22 de junio de 2026

CADA: la apuesta de Europa por una nube soberana frente a EE. UU.

Europa quiere romper las cadenas del oligopolio tecnológico estadounidense. Con la presentación el 3 de junio de 2026 por parte de la Comisión Europea de la propuesta Cloud and AI Development Act (CADA), enmarcada en el nuevo Paquete de Soberanía Tecnológica (Tech Sovereignty Package), Bruselas lanza un aviso: urge impulsar la nube europea para dejar de depender de los proveedores de EE. UU. Y es que tanto las empresas como las autoridades europeas ven con recelo normativas como la CLOUD Act estadounidense, que permite a Washington meter mano en datos almacenados en servidores europeos.

El objetivo de Bruselas es establecer un marco de control que acabe con la era del sovereign washing (el uso de la etiqueta «soberana» como mera estrategia de marketing por parte de los hiperescalares estadounidenses) y dote de independencia a la UE.

Eso sí, el divorcio no será de la noche a la mañana. Los analistas advierten que la transición hacia una nube puramente local será lenta y progresiva. De hecho, la adopción definitiva no se espera antes de finales de 2027, y la propuesta todavía debe pasar por el Parlamento Europeo y el Consejo. El motivo está en la propia letra pequeña del borrador de la Ley de Desarrollo de la Nube y la IA (CADA), cuyas propuestas todavía dejan una puerta enorme abierta para que los gigantes estadounidenses sigan vendiendo sus servicios al sector público europeo. Al final, hecha la ley, hecha la trampa… o al menos la prórroga.

CADA y los cuatro niveles de la soberanía contractual

CADA es un conjunto de propuestas políticas y legislativas del ambicioso Paquete de Soberanía Tecnológica que Bruselas ha presentado (Tech Sovereignty Package). La CADA complementa otras nuevas iniciativas, como la Ley de Chips 2.0 y la Estrategia de Código Abierto de la UE —junto a una hoja de ruta para la digitalización y la IA en la energía—, para contribuir a una economía digital europea más competitiva, segura y resiliente.

El plan es triplicar la capacidad de los centros de datos en los próximos cinco a siete años recortando la burocracia para nuevas infraestructuras, además de meter dinero en investigación de tecnologías cloud e inteligencia artificial. Pero el verdadero cambio estaría en las compras públicas; si la ley se aprueba, la administración no podría contratar a ciegas y estaría obligada a evaluar los riesgos de dependencia, exigiendo que los proveedores de nube cumplan con un estricto filtro de cuatro niveles de garantía.

Nivel 1: Exige que toda la infraestructura utilizada para procesar y guardar la información esté físicamente dentro de las fronteras de la Unión Europea. También incluye un componente de autoevaluación y ciberseguridad.

Nivel 2: Aquí los proveedores tienen que certificar que operan de forma independiente a gobiernos extranjeros y demostrar una total claridad en cómo gestionan su cadena de suministro de software.

Nivel 3: Un listón mucho más estricto. Exige que las empresas sean de propiedad comunitaria, estén controladas desde Europa y cumplan con filtros adicionales, como la nacionalidad de sus empleados. Eso sí, la Comisión Europea se guarda la potestad de validar a ciertos proveedores de fuera si cumplen los requisitos.

Nivel 4: El nivel más restrictivo de todos. Aspira a un control total y a una transparencia plena sobre el desarrollo del software, con el objetivo de blindar el entorno frente a cualquier presión o injerencia de terceros países. En concreto, requiere propiedad y control totales por parte de la UE, personal con autorización de seguridad de la UE, ninguna transferencia de datos de inferencia de IA fuera de la UE, y validación por auditoría de terceros confirmada por autoridades nacionales.

Y aquí está la clave de por qué la puerta sigue abierta: según las propias estimaciones de la Comisión, alrededor del 70 % de las cargas del sector público encajaría en el Nivel 1, un 20 % en el Nivel 2 y solo un 9 % en el Nivel 3, dejando el Nivel 4 para el 1 % más sensible. Dicho de otro modo: la mayor parte de los contratos se queda en niveles que un hiperescalar puede cumplir sin grandes apuros.

Recordemos,  que ninguna de estas propuestas está aún aprobada.

El nuevo escenario competitivo para los hiperescalares

Para gigantes como Amazon Web Services, Google Cloud y Microsoft, CADA es un giro radical en su negocio europeo. En varios artículos se ha citado que los hiperescalares estadounidenses poseen el 70 % de la cuota de mercado, y aunque se estima que la cifra baila entre el 70 y el 90 %, fuentes como Tech Jack Solutions han puesto de manifiesto que el dato carece de una fuente metodológica específica. Como ellos indican, lo que sí es coherente es decir que los proveedores estadounidenses poseen la mayor parte del mercado cloud. La propia Comisión aporta una cifra con nombre y apellidos: los proveedores con base en la UE han pasado de en torno al 29 % de cuota en 2017 a alrededor del 15 % en 2022.

De aprobarse la Ley, se acabaría el competir solo por precio o potencia; si quieren retener a sus clientes más grandes y manejar datos críticos, los hiperescalares tendrían que pasar por el aro de las exigencias europeas. Romper con su modelo hipercentralizado y crear entornos verdaderamente blindados frente a leyes extranjeras como la CLOUD Act de EE. UU. Es más, para no quedarse fuera de los contratos más sensibles (el Nivel 3), no les quedaría otra que aliarse con socios tecnológicos locales mediante empresas conjuntas, dejando la gestión operativa y las llaves del cifrado en manos europeas. Ya hay ejemplos sobre la mesa, como S3NS, la alianza de Thales con Google.

Y ojo, porque aunque CADA se ha diseñado pensando en la administración pública, el sector privado no tardaría en imitar el modelo. El efecto dominó sería inmediato en industrias fuertemente reguladas como la banca, la sanidad o la energía, que adoptarían estos mismos estándares para curarse en salud.

¿Qué significa esto si tu empresa está en Europa?

Si tu organización depende hoy de un hiperescalar estadounidense, CADA no te obliga a nada de un día para otro, pero marca la dirección. Conviene empezar a mirar dónde se almacenan y procesan tus datos, bajo qué jurisdicción opera tu proveedor y qué alternativas europeas existen para las cargas más sensibles. Las empresas de sectores regulados (banca, sanidad, energía) pueden revisar ya qué parte de sus datos podría quedar en manos de autoridades extranjeras según el proveedor que usen.



Entradas relacionadas


  1. La entrevista perdida a Steve Jobs
  2. Hablemos de transferencia web mensual
  3. 4 tendencias de CIO a tener en cuenta en 2026
  4. Google empieza a obstruir las webs sin HTTPS

Si quieres estar a la última en tecnología y conocer todo lo que se mueve en el sector, ¡suscríbete a nuestro boletín!

Logotipo de acenews

Leer condiciones

Déjanos un comentario o cuéntanos algo.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Leer condiciones

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.