En junio de 2025, Anton Carniaux, Director de Asuntos P\u00fablicos y Jur\u00eddicos de Microsoft Francia, compareci\u00f3 ante una comisi\u00f3n del Senado franc\u00e9s. Bajo juramento, se le pregunt\u00f3 si pod\u00eda garantizar que los datos de los clientes franceses almacenados en Microsoft -concretamente los datos confiados a trav\u00e9s de la central de compras p\u00fablicas UGAP- no ser\u00edan revelados a las autoridades estadounidenses sin el consentimiento expreso de las autoridades francesas. Respondi\u00f3 escuetamente: \u201eNon, je ne peux pas le garantir\u201c. No, no puedo garantizarlo. Si Microsoft recibe una orden judicial estadounidense v\u00e1lida en virtud de la Ley CLOUD, debe cumplirla. No importa d\u00f3nde se encuentren f\u00edsicamente los datos, ni lo que piense Francia de ellos.<\/p>\n\n\n\n
Esta declaraci\u00f3n es un punto de inflexi\u00f3n en el debate europeo sobre las nubes no porque diga algo nuevo. Sino porque Ley CLOUD<\/a> Est\u00e1 en la ley en blanco y negro desde 2018. Es rompedor porque lo dijo en voz alta y bajo juramento un representante de uno de los mayores proveedores estadounidenses, en cuya infraestructura descansa una parte sustancial de la administraci\u00f3n p\u00fablica europea. A partir de ese momento, es imposible pretender que el problema es te\u00f3rico.<\/p>\n\n\n\n En este art\u00edculo, desglosaremos lo que la Ley CLOUD significa realmente para usted -como usuario, aut\u00f3nomo o empresa en Europa- y cu\u00e1ndo es una raz\u00f3n para cambiar algo y cu\u00e1ndo es s\u00f3lo una raz\u00f3n para entenderlo.<\/p>\n\n\n\n En 2018, el Congreso de Estados Unidos aprob\u00f3 una enmienda a leyes m\u00e1s antiguas que se crearon cuando la nube a\u00fan no exist\u00eda. El objetivo no era introducir una nueva vigilancia, sino aclarar hasta d\u00f3nde llega la jurisdicci\u00f3n estadounidense cuando los datos se almacenan en una empresa estadounidense pero se encuentran f\u00edsicamente en Europa o en cualquier otra parte del mundo.<\/p>\n\n\n\n El litigio espec\u00edfico que qued\u00f3 en segundo plano ha sido librado por Microsoft desde 2013. El fiscal general de Estados Unidos quer\u00eda que los correos electr\u00f3nicos se almacenaran en un centro de datos irland\u00e9s, Microsoft argument\u00f3 que la legislaci\u00f3n estadounidense no pod\u00eda alcanzarlos. El caso lleg\u00f3 hasta el Tribunal Supremo. Antes de que pudiera pronunciarse, el Congreso aprob\u00f3 la Ley CLOUD, que cerr\u00f3 legislativamente el litigio a favor del fiscal: s\u00ed, la orden judicial estadounidense se aplica a los datos almacenados en el extranjero... siempre que los tenga un proveedor sobre el que Estados Unidos tenga jurisdicci\u00f3n.<\/p>\n\n\n\n La frase clave en torno a la cual gira todo el tema es \u201eposesi\u00f3n, custodia o control\u201c. Si un proveedor estadounidense tiene tus datos en una de estas relaciones, las autoridades estadounidenses pueden acceder a ellos, independientemente del centro de datos europeo en el que residan f\u00edsicamente. Si no est\u00e1n en sus manos (por ejemplo, porque no se pueden descifrar sin tus claves o porque el proveedor no es estadounidense), la Ley CLOUD no se aplica.<\/p>\n\n\n\n Esa es la cuesti\u00f3n. Todo lo dem\u00e1s no es m\u00e1s que un refinamiento de esa frase.<\/p>\n\n\n\n Para lectores t\u00e9cnicos.