Los datos alojados en Europa por una empresa estadounidense: ¿son realmente soberanos?

¿Qué es una nube soberana?

Hoy en día, muchos proveedores cloud se presentan como «soberanos». Detrás de esa etiqueta, la realidad suele ser muy distinta. Tus datos pueden estar físicamente almacenados en Suiza o en Europa, y seguir siendo perfectamente accesibles desde Estados Unidos. Aquí te explicamos por qué la soberanía de los datos es un asunto estratégico, y cómo evitar las trampas a la hora de elegir tu proveedor cloud.

Este artículo se basa en la intervención de Léopold Jacquot, Principal Engineer de Infomaniak, en los Swiss Cyber Security Days 2026.

Localización de los datos: por qué «alojado en Suiza/Europa» no es suficiente

Empecemos por la ilusión más extendida: la geografía.

Léopold Jacquot es Principal Engineer de Infomaniak desde hace nueve años. En los Swiss Cyber Security Days 2026 resumió el problema con una sola imagen:

Imagina una caja fuerte físicamente en Zúrich, de acero suizo, con cerradura suiza. Solo que la llave la tiene una empresa en San Francisco. La caja es suiza. Su contenido ya no lo es.

Eso es exactamente lo que ocurre con tus datos cuando la empresa que opera el servidor está sujeta a una legislación extranjera. El CLOUD Act, una ley estadounidense vigente desde 2018, obliga a las empresas tecnológicas americanas a entregar datos a las autoridades, aunque esos datos estén almacenados en el extranjero.

En la práctica: da igual que el data center esté en Berna, Fráncfort o París. Si la empresa que lo gestiona es estadounidense o pertenece a un grupo americano, tus datos son legalmente accesibles desde Estados Unidos.

Para los perfiles técnicos, Léopold Jacquot va más lejos: lo que realmente importa es quién tiene las claves de cifrado.

Tus datos pueden estar cifrados en AES-256, alojados en un data center europeo, con un SLA blindado. Pero si las claves las gestiona un servicio operado por AWS, Azure o Google Cloud, es como cifrar tus datos y enviar la llave por correo a Estados Unidos.

La capa de software que lo cambia todo (y que crea dependencia)

La geografía no es la única promesa falsa.

Toma una aplicación desarrollada por una empresa europea, vendida como «100% local». Bajo el capó, corre sobre un sistema cuya licencia pertenece a un editor extranjero, con servidores de licencias en Estados Unidos. Todo funciona perfectamente. Hasta el día en que ese editor cambia sus condiciones, sube los precios un 300% o simplemente decide cortar el acceso.

Algunas ofertas de «nube soberana» se apoyan enteramente en tecnologías extranjeras. El actor local es la fachada, pero la capa que toca tus datos se controla desde fuera. Se ve por toda Europa: alianzas entre proveedores cloud europeos e hyperscalers americanos presentadas como «soberanas». Pero si rascas un poco, la capa fundamental sigue estando controlada desde el extranjero.

El mito del contrato blindado

Luego está el contrato. El razonamiento es:

Nuestros abogados han negociado una sólida cláusula de confidencialidad, estamos protegidos.

Solo que un contrato mercantil es un acuerdo entre dos partes privadas. No resiste ante una exigencia legal de un Estado. Frente a una orden judicial estadounidense, las cláusulas de confidencialidad no cambian nada. Son dos niveles de protección fundamentalmente distintos.

Y esta lógica no se aplica solo a los servidores o a los servicios de mensajería. Se aplica a todo lo que confiamos a un servicio americano, incluidos los prompts que tus equipos envían cada día a Claude de Anthropic, ChatGPT, Copilot de Microsoft o Gemini de Google. El contrato «enterprise» de esos servicios es un contrato mercantil. No tiene peso frente a una orden estatal.

CLOUD Act, RGPD, leyes extraterritoriales: lo que dice realmente el derecho

• El CLOUD Act obliga a cualquier empresa de derecho estadounidense a entregar a las autoridades los datos que posee, incluidos los almacenados fuera de Estados Unidos.
• El RGPD regula estrictamente las transferencias de datos personales a terceros países.
• El problema es que estos dos textos están en conflicto directo. La sentencia Schrems II del Tribunal de Justicia de la Unión Europea (2020) reconoció que la legislación estadounidense no ofrece un nivel de protección equivalente al de la UE.

