Por qué la soberanía de datos no es negociable en 2026

Los hyperscalers americanos son excelentes. Los usamos, una buena parte de la infraestructura digital europea corre sobre ellos con razón, y ofrecen escala e innovación que nadie replica hoy. Pero cuando hablamos de infraestructura crítica y datos sensibles sujetos a regulación, la conversación cambia — no porque estén "en contra", sino porque operan bajo una jurisdicción distinta, y eso tiene consecuencias legales concretas.

La base jurídica es firme. En julio de 2020 el Tribunal de Justicia de la UE invalidó Privacy Shield (sentencia Schrems II, C-311/18) precisamente por el conflicto entre la CLOUD Act estadounidense y el RGPD. Cualquier tratamiento de datos personales europeos por un proveedor sujeto a jurisdicción estadounidense abre exposición legal directa bajo el RGPD. No es opinión: es jurisprudencia firme del tribunal europeo.

Lo que cambió en los últimos 18 meses

• NIS2 obliga desde octubre de 2024 a auditar la cadena de suministro digital de operadores esenciales e importantes. La IA como servicio es cadena de suministro.
• El EU AI Act clasifica sistemas de alto riesgo con requisitos de trazabilidad y gobernanza que implican control sobre dónde y cómo se procesan los datos.
• DORA, plenamente aplicable desde enero de 2025, obliga a las entidades financieras supervisadas a presentar planes de salida para servicios cloud críticos. El Banco Central Europeo, en su guía de externalización, identifica la dependencia de hyperscalers como riesgo de concentración sistémico.
• A nivel europeo, el EUCS (European Cybersecurity Certification Scheme for Cloud Services), bajo ENISA, sigue debatiendo si el nivel de aseguramiento ‘High’ debe incluir requisitos de inmunidad frente a jurisdicciones extranjeras — su adopción formal continúa pospuesta. A nivel nacional, SecNumCloud (Francia, ANSSI, operativo desde 2016) y el Esquema Nacional de Seguridad (España, obligatorio por Real Decreto 311/2022) ya son marcos vigentes, no proyectos.

El patrón es claro: el regulador ya no se conforma con ‘los datos están cifrados’. Exige saber quién los procesa, dónde, bajo qué jurisdicción, y cuál es la cadena de responsabilidad.

Qué significa ‘soberano’ en la práctica

Soberano no es un sello. Es una suma de requisitos que se verifican a la vez:

Lo que miramos cuando diseñamos la plataforma

GPU Solutions opera un único datacenter, en Madrid, Tier III, con ISO 27001 y ENS Media ya certificados — no ‘en proceso’. El clúster corre en HGX B200 con aislamiento a nivel de VM por hipervisor, no sobre contenedores compartidos. La lista de subprocesadores cabe en una hoja: nosotros, NVIDIA para soporte HW, y el operador del Tier III.

Es deliberadamente simple. Cuando tu CISO tiene que firmar el análisis de riesgos, la simplicidad es el requisito más importante del mundo.

La pregunta para tu equipo

Mira tu última factura de cloud. ¿Sabes contestar a estas cuatro preguntas sin buscar en el contrato?

• ¿En qué país se procesan exactamente los prompts que envías al modelo?
• ¿Qué sucede si una autoridad americana solicita acceso a esos datos?
• ¿Qué subprocesadores intervienen entre tu aplicación y la GPU?
• ¿Cuánto tardarías en migrar si mañana el regulador te obliga?

Si alguna respuesta requiere abrir un ticket con soporte, ya tienes un problema de compliance. La buena noticia: existe alternativa, funciona, y cabe en tu presupuesto actual.