Europa lleva años proclamando que quiere controlar sus propios datos. Ha lanzado iniciativas, creado marcos regulatorios y celebrado cumbres de pomposos titulares. Pero cuando el fiscal jefe de la Corte Penal Internacional perdió acceso a su correo de Microsoft en mayo de 2025 (tras las sanciones del gobierno de Trump) quedó en evidencia lo que muchos ya sospechaban: la soberanía digital europea sigue siendo, en gran medida, más aspiracional que real.
El bloqueo del email que lo precipitó todo
Karim Khan, fiscal de la Corte Penal Internacional, se vio de la noche a la mañana sin acceso a su cuenta institucional de Outlook. Microsoft, sujeta a la legislación de su país, operó bajo la presión de las sanciones impuestas por Washington, en respuesta a la investigación de la CPI sobre crímenes de guerra. Como resultado, el fiscal terminó migrando a Proton Mail. La CPI, con sede en La Haya, declaró que sus comunicaciones habían quedado paralizadas y el gobierno holandés, anfitrión de la institución, lanzó una auditoría de emergencia de toda su infraestructura digital.
Semanas después, ante el Senado francés, el director jurídico de Microsoft Francia reconoció bajo juramento que no podía garantizar que los datos de ciudadanos europeos nunca serían entregados a autoridades estadounidenses si mediaba una orden judicial. Su respuesta no dejaba margen de duda: «No, no lo puedo garantizar«.
Su testimonio no reveló nada nuevo. La «CLOUD Act» de 2018 ya establecía que las empresas tecnológicas americanas deben entregar datos bajo su control, independientemente de dónde estén almacenados físicamente. Pero materializarlo en un senado europeo y en plena crisis geopolítica, tuvo un efecto que años de análisis académicos no habían logrado; puso la soberanía digital en el centro de la agenda ejecutiva de media Europa.
La consultora Gartner puso rápidamente las cifras sobre la mesa: proyectó que el gasto europeo en servicios de nube soberana se triplicará entre 2025 y 2027, pasando de unos 6.900 millones de dólares a más de 23.000 millones.
EUCS: cinco años negociando lo evidente
El European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) es el marco de certificación de ciberseguridad para la nube que la Agencia Europea de Ciberseguridad (ENISA) lleva desarrollando desde diciembre de 2020. Su premisa inicial era clara: un sello europeo que garantizara que los proveedores de nubes cumplen estándares mínimos de seguridad y, en su nivel máximo, que los datos no quedan expuestos a legislaciones extranjeras.
Los primeros borradores incluían un requisito de inmunidad jurisdiccional; para obtener la certificación de máximo nivel, los proveedores deberían tener su sede en Europa y no estar sujetos a leyes extraterritoriales como la CLOUD Act. Eso habría excluido de inicio a AWS, Azure y Google Cloud de los contratos con entidades críticas europeas.
Las «contra medidas» fueron inmediatas: la Cámara de Comercio estadounidense, asociaciones como BSA y CCIA Europe e Irlanda, Suecia y los Países Bajos (economías muy integradas con el ecosistema tecnológico americano) forzaron la retirada de esos requisitos en el borrador de marzo de 2024. En su lugar se introdujo una declaración de transparencia:
Los proveedores informarán a sus clientes sobre qué jurisdicciones les aplican.
El enemigo en casa.
A mediados de 2026, el EUCS sigue sin adoptarse. Más de cinco años después de su primer borrador, el texto está bloqueado con las consecuencias que ello implica: la Directiva NIS2 exige que las entidades críticas usen proveedores certificados por el EUCS, y varios programas de inteligencia artificial europeos no pueden desplegarse completamente hasta que el esquema esté en vigor. La Comisión, estudia desatascar el EUCS mediante la revisión del Acta de Ciberseguridad, prevista para finales de 2026, introduciendo los requisitos de soberanía como factores no técnicos de riesgo…
Francia, mientras tanto, decidió tomar su propio camino. Su esquema nacional SecNumCloud sí mantiene restricciones estrictas de soberanía, impidiendo a proveedores no europeos acceder a contratos con la Administración Pública. Es el modelo más robusto del continente, pero también el más aislado, generando una fragmentación del mercado interno que contradice el ideal de un espacio digital único en la UE.
Como puede verse, ninguna solución es buena por si sola.
Gaia-X o el Airbus kamikaze de la nube
Cuando Alemania y Francia anunciaron Gaia-X en 2019, mucha de la prensa especializada habló de sus analogías con el consorcio Airbus. Europa había sido capaz de construir un proyecto aeronáutico que compitió globalmente con Boeing durante décadas; ¿por qué no replicar ese modelo en infraestructura digital? La iniciativa prometía una red federada de servicios en la nube, construida sobre estándares europeos abiertos, con la interoperabilidad y la protección de datos como valores fundacionales.