La consecuencia concreta para una empresa europea que confía sus datos a un proveedor sujeto al CLOUD Act: queda expuesta al riesgo de incumplimiento del RGPD, con sanciones de hasta el 4% de su facturación mundial.

Este riesgo se materializó en 2025. El 6 de febrero, un decreto presidencial estadounidense impone sanciones personales a Karim Khan, fiscal de la Corte Penal Internacional. En las semanas siguientes, pierde el acceso a su correo Microsoft y se pasa a una alternativa suiza. El 20 de agosto, las sanciones se extienden a varios responsables de la CPI, entre ellos el juez francés Nicolas Guillou, cuyas tarjetas Visa y Mastercard quedan bloqueadas y cuyo acceso a varias plataformas americanas (Amazon, Airbnb, Booking.com, Expedia) es cortado. El 31 de octubre, la CPI anuncia que sustituirá Microsoft 365 por openDesk — una suite de código abierto desarrollada por el organismo público alemán ZenDiS — en sus 1.800 puestos de trabajo.

Una cadena de hechos que demostró, en menos de un año, lo que ningún argumento comercial había logrado hacer admitir:

Un proveedor sujeto a una jurisdicción extranjera puede ser obligado a cortar el acceso a sus servicios, incluso a un magistrado internacional.

El 10 de junio de 2025, ante la comisión de investigación del Senado francés sobre contratación pública, Anton Carniaux, director de Asuntos Públicos y Jurídicos de Microsoft Francia, fue interrogado bajo juramento: ¿puede garantizar que los datos de los ciudadanos franceses nunca serán transmitidos a las autoridades estadounidenses sin el acuerdo de las autoridades francesas? Su respuesta:

No, no puedo garantizarlo, pero hasta ahora nunca ha ocurrido.

Una respuesta que cierra, en la práctica, el debate sobre el alcance real de los compromisos contractuales frente a una orden estatal.

La visión de Infomaniak: tres pilares para una soberanía real

Si no reside ni en la geografía, ni en el contrato, ni en el marketing, ¿dónde está la verdadera soberanía digital? Para Léopold Jacquot, la soberanía es ante todo una cuestión de arquitectura, no de localización. En Infomaniak, esa convicción se traduce en tres pilares concretos.

1. Controlar el software, los data centers y el know-how

Volvamos a la imagen de la caja fuerte. Para que sea realmente soberana, no basta con que esté en Suiza.

La caja, la cerradura, la llave y la empresa que los fabrica deben estar todos bajo la misma jurisdicción, y ninguno de ellos debe depender de un actor extranjero.

Esa es la lógica que Infomaniak aplica a cada capa de su infraestructura. La empresa diseña, opera y gestiona sus data centers en Suiza, con sus propios equipos. El software se desarrolla internamente, sobre bases de código abierto como OpenStack, Ceph y Kubernetes. La red la configuran los ingenieros de la casa. Sin dependencia estratégica de hyperscalers extranjeros: nada de AWS debajo, nada de Azure en subcontratación, nada de Google Cloud escondido en algún rincón.

René Luria, CTO de Infomaniak, resume este enfoque en tres palabras:

Construimos. Poseemos. Operamos.

Para un desarrollador, ese control marca una diferencia tangible en el día a día.

Cuando un cliente pregunta qué camino siguen sus datos, podemos responder con precisión: no «en algún lugar de la nube», sino «en este servidor, en este data center, en este switch». Si hay que rastrear un paquete de red de principio a fin para resolver un problema, es posible, porque es nuestra red, no la de un tercero.

Esta lógica se extiende a la energía. Como recuerda Boris Siegenthaler, fundador de Infomaniak:

Una infraestructura que depende de fuentes de energía externas o inestables sigue siendo vulnerable. Infomaniak posee sus propias centrales solares en Suiza y apunta al 50% de autoproducción para 2030.

El D4 — un data center de Infomaniak inaugurado en enero de 2025 en Ginebra, es la expresión más acabada de este enfoque. Construido bajo tierra en un ecobarrio cooperativo, despliega 1.800 m² de salas de servidores y funciona al 100% con energía renovable. Su particularidad: todo el calor producido por los servidores y los componentes se recupera y se inyecta en la red de calefacción urbana de los Services Industriels de Genève.

