Soberanía digital y soberanía tecnológica son dos conceptos que aluden a los dos riesgos esenciales a los que han de hacer frente la Unión Europea y los Estados miembros en relación con los sistemas de información que sostienen la gestión pública. Ambos conceptos parten de una realidad común: la gestión pública en el ámbito europeo descansa en sistemas de información cuyos activos están fuera del control del ordenamiento europeo.

La soberanía digital alude al control efectivo sobre los activos digitales (datos, software, hardware e infraestructuras de almacenamiento y telecomunicación) que se localizan o se utilizan en el territorio. La soberanía tecnológica es el término con el que la Unión Europea ha designado la capacidad de Europa de desarrollar, controlar y escalar las tecnologías, infraestructuras, servicios y datos críticos, reduciendo la dependencia de proveedores no europeos. Dos conceptos que reflejan la debilidad actual europea. Unos riesgos que derivan de siete dependencias:

1. La dependencia de infraestructura y de capacidad de computación en la nube. 

La manifestación más visible de la dependencia es la concentración del mercado de servicios en la nube en un número reducido -de 3- de hiperescalares de matriz no europea. La cifra que circula con mayor insistencia (se habla, aproximadamente, de un 70% de cuota de los proveedores estadounidenses en el cloud europeo) es una manifestación incontestable de la dependencia europea, de los Estados, de la propia Unión Europea, con respecto a los Estados Unidos de América.

Esta primera dependencia es la más reversible a medio plazo, porque la capacidad de almacenamiento y computación es, en principio, replicable; con una adecuada política de inversión. Una dependencia que, si no se soluciona adecuadamente, incrementa una captura de las Administraciones públicas con respecto a los operadores de cloud, cada día más intensa y con mayor dificultad de solución, por elementos técnicos, organizativos y contractuales. 

2. Dependencia jurisdiccional y de legislación extranjera

La dependencia jurisdiccional y de legislación extranjera deriva de la sujeción del prestador del servicio a leyes extraterritoriales de su Estado de matriz que pueden obligarle a entregar datos o a cooperar con sus autoridades con independencia de dónde se hallen físicamente alojados. 

Es indiferente que los centros de datos se ubiquen en Zaragoza si la empresa prestadora del servicio está sometida a la ley de los Estados Unidos, ya sea directamente o por ser filial de una empresa estadounidense: los datos pueden ser requeridos por las autoridades de aquel país y la empresa tiene obligación de entregarle los datos. Una realidad que ocurre con empresas estadounidenses, chinas o israelíes, entre otras. Hay que resaltar que la dependencia de Israel es especialmente significativa en un campo básico, como es el de la ciberseguridad, al que haré referencia con posterioridad.

3. Dependencia de la cadena de suministro y de software de base

Esta dependencia es la menos abordable a corto plazo: la cadena de suministro de componentes físicos y el software de base sobre el que se construye todo lo demás. En el plano del hardware, la dependencia de semiconductores avanzados es estructural y, a corto plazo, prácticamente irreversible. La fabricación de chips de última generación se concentra en un puñado de actores asiáticos y norteamericanos, y la pretensión europea de construir capacidad propia tiene horizontes de maduración que se sitúan, según las propias previsiones, en torno al inicio de la próxima década. En este punto, sólo cabe esperar una fuerte inversión pública y la generación de campeones europeos que puedan paliar la dependencia en un horizonte de diez o quince años.

En el plano del software, la dependencia se manifiesta en tres niveles: software propietario de gestión, dependencias ocultas y software de inteligencia artificial. Este último se entrena, aloja y gobierna, en su gran mayoría, fuera del espacio europeo, y dependen de la infraestructura de computación (cloud), quedan sujetos a la jurisdicción de quien los controla y descansan sobre cadenas de suministro de hardware especializado igualmente concentradas y con un alto grado de opacidad.

4. La dependencia en ciberseguridad

La ciberseguridad tiene una naturaleza singular que la hace, a la vez, el principal vector de protección y el principal vector de riesgo. Las herramientas de seguridad (detección y respuesta en el punto final, gestión de eventos, cortafuegos, inteligencia de amenazas) operan con el máximo privilegio: lo ven todo, acceden al núcleo del sistema y se actualizan de forma automática y remota. eLa dependencia en ciberseguridad equivale a entregar una llave maestra que atraviesa todas las defensas.