Lo que a nadie pareció importar fue el hecho de que los grandes proveedores estadounidenses solicitaran y obtuvieran voz y voto desde el primer día. AWS, Microsoft y Google participaron en diversas mesas de trabajo que, precisamente, debían definir los estándares para contrarrestar su propia influencia.
El CEO de Nextcloud, Frank Karlitschek, lo resumió en 2024 sin rodeos: Gaia-X se había convertido en un «monstruo de papel«, una burocracia que generaba voluminosos documentos pero muy pocos resultados. El propio CEO de la iniciativa, Francesco Bonfiglio, dimitió visiblemente frustrado por las diferencias internas que frenaban cualquier avance real.
La ironía más sangrante la reveló el propio Bundestag en diciembre de 2023 respondiendo a una interpelación parlamentaria; confirmó que el gobierno federal tiene contratos marco con Oracle por un volumen total de casi 4.800 millones de euros, con el mayor contrato individual (4.600 millones) en vigor hasta 2030. Alemania, uno de los dos impulsores de Gaia-X, comprometiendo fondos públicos a largo plazo con un gigante estadounidense.
El patrón se repite
Gaia-X no es una anomalía. Es el ejemplo más visible de una tendencia estructural: iniciativas europeas de soberanía digital que terminan siendo cooptadas, diluidas o simplemente abandonadas.
El EU Cloud and AI Development Act, cuya propuesta legislativa estaba prevista para el primer trimestre de 2026, llega a un escenario regulatorio que ya acumula GDPR, AI Act, Data Act, NIS2, Ley de Resiliencia Cibernética y EUCS pendiente.
Según un análisis publicado en 2026, el 55% de las pymes europeas cita la complejidad regulatoria como su mayor obstáculo.
El CADA, anunciado como solución, termina por constituirse como otra capa más sobre un sistema ya saturado de normas que se solapan.
El riesgo de fondo aparece cuando, el acumular capas de regulación, acaba por encarecer demasiado operar en Europa. Las empresas no cambiarán su comportamiento, sino su sede. En lugar de cumplir con la normativa, tratarán de eludirla instalándose fuera de su jurisdicción. La regulación deja de ser una ventaja competitiva (el argumento de que los estándares europeos generan confianza y mercado) y se convierte en un incentivo para marcharse.
La propia Comisión Europea, a través del Tribunal de Cuentas Europeo, reconoció en 2024 que a pesar del EU Chips Act (con 43.000 millones de euros de inversión pública para relocalizar la producción de semiconductores), en 2025 el programa no alcanzará su objetivo declarado de representar el 20% de la producción mundial de chips. La recomendación final del tribunal fue palmaria:
Una revisión urgente de la realidad.
La economista de la competencia Cristina Caffarra, fundadora de la iniciativa EuroStack, lo cifra con precisión: el 90% de la infraestructura digital europea (nube, computación, software empresarial) está controlada por empresas no europeas, predominantemente estadounidenses.
En ninguna otra región económicamente importante del mundo (ni en Estados Unidos ni en Asia) los gobiernos permiten que su infraestructura digital crítica dependa mayoritariamente de actores extranjeros.
No todo está perdido
El panorama, aunque desolador, también presenta algunos casos de éxito.
El más destacado es EuroHPC, la empresa conjunta europea de supercomputación de alto rendimiento creada en 2018.
Con once superordenadores desplegados en toda Europa, tres de ellos figuran entre los diez más potentes del mundo: LUMI (Finlandia), Leonardo (Italia) y MareNostrum 5 (España). Este último, alcanza los 314 petaflops de potencia de cómputo y es uno de los más eficientes energéticamente en Europa según el índice Green500. En febrero de 2026 se inauguró en Alemania Euro-Q-Exa, el primer ordenador cuántico EuroHPC desplegado en ese país, integrado en el Leibniz Supercomputing Centre con 54 qubits superconductores y una hoja de ruta para llegar a 150 en 2026.
En el mercado de la nube comercial, hay proveedores europeos que ya operan a gran escala. OVHcloud, con sede en Francia, cerró el ejercicio 2025 con ingresos superiores a 1.000 millones de euros, lidera el mercado SecNumCloud y opera 44 centros de datos en cuatro continentes. IONOS y Hetzner (Alemania) o Scaleway (Francia) ofrecen una infraestructura muy competitiva para un amplio rango de necesidades corporativas. La plataforma Virt8ra, coordinada por la española OpenNebula Systems y lanzada en enero de 2025, federó en pocos meses a catorce proveedores cloud europeos (entre ellos OVHcloud, Scaleway y Arsys) en una infraestructura operativa disponible en seis países de la UE bajo un modelo de interoperabilidad plenamente funcional.