<\/strong> La Ley CLOUD modifica tres antiguas leyes estadounidenses: la Ley de Comunicaciones Almacenadas (Stored Communications Act), la Ley de Escuchas Telef\u00f3nicas (Wiretap Act) y la Ley de Registro y Localizaci\u00f3n (Pen Register\/Trap and Trace Statute). La principal disposici\u00f3n sustantiva se encuentra en la secci\u00f3n 2713: un proveedor debe cumplir las obligaciones de la SCA independientemente de la ubicaci\u00f3n de los datos. El segundo componente (\u00a7 2523) establece el marco para los Acuerdos Ejecutivos bilaterales con pa\u00edses extranjeros. El tercero (\u00a7 2703(h)) establece un nuevo recurso procesal - comity objection, un alegato de cortes\u00eda internacional - que un proveedor puede plantear si el cliente no es ciudadano ni residente de EE.UU. y el cumplimiento violar\u00eda la legislaci\u00f3n de un Estado con un acuerdo v\u00e1lido de la Ley CLOUD.<\/p>\n<\/blockquote>\n\n\n\n En el debate europeo, la Ley CLOUD se describe a menudo como \u201elos estadounidenses pueden tomar tus datos cuando quieran\u201c. Esto es en gran medida una exageraci\u00f3n. Conviene saber lo que la Ley CLOUD no es.<\/p>\n\n\n\n No es una nueva ley de vigilancia.<\/strong> El fiscal estadounidense sigue necesitando una orden basada en una causa probable, igual que antes de 2018. El cambio est\u00e1 en el alcance jurisdiccional, no en las condiciones de la extradici\u00f3n.<\/p>\n\n\n\n No puede obligar al proveedor a descifrar datos para los que no tiene las claves.<\/strong> La ley establece expresamente que los acuerdos en virtud de la Ley CLOUD no pueden imponer la obligaci\u00f3n de crear un mecanismo de descifrado o construir una puerta trasera. Esta es la raz\u00f3n por la que los servicios con verdadero cifrado de extremo a extremo (el proveedor nunca tiene las claves) operan en un r\u00e9gimen de riesgo distinto al de una nube tradicional, en la que las claves son gestionadas por el proveedor.<\/p>\n\n\n\n No llegar\u00e1 a un proveedor que no tenga v\u00ednculos con Estados Unidos.<\/strong> Si su proveedor de servicios en nube es una empresa europea sin filial estadounidense, activos estadounidenses ni presencia operativa en Estados Unidos, la Ley CLOUD no le afecta directamente. El conflicto de leyes s\u00f3lo se plantea cuando el proveedor entra en ambas jurisdicciones al mismo tiempo.<\/p>\n\n\n\n No autoriza la recogida masiva ni la selecci\u00f3n de personas estadounidenses por parte de autoridades extranjeras.<\/strong> Los acuerdos bilaterales que permite la Ley CLOUD (hasta ahora s\u00f3lo con el Reino Unido y Australia) proh\u00edben expl\u00edcitamente la recolecci\u00f3n masiva y la selecci\u00f3n deliberada de ciudadanos estadounidenses por parte de autoridades extranjeras.<\/p>\n\n\n\n Es importante decirlo en voz alta. La Ley CLOUD es una herramienta para el acceso selectivo a datos en investigaciones penales espec\u00edficas, no una herramienta para la vigilancia general. Para la mayor\u00eda de los usuarios europeos, la probabilidad te\u00f3rica de que sus datos espec\u00edficos figuren en una orden judicial estadounidense es escasa. Las estad\u00edsticas de los informes de transparencia de los principales proveedores muestran que la gran mayor\u00eda de las solicitudes estadounidenses se refieren a investigaciones individuales de personas concretas.<\/p>\n\n\n\n Un riesgo mayor que la Ley CLOUD.<\/strong> Para plano recogida de datos<\/a> sobre extranjeros sirve a EE.UU. FISA 702. All\u00ed, las condiciones son m\u00e1s laxas, la revisi\u00f3n judicial m\u00e1s indirecta y el alcance de los programas (PRISM, Upstream) significativamente m\u00e1s amplio. Schrems II invalid\u00f3 Privacy Shield precisamente por FISA 702, no por la Ley CLOUD. Cuando los reguladores europeos hablan del riesgo de la vigilancia estadounidense, t\u00e9cnicamente se refieren a esto.