A plena carga, el D4 inyectará 1,7 MW (es decir, 14,9 GWh al año) en la red de calor — el equivalente a calentar 6.000 viviendas en invierno y a 20.000 duchas de 5 minutos en verano. Sin este sistema, Ginebra tendría que quemar 3.600 toneladas equivalentes de CO₂ de gas natural (o 5.500 toneladas de pellets de madera) para producir ese mismo calor cada año.

El proyecto recibió el Premio Suizo de Ética y el Premio al Desarrollo Sostenible del cantón de Ginebra. Su diseño energético está documentado y se comparte libremente en d4project.org, para que otros actores puedan replicarlo.

2. Usar servicios de IA soberanos sin exponer los datos

Imagina un bufete de abogados que usa un asistente de IA para resumir un expediente de cliente con datos sensibles protegidos por el secreto profesional. El resumen es pertinente, el ahorro de tiempo real. Solo que ese expediente acaba de pasar por servidores ubicados en Estados Unidos, operados por una empresa sujeta al CLOUD Act. La información confidencial ha salido de la caja fuerte.

La inteligencia artificial se ha convertido en un punto ciego de la soberanía digital. Según las condiciones de uso de la mayoría de los asistentes de IA, las consultas pueden conservarse y utilizarse para mejorar el modelo.

Lo que envías puede alimentar el sistema, y mañana un tercero podría beneficiarse indirectamente de ello. Los investigadores han demostrado además que es posible extraer datos de entrenamiento de estos modelos mediante ataques dirigidos.

Para responder a este problema, Infomaniak ha desarrollado Euria, su asistente de IA, y AI Services para empresas. Los modelos — basados en fundamentos de código abierto como Mistral, Qwen y Apertus — corren en las propias GPU de Infomaniak, en Suiza. Ninguna consulta se conserva tras su procesamiento: lo que envías se procesa y luego se olvida.

Sin registro de prompts, sin reentrenamiento con tus datos. El ciclo de vida de tu información se resume en: entrada, procesamiento, salida, olvido.

La integración es coherente con el entorno colaborativo kSuite: Euria funciona con Infomaniak Mail, kChat y kDrive, sin que tus datos salgan del ecosistema soberano.

Estos modelos no son los más potentes del mercado, y ese no es el objetivo:

Para los usos profesionales habituales — resumir un documento, traducir un texto, analizar un archivo, transcribir un audio — no necesitas el modelo más sofisticado del planeta. Necesitas un modelo fiable que respete tus datos.

3. Un modelo de negocio que no monetiza los datos

Último punto, y no el menos importante: cuando un servicio es gratuito, ¿cómo se financia? En la mayoría de los casos, explotando los datos de sus usuarios. No es una acusación, es un modelo de negocio. Y determina directamente qué se hace con tu información.

En Infomaniak el modelo es distinto: pagas por un servicio, y punto.

Cada funcionalidad está diseñada para recopilar el mínimo de datos estrictamente necesarios para su funcionamiento. Sin seguimiento publicitario, sin herramientas de análisis que transmitan tu comportamiento a terceros, sin fingerprinting.

La independencia de Infomaniak está protegida estructuralmente. El accionista de referencia es una fundación suiza de utilidad pública, que ostenta la mayoría de los derechos de voto en forma de acciones especiales no transmisibles. Ninguna OPA hostil ni adquisición extra-europea son técnicamente posibles. Ningún inversor puede imponer una lógica cortoplacista ni presionar para monetizar los datos en busca de márgenes más altos. Las decisiones estratégicas de Infomaniak siguen rigiéndose por los valores inscritos en la Carta de participaciones.

Esa independencia se refleja también en el código. Una parte creciente de los componentes de los servicios de Infomaniak está publicada en código abierto en GitHub, donde cualquiera puede examinar, verificar y contribuir a mejorar el código. Para reforzar aún más la seguridad, Infomaniak gestiona un programa de bug bounty que recompensa a los investigadores de ciberseguridad que reportan vulnerabilidades. Sin dependencias ocultas, sin puertas traseras.

Estos compromisos son verificables. Infomaniak cuenta con la certificación B Corp — un sello exigente basado en auditorías independientes periódicas — así como ISO 14001 para la gestión ambiental e ISO 50001 para el rendimiento energético. Las emisiones de carbono se compensan al 200%, y la vida útil de los servidores se extiende hasta 15 años, frente a los 3-5 años habituales del sector.

