La prueba de que las grandes empresas tecnológicas estadounidenses no pueden ofrecer nubes soberanas -a pesar del bombo publicitario que están creando en torno a sus productos de marca “soberana”- la dio el propio abogado de Microsoft. Después de ver su testimonio en YouTube, estará de acuerdo en que cualquier oferta soberana de Big Tech no es más que “Lavado Soberano”.

Pero profundicemos un poco más en este asunto y averigüemos qué ocurrió y por qué la soberanía digital en Europa importa más que nunca.

El interrogatorio del abogado de Microsoft en el Senado francés tuvo lugar el 11 de junio de 2025. Bajo juramento, el jefe jurídico de Microsoft para Francia, M. Anton Carniaux, admitió que no puede garantizar que los datos de los ciudadanos y empresas franceses almacenados en los centros de datos de Microsoft -aunque estén situados en Europa- estén a salvo de que Estados Unidos acceda silenciosamente a ellos.

¿Francia boicoteará a Microsoft?

En consecuencia, Francia ha decidido dejar de utilizar productos estadounidenses como Microsoft Teams y Zoom y planea sustituirlos por una solución verdaderamente soberana antes de 2027, en un primer paso para lograr su autonomía estratégica. Por el momento, Francia y Europa no dejaron de utilizar Microsoft de la noche a la mañana, pero las cosas están cambiando, con consecuencias en el mundo real para los proveedores de tecnología estadounidenses. Europa avanza lentamente hacia un futuro digital soberano, centrándose en la protección de sus infraestructuras críticas, ¡y esto es una gran noticia para todos los que viven en Europa!

Definición de soberanía digital

Por definición, la soberanía digital es el control independiente sobre infraestructuras digitales como la comunicación, el software o el almacenamiento de datos. Cuando se es soberano digitalmente no se depende de un proveedor o tecnología extranjera, en el mejor de los casos no se depende de ningún proveedor, sino que se tiene la infraestructura digital configurada de una manera independiente y flexible que permite una migración fácil y rápida. El objetivo es mantener los datos y la comunicación a salvo de intrusiones y protegerlos de acuerdo con la legislación local y los requisitos de seguridad.

Las grandes empresas tecnológicas estadounidenses transfieren a menudo datos transfronterizos y dan acceso a ellos a las autoridades estadounidenses, lo que infringe el Reglamento General de Protección de Datos (RGPD) de la UE sobre cómo proteger la información personal de los ciudadanos europeos. Por tanto, utilizar servicios en la nube estadounidenses no es una opción en Europa, incluso podría perjudicar la seguridad y la independencia de la nación. Para lograr la soberanía digital, las empresas y autoridades europeas deben centrarse en proveedores locales que ofrezcan soluciones de código abierto con buenas opciones de migración para que no se produzca un nuevo vendor-lockin.

Microsoft bloquea la cuenta de la CCI

Curiosamente, en 2025 Europa recibió otra llamada de atención sobre la soberanía: El Fiscal Jefe de la Corte Penal Internacional (CPI), un tribunal con sede en La Haya y fundamental para la defensa de los derechos humanos en Europa, se encontró de repente con que su cuenta de correo electrónico estaba cerrada. ¿El proveedor del servicio? Microsoft. ¿El motivo? El Sr. Trump. En febrero, Trump sancionó a la Corte Penal Internacional (CPI ) por emitir órdenes de detención contra el primer ministro israelí, Benjamin Netanyahu, y su ex ministro de Defensa, Yoav Gallant. El tribunal argumentó que los políticos israelíes habían cometido crímenes de guerra al restringir la ayuda humanitaria en Gaza en medio de la guerra contra Hamás, perjudicando así a los civiles.

Las autoridades israelíes negaron todos los cargos y, en consecuencia, el presidente de Estados Unidos, Donald Trump, emitió sanciones contra la CPI afirmando que el tribunal había cometido “acciones ilegítimas y sin fundamento dirigidas contra Estados Unidos y nuestro estrecho aliado Israel”. Trump también calificó las órdenes de detención de “órdenes de arresto infundadas”.

