En Bruselas, el debate sobre la soberanía en la nube ha cobrado nueva vida, desencadenado por una crítica contundente de CISPE, la patronal europea de proveedores de infraestructura cloud. La organización ha manifestado su inconformidad con el recién lanzado EU Cloud Sovereignty Framework de la Comisión Europea. Según CISPE, la noción de soberanía en la nube debe ser absoluta, al igual que un alimento no puede calificarse como «75 % ecológico». La preocupación principal radica en que el nuevo marco introduce una «puntuación de soberanía» que combina criterios inalcanzables y vagos, posiblemente favoreciendo a grandes proveedores internacionales y manteniendo el statu quo bajo el término de “soberanía”.
La Comisión Europea, por su parte, ha desarrollado el Cloud Sovereignty Framework como una herramienta destinada a evaluar el desempeño de los proveedores en ocho ámbitos clave de soberanía, incluyendo seguridad y cumplimiento normativo. Inspirado por referencias como Gaia-X y DORA, el marco pretende estandarizar criterios para mejorar la independencia de los servicios contratados por el sector público, alineándolos con las leyes europeas.
Sin embargo, CISPE alerta que la metodología utilizada podría permitir ocultar realidades incómodas, ya que promediar criterios heterogéneos podría llevar a una falta de transparencia. Además, advierten que muchos proveedores europeos, incluidas pequeñas y medianas empresas, podrían obtener puntuaciones más bajas que las de los gigantes globales, distorsionando la competencia bajo una soberanía estadística pero no efectiva.
CISPE propone un listado de referencia basado en Gaia-X Nivel 3, el cual establece un estándar alto de protección de datos y resiliencia con servicios ubicados en Europa. Como alternativa, la organización sugiere dos etiquetas en su Cloud Services Catalogue: Sovereign Cloud, que garantiza inmunidad total frente a injerencias externas, y Operationally Resilient Cloud, que ofrece control operativo y legal verificable en entornos globales, diferenciando claramente entre soberanía plena y resiliencia operativa.
El contexto político agrega complejidad al debate. En 2024, la UE suavizó ciertos requisitos de soberanía en sus esquemas de ciberseguridad, lo que facilitó la entrada de proveedores no europeos en contratos sensibles, provocando críticas de importantes empresas europeas. Ahora, con la implementación del marco de puntuación en 2025, surge la pregunta sobre si realmente se logrará aumentar la autonomía europea o si se perpetuará una ilusión de independencia.
Este conflicto pone en juego temas de claridad y cumplimiento en las licitaciones del sector público. Para una gobernanza efectiva y soberanía tecnológica real, es crucial que las normas europeas sean claras, alcanzables y verificables. La evolución de este marco podría definir el futuro competitivo del mercado europeo y su independencia tecnológica en un contexto global. La necesidad de reglas claras y herramientas fiables para evaluar la soberanía resulta ineludible mientras Europa busca reafirmar su autonomía en el entorno digital.