El arte de dispararse en el pié
Algunos ejemplos del «estado de las cosas»:
- La misma Comisión que exige soberanía digital a las empresas europeas, opera buena parte de su propia infraestructura sobre servicios extranjeros. Varios parlamentos nacionales y agencias reguladoras de la UE usan Microsoft 365, AWS o Google Workspace en sus comunicaciones cotidianas.
- En noviembre de 2025 un grupo de eurodiputados de varios grupos políticos exigió formalmente a la presidencia del parlamento europeo abandonar Microsoft 365; a fecha de publicación, el Parlamento sigue operando con esa suite.
- Alemania financia Gaia-X con una mano y a Oracle Cloud con la otra.
- Los Países Bajos, sacudidos por el caso de la CPI, descubrieron que sus propios ministerios están tan profundamente integrados en la infraestructura de Microsoft que migrar tomaría, según sus propios expertos, entre seis meses y tres años por institución.
- En junio de 2025, el Parlamento holandés exigió evaluaciones de riesgo y planes de contingencia para reducir la dependencia de proveedores en la nube «no europeos». A fecha de hoy, esos planes aún se están elaborando.
El refranero español lo definiría muy bien:
Consejos vendo, que para mí no tengo.
Las tecnológicas estadounidenses se posicionan
Microsoft, AWS y Google no han estado de brazos cruzados.
Ante el debate sobre la soberanía, han reposicionado sus ofertas con inteligencia creando filiales europeas para sus operaciones, conformando consejos de dirección con directivos europeos y prometiendo batallar judicialmente contra cualquier orden que intente acceder a datos europeos. En abril de 2025, Microsoft se comprometió a ampliar en un 40% su capacidad de centros de datos en Europa y constituyó un consejo directivo exclusivamente europeo. Google se asoció con Thales, empresa francesa de defensa, para lanzar productos de nube soberana orientados al sector público.
Los movimientos existen, pero siguen condicionados por la legislación de sus matrices; ningún contrato puede anular una orden judicial estadounidense.
El contrato, por muy «europeo» que sea, no prevalece sobre la ley, tal y cómo establece el propio dictamen jurídico de la CLOUD Act.
Lo que se viene: legislación, inversión y muy poco tiempo
La Comisión Europea ha «entendido» que el momento es ahora. La geopolítica, por primera vez, está jugando a su favor: las tensiones con Washington bajo la administración Trump han convertido la soberanía digital en un argumento político de primer orden, no en algo reservado únicamente para expertos.
El Cloud and AI Development Act (CADA), si se aprueba tal como está planteado, intentará cerrar el déficit de infraestructura europea en computación para inteligencia artificial. La Comisión Europea reconoce que, con un PIB «casi’ comparable (el «casi» lo añado yo), Estados Unidos tiene el doble de capacidad global en centros de datos que Europa. El CADA prevé tres pilares para acortar distancias:
- Financiar I+D dirigido a la eficiencia computacional.
- Crear mecanismos de acceso para pymes y startups.
- Establecer criterios de elegibilidad para proveedores de nube en contratos públicos.
En noviembre de 2025, Francia y Alemania celebraron una cumbre (otra) específica sobre soberanía digital, lanzando un grupo de trabajo conjunto que presentará sus recomendaciones a lo largo de 2026.
Desde la iniciativa EuroStack, impulsada tanto desde la sociedad civil como la académica, se propone una estrategia industrial sustentada sobre tres ejes:
- Cotratar servicios europeos (prioritario en administraciones públicas).
- Crear infraestructura europea (tanto pública como privada).
- Financiación europea (destinar fondos para aumentar la viabilidad de proyectos).
La cuestión a plantearse no es baladí ¿está la UE dispuesta a pagar el precio de la soberanía?
Amazon gastó más de 100.000 millones de dólares en inversión de capital en 2025, la mayor parte en infraestructura AWS. Todo el conjunto del sector europeo de tecnología en la nube, ni siquiera se aproxima a dicha cantidad. En Europa se pueden diseñar y levantar alternativas muy competentes, el problema es saber si hay -y habrá- voluntad política para sostener la apuesta durante todo el tiempo necesario (una década como mínimo).
