Por qué la soberanía IT es un imperativo para empresas multinacionales (Parte 1)

Para muchas empresas internacionales, el debate sobre la soberanía informática suele comenzar en el departamento de cumplimiento normativo. Sin embargo, la soberanía ha superado su origen normativo y se ha convertido en una cuestión de supervivencia empresarial. Cuando datos críticos, aplicaciones y sistemas están sujetos a leyes o autoridades fuera del control de una empresa, la resiliencia de toda la organización está en juego.

La primera parte de esta serie examina los distintos niveles de control tecnológico y ofrece orientación práctica para empresas globales. En próximas publicaciones, analizaremos la infraestructura física y la estrategia de los data centers, los modelos de implementación en nube, la gobernanza de la IA, ciberseguridad, las dependencias de red, los marcos normativos y las decisiones estratégicas que deben tomar las empresas sobre las dependencias extranjeras aceptables.

¿Qué es realmente la soberanía informática?

La soberanía informática es algo más que cumplir con las normas de privacidad. Es la garantía de que los activos digitales, ya sean datos, infraestructuras o procesos, se rigen por la jurisdicción y protección que tú eliges, en lugar de las que vienen impuestas externamente. Esto implica saber no solo dónde se almacena la información, sino también quién opera la infraestructura, qué marcos legales se aplican a los proveedores y si las operaciones pueden soportar disrupciones políticas o legales.

En pocas palabras, la soberanía no es aislamiento. Es la libertad de decidir cuándo se puede confiar en un tercero y cuándo mantener el control internamente. En términos de la UE, esto se enmarca en la soberanía digital o la soberanía tecnológica, conceptos más amplios que la simple localización de datos.

La dimensión geopolítica

Las empresas globales dependen en gran medida de proveedores de servicios en la nube con sede en Estados Unidos, hardware fabricado en el extranjero y redes de telecomunicaciones multinacionales. Esta interconexión permite la eficiencia, pero también introduce vulnerabilidades.

Si tomamos como ejemplo la ley CLOUD de Estados Unidos, vemos que esta ley exige a los proveedores estadounidenses que cumplan las órdenes legales válidas, incluso si los datos se almacenan en el extranjero. Si bien los proveedores pueden impugnar las solicitudes que entren en conflicto con las leyes extranjeras, la jurisdicción del proveedor es, en última instancia, más importante que la ubicación física de los servidores.

Más allá de la Ley CLOUD, las empresas también deben tener en cuenta la sección 702 de la Ley FISA (reautorizada en abril de 2024 y prorrogada hasta el 20 de abril de 2026) y la Ley de Poderes de Investigación (Enmienda) del Reino Unido de 2024. Esta última amplía las disposiciones de la Ley de 2016, permitiendo la aplicación extraterritorial de las Notificaciones de Capacidad Técnica.

En la parte europea, el Marco de Protección de Datos (DPF) entre la Unión Europea y Estados Unidos está en vigor desde el 10 de julio de 2023. Aunque facilita las transferencias de datos para las empresas estadounidenses certificadas, se enfrenta a un escrutinio legal continuo. El Tribunal General de la UE confirmó el marco el 3 de septiembre de 2025, pero aún es posible presentar recursos ante el Tribunal de Justicia de la Unión Europea. Para los demás casos, las cláusulas contractuales tipo (2021/914) deben ir acompañadas de evaluaciones del impacto de la transferencia y medidas complementarias.

La Directiva NIS2 de la UE también está cambiando los requisitos de ciberseguridad. Introduce plazos estrictos para la notificación de incidentes: un primer aviso en 24 horas, una notificación en 72 horas y un informe final en el plazo de un mes. Desde el 17 de octubre de 2024, fecha límite para la transposición, los Estados miembros han estado aplicando estas normas con diferente rapidez y alcance, lo que añade complejidad al cumplimiento multinacional. El artículo 21 destaca aún más la gestión de riesgos de la cadena de suministro y de terceros.

En conjunto, estos acontecimientos ponen de manifiesto una verdad muy simple: si no se puede determinar claramente el control jurisdiccional de los activos digitales, es posible que en realidad no se tenga ningún control sobre ellos.