<\/p>\n<\/blockquote>\n\n\n\n Aqu\u00ed viene lo que la mayor\u00eda de los art\u00edculos sobre la Ley CLOUD no abordan: cu\u00e1ndo es algo que hay que cambiar para ti y cu\u00e1ndo no. Vamos a repasarlo situaci\u00f3n por situaci\u00f3n.<\/p>\n\n\n\n Usuario privado de servicios comunes.<\/strong> Usted tiene Gmail<\/a>, fotos en iCloud, OneDrive, Dropbox. La Ley CLOUD se aplica t\u00e9cnicamente a tus datos, pero la probabilidad pr\u00e1ctica de que las autoridades estadounidenses los quieran espec\u00edficamente es muy baja. La cuesti\u00f3n de \u201equ\u00e9 hacer al respecto\u201c te afecta principalmente por la sensibilidad del contenido: si tratas temas de salud, finanzas, relaciones privadas o pol\u00edticamente delicados, hay motivos para pensar en alternativas europeas (Prot\u00f3n<\/a>, Tuta<\/a>, Inf\u00f3mano<\/a>, Tresorit). No por el FBI, sino por el perfil general de confianza hacia los proveedores que tienen la obligaci\u00f3n legal de anteponer los intereses de un Estado a los tuyos.<\/p>\n\n\n\n Aut\u00f3nomo o peque\u00f1a empresa sin presi\u00f3n normativa.<\/strong> Usted lleva la contabilidad, factura y se comunica con los clientes. A menos que entre sus clientes haya alguien cuyos datos interesen a otra persona (abogados, periodistas, m\u00e9dicos, investigadores, grupos de presi\u00f3n, pol\u00edticos), el riesgo real de la Ley CLOUD es bajo para usted. M\u00e1s relevante desde el punto de vista estrat\u00e9gico suele ser el perfil general de confianza hacia el proveedor y la cuesti\u00f3n de qui\u00e9n puede leer los datos de su empresa en funcionamiento, no qui\u00e9n puede hacerlos valer ante un tribunal.<\/p>\n\n\n\n Una profesi\u00f3n sensible.<\/strong> Abogado, m\u00e9dico, terapeuta, periodista, investigador, asesor fiscal. Para estas profesiones, la Ley CLOUD es una cuesti\u00f3n relevante desde el punto de vista operativo, no porque nadie quiera controlarlas a todas, sino porque no se puede cumplir con el deber profesional de confidencialidad si un proveedor de una jurisdicci\u00f3n extranjera puede facilitarle datos sin su conocimiento. Las organizaciones profesionales de algunos pa\u00edses europeos ya est\u00e1n empezando a abordar esta cuesti\u00f3n de forma normativa. Para estas profesiones, merece la pena contar con un proveedor europeo sin v\u00ednculos con Estados Unidos o con servicios con verdadera encriptaci\u00f3n de extremo a extremo cuando el tipo de trabajo lo permita.<\/p>\n\n\n\n Empresa mediana con clientes europeos.<\/strong> Aqu\u00ed es donde GDPR<\/a>. Si procesa datos personales de clientes europeos, la legislaci\u00f3n europea le obliga a saber qui\u00e9n puede acceder a ellos. El regulador europeo (EDPB) lo ha dejado claro en su gu\u00eda actualizada de junio de 2025: el requisito directo de la Ley CLOUD no tiene una base leg\u00edtima independiente en la legislaci\u00f3n europea. Si su proveedor estadounidense divulga los datos sin el cauce legal adecuado, se meter\u00e1 en problemas con el regulador europeo. Esta es la raz\u00f3n por la que las grandes empresas europeas est\u00e1n empezando a considerar seriamente arquitecturas h\u00edbridas a partir de 2024, en las que los datos sensibles permanecen en la infraestructura europea y la nube estadounidense se utiliza solo para las partes menos sensibles de la operaci\u00f3n.<\/p>\n\n\n\n Organizaci\u00f3n regulada o administraci\u00f3n p\u00fablica.