«Tranquilo, está alojado en Europa» se ha convertido en la tranquilización refleja para cualquier pregunta sobre datos. Suena contundente. A menudo no lo es. El alojamiento en la UE y el cumplimiento del RGPD responden a una pregunta; la soberanía responde a otra distinta. Confundirlas es como las empresas acaban llevándose sorpresas sobre quién puede llegar a sus datos.
Dos preguntas diferentes
El RGPD rige cómo se tratan los datos personales: base legal, consentimiento, conservación, los derechos de las personas sobre las que tratan los datos. Un hyperscaler estadounidense con una región en la UE puede ser plenamente abordable bajo el RGPD. Ese es un estándar real y valioso — pero trata de la protección de datos, no de la jurisdicción.
La soberanía plantea una pregunta más cruda: ¿qué leyes, y qué gobiernos, pueden obligar a acceder a estos datos? Eso depende mucho menos de dónde están los bytes y mucho más de quién controla la empresa que los guarda.
Por qué «alojado en la UE» puede aun así significar alcance extranjero
Cuando el proveedor es una corporación estadounidense, dos piezas de la ley de EE. UU. cruzan el Atlántico independientemente del código postal del centro de datos:
- El CLOUD Act, que obliga a los proveedores con sede en EE. UU. a entregar los datos que controlan, estén donde estén almacenados.
- La Sección 702 de FISA, la autoridad de vigilancia en el centro de la sentencia Schrems II que tumbó el Privacy Shield.
Esto no es una hipótesis ni un argumento antiestadounidense — es simplemente cómo funciona la ley extraterritorial. Una región de la UE operada por una matriz estadounidense reduce algunos riesgos y resuelve la residencia del RGPD. No elimina el alcance legal extranjero, porque la empresa matriz sigue sujeta a la jurisdicción de su país de origen.
Qué requiere de verdad la soberanía
La soberanía de los datos genuina tiene menos que ver con una bandera en un mapa y más con el control:
- Un proveedor constituido y operado bajo la ley de una jurisdicción en la que usted confía — no una filial de otra que no.
- Infraestructura cuyo contrato usted tiene, con la capacidad de cambiar de proveedor.
- Control de sus propias claves de cifrado, para que el acceso sea su decisión, no algo por defecto.
- Documentación y vías de salida, para que no haya dependencia disfrazada de característica.
Un argumento universal, no europeo
Es tentador leer esto como un argumento de «Europa contra EE. UU.». No lo es. Una empresa en Zúrich, Londres, Oslo o São Paulo tiene el mismo interés en saber quién puede obligar a acceder a sus datos. La ley y la infraestructura europeas resultan darnos herramientas sólidas y creíbles para ofrecer soberanía — pero el principio de que su tecnología debe seguir siendo suya es universal. La pregunta que hay que hacer a cualquier proveedor no es «¿está alojado en Europa?». Es «¿qué ley rige a la empresa que lo controla, y puedo cambiarme si lo necesito?».
Preguntas frecuentes
- ¿Basta el cumplimiento del RGPD para datos sensibles?
- Es necesario, no siempre suficiente. El RGPD rige cómo se tratan los datos personales; no impide que un gobierno extranjero obligue a un proveedor sujeto a sus leyes. Para datos sensibles o estratégicos, la soberanía — quién puede obligar a acceder — es la pregunta adicional que hay que hacer.
- ¿«Alojado en la UE» hace soberana a una nube estadounidense?
- No. El alojamiento en la UE satisface la residencia de los datos, pero un proveedor de propiedad estadounidense sigue sujeto a la ley de EE. UU. como el CLOUD Act, esté donde esté el centro de datos. La residencia y la soberanía son garantías diferentes.
- ¿Esto solo es relevante para empresas europeas?
- En absoluto. Cualquier empresa, en cualquier lugar, se beneficia de saber qué leyes rigen sus datos y si puede cambiar de proveedor. Las herramientas europeas son una forma sólida de lograr la soberanía, pero el principio se aplica universalmente.