Por qué la soberanía de datos importa para la ciberseguridad en 2026
Prootego Team
En junio de 2025, un ejecutivo de Microsoft testificó bajo juramento ante el Senado francés que la empresa no puede garantizar la soberanía de datos para los clientes europeos. Cuando se le preguntó directamente si los datos de los ciudadanos franceses podrían transmitirse al gobierno estadounidense sin el consentimiento del gobierno francés, Anton Carniaux, director de asuntos públicos y legales de Microsoft Francia, respondió: no, esa garantía no puede darse.
Esto no fue una filtración ni una acusación de un competidor. Fue una admisión jurada de una de las empresas tecnológicas más grandes del mundo. Y se aplica a todo proveedor con sede en Estados Unidos que opere en Europa, incluidas todas las principales plataformas de ciberseguridad.
Para las empresas que eligen un proveedor de ciberseguridad, esto crea un problema que la mayoría no ha evaluado completamente: la jurisdicción de su proveedor de seguridad determina quién puede acceder legalmente a sus datos operativos más sensibles. No la ubicación física de los servidores. No los compromisos contractuales en el acuerdo de servicio. La jurisdicción corporativa.
Este artículo explica el conflicto legal en el centro de esta cuestión, qué significa específicamente para los datos de ciberseguridad, cómo evaluar el riesgo del proveedor y cómo se presenta la soberanía de datos en la práctica para las organizaciones que operan en la Unión Europea.
¿Qué es la CLOUD Act y por qué afecta a las empresas europeas?
La Clarifying Lawful Overseas Use of Data Act (CLOUD Act) es una ley federal estadounidense promulgada el 23 de marzo de 2018. Modifica la Stored Communications Act para aclarar que las fuerzas del orden estadounidenses pueden obligar a las empresas con sede en EE.UU. a entregar datos en su posesión, custodia o control, independientemente de si esos datos están almacenados físicamente dentro o fuera de los Estados Unidos.
En términos prácticos, esto significa que si su proveedor de ciberseguridad es una empresa estadounidense (o una subsidiaria), el gobierno de EE.UU. puede emitir una orden legal que requiera al proveedor entregar datos almacenados en servidores en Fráncfort, Milán, Ámsterdam o cualquier otra ubicación del mundo. La jurisdicción sigue a la entidad corporativa, no al centro de datos.
La CLOUD Act se originó a partir de una disputa legal entre el gobierno estadounidense y Microsoft que comenzó en 2013. El gobierno buscaba acceder a correos electrónicos de clientes almacenados en servidores de Microsoft en Irlanda. Microsoft argumentó que las órdenes judiciales estadounidenses no deberían aplicarse a datos almacenados fuera del país. El caso llegó a la Corte Suprema, pero antes de que se emitiera una sentencia, el Congreso aprobó la CLOUD Act, que resolvió la cuestión legislativamente: las empresas estadounidenses deben cumplir con las órdenes legales válidas para los datos que controlan, dondequiera que residan.
La ley incluye salvaguardas procedimentales: las solicitudes deben ser específicas, basadas en causa probable y sujetas a revisión judicial. Sin embargo, estas salvaguardas operan dentro del sistema legal estadounidense. Los tribunales europeos, las autoridades europeas de protección de datos y los gobiernos europeos no tienen ningún papel en el proceso. El cliente europeo cuyos datos se solicitan puede que ni siquiera sea notificado.
¿Cómo entra en conflicto la CLOUD Act con el RGPD?
El conflicto entre la CLOUD Act y el Reglamento General de Protección de Datos (RGPD) de la UE es directo y no resuelto.
El artículo 48 del RGPD establece que cualquier sentencia de un tribunal y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un responsable o encargado del tratamiento transfiera datos personales solo puede ser reconocida o ejecutable si se basa en un acuerdo internacional, como un tratado de asistencia legal mutua, entre el tercer país solicitante y la UE o un Estado miembro.
La CLOUD Act no es tal acuerdo. Ningún acuerdo bilateral entre EE.UU. y la UE en el marco de la CLOUD Act ha sido concluido a principios de 2026. Esto significa que cuando un tribunal estadounidense ordena a un proveedor de ciberseguridad estadounidense producir datos de clientes europeos bajo la CLOUD Act, el proveedor enfrenta una imposibilidad legal: cumplir con la orden estadounidense viola el RGPD, y cumplir con el RGPD significa desafiar la orden estadounidense.
