Soberanía Digital en Europa: el futuro de la nube y los datos europeos

Europa está redefiniendo su relación con la nube y los datos en un contexto de alta dependencia tecnológica de grandes proveedores extracomunitarios y creciente tensión geopolítica. Bajo el paraguas de la soberanía digital en Europa, instituciones públicas y empresas buscan reducir esas dependencias sin renunciar a la innovación, la computación en la nube ni a la inteligencia artificial. Para tratar todo ello, Byte TI, junto con Suse, organizó un encuentro en Barcelona en el que se analizó cuál es la realidad y el estado de la soberanía.

Alberto Palomo, miembro de Gaia-X, fue el encargado de abrir el encuentro planteando que la soberanía digital es la capacidad de un país, organización o individuo para tomar decisiones autónomas y ejercer control efectivo sobre sus datos, infraestructuras, tecnologías y servicios digitales, en coherencia con sus leyes y valores. Tal y como expuso, “en Europa, esto se traduce en reducir dependencias tecnológicas externas, no en romperlas por completo, buscando una autonomía estratégica abierta que permita seguir siendo competitivos en un mercado global”.

Esta visión sobre la soberanía digital en Europa se apoya en ejemplos concretos. Palomo recuerda el caso de un gran proveedor estadounidense que, ante el Senado francés, admitió que no podría negarse a entregar datos de empresas francesas si el gobierno de Estados Unidos se los reclamaba, debido a la Cloud Act estadounidense. Esta norma obliga a los proveedores norteamericanos a dar acceso a los datos de sus clientes, estén donde estén, sin informarles necesariamente, lo que cuestiona el argumento de que basta con alojar en Europa si la jurisdicción sigue siendo estadounidense.

“La preocupación se amplifica en la era de la IA generativa y los agentes autónomos, donde proliferan sistemas capaces de tomar decisiones sobre cómo obtener información, con comportamientos que pueden entrar en conflicto con principios éticos o regulatorios”, afirmó.

Para aterrizar el concepto de soberanía digital en Europa, Palomo la descompone en varias dimensiones. En ciberseguridad, habla de identidad, control de accesos, clasificación de datos, gestión de vulnerabilidades y planes de continuidad de negocio y recuperación ante desastres.

En datos, la clave no es solo la privacidad, sino saber bajo qué leyes operan, quién tiene autoridad legal sobre ellos y quién puede decidir sus usos. En software, lo soberano es poder elegir, auditar, sustituir y evolucionar sistemas sin quedar atrapado en un único proveedor, apoyándose en estándares abiertos e interoperabilidad. A esto se suman las comunicaciones, el hardware y la energía, que se convierte en un factor diferenciador para desplegar grandes centros de datos y capacidades de IA a escala.​

Qué es la soberanía digital en Europa

Es en este marco donde surge Gaia-X, un conjunto de estándares técnicos y de compliance diseñados para armonizar cómo debe funcionar la nube en Europa, tanto en términos de interoperabilidad como de gobernanza y soberanía del dato. Tal y como expuso Palomo, “el objetivo de la soberanía digital en Europa es evitar un mosaico de nubes soberanas nacionales incompatibles entre sí, que encarecerían y complicarían el despliegue de servicios paneuropeos”. Gaia-X trabaja en alineación con otros instrumentos de la UE, como el futuro esquema europeo de certificación cloud (EUCSS), los programas para computación de alto rendimiento y las “gigafactorías” de IA, o los marcos legales que buscan triplicar la capacidad de cómputo europea en los próximos años.

Desde la perspectiva corporativa, Palomo alude a análisis de mercado que muestran una creciente preferencia de los líderes de TI europeos por proveedores de nube locales y por modelos en los que parte de las cargas se “geopatrien”, es decir, se trasladen desde entornos externos hacia infraestructuras bajo jurisdicción europea.

Tal y como expuso, “no se trata de un movimiento instantáneo, sino de una transición planificada hacia arquitecturas multicloud, vendor neutral y portables”. Entre sus recomendaciones, destaca reforzar el gobierno del dato y su clasificación, cuidar cifrado y copias aisladas, diseñar infraestructuras con capacidad de portabilidad entre nubes públicas y soberanas, priorizar software basado en estándares abiertos y, en compras, exigir cláusulas de reversibilidad, entrega de datos y logs en formatos estándar y planes de continuidad y ciberdefensa acordes a la criticidad del negocio.