¿Qué está en juego?

Sin una estrategia de soberanía, las empresas se enfrentan a riesgos tangibles. Las sanciones normativas se ciernen sobre las organizaciones que manejan datos confidenciales. La continuidad operativa puede verse interrumpida si un proveedor extranjero restringe el acceso por orden del gobierno o por sanciones. Las preocupaciones relativas a la seguridad, como la vigilancia o las puertas traseras, se vuelven más difíciles de mitigar. Una vez que las cargas de trabajo críticas son gestionadas por proveedores ajenos a tu influencia, la flexibilidad estratégica desaparece.

Para sectores como el financiero, sanitario, defensa o el sector público, estos riesgos no son abstractos. Ya están analizando los requisitos de adquisición, impulsando iniciativas para su localización y trabajando en la demanda de soluciones de nube soberana.

En el sector financiero, DORA entró en vigor el 17 de enero de 2025 y exige registros TIC de terceros, la armonización de la notificación de incidentes en consonancia con la NIS2 y la estandarización de la gestión de riesgos de terceros en todas las entidades financieras y los proveedores TIC críticos. Estas medidas elevan considerablemente el nivel de resiliencia de los servicios financieros críticos.

Encontrar el equilibrio

Una estrategia de TI soberana no requiere abandonar las tecnologías extranjeras. No es realista pensar que una empresa puede reconstruir todo de forma local. El reto es encontrar el equilibrio: identificar qué sistemas y datos requieren la máxima protección y en qué casos sigue siendo aceptable una dependencia calculada de terceros.

Para la mayoría de las organizaciones, el resultado es un enfoque híbrido. El control soberano se aplica en temas importantes, mientras que las tecnologías y los partners internacionales se aprovechan cuando aportan valor añadido sin comprometer la resiliencia. En infraestructuras críticas, el aislamiento puede estar justificado. En otros sectores, un modelo mixto suele ser la solución más adecuada.

La soberanía también tiene que ver con la arquitectura y los controles: planificar la salida/portabilidad (ISO/IEC 19941, códigos SWIPO), adoptar el sistema "trae tu propia clave" (BYOK) y "conserva tu propia clave" (HYOK) con los administradores de claves de la UE, e implementar la informática confidencial para proteger los datos en uso.

Mirar hacia el futuro

Las normas en materia de TI están cambiando rápidamente, y las empresas deben prestar atención a tres áreas clave:

Ley sobre IA: La nueva ley europea sobre inteligencia artificial se está aplicando gradualmente. A partir de febrero de 2025, se prohibieron algunos sistemas de IA y las empresas deben dar formación básica sobre IA a su personal. Desde agosto de 2025, los fabricantes de modelos de IA de uso general deben explicar con más detalle cómo funcionan sus sistemas. En breve se aplicarán requisitos más estrictos para la IA de alto riesgo (por ejemplo, en el ámbito sanitario o financiero).

Certificaciones de ciberseguridad: La UE cuenta ahora con etiquetas de seguridad oficiales. Ya está en vigor un programa para productos informáticos (EUCC). Otro programa para servicios en la nube (EUCS) aún se encuentra en fase de finalización. Algunos países añaden sus propias normas, como por ejemplo Francia con SecNumCloud.

Normas: Las directrices internacionales se utilizan cada vez más como puntos de referencia en contratos y auditorías. Dos ejemplos: ISO/IEC 27018 (protección de datos personales en la nube) e ISO/IEC 42001 (gestión responsable de la IA).

En resumen: las normas sobre IA se están endureciendo, las certificaciones de seguridad se están ampliando y las normas internacionales se están convirtiendo en el punto de referencia para la confianza y el cumplimiento.

La pregunta clave

A medida que se intensifica la presión regulatoria y la infraestructura digital se vuelve más sensible desde el punto de vista político, las empresas se enfrentan a una pregunta decisiva: ¿Quién controla realmente nuestra TI? La respuesta determinará no solo los resultados en materia de cumplimiento normativo, sino también la independencia y la resiliencia a largo plazo de la propia empresa.

¿Qué viene ahora?

Permaneced atentos al próximo post de esta serie, donde profundizaremos en los distintos niveles de la soberanía informática.