<\/strong> Para ti es nube soberana<\/a> La elecci\u00f3n es casi inevitable, ya sea porque el marco normativo nacional as\u00ed lo exige (SecNumCloud en Francia, BSI C5 en Alemania) o porque la responsabilidad por cualquier infracci\u00f3n de las normas de seguridad de los Estados miembros es muy limitada. fuga de datos<\/a> ser\u00eda pol\u00edtica y financieramente insostenible. Este es el segmento en el que el mercado europeo se ha transformado m\u00e1s r\u00e1pidamente en los dos \u00faltimos a\u00f1os.<\/p>\n\n\n\n En qu\u00e9 se diferencian el GDPR y la Ley CLOUD.<\/strong> Para un proveedor o encargado del tratamiento europeo que tambi\u00e9n est\u00e9 sujeto a la jurisdicci\u00f3n de EE.UU. (debido a su sede, filial, activos en EE.UU.), surge un conflicto irresoluble: cumplir una orden judicial de EE.UU. significa violar el art\u00edculo 48 del RGPD, cumplir el RGPD significa violar una orden judicial de EE.UU.. La Orientaci\u00f3n EDPB 02\/2024, Versi\u00f3n Final 2.1, de 4 de junio de 2025, establece expl\u00edcitamente que el requisito de la Ley CLOUD directa no puede justificarse por un \u201einter\u00e9s leg\u00edtimo\u201c con arreglo al art\u00edculo 6, apartado 1, letra f), del RGPD. Consecuencia pr\u00e1ctica: los proveedores de ambas jurisdicciones no disponen de una v\u00eda totalmente segura desde el punto de vista del Derecho puro. Una de las pocas opciones claras es remitir a las autoridades estadounidenses al MLAT, el Tratado Interestatal de Asistencia Judicial Mutua, que est\u00e1 formalmente disponible.<\/p>\n<\/blockquote>\n\n\n\n La palabra \u201esoberano\u201c se ha utilizado tanto en el marketing de los proveedores de servicios en la nube durante los dos \u00faltimos a\u00f1os que ha empezado a perder su significado concreto. Reduzc\u00e1moslo a lo b\u00e1sico, sin marketing.<\/p>\n\n\n\n En Europa existen hoy tres tipos de ofertas que se presentan como \u201esoberanas\u201c y cada una tiene una relaci\u00f3n diferente con la Ley CLOUD.<\/p>\n\n\n\n Proveedores verdaderamente europeos.<\/strong> Franc\u00e9s OVHcloud, 3DS Outscale, Oodrive, NumSpot, Scaleway. Suizo Infomaniac. La alemana Hetzner y otros participantes en la iniciativa Gaia-X. Estas empresas tienen capital europeo, directivos europeos y una presencia nula o m\u00ednima en Estados Unidos. No est\u00e1n directamente cubiertas por la Ley CLOUD. Su punto d\u00e9bil es la escala: por regla general, no pueden competir con AWS o Azure en la profundidad de los servicios especializados (aprendizaje autom\u00e1tico, almacenamiento de datos, distribuci\u00f3n geogr\u00e1fica). Pero para la mayor\u00eda de las necesidades est\u00e1ndar, son totalmente suficientes.<\/p>\n\n\n\n Asociaciones \u201esoberanas\u201c h\u00edbridas.<\/strong> Bleu franc\u00e9s (Orange + Capgemini explotan la tecnolog\u00eda Azure), S3NS (Thales con 95 % y Google<\/a> Cloud con 5 % ejecutando tecnolog\u00eda GCP), Delos Cloud alemana (SAP ejecuta Azure para la administraci\u00f3n p\u00fablica). Modelo: una empresa europea con capital europeo opera tecnolog\u00eda de nube estadounidense bajo licencia en una instancia aislada, con sus propios centros de datos, sus propios empleados y sin conectividad con la infraestructura estadounidense. S3NS recibi\u00f3 la m\u00e1xima calificaci\u00f3n francesa SecNumCloud 3.2 el 19 de diciembre de 2025; Bleu super\u00f3 el segundo hito (J1) en noviembre de 2025.