Tras estas sanciones, la CPI se ha encontrado con varios problemas:

• El fiscal jefe, Karim Khan, ha perdido el acceso a su correo electrónico; sus cuentas bancarias fueron congeladas.
• Los empleados estadounidenses del tribunal corren el riesgo de ser detenidos cuando viajan a Estados Unidos.

Debido al bloqueo de la cuenta de correo electrónico de Microsoft de Khan, el tribunal se enfrenta a graves problemas en su trabajo diario.

Microsoft bloqueó la cuenta de correo electrónico por una sanción de EE.UU.

Microsoft cerró la cuenta de correo electrónico de Khan.

El bloqueo de la cuenta de correo electrónico de Microsoft de Khan se produjo debido a una orden ejecutiva firmada por Trump que la empresa con sede en Estados Unidos -Microsoft- cumplió. Esto se vuelve aún más explosivo cuando se considera que Microsoft -aunque quisiera- tuvo que obedecer esta orden debido a la situación legal y política.

La Open-Source Business Alliance (OSBA) dijo a Heise que considera que las acciones de Microsoft “no tienen precedentes en este contexto y con este impacto”, y que este incidente demuestra que Europa necesita soberanía digital eligiendo servicios tecnológicos con sede en Europa en lugar de Big Tech con sede en Estados Unidos.

”Esto debe ser una llamada de atención para todos los responsables de la disponibilidad segura de las infraestructuras informáticas y de comunicación estatales y privadas. … No podemos confiar en empresas que no están bajo nuestra jurisdicción”.

Llamada de atención a la soberanía digital

Estos incidentes son, en efecto, una llamada de atención para la soberanía digital.

Las sanciones estadounidenses -sin relación con Europa e impuestas por una potencia extranjera- provocaron el cierre de la comunicación digital de una destacada figura pública, el Fiscal Jefe de la Corte Penal Internacional. Además, un abogado de Microsoft declaró bajo juramento que los datos de los europeos no pueden protegerse del acceso estadounidense, aunque Microsoft almacene los datos en sus centros de datos europeos.

Esto marca un claro punto de inflexión en la relación de Europa con los proveedores extranjeros de tecnología. Si figuras clave del Derecho internacional pueden ser silenciadas digitalmente por una empresa sujeta a la legislación estadounidense, ¿qué dice eso sobre nuestro control -o la falta del mismo- sobre los propios fundamentos digitales en los que confiamos? Si los servicios con sede en Estados Unidos no pueden proteger los datos europeos del acceso de las autoridades estadounidenses, ¿qué dice eso de nuestra seguridad y protección de datos?

Durante años, las instituciones europeas han confiado en la falsa promesa de seguridad y protección de datos de los gigantes tecnológicos de Silicon Valley. Proveedores de servicios en la nube como Microsoft, Amazon y Google nos han asegurado en repetidas ocasiones que respetan la legislación europea, incluidos el GDPR, la DSA y la DMA. Estas empresas tecnológicas han construido centros de datos dentro de las fronteras de la UE, y se han comprometido a proteger los datos personales sobre la base de las normas establecidas en el Reglamento General de Protección de Datos de la Unión Europea. Mientras que al mismo tiempo el nuevo Outlook de Microsoft sube todos los datos, incluidas las contraseñas, a la nube, Office 365 de Microsoft ha sido declarado ilegal para las escuelas alemanas debido a problemas de protección de datos, y Dinamarca ha prohibido Gmail en las escuelas debido a problemas de privacidad basados en el GDPR. Y estos son solo algunos ejemplos.

La jurisdicción lo supera todo

La jurisdicción importa más de lo que solíamos pensar para proteger las infraestructuras críticas: Las autoridades europeas deberían ceñirse a los servicios tecnológicos europeos.