En 2019, el Supervisor Europeo de Protección de Datos declaró formalmente que considera la CLOUD Act en conflicto con el RGPD. El Comité Europeo de Protección de Datos ha reiterado esta posición en orientaciones posteriores. Sin embargo, el conflicto permanece sin resolver a nivel legislativo, dejando a las empresas europeas y a sus proveedores con sede en EE.UU. en una zona gris legal sin un camino claro hacia el cumplimiento simultáneo de ambos marcos normativos.
Para las empresas, esto no es un debate legal abstracto. Significa que cada byte de telemetría de seguridad procesado por un proveedor sujeto a la jurisdicción estadounidense – registros de endpoints, datos de comportamiento de usuarios, eventos de autenticación, conexiones de red, inteligencia de amenazas – existe en un limbo jurisdiccional donde dos sistemas legales hacen reclamaciones contradictorias sobre quién puede acceder a ellos.
¿Por qué la soberanía de datos es especialmente importante para la ciberseguridad?
Las plataformas de ciberseguridad recopilan algunos de los datos operativos más sensibles de cualquier organización. Una plataforma XDR o MDR ingiere telemetría de endpoints (qué procesos se están ejecutando, qué archivos se acceden, qué usuarios están conectados), metadatos de tráfico de red (qué sistemas se comunican con qué direcciones externas), registros de autenticación (quién accedió a qué, cuándo, desde dónde), perfiles de comportamiento (patrones de actividad normal y anormal para cada usuario y dispositivo) y registros de respuesta a incidentes (qué sucedió durante un evento de seguridad y cómo se gestionó).
Estos no son datos empresariales genéricos. Son un mapa en tiempo real de cómo opera una organización: sus personas, sus comportamientos, sus vulnerabilidades, sus defensas y sus capacidades de respuesta. En las manos equivocadas, esta telemetría es una mina de oro de inteligencia. Revela no solo qué está protegiendo una organización, sino exactamente cómo lo está protegiendo y dónde están las brechas.
Cuando estos datos son gestionados por un proveedor sujeto a la CLOUD Act, el cliente europeo no tiene ningún mecanismo legal bajo el derecho de la UE para impedir su divulgación a las autoridades estadounidenses. El proveedor puede impugnar la solicitud – Microsoft y otros han declarado que impugnarían las solicitudes que consideren excesivamente amplias – pero la decisión final recae en los tribunales estadounidenses, no en los europeos. El cliente no es parte de ese procedimiento.
Para las organizaciones en sectores regulados – banca, sanidad, infraestructuras críticas, cadenas de suministro de defensa, administración pública – esta exposición jurisdiccional no es simplemente una preocupación de cumplimiento. Es una vulnerabilidad estratégica. La entidad responsable de defender su infraestructura puede estar legalmente obligada a compartir su postura defensiva con un gobierno extranjero, y usted puede que nunca sea informado de que eso ocurrió.
¿Alojar los datos en centros de datos de la UE resuelve el problema?
No. Esta es la concepción errónea más común y más peligrosa sobre la soberanía de datos.
Muchos proveedores estadounidenses comercializan la “residencia de datos en la UE” como solución a las preocupaciones sobre soberanía. Ofrecen opciones para almacenar datos exclusivamente en centros de datos europeos – Fráncfort, Dublín, Ámsterdam, Estocolmo. Algunos han ido más allá, creando ofertas dedicadas de “nube soberana” con personal exclusivamente europeo, gestión local de claves de cifrado y separación operativa de la infraestructura estadounidense.
Estas medidas abordan la residencia de datos – la ubicación física de los datos. No abordan la jurisdicción de datos – la autoridad legal sobre quién puede obligar el acceso a esos datos.
La CLOUD Act es explícita: se aplica a datos en “posesión, custodia o control” de una empresa estadounidense, independientemente de dónde se almacenen esos datos. Un proveedor de ciberseguridad con sede en EE.UU. que opera un centro de datos en la UE sigue siendo una empresa estadounidense. Su subsidiaria europea sigue siendo parte de una estructura corporativa estadounidense. Y los datos que controla – dondequiera que se encuentren físicamente – siguen siendo alcanzables por el proceso legal estadounidense.