<\/p>\n\n\n\n Esta ola es a la vez la m\u00e1s asertiva pol\u00edticamente y la m\u00e1s controvertida. La agencia cibern\u00e9tica francesa ANSSI reconoce estos modelos, pero su director, Vincent Strubel, dijo expl\u00edcitamente en enero de 2026 que SecNumCloud no es una etiqueta pol\u00edtica de soberan\u00eda, sino una herramienta de ciberseguridad. Dicho de otro modo: La ANSSI no afirma que el S3NS sea totalmente inmune a la Ley CLOUD. Afirma que cumple sus normas t\u00e9cnicas y de procedimiento y que el control operativo de los datos est\u00e1 en manos europeas.<\/p>\n\n\n\n OVHcloud -el mayor proveedor verdaderamente europeo- sostiene que los modelos h\u00edbridos no son totalmente inmunes porque la dependencia de la tecnolog\u00eda estadounidense bajo licencia crea un v\u00ednculo a largo plazo cuya exigibilidad jur\u00eddica no puede comprobarse de antemano en una situaci\u00f3n de crisis. El litigio est\u00e1 abierto y a\u00fan no hay una decisi\u00f3n judicial que lo resuelva.<\/p>\n\n\n\n Zonas de desembarco\u201e estadounidenses en Europa.<\/strong> Microsoft Cloud for Sovereignty, AWS European Sovereign Cloud (apertura en enero de 2026 en Brandenburgo), Oracle EU Sovereign Cloud. La cara comercial es similar a la de las categor\u00edas anteriores. En la pr\u00e1ctica, son diferentes: el operador sigue siendo la matriz estadounidense o su filial europea bajo jurisdicci\u00f3n estadounidense. La Ley CLOUD se aplica aqu\u00ed sin reservas. AWS declara en sus informes de transparencia a partir de 2020 que no ha liberado ning\u00fan contenido empresarial o gubernamental almacenado fuera de EE.UU.: una se\u00f1al emp\u00edrica importante, pero no una garant\u00eda legal para el futuro.<\/p>\n\n\n\n C\u00f3mo lo lee el controlador.<\/strong> Marcos europeos horizontales como NIS2<\/a> o DORA no prescriben por s\u00ed mismos qu\u00e9 nube utilizar. Exigen gesti\u00f3n de riesgos en la cadena de suministro, exigibilidad contractual frente al proveedor, auditabilidad, un plan de interrupciones y control de acceso. Para sectores con normativa propia (sanidad, finanzas, informaci\u00f3n clasificada, infraestructuras cr\u00edticas) existen cualificaciones nacionales que la nube soberana suele exigir: SecNumCloud en Francia, BSI C5 en Alemania, marcos similares en otros pa\u00edses. Este es el nivel en el que la \u201enube soberana\u201c pasa de ser un debate estrat\u00e9gico a una obligaci\u00f3n legal.<\/p>\n<\/blockquote>\n\n\n\n Paralelamente a la Ley CLOUD, en Europa se est\u00e1 abordando un segundo nivel del mismo problema: c\u00f3mo pueden viajar legalmente los datos europeos a Estados Unidos. Aqu\u00ed ha habido tres oleadas.<\/p>\n\n\n\n Safe Harbor (2000) fue anulado en 2015 por el TJUE en Schrems I. Privacy Shield (2016) fue anulado en 2020 en Schrems II. El tercer intento -el Marco de Privacidad de Datos entre la UE y EE.UU.- est\u00e1 en vigor desde julio de 2023. Es probable que el TJUE se pronuncie sobre su validez entre 2026 y 2027. El primer asalto ya tuvo lugar en septiembre de 2025, cuando el Tribunal General de la UE desestim\u00f3 el recurso del eurodiputado franc\u00e9s Philippe Latombe. Latombe recurri\u00f3 en noviembre de 2025 ante el propio Tribunal de Justicia, que suele ser bastante m\u00e1s duro en su valoraci\u00f3n de las pr\u00e1cticas de vigilancia estadounidenses.<\/p>\n\n\n\n Es importante para la Ley CLOUD que el DPF no le afecte directamente. La DPF se ocupa de las transferencias comerciales de datos de la UE a Estados Unidos. La Ley CLOUD se ocupa de lo que las autoridades estadounidenses pueden hacer con los datos una vez que las empresas estadounidenses los tienen. Son dos niveles paralelos del mismo problema, y juntos son la raz\u00f3n por la que el debate europeo sobre la soberan\u00eda digital ha cobrado tanto impulso en el periodo 2024-2026.