A la luz de todo esto, la confesión del abogado de Microsoft y el incidente de la CPI acaban de poner el último clavo en el ataúd. Revela una verdad más profunda, sobre la que los europeos deben empezar a actuar.

La jurisdicción triunfa sobre la geografía. No importa si tus servidores están en Fráncfort, Roma o París: si tu proveedor está sujeto a la legislación extranjera, si tiene que compartir datos con las autoridades estadounidenses en virtud de la Cloud Act o la Date Governance Act, tus datos están en peligro.

Y esta posibilidad debe incluirse en todos los peores escenarios de cada empresa y cada autoridad. La pregunta es obvia: ¿Están mis datos seguros y protegidos, no sólo frente a amenazas externas como atacantes malintencionados, sino también frente a amenazas internas derivadas de la empresa que aloja mis datos?

Si las decisiones políticas tomadas a miles de kilómetros de distancia pueden tener consecuencias inmediatas y graves sobre las comunicaciones digitales europeas y los datos europeos, esto supone un riesgo enorme. Un riesgo que usted no debería correr. Y con los recientes incidentes de Microsoft, ya no es una amenaza teórica. Es exactamente lo que ha ocurrido.

La dependencia es una amenaza

Imaginemos que no se tratara del correo electrónico, sino del sector energético.

¿Cedería Europa alguna vez el control de sus redes eléctricas nacionales a empresas extranjeras sujetas a leyes no europeas? ¿Confiaríamos en la garantía de un proveedor extranjero de un 99,99% de tiempo de actividad (que es el acuerdo SLA estándar de tiempo de actividad de los proveedores de nube) mientras que al mismo tiempo una potencia extranjera podría obligarles en cualquier momento a cortar la energía de Europa?

Por supuesto que no.

Sin embargo, así es como estamos gestionando nuestra infraestructura digital en Europa.

Estamos ciegos ante los riesgos y confiamos demasiado en los proveedores tecnológicos estadounidenses. Las plataformas en la nube, las herramientas de comunicación y los proveedores de correo electrónico son servicios básicos que hacen funcionar nuestros gobiernos, escuelas, hospitales y tribunales. Y en la mayoría de los casos, las instituciones europeas han elegido proveedores estadounidenses, mientras que existen grandes alternativas de correo electrónico para las empresas.

Europa tiene los servicios, ¡empecemos a usarlos!

Lo que hace todo esto aún más frustrante es que a Europa no le falta innovación; Europa tiene grandes servicios tecnológicos que son mejores que sus equivalentes estadounidenses. Sobre todo en lo que se refiere a servicios tecnológicos, Europa ofrece mucho más de lo que cabría esperar, especialmente si valoras la privacidad y la seguridad.

En todo el continente se están desarrollando soluciones digitales que dan prioridad a la privacidad, se centran en la seguridad y son verdaderamente soberanas. Uno de los mejores ejemplos es Tuta, que ofrece herramientas de correo electrónico y calendario seguras y cifradas, incluso con cifrado a prueba de cuántos. El proveedor de correo electrónico no sólo opera bajo la legislación alemana de protección de datos, con todos los servidores propiedad de la empresa ubicados en centros de datos alemanes, sino que también utiliza las tecnologías de cifrado más avanzadas para proteger los datos de las empresas.

¿Por qué no vemos servicios como éste en ministerios, parlamentos y tribunales?

Porque a pesar de todos los discursos sobre “autonomía estratégica”, la tecnología europea sigue siendo tratada a menudo como un plan de reserva por las autoridades, y la mayoría de ellas ni siquiera han empezado a ponerlo en marcha. Durante décadas, las autoridades europeas han confiado en los productos de Microsoft. Procedentes de la integración de Microsoft en Windows, el sistema operativo más utilizado desde su lanzamiento en los años 80, la mayoría de las empresas y autoridades siguen utilizando Microsoft Outlook para el correo electrónico, Microsoft Word, Excel, etc. Aunque el cambio de Microsoft a alternativas basadas en Europa no puede hacerse en un día, las autoridades deben empezar a planificarlo.