El CTTI: un cloud público soberano “de aquí”

David Recuenco, Director Executiu de Govern i Arquitectures Empresarials del CTTI puso el ejemplo de su organización para aterrizar el concepto de la soberanía en la Generalitat de Catalunya. El Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) es la empresa pública que concentra el presupuesto TIC de los departamentos del gobierno catalán y de su sector público asociado, con un volumen cercano a los 900 millones de euros, y que gestiona centros de datos, redes, sistemas de información, datos, IA y consultoría estratégica tecnológica.​

Hasta hace pocos años, la infraestructura se apoyaba casi exclusivamente en centros de datos on-premises y en lo que se denominaba cloud privado, que en realidad era un hosting tradicional más que una nube moderna. Hoy, el ecosistema combina cargas en cloud público -donde tiene sentido por valor y flexibilidad- con esa infraestructura propia, que implica una carga operativa elevada para mantener componentes de bajo valor percibido por el cliente. Para Recuenco, el criterio de valor es sencillo, beneficio más percepción: “si nuestros clientes en los departamentos de la Generalitat no entienden el beneficio, no añade valor.

La novedad para CTTI es que ya no basta con cumplir el Esquema Nacional de Seguridad y ciertos requisitos básicos de ciberseguridad, sino que también entra en escena la soberanía digital, definida en el CTTI como control y resiliencia. “Control sobre dónde están los datos, qué proveedores intervienen, qué pasa si un SaaS falla o se retira, y cómo se garantiza la continuidad de servicios críticos como hospitales, emergencias o fuerzas de seguridad. Y resiliencia en un entorno donde no es realista renunciar a los servicios avanzados de los hiperescalares ni apostar, hoy por hoy, por una infraestructura europea experimental para todo”, afirmó Recuenco.​

La respuesta del CTTI a estos retos es pragmática y se basa en diseñar un modelo que coja lo mejor de los dos mundos y se apoye en el framework europeo de soberanía digital y sus ocho ejes (estratégico, legal, tecnológico, operativo, seguridad, cadena de suministro, energía, entre otros). Tal y como aseguró Recuenco, “el instrumento clave será un nuevo pliego para licitar un “cloud público soberano, con sabor de aquí”. Esto pasa por apoyarse en un proveedor de nube pública existente, con un catálogo amplio de servicios gestionados, que opere bajo legislación y normativa europea y despliegue una región en Cataluña, con dos centros de datos como mínimo y nomenclatura cloud estándar”.

La Generalitat aspira a llevar a este cloud soberano alrededor del 40% de sus cargas y que hoy mayoritariamente se encuentran en on-premises, de forma que se genere masa crítica suficiente para justificar la inversión y habilitar que otros organismos públicos o privados se sumen a ese modelo. El pliego se inspira en el framework europeo y en los niveles SEAL de soberanía, que clasifican los servicios desde ausencia de soberanía hasta control prácticamente total.

Aunque todavía no existe un sello oficial ampliamente desplegado, el CTTI orienta su licitación hacia un nivel de soberanía alto, pero sin exigir el máximo, consciente de las limitaciones actuales del mercado. “La idea es gestionar el riesgo y seguir utilizando servicios esenciales de cloud público, gestión de datos, IA o SaaS, pero con una capa de gobernanza que permita saber qué se compra, con qué garantías, qué alternativas existen y cómo se gestionan los escenarios de fallo o rescisión”, afirma Recuenco.

En paralelo, el CTTI se prepara para “dar la vuelta” a su hosting privado, aprovechando la expiración de contratos actuales para transformarlo en un entorno más cercano a un cloud privado moderno en el que se incorpore el pago por uso, los servicios de autoservicio, la automatización y un funcionamiento lo más libre de tickets posible.

En este entorno, la prioridad deja de ser el catálogo de servicios y pasa a ser la soberanía y localización absolutas, con requisitos básicos de residencia de datos y control de la operación. El resultado será un modelo híbrido, donde un cloud público, un cloud público soberano y un cloud privado propio conviven bajo el mismo marco de control, resiliencia y alineamiento con las normativas y los estándares europeos de soberanía.

