Europa en un limbo legal por los datos

La seguridad y la privacidad han sido el eje central del Cloud Summit 2025, un evento de referencia para el sector tecnológico y legal que se ha celebrado el 24 de abril en Madrid. Organizado con el apoyo de la Asociación Española de Proveedores de Cloud y Data Centers (APECDATA), la Asociación de Proveedores de Telecomunicaciones Empresariales (ASOTEM) y la Universidad Nebrija el evento ha reunido a expertos en ciberseguridad, privacidad y normativa cloud para analizar los retos y oportunidades que presenta la protección de datos en un entorno digital cada vez más regulado. El resultado es un consenso sin fisuras: la necesidad de establecer estrategias eficaces para garantizar la privacidad y el cumplimiento normativo.

Abrió el acto el Dr. Alfonso López de la Osa, Decano de la facultad de Derecho de la Universidad Nebrija, quien destacó que el evento nacía como una iniciativa para convertirse en referencia en el análisis de los desafíos regulatorios del entorno cloud, integrando derecho, tecnología y seguridad en un debate imprescindible para Europa.

Cedió la palabra a Maximilian Schrems, abogado y activista especializado en privacidad y protección de datos, fundador de NOYB, organización líder en la defensa de los derechos digitales en Europa. En su ponencia advirtió de que la legalidad de las transferencias de datos entre la Unión Europea y Estados Unidos volvía a tambalearse. Cabe señalar que el actual acuerdo, el Transatlantic Data Privacy Framework (TADPF), firmado en 2023, depende de órdenes ejecutivas de EE.UU. y no de una legislación formal, lo que lo convierte en una base jurídica extremadamente débil.

Schrems criticó esa fragilidad de los acuerdos existentes en materia de protección de datos y que tanto la Comisión Europea como el lobby empresarial lo hubieran aceptado. “En lugar de apostar por limitaciones legales estables, Europa confió en promesas ejecutivas que pueden desaparecer en segundos. Ahora que Trump empieza a mover ficha, muchas empresas europeas entran en un limbo legal”. (*)

En este sentido, con la llegada de Donald Trump al poder ya se han iniciado maniobras que amenazan con desmantelar los pilares del TADPF. La destitución de miembros clave del Privacy and Civil Liberties Oversight Board (PCLOB) —único organismo de supervisión independiente considerado en el acuerdo— y la firma de una orden ejecutiva que obliga a revisar todas las decisiones de la era Biden en 45 días, dejan a Europa al borde de un nuevo “Schrems III”.

En el contexto actual, Schrems destacó los principales riesgos para el tejido económico europeo:

• Riesgo legal inmediato: miles de contratos que implican transferencias de datos a EE.UU. —especialmente servicios en la nube de Microsoft, Amazon, Google y Apple— podrían volverse ilegales en cuestión de días.
• Alto impacto sectorial: empresas tecnológicas, entidades financieras, administraciones públicas, hospitales y centros educativos dependen de estos servicios.
• Dependencia estructural: la UE no ha desarrollado suficientes alternativas soberanas frente a los gigantes tecnológicos estadounidenses.

Europa en un limbo legal por los datos: una simple firma de Trump puede poner en jaque el acuerdo de privacidad UE-EE.UU.

Schrems también apuntó algunas recomendaciones para las empresas:

• Preparar un plan de contingencia: evaluar opciones de alojamiento de datos dentro del Espacio Económico Europeo.
• Revisar contratos cloud: asegurar cláusulas de protección y legalidad ante posibles cambios regulatorios.
• Monitorizar la evolución política en EE.UU.: un giro presidencial puede invalidar las bases actuales del acuerdo.

Retos normativos y de ciberseguridad

Posteriormente, se celebró una mesa redonda sobre los «Retos de la privacidad y ciberseguridad en la nube», moderada por Sor Arteaga, doctora en Derecho y socia de Easy Telecom Law Firm, con la participación de expertos de referencia en el ámbito de la ciberseguridad y la protección de datos como Javier Candau, adjunto al Centro Criptológico Nacional (CCN), Esther Muñoz Fuentes, subdirectora de Ciberseguridad de la Agencia para la Administración Digital de la Comunidad de Madrid, y Carlos Galán Pascual, director de la Agencia de Tecnología Legal y asesor del CCN.

El debate giró en torno al impacto de la directiva NIS2, los desafíos actuales en materia de certificación y cumplimiento del Esquema Nacional de Seguridad (ENS), así como las mejores prácticas para la protección de datos en el ámbito cloud. Asimismo, se profundizó en las implicaciones legales de la adaptación de la NIS2 en España, y se abordaron las no conformidades más frecuentes detectadas en los procesos de certificación ENS para proveedores de servicios en la nube y operadores de telecomunicaciones.

En relación con los hiperescalares, los expertos comentaron que cumplían el nivel alto del ENS pero que tenían dificultades con ciertas exigencias del RGPD. Asimismo, recomendaban la nube de propiedad nacional para los datos personales sensibles como los de salud.

Recomendaciones de la AEPD

Por su parte Francisco Pérez Bes, adjunto a la presidencia de la Agencia Española de Protección de Datos (AEPD), destacó en su ponencia la importancia de integrar la protección de datos en la estrategia empresarial, especialmente en servicios cloud. Subrayó la necesidad de contratos bien estructurados, el cumplimiento del RGPD y la implementación de medidas de seguridad eficaces. También advirtió sobre los retos que plantean tecnologías emergentes como la IA y la computación cuántica, y llamó a los órganos de gobierno a asumir un papel activo en la gestión de estos riesgos.

La concienciación para unos servicios digitales seguros y responsables

Cerró el acto Roberto Beitia, presidente de APECDATA, quien subrayó la necesidad de una evolución tecnológica acompañada de madurez legislativa en protección de datos y ciberseguridad. Durante su intervención, instó a reforzar la concienciación en toda la cadena de valor, desde proveedores hasta usuarios, y lamentó la resistencia a adoptar medidas básicas como la autenticación multifactor.

Beitia defendió la soberanía digital europea, promoviendo infraestructuras propias que reduzcan la dependencia de proveedores globales. Destacó iniciativas como Piwik Pro, que permite análisis de audiencia respetando la privacidad, como ejemplo de innovación tecnológica con sello europeo. Concluyó apelando a impulsar la visibilidad y adopción de servicios digitales seguros y resilientes basados en un esquema de Cloud Federado.