Este fue precisamente el punto del testimonio de Microsoft ante el Senado francés. A pesar de completar su iniciativa EU Data Boundary en febrero de 2025, a pesar de invertir miles de millones en centros de datos europeos, a pesar de crear ofertas de nube “soberanas” con personal operativo europeo – cuando se le preguntó bajo juramento si podía garantizar que los datos europeos no serían divulgados a las autoridades estadounidenses, la respuesta fue no.
La distinción entre residencia y jurisdicción no es una cuestión técnica. Es toda la cuestión. Cualquier evaluación de riesgo del proveedor que examine solo dónde se almacenan los datos, sin evaluar qué sistema legal gobierna quién puede acceder a ellos, es fundamentalmente incompleta.
¿Qué proveedores de ciberseguridad están sujetos a la CLOUD Act?
La CLOUD Act se aplica a cualquier empresa que esté constituida en Estados Unidos, tenga su sede en Estados Unidos o tenga operaciones significativas en Estados Unidos que la sitúen bajo jurisdicción estadounidense. Esto incluye empresas que en la superficie parecen europeas o no estadounidenses, pero que en última instancia están controladas por entidades corporativas estadounidenses.
Proveedores con jurisdicción directa de EE.UU. incluyen CrowdStrike (sede en Austin, Texas), SentinelOne (sede en Mountain View, California), Palo Alto Networks (sede en Santa Clara, California) y Malwarebytes (sede en Santa Clara, California). Estas empresas están inequívocamente sujetas a la CLOUD Act. Cada registro, dato de telemetría y perfil de comportamiento que sus agentes recopilan de endpoints europeos está bajo jurisdicción estadounidense.
Proveedores con jurisdicción indirecta de EE.UU. requieren un examen más detallado. Sophos, por ejemplo, es ampliamente percibida como una empresa británica. Sin embargo, Sophos fue adquirida en 2020 por Thoma Bravo, una firma de capital privado estadounidense con sede en San Francisco, por aproximadamente 3.900 millones de dólares. La entidad adquirente está registrada como “Sophos, Inc.” en Massachusetts. Como empresa controlada en última instancia por una entidad estadounidense, la exposición de Sophos a la CLOUD Act es equivalente a la de un proveedor directamente con sede en EE.UU. – un hecho del que muchos clientes europeos no son conscientes, especialmente desde que la salida del Reino Unido de la UE ha añadido más incertidumbre regulatoria.
Proveedores con exposición parcial o limitada incluyen Trend Micro, con sede en Tokio, Japón, y cotizada en la Bolsa de Tokio. Trend Micro no está directamente sujeta a la CLOUD Act como empresa japonesa. Sin embargo, mantiene una subsidiaria significativa en EE.UU. (con sede en Irving, Texas), y los datos procesados por esa subsidiaria podrían estar sujetos a la jurisdicción estadounidense. Cabe destacar que la propia Trend Micro reconoce en su sitio web que los datos controlados por un proveedor extranjero pueden seguir siendo accesibles bajo leyes como la CLOUD Act.
Proveedores sin exposición a la CLOUD Act incluyen empresas que están completamente constituidas, son propiedad y operan dentro de la Unión Europea, sin empresa matriz estadounidense, sin subsidiaria estadounidense que procese datos de clientes y sin cadena de control corporativo que se extienda a la jurisdicción estadounidense. Para estos proveedores, los datos de los clientes se rigen exclusivamente por el RGPD y la legislación aplicable del Estado miembro de la UE.
¿Cuál es el riesgo geopolítico más allá de la CLOUD Act?
El riesgo legal de la CLOUD Act no existe en el vacío. Se sitúa dentro de un contexto geopolítico más amplio que hace de la jurisdicción del proveedor una consideración empresarial cada vez más urgente.
Las tensiones comerciales, aranceles, sanciones y volatilidad política entre EE.UU. y Europa se han intensificado significativamente desde 2024. Estas dinámicas crean una categoría de riesgo que va más allá del acceso a datos: riesgo de continuidad operativa. Una empresa europea que depende de un proveedor con sede en EE.UU. para su infraestructura de seguridad está expuesta a posibles interrupciones del servicio impulsadas por decisiones políticas totalmente fuera de su control – sanciones, restricciones a la exportación, cambios en licencias o medidas de represalia en disputas comerciales.