<\/p>\n\n\n\n Qu\u00e9 le puede pasar al DPF.<\/strong> Si el Tribunal de Justicia de la UE anula la sentencia Schrems III, la transferencia de datos personales de la UE a EE.UU. volver\u00e1 a encontrarse en un vac\u00edo legal. Los proveedores estadounidenses lo abordar\u00e1n con cl\u00e1usulas contractuales tipo (CCT) y medidas t\u00e9cnicas adicionales, tal como exige Schrems II. Para el cliente europeo, esto suele suponer una carga administrativa adicional, no un desastre, pero estrat\u00e9gicamente empuja a\u00fan m\u00e1s a las empresas hacia la nube europea. El eventual colapso del DPF figura, por tanto, en las iniciativas de nube soberana como un escenario silencioso que acelera la migraci\u00f3n.<\/p>\n<\/blockquote>\n\n\n\n Si se enfrenta a la decisi\u00f3n de hacia d\u00f3nde llevar su propia operaci\u00f3n, el debate sobre la Ley CLOUD puede reducirse a unas pocas preguntas que se plantean de forma pragm\u00e1tica.<\/p>\n\n\n\n La primera pregunta se refiere a la sensibilidad de los datos. Si gestionas principalmente marketing, comunicaciones corporativas rutinarias u operaciones no personales, tu decisi\u00f3n deber\u00eda basarse principalmente en par\u00e1metros operativos y econ\u00f3micos: la Ley CLOUD es una preocupaci\u00f3n leg\u00edtima, pero probablemente no deber\u00eda ser la principal. Si maneja historiales m\u00e9dicos, archivos jur\u00eddicos de clientes, fuentes period\u00edsticas, datos de investigaci\u00f3n o cualquier cosa que le resultar\u00eda devastadora si un tercero pusiera sus manos en ella, el riesgo es real desde el punto de vista operativo y merece una consideraci\u00f3n arquitect\u00f3nica aparte, no un argumento resignado del tipo \u201eno voy a cambiarlo de todos modos\u201c.<\/p>\n\n\n\n La segunda cuesti\u00f3n es reglamentaria. Si usted est\u00e1 sujeto a una normativa sectorial que exige un entorno cualificado (SecNumCloud en Francia, BSI C5 en Alemania, equivalentes en otros pa\u00edses), la nube soberana no es una opci\u00f3n: es una normativa. Si se est\u00e1 dentro de marcos horizontales como NIS2 o DORA, la prescripci\u00f3n es m\u00e1s general (gesti\u00f3n de riesgos, control contractual, supervisi\u00f3n de proveedores), pero empuja en la misma direcci\u00f3n.<\/p>\n\n\n\n La tercera cuesti\u00f3n es arquitect\u00f3nica. Si se tiene una arquitectura por capas (datos menos sensibles separados de los m\u00e1s sensibles), a menudo se puede ejecutar un modelo h\u00edbrido: capa menos sensible en la nube estadounidense para obtener ventajas operativas, capa sensible en la europea o en las instalaciones. En la pr\u00e1ctica, esta es la v\u00eda de compromiso m\u00e1s com\u00fan elegida por las medianas y grandes empresas europeas entre 2025 y 2026.<\/p>\n\n\n\n La cuarta pregunta se refiere a los encriptaci\u00f3n<\/a>. Para la comunicaci\u00f3n, las copias de seguridad o el almacenamiento de archivos, la forma realista hoy en d\u00eda (Proton, Tuta, Tresorit, Cryptee, Se\u00f1al<\/a>, Matriz<\/a> autoalojado). Cuidado: Signal es un operador estadounidense; su perfil de riesgo es diferente del de los servicios europeos (Proton, Tuta, Threema<\/a>). En el caso de las bases de datos y las tareas anal\u00edticas, el verdadero cifrado de extremo a extremo es t\u00e9cnicamente posible, pero su rendimiento es poco pr\u00e1ctico para la mayor\u00eda de las cargas de trabajo del mundo real. Se trata m\u00e1s bien de un cifrado h\u00edbrido con control de claves en el lado real.