Conclusiones
Alcanzar siquiera cierto grado de soberanía digital, no implica que se haya de reinventar nada. Lo que se necesita es abandonar la comodidad que conlleva la dependencia de las grandes tecnológicas foráneas. Requiere estar abiertos a cambios, mantener «cierta» coherencia, trabajar conjuntamente y sobretodo, pensar a medio/largo plazo. Lo cual, visto lo visto, casi parece más complicado que lo primero.
De seguir así, la soberanía digital europea tendrá el dudoso honor de ser el proyecto más anunciado, más ausente y más costoso en sus consecuencias.
Soberanía digital en la zona euro — Medidas nacionales verificadas
Estado a abril de 2026 · 20 países · Ordenados por nivel de actividad
| País | DSI 2025 | Estado | Medidas verificadas | Nota clave |
|---|---|---|---|---|
| 🇫🇷 Francia | 25,10 | Activo | Visio sustituirá a Teams y Zoom en toda la Administración para 2,5 M de funcionarios antes de 2027 (mandato de enero 2026). Migración de Windows a Linux en todos los ministerios (directiva DINUM, abril 2026). La Suite Numérique desplegada en 600 000 funcionarios. Île-de-France migró a proveedores franceses los sistemas de 550 000 alumnos. 70% del gasto cloud interministerial fue a proveedores europeos en 2025. Scaleway adjudicataria del contrato soberano de €180 M de la Comisión Europea (abril 2026). ⚠ Health Data Hub: migración de Azure a SecNumCloud en proceso; adjudicación prevista marzo–abril 2026, migración completa antes de finales de 2026. | El caso más avanzado del continente. El CNRS eliminó sus 34 000 licencias de Zoom en marzo 2026. SecNumCloud vigente como esquema de certificación nacional. |
| 🇩🇪 Alemania | 53,85 | Activo | Schleswig-Holstein completó migración a LibreOffice (30 000 empleados) y avanza hacia Linux. Gobierno federal mandató el formato ODF como estándar vinculante para todas las agencias. ZenDiS desarrolla openDesk (alternativa soberana a M365). Cofundadora del Consorcio Europeo de Infraestructura Digital (julio 2025) con Francia, Italia y Países Bajos. StackIT adjudicataria del contrato soberano de €180 M de la Comisión (abril 2026). ⚠ Contratos marco con Oracle por ~€4 800 M vigentes hasta 2030. | Medidas sólidas que coexisten con dependencias masivas a nivel federal. Schleswig-Holstein es el caso más avanzado de Europa en migración gubernamental completa. |
| 🇳🇱 Países Bajos | 36,32 | Parcial | Auditoría de emergencia tras caso CPI (mayo 2025). Parlamento exigió planes de contingencia (junio 2025). Non-paper gubernamental sobre soberanía cloud (julio 2025). Amsterdam aprobó estrategia de soberanía digital 2026–2035. Cofundadora del Consorcio Europeo de Infraestructura Digital (julio 2025). Migración a mensajería soberana iniciada en varios ministerios. ⚠ Kyndryl (EE. UU.) adquirió Solvinity, proveedor soberano elegido por ministerios holandeses, en noviembre 2025. | Ejecución aún fragmentada. Migrar de Microsoft puede llevar entre 6 meses y 3 años por institución, según expertos del propio gobierno. |
| 🇧🇪 Bélgica | 7,15 | Parcial | Proximus seleccionada para el contrato soberano de €180 M de la Comisión Europea (abril 2026), en consorcio con Francia y Luxemburgo. Migración a mensajería soberana iniciada junto a otros cinco países. | Protagonismo activo en contratos supranacionales europeos. Microsoft controla ~72% de la infraestructura cloud pública nacional. |
| 🇱🇺 Luxemburgo | 17,72 | Parcial | Post Telecom Luxembourg seleccionada para el contrato soberano de €180 M de la Comisión Europea (abril 2026), en consorcio con Bélgica y Francia. Migración a mensajería soberana iniciada junto a otros cinco países. | Medidas concentradas en contratos europeos supranacionales. Sin iniciativas nacionales de gran escala documentadas. |
| 🇮🇹 Italia | 6,49 | Parcial | Política pública que exige preferencia por software de código abierto. Cofundadora del Consorcio Europeo de Infraestructura Digital (julio 2025). Superordenador Leonardo (EuroHPC) entre los diez más potentes del mundo. Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). | Marco legal favorable al código abierto. Sin planes de migración masiva documentados comparables a Francia o Alemania. |
| 🇫🇮 Finlandia | 64,50 | Parcial | Mayor puntuación del Digital Sovereignty Index 2025 (Nextcloud) — refleja alto despliegue de infraestructura soberana en el tejido privado y científico —. Aloja el superordenador LUMI (EuroHPC). La ministra de Asuntos Digitales anunció aceleración de la estrategia open-source first por razones de seguridad nacional. ⚠ Microsoft controla ~77% de la infraestructura digital pública. El DSI mide despliegues en la sociedad civil, no acciones gubernamentales directas. | Alto despliegue soberano privado y científico. La dependencia gubernamental de Microsoft sigue siendo estructuralmente elevada. |