Cómo elegir una nube soberana: las 5 preguntas que debes hacerte

Los criterios habituales — alojado en Europa, conforme al RGPD, cláusula de confidencialidad incluida — ya no son suficientes.

Como recuerda Marc Oehler, CEO de Infomaniak, hay que ir más allá de las listas de compra estándar.

Cinco preguntas concretas, inspiradas en el keynote de Léopold Jacquot, para ir más allá de las etiquetas:

1. ¿Quién controla realmente tus datos? ¿Qué empresa, en qué país, tiene acceso a tus datos y a tus claves de cifrado, más allá del lugar de almacenamiento?
2. ¿Toda la cadena técnica está bajo control? Software, red, servidores, energía. Un solo eslabón dependiente de un actor extranjero basta para fragilizar el conjunto.
3. ¿Las tecnologías utilizadas son verificables? Un proveedor que se apoya en software de código abierto ofrece una transparencia que las soluciones propietarias no permiten.
4. ¿Qué pasa si el proveedor es adquirido? En caso de cambio de propietario, ¿tus datos le siguen? ¿Existe un procedimiento claro para recuperarlos y marcharte?
5. ¿Puede el proveedor resistir presiones legales extranjeras? Es la pregunta más difícil de hacer, y la más importante.

La soberanía digital no es un argumento comercial. Es una serie de decisiones técnicas, económicas y jurídicas que determinan, en la práctica, quién controla tus datos y tus infraestructuras.

La soberanía de los datos no se reduce a una dirección geográfica. La pregunta correcta no es «¿dónde están mis datos?», sino «¿quién puede acceder a ellos, y en qué condiciones?»

La charla de Léopold Jacquot en los Swiss Cyber Security Days 2026

Nube soberana: las preguntas que más nos hacen

¿El CLOUD Act se aplica a las empresas europeas?

El CLOUD Act apunta a las empresas de derecho estadounidense, pero en cuanto una empresa europea confía sus datos a un proveedor americano (Microsoft, Google, AWS) o a una de sus filiales europeas, queda expuesta. Como desarrollador lo resumiría así: no importa la dirección del servidor, sino la jurisdicción de la entidad que controla el stack y el software que procesa los datos. Y es la empresa europea, como responsable del tratamiento, quien asume el riesgo RGPD. Por eso elegir una nube europea independiente se convierte en una decisión estratégica.

¿Mis datos alojados en Suiza están protegidos del CLOUD Act?

Depende enteramente de quién opera realmente el servicio y de qué tecnologías utiliza para hacerlo. Si el proveedor es una empresa suiza de derecho suizo, sin filiales ni estructuras en Estados Unidos, el CLOUD Act no se aplica a esa entidad. Ese es nuestro caso en Infomaniak: empresa suiza de derecho suizo, data centers en Suiza, equipos en Suiza, sin ninguna entidad jurídica al otro lado del Atlántico. Pero eso no es suficiente. Si el stack de software se apoya en componentes propietarios americanos — un hipervisor, una base de datos gestionada, un servicio de gestión de claves de cifrado operado por AWS, Azure o Google Cloud — la dependencia persiste. Una actualización bloqueada, una licencia revocada, y el operador suizo pierde el control. La geografía del data center no hace la soberanía. Tampoco la capa de software, si depende de un editor extranjero.

Queda un último ángulo que a menudo se pasa por alto: la posible adquisición del proveedor. Una empresa suiza hoy puede caer mañana bajo una jurisdicción extranjera. Por eso Infomaniak opera bajo la égida de una fundación de utilidad pública que garantiza su independencia a largo plazo.

¿Cuál es la diferencia entre nube soberana, nube de confianza, SecNumCloud y las nubes soberanas de los hyperscalers?

La pregunta fundamental es: «¿a qué jurisdicción está sujeta la empresa matriz del proveedor que opera mi servicio?». El CLOUD Act no mira dónde están los datos ni quién pulsa los botones. Mira la nacionalidad jurídica del grupo.

