Esta cuestión ha cobrado relevancia en el marco de normativas como el Reglamento General de Protección de Datos (RGPD) y leyes extraterritoriales como la estadounidense CLOUD Act, que pueden tensionar obligaciones legales de las organizaciones europeas.
Según datos de Eurostat, en 2025 más del 50% de las empresas europeas contrataron servicios de cloud computing, frente al 45% registrado en 2023, una cifra que prácticamente se ha triplicado en la última década en el conjunto de la UE ante la demanda de agilidad y escalabilidad digital. Sin embargo, en España la adopción de servicios cloud sigue por debajo de la media comunitaria, aunque diversos informes sectoriales sitúan hoy en torno al 30–32% el porcentaje de empresas españolas que utilizan servicios cloud, este nivel todavía se encuentra por debajo del objetivo europeo de alcanzar el 75% de adopción en 2030.
“El riesgo silencioso no está en el dato físico, sino en quién puede acceder a él”, explica Gaspar Palmer, CEO de OpenKM, que añade que “muchas organizaciones entienden que, si sus datos están en servidores en España o en la Unión Europea, están protegidos. Pero leyes como la Cloud Act demuestran que la jurisdicción operativa del proveedor puede imponer obligaciones de entrega de datos que tensionan el cumplimiento europeo”.
La Cloud Act (Clarifying Lawful Overseas Use of Data Act), aprobada en Estados Unidos en 2018, clarifica que las autoridades estadounidenses pueden solicitar datos a proveedores de servicios sujetos a su jurisdicción, independientemente de la ubicación física de los servidores. Esto ocurre en el contexto de investigaciones penales y bajo procedimientos judiciales, pero desde la óptica europea la cuestión crítica es la posible colisión con el RGPD, que exige que los datos transferidos fuera del Espacio Económico Europeo mantengan un nivel de protección ‘esencialmente equivalente’.
El RGPD obliga a las empresas a garantizar base legal, limitación de finalidad, minimización y transparencia en el tratamiento de datos, y pone especial foco en las transferencias internacionales. El Comité Europeo de Protección de Datos (EDPB) ha recomendado medidas suplementarias como cifrado y controles técnicos adicionales cuando los marcos legales de terceros países no proporcionan garantías equivalentes.
Para las empresas españolas, el impacto va más allá del marco regulatorio y es que trasciende lo técnico para abarcar reputación, gobernanza y cumplimiento. Gaspar Palmer identifica cuatro riesgos concretos: el primero es el conflicto con el RGPD, cuando un acceso requerido por un tercero puede entrar en colisión con las obligaciones europeas; el segundo es la pérdida de control sobre información sensible, que no se limita a datos personales, sino que incluye propiedad intelectual, contratos o documentación crítica; el tercero es el riesgo reputacional, ya que clientes y socios demandan mayor transparencia sobre quién puede acceder a su información; y el cuarto es la incertidumbre en auditorías y trazabilidad, lo que dificulta demostrar cumplimiento ante autoridades o terceros.
Para mitigar estos riesgos, muchas organizaciones están adoptando un enfoque por capas que combina análisis de proveedores, controles técnicos y arquitecturas híbridas. Esto incluye mapear qué servicios críticos utilizan, evaluar bajo qué leyes operan, aplicar cifrado fuerte y gestión de claves propias, clasificar información según su criticidad y reforzar cláusulas contractuales sobre notificación y subprocesadores. Además, las arquitecturas híbridas o soberanas, que combinan nube pública con repositorios bajo control local, permiten a las empresas proteger el núcleo de su información más sensible.
En ese contexto, la gestión documental adquiere una dimensión estratégica. Ya no se trata solo de almacenar archivos, sino de controlar su ciclo de vida completo: accesos, permisos, versiones y auditoría. “La soberanía del dato deja de ser un concepto si no puedes demostrar con evidencias quién accedió a qué y bajo qué política de seguridad”, señala el CEO de OpenKM. Plataformas especializadas en gestión documental facilitan este tipo de controles, permitiendo despliegues on-premise, en nube privada o en arquitecturas híbridas que segmentan cómo y dónde reside cada tipo de información.
El debate sobre acceso a datos también tiene implicaciones geopolíticas crecientes. La Unión Europea aprobó el Reglamento (UE) 2023/2675, conocido como Instrumento contra la Coerción Económica, que permite establecer medidas de respuesta ante presiones de terceros países que afecten decisiones soberanas en comercio o tecnología. En un entorno donde la digitalización de la economía europea se proyecta con una inversión global en tecnologías cloud y de IA que puede superar el billón de euros en la próxima década, según estimaciones de analistas de mercado, este tipo de tensiones normativas ya influyen en la estrategia de adopción tecnológica.
En síntesis, la gestión responsable de los datos requiere más que una ubicación geográfica favorable: exige entendimiento del marco legal al que están sujetos los proveedores, controles técnicos, clasificación de información y arquitecturas que refuercen el control operativo. “La pregunta estratégica para las empresas es: ¿quién puede acceder a mis documentos y bajo qué ley?”, concluye Gaspar Palmer. La respuesta a esa pregunta será, cada vez más, un factor diferenciador en la competitividad y el cumplimiento en la economía digital europea.