| 🇪🇪 Estonia | 18,40 | Parcial | La ministra Liisa Pakosta declaró que la soberanía digital es «una cuestión de supervivencia nacional» y anunció aceleración de la estrategia open-source first. Referente mundial en gobierno electrónico (plataforma X-Road). Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). | Posición política clara y marco de e-government robusto. Planes de implementación soberana en desarrollo. |
| 🇪🇸 España | 7,01 | En desarrollo | Consejo de Ministros aprobó la Hoja de Ruta para la Soberanía Digital (24 de febrero de 2026), con 10 propuestas de acción: código abierto y OpenDesk en la Administración, ALIA (modelos de lenguaje en español), refuerzo de la Nube SARA y compra pública europea. OpenNebula Systems lidera Virt8ra (14 proveedores cloud europeos federados). Superordenador MareNostrum 5 (314 petaflops, EuroHPC). | La hoja de ruta es un documento de intenciones con 10 ejes; la implementación concreta está pendiente. Liderazgo en supercomputación científica. |
| 🇦🇹 Austria | 20,23 | En desarrollo | Puntuación DSI por encima de la media UE (16,31). Piloto menor de alternativas de código abierto reconocido por el propio gobierno como «exploratorio». Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). | El gobierno describió el piloto como «menor» y aclaró que no implica una decisión de abandonar Microsoft. |
| 🇱🇻 Letonia | 16,63 | Limitado | Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Avances en administración electrónica. Sin iniciativas nacionales diferenciadas verificadas. | DSI en torno a la media UE. Sin medidas nacionales específicas documentadas. |
| 🇱🇹 Lituania | 16,10 | Limitado | Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Desarrollo de administración electrónica. Sin iniciativas nacionales diferenciadas verificadas. | DSI en torno a la media UE. Sin medidas nacionales específicas documentadas. |
| 🇬🇷 Grecia | — | Limitado | Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Sin iniciativas nacionales específicas verificadas. | Sin datos de medidas activas a nivel nacional. |
| 🇸🇰 Eslovaquia | — | Limitado | Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Participación en el EU Chips Act. Sin iniciativas nacionales diferenciadas verificadas. | Sin datos de medidas activas a nivel nacional. |
| 🇸🇮 Eslovenia | — | Limitado | Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Sin iniciativas nacionales específicas verificadas. | Sin datos de medidas activas a nivel nacional. |
| 🇵🇹 Portugal | — | Limitado | Cofinancia MareNostrum 5 (EuroHPC). Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Sin iniciativas nacionales propias verificadas. | Sin medidas activas documentadas más allá del marco europeo común. |
| 🇨🇾 Chipre | — | Limitado | Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Sin iniciativas nacionales específicas verificadas. | Sin datos de medidas activas a nivel nacional. |
| 🇲🇹 Malta | — | Limitado | Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Sin iniciativas nacionales específicas verificadas. | Sin datos de medidas activas a nivel nacional. |
| 🇭🇷 Croacia | — | Limitado | Firma de la Declaración Europea de Soberanía Digital (diciembre 2025). Sin iniciativas nacionales específicas verificadas. | Sin datos de medidas activas a nivel nacional. |
| 🇮🇪 Irlanda | — | Sin medidas | Ninguna iniciativa nacional verificada. Irlanda se opuso activamente a los requisitos de soberanía en los borradores del EUCS. ⚠ Sede europea de AWS, Google, Meta, Apple y Microsoft EMEA: su estructura fiscal depende directamente de las tecnológicas que la soberanía digital apunta a reducir. | Conflicto de interés estructural documentado. Su oposición al EUCS fue activa, no pasiva. |
DSI: Nextcloud Digital Sovereignty Index 2025 (julio 2025) — mide despliegues de infraestructura soberana autoalojada por 100.000 habitantes; no equivale a acciones gubernamentales directas. Los países sin dato (—) no alcanzan el umbral mínimo de la muestra.
Fuentes: The Next Web · Euronews · DatacenterDynamics · The Register · GovInfoSecurity · Politico · CNBC · Atlantic Council · Next.ink · digital.gob.es · NL Digital Government · Consejo UE (dic. 2025) · Comisión Europea (abr. 2026).