Las decisiones del poder ejecutivo de EE. UU. sobre a qué usuarios europeos puede prestar servicio un proveedor domiciliado en EE. UU. no se ven limitadas por los compromisos de residencia de datos. ## Cómo interactúa la Frontera de Datos con la regulación europea La situación operativa de la Frontera en los marcos regulatorios europeos es matizada: ### RGPD La residencia de datos dentro de la UE es uno de los varios factores que el RGPD considera para las transferencias y el tratamiento internacionales. Los compromisos de la Frontera de Datos UE ayudan a satisfacer las expectativas de residencia de datos del RGPD, pero no resuelven la cuestión más amplia de la evaluación de transferencias al estilo Schrems II para datos sujetos al proceso legal estadounidense. ### Schrems II y cláusulas contractuales tipo La sentencia Schrems II del Tribunal de Justicia de la Unión Europea aborda específicamente la exposición estructural que genera riesgo en las transferencias a proveedores domiciliados en EE. UU. La Frontera de Datos UE no aborda la exposición estructural: aborda la ubicación física de los datos. ### NIS2 y DORA Los marcos sectoriales de ciberseguridad y resiliencia operativa evalúan "dónde residen los datos" junto con "quién puede obligar a su divulgación". La Frontera de Datos UE aborda la primera parte; la cuestión de la jurisdicción corporativa requiere un análisis aparte. ### SecNumCloud / EUCS High Los esquemas nacionales y de la UE de nube soberana ([SecNumCloud](/es/glossary/secnumcloud/), el discutido nivel High de [EUCS](/es/glossary/eucs/)) exigen *tanto* la residencia de datos en la UE *como* la inmunidad frente a procesos legales no comunitarios. La Frontera de Datos UE por sí sola no satisface estos criterios, motivo por el cual los hiperescaladores estadounidenses han construido estructuras de empresa conjunta (S3NS, Bleu) para estas categorías de contratación. ## Para qué SÍ es útil la Frontera de Datos A pesar de las limitaciones estructurales, la Frontera de Datos UE tiene un valor operativo real: - **Cumplimiento de residencia de datos** para requisitos sectoriales o contractuales centrados en la ubicación física - **Reducción de latencia** para servicios orientados a clientes europeos - **Menor carga de documentación de transferencias transfronterizas** bajo el RGPD - **Posicionamiento público de soberanía** que satisface conversaciones de contratación menos sofisticadas - **Integración operativa** con la presencia más amplia de Microsoft en la UE Para organizaciones cuyos requisitos de soberanía se limitan a la residencia de datos (más que a la jurisdicción corporativa), la Frontera de Datos UE es genuinamente útil y significativamente mejor que la residencia por defecto en EE. UU. ## Cuándo la Frontera de Datos NO es suficiente Para organizaciones cuyos requisitos de soberanía incluyen la protección a nivel de jurisdicción corporativa: - **Compradores del sector público** sujetos a SecNumCloud, Cloud de Confiance o marcos nacionales equivalentes - **Sectores regulados** (servicios financieros bajo DORA, sanidad bajo EHDS) con estrictos requisitos de inmunidad - **Cargas de trabajo sensibles**, incluidas operaciones jurídicas, políticas o competitivamente sensibles - **Contrataciones de nube soberana de Estados miembros** con requisitos explícitos de inmunidad Para estas categorías, la Frontera de Datos UE no resuelve la cuestión estructural de soberanía. Se requieren proveedores europeos de nube soberana (OVHcloud, Scaleway, Infomaniak y otros) o estructuras de empresa conjunta con hiperescaladores estadounidenses (S3NS, Bleu). ## Frontera de Datos UE frente a nube soberana europea Varios hiperescaladores estadounidenses han lanzado o anunciado ofertas de "nube soberana europea" más allá de los compromisos básicos de Frontera de Datos: | Oferta | Tipo | Profundidad de soberanía | |----------|------|-------------------| | **Microsoft EU Data Boundary** | Compromiso de residencia de datos | Limitada (persiste la exposición a la CLOUD Act) | | **AWS European Sovereign Cloud** | Región AWS separada solo UE operada por filial UE | Mejorada pero aún controlada por la matriz | | **Google Sovereign Controls** | Cifrado controlado por el cliente + residencia de datos en la UE | Mejor que la línea base pero la matriz estadounidense persiste | | **S3NS (Thales + Google)** | JV controlada por Thales con tecnología de Google | Verdadera jurisdicción francesa (SecNumCloud) | | **Bleu (Capgemini/Orange + Microsoft)** | JV francesa con tecnología de Microsoft | Verdadera jurisdicción francesa (en proceso de cualificación) | El patrón: las ofertas de solo residencia de datos son más fáciles de construir pero menos soberanas; las estructuras de empresa conjunta con control operativo de la UE ofrecen una soberanía más fuerte a costa de mayor complejidad operativa. ## Implicaciones prácticas - **Para los equipos de contratación**: clarifica si tus requisitos de soberanía son sobre residencia de datos o sobre jurisdicción corporativa; las respuestas determinan la elegibilidad del proveedor - **Para DPO y cumplimiento**: la Frontera de Datos UE ayuda con la residencia de datos del RGPD pero no satisface las cuestiones estructurales de Schrems II - **Para compradores de sectores regulados**: la Frontera de Datos UE por sí sola no satisface SecNumCloud ni los requisitos sectoriales de nube soberana - **Para cargas de trabajo sensibles** (jurídicas, políticas, competitivamente sensibles): la Frontera de Datos UE es insuficiente; considera proveedores europeos de nube soberana o estructuras JV - **Para cargas de trabajo comerciales ordinarias**: la Frontera de Datos UE es genuinamente útil y mejor que la residencia por defecto en EE. UU. La Frontera de Datos UE es un compromiso operativo significativo que aborda una dimensión de la soberanía cloud (residencia de datos) pero no la dimensión estructural más profunda (jurisdicción corporativa). Entender esta distinción es operativamente esencial para la contratación de nube europea en 2026.

Alternativas UE relacionadas en BetterInEurope

Términos relacionados

← Volver al glosario