<\/p>\n\n\n\n La quinta cuesti\u00f3n es econ\u00f3mica. La diferencia de precio entre la nube europea y la estadounidense depende hoy mucho del tipo de carga de trabajo. Para el almacenamiento de objetos, las instancias de computaci\u00f3n central y los cl\u00fasteres Kubernetes, los proveedores europeos suelen ser competitivos o incluso m\u00e1s baratos que los proveedores estadounidenses de hiperescala. Para los servicios gestionados avanzados (almacenamiento de datos, aprendizaje autom\u00e1tico, distribuci\u00f3n geogr\u00e1fica), las ofertas soberanas europeas suelen ser m\u00e1s caras. Esta es una realidad que debe tenerse en cuenta a la hora de tomar decisiones.<\/p>\n\n\n\n La Ley CLOUD en s\u00ed no es principalmente una herramienta de vigilancia. Es una soluci\u00f3n legislativa a una cuesti\u00f3n geogr\u00e1fica de la que carec\u00eda el Congreso de EE.UU. tras el caso Microsoft Irlanda - y que el Congreso resolvi\u00f3 a favor de las autoridades estadounidenses y en detrimento del control procesal europeo a trav\u00e9s del MLAT. Para la mayor\u00eda de los usuarios europeos individuales, el impacto real de la Ley CLOUD es menor de lo que sugieren los materiales de marketing de los proveedores europeos de servicios en nube.<\/p>\n\n\n\n Pero a nivel del sistema, el impacto es exactamente como lo describi\u00f3 Anton Carniaux en el Senado franc\u00e9s: no podemos garantizar. Y esta incapacidad de garantizar es un problema estructural. Convierte la infraestructura sobre la que descansan los datos cr\u00edticos de los Estados, las empresas y los ciudadanos europeos en una herramienta cuyas reglas escriben otros. Para los Estados, las organizaciones reguladas y las profesiones sensibles, esta es una raz\u00f3n para invertir en una v\u00eda de nube soberana totalmente europea o, al menos, h\u00edbrida. Para los usuarios ordinarios y las peque\u00f1as empresas, es m\u00e1s una raz\u00f3n para pensar en qu\u00e9 datos espec\u00edficos se ver\u00edan realmente afectados por la p\u00e9rdida de control jurisdiccional, y hacer un cambio ah\u00ed. El resto puede quedarse donde est\u00e1.<\/p>\n\n\n\n Respuesta europea - DPF, Directrices EDPB, SecNumCloud, asociaci\u00f3n para la nube soberana, mensajeros del gobierno<\/a> en Matrix, alternativas europeas como Infomaniac, Proton o Threema- es en gran medida racional, pero desigual. Los gobiernos y las cargas clasificadas van por delante, la sanidad y las pymes se quedan en la pila estadounidense porque carecen de presi\u00f3n regulatoria o de espacio financiero para migrar. Lo que est\u00e1 ocurriendo en la nube europea desde 2023 es una lenta y costosa consolidaci\u00f3n de esta desigualdad, y la Ley CLOUD es el catalizador, no la causa.<\/p>\n\n\n\n Puerta trasera<\/strong> - Una ruta oculta deliberadamente incorporada que permite eludir la protecci\u00f3n normal (como el cifrado).<\/p>\n\n\n\n Recogida a granel<\/strong> - Recogida masiva de datos sin sospecha espec\u00edfica, utilizada normalmente por las agencias de inteligencia.<\/p>\n\n\n\n Acuerdos de la Ley CLOUD (Acuerdos ejecutivos)<\/strong> - Acuerdos bilaterales interestatales que permiten a las autoridades extranjeras solicitar datos directamente a los proveedores estadounidenses (y viceversa), con l\u00edmites incorporados contra el uso indebido. Hasta ahora, s\u00f3lo se han celebrado con el Reino Unido (a partir de octubre de 2022) y Australia (a partir del 31 de enero de 2024). Las negociaciones con la UE y Canad\u00e1 est\u00e1n en curso.<\/p>\n\n\n\n Objeci\u00f3n de cortes\u00eda<\/strong> - Objeci\u00f3n por motivos de cortes\u00eda internacional. Instrumento procesal por el que un proveedor puede pedir a un tribunal estadounidense que anule o modifique una orden cuyo cumplimiento violar\u00eda la legislaci\u00f3n de un Estado extranjero.