Con ese filtro, el panorama se vuelve legible:

• Las «nubes soberanas» de los hyperscalers (Microsoft, AWS, Google) son operadas por filiales europeas de grupos americanos. Independientemente de la calidad del aislamiento técnico, la empresa matriz sigue siendo de derecho estadounidense. La jurisdicción americana sigue siendo aplicable.
• La nube de confianza es un sello francés que no exige independencia tecnológica. Las ofertas certificadas como Bleu (Orange-Capgemini, tecnología Microsoft) o S3NS (Thales, tecnología Google) se apoyan en componentes bajo licencia de hyperscalers americanos. Son «nubes híbridas».
• SecNumCloud, cualificación emitida por la ANSSI, va mucho más lejos: exige inmunidad frente a las leyes extraterritoriales, garantizada por un control accionarial europeo. Es hoy el único marco francés que excluye estructuralmente el CLOUD Act. No existe todavía un equivalente armonizado a nivel europeo.
• Nube soberana, finalmente, no es un sello sino una noción sin definición legal única. Por eso todo el mundo la reivindica, desde operadores realmente independientes hasta filiales de hyperscalers.

En resumen: un servicio puede estar alojado en Europa, operado por europeos, certificado por organismos europeos, y seguir siendo legalmente accesible desde Washington. La pregunta correcta que hacerle a tu proveedor no es «¿sois soberanos?», sino «¿quién es el propietario de la empresa matriz, y bajo qué jurisdicción?»

¿Mi proveedor cloud puede ser adquirido por un actor extranjero?

Es la pregunta estructuralmente más importante a largo plazo. Una empresa europea hoy puede caer mañana bajo una jurisdicción extranjera, de un día para otro, sin que puedas impedirlo. Tus datos la seguirán.

Tres cosas que verificar antes de firmar:

• La estructura del capital. ¿Quién tiene las participaciones? Una empresa cotizada, un fondo de inversión o un holding con capital abierto puede ser adquirido. Una fundación de utilidad pública como accionista mayoritaria, no: sus estatutos lo impiden jurídicamente.
• El domicilio legal de la empresa matriz. Un proveedor francés o suizo participado mayoritariamente por un grupo americano ya está, en la práctica, bajo jurisdicción estadounidense.
• El historial del proveedor. ¿Ha sido ya adquirido, fusionado o reestructurado? ¿Qué compromisos escritos asume sobre su estabilidad accionarial?

En Infomaniak, la Fundación Infomaniak ostenta la mayoría de los derechos de voto como accionista de referencia. Esta estructura hace que una OPA hostil o una adquisición extra-europea sean jurídicamente imposibles, independientemente de la voluntad de los directivos. Es un candado estructural, no una promesa contractual.

¿El RGPD me protege suficientemente del CLOUD Act?

No — y es el malentendido más extendido entre los responsables de TI.

• El RGPD prohíbe las transferencias de datos no reguladas,
• el CLOUD Act las impone.

Los dos textos están en conflicto directo, como confirmó la sentencia Schrems II en 2020. Cuando tu proveedor está sujeto a ambos, acaba aplicando el derecho estadounidense. Así lo reconoció Microsoft Francia ante el Senado en junio de 2025. El RGPD es un texto protector, pero no crea un escudo técnico. El único escudo real es no depender de una entidad sujeta a una jurisdicción extraterritorial.

¿Una pyme necesita realmente una nube soberana?

El criterio correcto es la naturaleza de los datos. Si una empresa trata datos de clientes, información estratégica, propiedad intelectual o datos de salud, el riesgo RGPD es exactamente el mismo que para una gran empresa.

Para usos muy estándar — una web corporativa, una newsletter pública — una nube pública puede bastar. Pero en cuanto manejas datos sensibles, la nube soberana deja de ser un lujo: es una decisión de arquitectura racional. Y al contrario de lo que se suele creer, no es más cara: en Infomaniak, a servicios equivalentes, somos en general más baratos que AWS, Azure o Google Cloud — y sin las tarifas de salida que disparan las facturas a fin de mes.

¿Qué certificaciones tiene Infomaniak?

Infomaniak combina varias certificaciones independientes — ISO 27001, ISO 14001, ISO 50001, ISO 9001 y B Corp — que cubren seguridad, medio ambiente y gobernanza.

A ello se suma una compensación de carbono al 200% verificada por myclimate. Otras certificaciones están en proceso de obtención para responder a las crecientes exigencias de los sectores regulados.

Más información

• Conoce la visión de Infomaniak sobre la soberanía digital
• Descubre el informe de impacto de Infomaniak
• Más información sobre Infomaniak