Normas de la nube en la UE limitarán el acceso de Amazon y Google al 70% del mercado

La Comisión Europea propondrá el miércoles criterios estrictos de contratación que podrían excluir a Amazon, Microsoft y Google de contratos gubernamentales sensibles de servicios en la nube en los 27 Estados miembros.

"La soberanía tecnológica significa que Europa tiene la capacidad de diseñar, comprender, elegir entre diferentes fuentes locales, construir, operar y regular de forma efectiva los sistemas digitales de los que dependen su sociedad y su economía", señalaron un grupo de 13 proveedores de nube europeos y legisladores en una carta abierta vista por Reuters.

La propuesta, que forma parte de la Ley de Desarrollo de la Nube y la IA de la Comisión, introduce criterios obligatorios de adjudicación no relacionados con el precio, incluidos requisitos de que el software y el hardware se desarrollen dentro de la UE. Las restricciones se dirigen a las cargas de trabajo del sector público que manejan datos financieros, judiciales y sanitarios, las categorías más sensibles de información gubernamental. Las empresas del sector privado quedan explícitamente excluidas de las normas.

Esta ofensiva, impulsada por el temor a la vigilancia estadounidense en virtud de la Ley CLOUD de 2018, amenaza aproximadamente el 70% del mercado europeo de la nube controlado por AWS, Microsoft Azure y Google Cloud. La legislación requiere el respaldo de los Estados miembros de la UE y del Parlamento Europeo en los próximos meses, y ya están surgiendo divisiones internas entre los países nórdicos e Irlanda —donde las empresas de nube estadounidenses tienen operaciones significativas— y los países que presionan por requisitos de soberanía más estrictos.

La Ley CLOUD, aprobada por el Congreso de EE. UU. en marzo de 2018, resolvió una larga disputa legal al establecer que las empresas constituidas en Estados Unidos deben cumplir con las solicitudes de datos del gobierno estadounidense, independientemente de dónde estén ubicados sus servidores. Ninguna cláusula contractual de residencia de datos puede anular esa obligación legal, según expertos jurídicos. La sentencia Schrems II de 2020 del Tribunal de Justicia de la Unión Europea estableció que los contratos no pueden anular las leyes de acceso a gobiernos extranjeros, creando la base legal para esta ofensiva de soberanía.

El momento del anuncio de la Comisión refuerza el argumento. Diez días antes de que se presentara el paquete, un contratista de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. dejó credenciales administrativas de tres cuentas de AWS GovCloud en un repositorio público de GitHub durante seis meses. El repositorio contenía 844 megabytes de datos, incluidas contraseñas en texto plano de docenas de sistemas internos de CISA. CISA declaró que no encontró evidencia de compromiso de datos, pero el incidente ilustró los riesgos procesales inherentes a la dependencia de infraestructura controlada por EE. UU.

El precedente neerlandés establece un estándar de revisión de inversiones

Un día antes del paquete de la Comisión, el gobierno neerlandés emitió su primera prohibición de adquisición en el marco de la Oficina Nacional de Investigación de Inversiones. La secretaria de Estado, Willemijn Aerdts, bloqueó la adquisición de Solvinity por parte de Kyndryl, la spin-off de IBM. Solvinity es la empresa neerlandesa de nube que aloja DigiD, el sistema nacional de identidad digital utilizado por millones de ciudadanos neerlandeses para acceder a servicios gubernamentales, historiales médicos y declaraciones de impuestos. La BTI concluyó que poner Solvinity bajo la propiedad de Kyndryl sometería los datos de identidad a una posible divulgación forzada en virtud de la Ley CLOUD.

La propuesta de la Comisión enfrenta ahora un camino legislativo a través de los 27 Estados miembros. Se prevé que el gasto mundial en nube soberana alcance los 80 000 millones de dólares en 2026, y se espera que el gasto europeo crezca un 83% interanual desde una base de 6900 millones de dólares en 2025, según Gartner. Los proveedores europeos de nube locales poseen aproximadamente el 15% del mercado, lo que deja una brecha de capacidad significativa que el compromiso de la Comisión —permitir tecnologías no europeas dentro de marcos de gobernanza estrictos— pretende cerrar.

La Comisión adjudicó en abril una licitación de nube soberana por valor de 180 millones de euros a cuatro grupos de proveedores europeos, incluido un consorcio liderado por la telecomunicación belga Proximus que utiliza infraestructura de S3NS, una empresa conjunta en la que la compañía francesa de defensa Thales tiene una participación mayoritaria y Google Cloud proporciona la tecnología subyacente. La inclusión generó críticas de la asociación europea de nube CISPE, cuyo secretario general, Francisco Mingorance, calificó el reconocimiento de S3NS como soberana como "claramente un gol en propia puerta" que "amenaza con institucionalizar el lavado de soberanía en los niveles más altos".

Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento de inversión.