La Unión Europea ha respondido a estas preocupaciones con acciones políticas concretas. En noviembre de 2025, los Estados miembros de la UE adoptaron una Declaración sobre la Soberanía Digital Europea, señalando una clara dirección política hacia la reducción de la dependencia de proveedores tecnológicos no comunitarios para la infraestructura digital crítica. El Marco de Soberanía Cloud de la UE, introducido en octubre de 2025, estableció requisitos específicos para servicios cloud soberanos, incluida una puntuación de soberanía que mide la exposición a la legislación extranjera y la resiliencia a las sanciones extranjeras.
Para la ciberseguridad específicamente, esto significa que la pregunta “¿dónde están mis datos de seguridad?” está evolucionando hacia una pregunta estratégica más amplia: “¿quién controla en última instancia mi infraestructura de seguridad, y bajo qué sistema legal y político opera?”
¿Cómo deberían las empresas evaluar la soberanía del proveedor de ciberseguridad?
Una evaluación práctica de la soberanía del proveedor debería examinar cinco dimensiones.
Jurisdicción corporativa. ¿Dónde está constituido el proveedor? ¿Quién es la empresa matriz última? ¿Alguna entidad en la cadena corporativa está sujeta a la jurisdicción estadounidense? Esta es la pregunta más importante y la que con mayor frecuencia se pasa por alto en los procesos de adquisición.
Jurisdicción del procesamiento de datos. ¿Dónde se almacena, procesa y accede a la telemetría? ¿El personal operativo que puede acceder a los datos de los clientes se encuentra exclusivamente dentro de la UE? ¿Puede el proveedor garantizar contractualmente que ningún dato transita por jurisdicciones no comunitarias?
Exposición al conflicto legal. ¿Ha abordado públicamente el proveedor cómo manejaría una solicitud CLOUD Act en conflicto con el RGPD? ¿Tiene un procedimiento documentado para impugnar tales solicitudes? ¿Ha publicado informes de transparencia que muestren el volumen y la naturaleza de las solicitudes gubernamentales de datos que ha recibido?
Independencia operativa. ¿Podría el servicio del proveedor continuar sin interrupciones en caso de sanciones estadounidenses, controles de exportación o restricciones comerciales? ¿Depende el proveedor de infraestructura, licencias o cadenas de suministro con sede en EE.UU. para la prestación del servicio principal?
Arquitectura técnica. ¿Ofrece el proveedor opciones de implementación on-premises o privada que permitan al cliente mantener el control físico de todos los datos? ¿El código del agente y la plataforma es propietario del proveedor o depende de componentes de origen estadounidense?
¿Cómo se ve la verdadera soberanía de datos en la ciberseguridad?
La verdadera soberanía de datos en la ciberseguridad significa que toda la pila – la tecnología, los datos, las personas y la jurisdicción legal – está gobernada por el mismo marco legal que el cliente.
Para una empresa europea, esto significa elegir un proveedor que esté constituido y tenga su sede en la UE, sin cadena de control corporativo que se extienda a EE.UU. u otras jurisdicciones no comunitarias. Significa que toda la telemetría de seguridad se almacena y procesa exclusivamente dentro de infraestructura alojada en la UE. Significa que todo el personal con acceso a los datos de los clientes opera bajo la legislación laboral y de protección de datos de la UE. Y significa que ningún gobierno extranjero puede obligar al proveedor a divulgar datos de clientes sin pasar por los canales legales apropiados establecidos por el derecho de la UE y los acuerdos internacionales.
Este no es un estándar imposible. Existen proveedores de ciberseguridad europeos que cumplen todos estos criterios. La elección de utilizarlos no es una concesión en capacidad – es una decisión arquitectónica deliberada que elimina toda una categoría de riesgo legal, operativo y geopolítico.
Para las organizaciones que no pueden cambiar de proveedor de inmediato, los pasos intermedios incluyen: cifrar todos los datos con claves gestionadas por el cliente a las que el proveedor no pueda acceder; implementar instancias on-premises o privadas donde sea técnicamente viable; documentar formalmente el riesgo jurisdiccional en el registro de riesgos de la organización; e incluir la exposición a la CLOUD Act en la diligencia debida del proveedor y los criterios de adquisición en el futuro.
Preguntas Frecuentes
¿La CLOUD Act significa que las autoridades estadounidenses tienen acceso automático a los datos europeos?