Ha llegado el momento de liberarse de la dependencia de la tecnología estadounidense.

Activa la privacidad con un solo clic.

Get

La nube soberana

Hay un dicho en tecnología que dice lo siguiente: No hay nube, sino ordenadores ajenos.

A la hora de llevar este concepto a la práctica, hay que preguntarse: ¿En qué ordenador me gustaría almacenar mis datos? ¿Con un proveedor de tecnología estadounidense, al que Estados Unidos (gobierno, NSA, CIA, FBI, etc.) puede potencialmente tener pleno acceso? Aunque los datos se queden en Europa, el control -la capacidad de operar, denegar o transferir el acceso- sigue estando en otra parte. Mientras los proveedores de tecnología estadounidenses tengan la llave, Europa no será dueña de sus datos.

Necesitamos verdadera soberanía, eligiendo servicios europeos que se construyan y operen con arreglo a la legislación europea y que almacenen los datos exclusivamente en Europa, mejor con cifrado de extremo a extremo.

Por ejemplo, la ciudad francesa de Lyon está a punto de dejar de utilizar Microsoft, el Ministerio de Digitalización de Dinamarca quiere reducir su dependencia de Microsoft y el estado alemán de Schleswig Holstein está sustituyendo Microsoft Office por soluciones de código abierto.

Así que, aunque todavía no toda Europa está dejando de utilizar Microsoft, hay más razones que nunca para cambiar, ya que Microsoft está utilizando tácticas de cebo y cambio para conseguir que los usuarios empresariales se pasen a sus planes de pago ofreciendo primero una versión gratuita. Prueba de ello es la reciente eliminación de las licencias gratuitas de Microsoft Office para las organizaciones sin ánimo de lucro. A pesar de que Microsoft está ganando miles de millones, ahora está poniendo fin a las ofertas gratuitas para las organizaciones sin ánimo de lucro, obligando a estas organizaciones a alimentar los beneficios del gigante tecnológico en lugar de utilizar su dinero para hacer el bien.

Un futuro mejor

El equipo de Tuta da la bienvenida a un futuro mejor.

Si Europa quiere recuperar el control de su infraestructura digital, necesitamos un cambio estructural y un inmenso esfuerzo de todas las partes implicadas. Pero al final, el esfuerzo valdrá la pena. No sólo ganando soberanía, sino también apoyando y construyendo una industria tecnológica europea que pueda competir fácilmente con las empresas tecnológicas estadounidenses y chinas.

Para lograrlo, ni siquiera necesitamos nuevas leyes, todo lo que necesitamos es un compromiso por parte del sector público. Cuando Trump dice “America first”, Europa debe decir “Europe first ”, y en tecnología la ganancia es doble:

1. Una gran parte de lo que el sector público gasta en tecnología europea, lo recupera en forma de impuestos de sociedades.
2. El sector público podría ayudar a impulsar una industria tecnológica europea ya vibrante e innovadora para ganar ventaja competitiva, no sólo en Europa sino también en el extranjero.

Hacer de lo “europeo” un requisito para la contratación pública de productos tecnológicos: Las instituciones de la UE, los gobiernos y las autoridades locales deberían exigir que los productos tecnológicos sean “europeos”. Así pueden asegurarse de que los servicios que adquieren cumplen la legislación europea de protección de datos y no están bajo la influencia de gobiernos extranjeros.

De cara al futuro, las autoridades europeas y locales pueden marcar la diferencia. Lo único que tienen que hacer es ponerse manos a la obra.

Construyamos sistemas que se adhieran a las leyes y normativas europeas, protejamos a los ciudadanos europeos y sus datos, y reforcemos la independencia europea.

Dejemos de tomar prestado poder digital y empecemos a generar el nuestro. Juntos podemos hacer de Internet un lugar mejor.