<\/p>\n\n\n\n Cifrado de extremo a extremo (E2EE<\/a>)<\/strong> - cifrado en el que s\u00f3lo el emisor y el receptor disponen de claves; proveedor de servicios<\/a> y no puede descifrar el contenido, ni siquiera con una orden judicial.<\/p>\n\n\n\n Consejo Europeo de Protecci\u00f3n de Datos (CEPD)<\/strong> - organismo que emite documentos vinculantes y recomendatorios sobre la aplicaci\u00f3n del RGPD.<\/p>\n\n\n\n FISA 702<\/strong> - Ley estadounidense que permite la recogida selectiva de informaci\u00f3n de inteligencia sobre extranjeros fuera de Estados Unidos. Suele ser m\u00e1s importante que la Ley CLOUD en t\u00e9rminos de riesgo de vigilancia europea.<\/p>\n\n\n\n MLAT (Tratado de Asistencia Judicial Rec\u00edproca)<\/strong> - tratado de asistencia judicial mutua. La v\u00eda formal tradicional por la que un fiscal estadounidense solicita datos a un Estado europeo con el consentimiento de un tribunal europeo. Es lenta (10 meses de media), por lo que las autoridades estadounidenses suelen eludir la Ley CLOUD.<\/p>\n\n\n\n Posesi\u00f3n, custodia o control<\/strong> - \u201eposesi\u00f3n, custodia, control\u201c. La frase clave de la Ley CLOUD que determina si la agencia estadounidense puede llegar al proveedor.<\/p>\n\n\n\n Orden con causa probable<\/strong> - una orden judicial basada en una sospecha razonable. Condici\u00f3n est\u00e1ndar para obtener el contenido de las comunicaciones en Estados Unidos.<\/p>\n\n\n\n Schrems I \/ II \/ posible III<\/strong> - una serie de sentencias del TJUE que han ido suprimiendo los mecanismos de transferencia de datos personales entre la UE y EEUU (Safe Harbor 2015, Privacy Shield 2020, o el Data Privacy Framework en los a\u00f1os siguientes).<\/p>\n\n\n\n SecNumCloud<\/strong> - Cualificaci\u00f3n francesa para servicios en nube adecuados para aplicaciones sensibles de la administraci\u00f3n p\u00fablica. Nivel m\u00e1ximo 3.2.<\/p>\n\n\n\n La informaci\u00f3n y las valoraciones de este art\u00edculo se basan en fuentes p\u00fablicas disponibles en la fecha de publicaci\u00f3n y est\u00e1n sujetas a cambios con el tiempo. Para una evaluaci\u00f3n jur\u00eddica espec\u00edfica de su propia situaci\u00f3n, le recomendamos que consulte con un asesor jur\u00eddico especializado en protecci\u00f3n de datos y derecho inform\u00e1tico.<\/em><\/p>\n\n\n\n V \u010dervnu 2025 st\u00e1l ve v\u00fdboru francouzsk\u00e9ho Sen\u00e1tu Anton Carniaux, \u0159editel pro ve\u0159ejn\u00e9 a pr\u00e1vn\u00ed z\u00e1le\u017eitosti Microsoft France. Pod p\u0159\u00edsahou […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":4,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"federated","footnotes":""},"categories":[32],"tags":[],"class_list":["post-741","post","type-post","status-publish","format-standard","hentry","category-digitalni-suverenita"],"yoast_head":"\n
\n\n\n\nQu\u00e9 hace la Ley CLOUD con su lenguaje sencillo<\/h2>\n\n\n\n
\n
\n\n\n\nLo que la Ley CLOUD no puede hacer (y c\u00f3mo los medios de comunicaci\u00f3n suelen tergiversarla)<\/h2>\n\n\n\n
\n
\n\n\n\nCuando le concierna<\/h2>\n\n\n\n
\n
\n\n\n\nNube soberana: qu\u00e9 es realmente y cu\u00e1ndo es realmente \u00fatil<\/h2>\n\n\n\n
\n
\n\n\n\nSchrems, DPF y lo que est\u00e1 por venir<\/h2>\n\n\n\n
\n
\n\n\n\nUn marco pr\u00e1ctico para la toma de decisiones<\/h2>\n\n\n\n
\n\n\n\n\u00bfQu\u00e9 implica esto?<\/h2>\n\n\n\n
\n\n\n\nGlosario<\/h2>\n\n\n\n
\n\n\n\n
\n\n\n\nFuentes<\/h2>\n\n\n\n
\n