No. La CLOUD Act no proporciona acceso automático ni ilimitado. Las solicitudes deben ser específicas, basadas en causa probable y emitidas a través de un proceso legal apropiado (típicamente una orden judicial o citación). Sin embargo, ese proceso legal está gobernado íntegramente por los tribunales estadounidenses. Los clientes europeos y las autoridades europeas no tienen ningún papel en la aprobación, revisión o bloqueo de la solicitud. El proveedor puede impugnar la solicitud ante un tribunal estadounidense, pero la decisión final recae en el poder judicial de EE.UU.
¿Puede una empresa estadounidense garantizar el cumplimiento del RGPD si está sujeta a la CLOUD Act?
No completamente. Una empresa estadounidense puede implementar medidas técnicas y organizativas para cumplir con el RGPD en operaciones normales. Pero si recibe una orden CLOUD Act válida en conflicto con el artículo 48 del RGPD, enfrenta una imposibilidad legal: cumplir con una ley significa violar la otra. Ninguna garantía contractual – incluidas las Cláusulas Contractuales Estándar o los Acuerdos de Procesamiento de Datos – puede anular este conflicto estructural entre dos sistemas legales soberanos.
¿El Reino Unido sigue cubierto por el RGPD después del Brexit?
El Reino Unido promulgó su propia legislación de protección de datos (UK GDPR y Data Protection Act 2018) que refleja el RGPD de la UE en la mayoría de los aspectos. Sin embargo, el Reino Unido ya no es un Estado miembro de la UE y ha firmado un acuerdo bilateral CLOUD Act con Estados Unidos (firmado en 2019, en vigor desde 2022). Esto significa que los datos procesados en el Reino Unido por entidades británicas pueden estar sujetos a solicitudes de acceso tanto británicas como estadounidenses bajo este acuerdo – un factor que las empresas de la UE deberían considerar al evaluar proveedores con sede en el Reino Unido.
Mi proveedor dice que nunca ha recibido una solicitud CLOUD Act para datos europeos. ¿Eso significa que estamos seguros?
La ausencia de solicitudes pasadas no elimina el riesgo legal. La CLOUD Act es una ley vigente – crea una autoridad legal permanente que puede ejercerse en cualquier momento. Los informes de transparencia de Microsoft confirman que no ha recibido tales solicitudes para datos empresariales europeos hasta la fecha, pero su propio equipo legal ha declarado públicamente que no puede garantizar que esto seguirá siendo así. El riesgo es estructural, no histórico.
¿Qué sectores se ven más afectados por las preocupaciones sobre soberanía de datos en ciberseguridad?
Cualquier sector que maneje datos personales sensibles, información clasificada, infraestructuras críticas o propiedad intelectual debería tratar la jurisdicción del proveedor como un criterio de evaluación primario. Servicios financieros, sanidad, administración pública, cadena de suministro de defensa, energía y manufactura con procesos propietarios son los más directamente afectados. Sin embargo, las dinámicas de la cadena de suministro significan que incluso las empresas más pequeñas en sectores menos regulados pueden enfrentar requisitos de soberanía de sus clientes más grandes como condición para hacer negocios.
¿Puedo usar un proveedor de ciberseguridad estadounidense si cifro mis datos con mis propias claves?
El cifrado gestionado por el cliente mitiga algunos riesgos pero no elimina completamente la exposición jurisdiccional. Los datos cifrados en reposo están protegidos contra el acceso sin la clave. Sin embargo, las plataformas XDR y MDR procesan datos en tiempo real – análisis de comportamiento, correlación de amenazas, coincidencia de reglas – lo que requiere que los datos se descifren durante el procesamiento. El proveedor también puede tener acceso a metadatos, registros y telemetría que revelan información operativa sensible incluso sin descifrar el contenido. El cifrado es una salvaguarda técnica valiosa pero no es un sustituto de la soberanía jurisdiccional.
Prootego es una plataforma de ciberseguridad construida íntegramente en Italia – con propiedad italiana, infraestructura alojada en Europa y cero vínculos corporativos con la jurisdicción estadounidense. Ninguna telemetría de seguridad procesada por Prootego está sujeta a la CLOUD Act. Reserva una demo para ver cómo funciona la ciberseguridad soberana en la práctica.