La Comisión Europea ultima una propuesta legislativa que introducirá requisitos de soberanía digital para las contrataciones públicas de computación en la nube consideradas críticas. Según la documentación adelantada por Reuters y a la que ha tenido acceso Moncloa.com, el texto establece que las licitaciones de sectores como la banca, la energía y la sanidad deberán cumplir criterios técnicos que no dependan exclusivamente del precio, sino también del origen del hardware y el software, así como del control jurisdiccional de los datos, en el marco de la estrategia digital de la UE.
La iniciativa, que se enmarca en la futura Ley de Desarrollo de la Nube y la Inteligencia Artificial que la vicepresidenta Henna Virkkunen tiene previsto presentar este mismo miércoles, busca blindar los datos más sensibles de las administraciones públicas europeas. No se trata de toda la contratación pública tecnológica, sino de aquellos contratos cuyo fallo o injerencia externa podría tener consecuencias sistémicas.
La arquitectura de la exclusión: criterios de adjudicación basados en la soberanía
Los nuevos criterios de adjudicación incluyen requisitos como que el software y el hardware hayan sido desarrollados dentro de la Unión Europea o que la infraestructura esté operada por proveedores que no estén sujetos a legislación extranjera que entre en conflicto con las normas comunitarias de protección de datos. Esta redacción puede excluir de facto a Amazon Web Services, Microsoft Azure y Google Cloud de los contratos más sensibles, un mercado que la Comisión estima clave para la resiliencia digital del continente.
La Comisión no ha detallado el porcentaje exacto de contratos que quedarían afectados, pero fuentes comunitarias reconocen que la medida se aplicaría solo a las licitaciones designadas como «altamente críticas» por cada Estado miembro, un filtro que aún debe negociarse y que podría generar interpretaciones divergentes entre los Veintisiete.
El desencadenante: la Cloud Act y el temor al brazo largo de Washington
El detonante de esta iniciativa es, en gran medida, la normativa estadounidense conocida como Cloud Act. Esta ley federal permite a las autoridades de Estados Unidos acceder a datos almacenados por proveedores estadounidenses incluso si los servidores están físicamente en territorio europeo. Para Bruselas, la posibilidad de que información de ciudadanos y empresas europeas caiga bajo jurisdicción extranjera sin las debidas garantías es incompatible con la soberanía digital que defiende.
El temor no es hipotético. La Comisión Europea ha expresado en repetidas ocasiones su preocupación por el hecho de que los gigantes tecnológicos estadounidenses controlen más del 60 % del mercado europeo de servicios en la nube. Aunque estas compañías han invertido en centros de datos locales y ofertas de nube soberana, los expertos señalan que ninguna solución técnica elimina por completo el riesgo legal si la sede central de la empresa sigue estando en suelo estadounidense.
La propuesta introduce criterios de adjudicación como la necesidad de que tanto el software como el hardware utilizados hayan sido “desarrollados dentro de la Unión Europea” o que la infraestructura esté “operada por proveedores que no estén sujetos a legislación de terceros países que entre en conflicto con las normas de protección de datos de la UE”. Esta redacción podría dejar fuera de facto a los grandes jugadores estadounidenses en las licitaciones más sensibles.
La nube ya no es solo un proveedor de infraestructura: es la capa sobre la que se construyen la inteligencia artificial, los servicios financieros y la seguridad nacional del continente.
El plan aún tiene que recibir el visto bueno de los Estados miembros y del Parlamento Europeo durante los próximos meses. La mayoría de los Estados miembros tiene sus propias estrategias de digitalización y podría encontrar complejo justificar el sobrecoste que supondría descartar a los gigantes estadounidenses, cuyos precios suelen ser más competitivos gracias a la economía de escala.
El Eje del Poder Europeo
La propuesta refleja un movimiento tectónico en la política tecnológica de la UE, pasando de la competencia y la privacidad al concepto de autonomía estratégica digital. Francia, impulsora histórica de la soberanía europea, respalda la línea dura y ve en la medida una oportunidad para que sus campeones nacionales de la nube —como OVHcloud— ganen cuota en contratos públicos. Alemania, más cautelosa por sus vínculos industriales con Estados Unidos y la dependencia de sus empresas del software estadounidense, prefiere una redacción que permita alianzas con los gigantes de la nube siempre que los datos permanezcan en territorio comunitario.
En este tablero, España ocupa una posición compleja. El Gobierno de Pedro Sánchez ha hecho bandera de la soberanía digital en foros como el Consejo de la UE y ha impulsado proyectos como Gaia-X, pero la administración electrónica y los grandes proyectos de transformación digital (incluidos los financiados con los fondos Next Generation) dependen en buena medida de los servicios de AWS, Azure y Google Cloud. Si la propuesta se aprueba en su versión más restrictiva, varias licitaciones del sector público —especialmente en sanidad y defensa— tendrían que replantearse con proveedores locales, lo que podría ralentizar la ejecución de los fondos europeos y elevar los costes a corto plazo.
Al otro lado del Atlántico, la reacción no se ha hecho esperar. La administración estadounidense ya ha criticado con dureza leyes como la de Mercados Digitales y considera que cualquier restricción a sus empresas tecnológicas equivale a una barrera comercial. Si la Cloud Act es el detonante europeo, la nueva normativa puede convertirse en un arma de doble filo: por un lado, protege los datos; por el otro, tensa una relación transatlántica que ya acumula fricciones en materia de aranceles digitales, privacidad y defensa. La Comisión intenta calmar los ánimos asegurando que el objetivo no es cerrar el mercado, sino garantizar que cualquier proveedor —incluidos los estadounidenses— pueda operar si acepta someterse a la jurisdicción europea y a sus estándares de control, pero los detalles técnicos serán los que inclinen la balanza.
La negociación se presenta larga, y el resultado final dependerá de la capacidad de los Estados miembros para conciliar la seguridad jurídica con la competencia económica. La próxima cita en el calendario comunitario será la presentación oficial de la ley por parte de Virkkunen el miércoles, momento en que se conocerá la letra pequeña. A partir de ahí, el pulso entre la soberanía y la dependencia tecnológica se librará en los trílogos y, muy probablemente, en los pasillos del Berlaymont.
