CADA y soberanía digital en la nube: CISPE pide a la UE frenar el ‘sovereignty-washing’

CADA soberanía digital en la nube europea entra en el centro del debate regulatorio: ejecutivos de 24 proveedores europeos de Cloud Computing y servicios digitales, agrupados en la asociación CISPE, han enviado una carta a la Comisión Europea para pedir que el futuro Cloud and AI Development Act (CADA) legisle “soberanía real” basada en control efectivo y no en fórmulas que, según advierten, permitirían a los hyperscalers “maquillar” ofertas como “sovereign cloud” sin resolver el riesgo jurídico y operativo.

El documento, dirigido a la vicepresidenta ejecutiva responsable de Tech Sovereignty, reclama que la primera gran legislación europea centrada en nube e IA evite consolidar aún más a los grandes proveedores globales (principalmente estadounidenses) y priorice la creación de un ecosistema europeo competitivo de infraestructura, plataformas y cadenas de suministro.

CADA soberanía digital en la nube europea: soberanía definida por control

El núcleo del mensaje de CISPE es que la soberanía debe definirse por “control” y no por “presencia” en territorio europeo. En la práctica, esto implica criterios vinculados a quién puede tomar decisiones técnicas y corporativas sobre la plataforma, quién tiene capacidad real de operar y auditar la infraestructura, y qué exposición existe a normativas extraterritoriales. En la carta se menciona de forma explícita el US CLOUD Act, una ley que puede obligar a empresas estadounidenses a entregar datos a autoridades de EE. UU. bajo proceso legal, incluyendo información almacenada fuera del país.

Este enfoque choca con el marketing de “sovereign cloud” que varios grandes proveedores han impulsado en Europa: CISPE sostiene que, si el control último y la jurisdicción efectiva siguen fuera de la UE, la soberanía es parcial o directamente ilusoria para cargas de trabajo sensibles.

Compras públicas y cuotas reservadas para datos sensibles

Entre las medidas concretas solicitadas, CISPE pide reservar una parte de la contratación pública para proveedores europeos cuando se trate de datos sensibles, así como evitar grandes marcos de compra o acuerdos de escala que, en la práctica, bloqueen la competencia y dejen fuera a operadores locales. La asociación también reclama que las inversiones financiadas con dinero público en cloud e IA prioricen cadenas de suministro europeas.

Además, solicita apoyo para desarrollar alternativas europeas en componentes críticos (como memoria y procesadores) y elevar exigencias de sostenibilidad ambiental. La tesis de fondo es que la infraestructura cloud y de IA es ya un activo estratégico comparable a energía o telecomunicaciones, y que el diseño de CADA tendrá efectos a largo plazo sobre autonomía industrial, resiliencia y capacidad de innovación.

Control mínimo cuando no exista una alternativa plenamente soberana

CISPE admite que, en determinados casos, puede no existir una opción “plenamente soberana” disponible para ciertos servicios avanzados. Aun así, plantea que el marco regulatorio debería exigir que las entidades europeas retengan control efectivo sobre datos, infraestructura y workloads, especialmente ante intentos de interferencia de gobiernos extranjeros o terceros.

El contexto: dominio de AWS, Azure y Google Cloud en la región

La presión de los proveedores europeos llega en un mercado donde AWS, Microsoft Azure y Google Cloud acumulan una parte mayoritaria del negocio cloud regional y han invertido durante más de una década en plataformas integradas que los competidores más pequeños no pueden replicar de forma completa. Esta asimetría, sumada a economías de escala, ecosistemas de herramientas y lock-in tecnológico, limita la capacidad de Europa para “desacoplar” cargas críticas con rapidez, incluso si aumenta el incentivo político.

En paralelo, el debate sobre CADA soberanía digital en la nube europea se enmarca en una mayor urgencia política por reducir dependencia de infraestructura tecnológica estadounidense, especialmente para administración pública, sectores regulados e industrias estratégicas.

Qué vigilar en el texto final de CADA

Si las tesis de CISPE se trasladan al articulado, el sector espera definiciones más estrictas sobre control corporativo y operacional, requisitos verificables de gobernanza y auditoría, y criterios de contratación pública orientados a evitar que “soberanía” se convierta en una etiqueta de cumplimiento superficial. También podría abrirse una discusión sobre cómo armonizar este enfoque con marcos de protección de datos, competencia y seguridad nacional dentro del mercado único.

• Comisión Europea (sitio oficial)
• EUR-Lex (legislación y documentos oficiales de la UE)
• CISPE (asociación de proveedores europeos de cloud)

En definitiva, CADA soberanía digital en la nube europea se perfila como una pieza regulatoria con impacto industrial: para CISPE, la clave es impedir el “sovereignty-washing” y fijar una definición basada en control real, de modo que la inversión pública y las reglas de mercado fortalezcan capacidad europea y no profundicen la dependencia de los hyperscalers.