SUSE: open source, certificaciones y anti lock-in

Finalmente, Roberto Lázaro, sales director de Suse, aportó la perspectiva de un proveedor europeo que pretende ser una palanca tecnológica de esa soberanía digital en Europa. Fundada en Alemania en 1992, SUSE mantiene un fuerte peso en Europa, con unos 2.700 empleados (la mayoría técnicos) y alrededor de 120 en España, y se define como una compañía 100% open source, sin componentes propietarios ni letra pequeña. Su contribución sostenida al kernel de Linux la sitúa entre las principales empresas que donan código a la comunidad, y su sistema operativo es la base sobre la que corre aproximadamente el 80% de las instalaciones de SAP a nivel global.​

Lázaro explicó que “estamos en un contexto de alta dependencia de grandes proveedores tecnológicos y de incidentes recientes que ponen en cuestión la resiliencia del modelo actual. Ahora mismo, si un líder político decidiera “apagar” determinados proveedores, el 74% de los negocios en España se vendrían abajo, una cifra equivalente a la media europea. A esto se suman los ataques a la cadena de suministro de software o las caídas de grandes proveedores de cloud o incidentes que han evidenciado el impacto sistémico de estas dependencias”.

La respuesta de SUSE en torno a la soberanía digital en Europa se articula alrededor de tres ideas: open-source, certificaciones de seguridad y cadena de suministro, y rechazo del vendor lock-in. En seguridad, la compañía exhibe certificaciones como Common Criteria al nivel más alto (EAL 4+) en su distribución Linux. Esto es algo que, según Lázaro, “ningún otro fabricante de Linux ha logrado. Además también tenemos otros sellos centrados en la integridad de la cadena de suministro”. Lázaro hizo una analogía con la industria alimentaria: “Igual que un consumidor confía en una lasaña porque sabe que ha pasado controles sanitarios, las organizaciones necesitan garantías de que el software que instalan ha seguido procesos auditados y libres de manipulación maliciosa”.

En el terreno de la soberanía digital en Europa de los entornos cloud, SUSE se alinea con el framework europeo y los niveles SIL, subrayando que el aspecto con mayor peso en esa evaluación es precisamente la cadena de suministro de software. Para ayudar a los clientes a situarse, han creado una herramienta gratuita basada en ese framework que permite autoevaluar el nivel de soberanía digital en Europa del 0 al 4 en distintos ejes y recibir recomendaciones para cerrar brechas.

La idea es combinar esta evaluación con un portfolio que cubre desde Linux y virtualización hasta soluciones cloud native, gestión multicluster de contenedores (tras la adquisición de Rancher), Edge y Edge AI, y plataformas para ejecutar IA generativa de forma segura, sin exponer datos fuera del perímetro de la organización.

Un elemento especialmente relevante para la soberanía digital en Europa es el enfoque “abierto por diseño”. El portavoz de SUSE explicó que “nuestros productos se conciben para integrarse con soluciones de terceros y evitar el bloqueo de proveedor de tal forma que el cliente puede usar el sistema operativo de SUSE con plataformas de contenedores de otros, o viceversa, y mover cargas entre nubes públicas y on-premise, o entre distintos hiperescalares, con mayor flexibilidad.

Este enfoque se extiende a servicios como el “Premium Support Soberano”, un soporte empresarial que garantiza que tanto los datos asociados a tickets como las operaciones de resolución se mantienen íntegramente en Europa y son ejecutadas por personal radicado en la región, algo muy demandado por sectores regulados y administraciones públicas”.

Lázaro recordó también la participación de SUSE en iniciativas europeas como SILVA, en la que grandes operadoras de telecomunicaciones -Telefónica, Deutsche Telekom, Orange, entre otras- han colaborado para desarrollar infraestructuras cloud soberanas para servicios telco, ya con despliegues en producción en operadores como Orange en España. Para SUSE, estos ejemplos demuestran que la soberanía digital no es solo un marco teórico, sino una realidad que ya se traduce en servicios de telecomunicaciones, virtualización, Edge y AI operativos en entornos críticos.

Roberto Lázaro finalizó su ponencia sobre la soberanía digital en Europa explicando que “la combinación de open source, las certificaciones de la cadena de suministro, el foco europeo y un ecosistema de partners locales convierten a SUSE en un aliado natural para las organizaciones que quieren avanzar hacia un modelo cloud más soberano, portable y alineado con la regulación europea, sin renunciar a la innovación ni a la escala de la nube”.