5. La dependencia transversal: los servicios y el modelo “como servicio”

El modelo actual no discrimina entre productos (hardware y software) sino el de la prestación “como servicio” (infraestructura, plataforma y, sobre todo, software como servicio), y el servicio invierte la lógica de la propiedad con consecuencias profundas para la dependencia.

En efecto, con un servicio, la retirada del proveedor equivale a la interrupción inmediata de la función. El software como servicio es, por ello, la forma más profunda de captura y la exposición jurisdiccional más aguda, porque funde en un mismo prestador las tres cosas a la vez, con frecuencia sin alternativa europea y sin claves de cifrado en poder del cliente.

Los servicios gestionados entregan a quien opera un acceso privilegiado y cotidiano; si ese operador, o su matriz por la vía del acceso administrativo remoto, queda sujeto a una jurisdicción extranjera, el riesgo jurisdiccional reentra por la puerta de atrás, aunque la infraestructura sea europea. Y los servicios profesionales (consultoría, integración de sistemas) concentran en un puñado de grandes actores, a menudo no europeos, el conocimiento de los sistemas.

A ello se añade el hecho, cada vez más usual, de la prestación remota desde terceros países, particularmente intensa desde la India. Conceder acceso remoto desde un tercer país a un sistema alojado en la Unión constituye, en sí mismo, una transferencia internacional de datos y un acceso desde fuera del territorio, con independencia de dónde resida físicamente el dato.

El modo de contratar con el sector público refleja la debilidad de las Administraciones públicas: la entidad que contrata suele ser una filial europea o un contratista principal europeo que subcontrata la entrega en un tercer país, de modo que el criterio de la nacionalidad del adjudicatario es inservible.

6. La dimensión democrática e institucional de la dependencia 

Esta dimensión adquiere un relieve singular en el caso de la Administración pública, porque a la dependencia se le suma la confianza ciudadana. El ciudadano que se relaciona electrónicamente con la Administración deposita en ella datos que, por su naturaleza (fiscales, sanitarios, judiciales, sociales), exigen el máximo nivel de protección.

Que esos datos puedan quedar expuestos al acceso de una autoridad extranjera, aunque sea de modo remoto o hipotético, erosiona la confianza que sostiene la administración electrónica y, con ella, la legitimidad del propio modelo de digitalización. 

La soberanía digital es, en este sentido, una condición de la integridad del Estado de Derecho en el entorno digital, y no una mera cuestión de eficiencia o de coste. Es también, por ello, un asunto que no puede dejarse en exclusiva a la racionalidad del mercado: el criterio del precio más bajo conduce sistemáticamente a profundizar la dependencia, porque el actor dominante es casi siempre el más barato.

7. La necesidad de instrumentos de cooperación administrativa y la creación de una entidad pública de CLOUD.

Buena parte de los datos más sensibles que maneja el sector público español no se gestiona en el nivel estatal, sino en el autonómico y en el local: la historia clínica y los sistemas sanitarios, los datos educativos, la información de los servicios sociales, los padrones y los tributos locales. Es precisamente en estos ámbitos materialmente propios donde la externalización a la nube extracomunitaria ha avanzado más, y donde la dependencia jurisdiccional plantea los riesgos más graves.

La realidad que se ha descrito presenta un riesgo evidente: la asimetría. Si la evaluación y la exigencia se descentralizan sin coordinación, el resultado será un mosaico de múltiples niveles de exigencia, con Comunidades y municipios que imponen requisitos estrictos junto a otros que no imponen ninguno, generando una protección desigual de los derechos de los ciudadanos según el territorio en que residan y del propio interés general.

La pieza de cierre del sistema debe ser, por ello, un instrumento de cooperación interadministrativa que fije un suelo común en la protección y que garantice la protección de los datos a nivel interno. Es, además, un instrumento para la eficiencia del gasto público y la eficacia de la gestión de los datos.

La cooperación no es aquí una opción de buena gobernanza, sino una exigencia funcional: sin ella, la autonomía multinivel degenera en fragmentación, y la fragmentación es el principal enemigo de la soberanía.

8. El impulso europeo

El pasado 3 de junio de 2026, la Comisión Europea presentó su Paquete de Soberanía Tecnológica que abarca la totalidad de la pila tecnológica y agrupa dos proyectos de ley (la llamada Chips Act 2.0 y la Cloud and AI Development Act (CADA)) junto a una Estrategia de Código Abierto y una hoja de ruta para la digitalización del sistema energético. 

La articulación europea que se anuncia con la CADA introducirá dos elementos que conviene anticipar en el diseño de la autonomía multinivel española. 

El primero es la obligación de que los gobiernos adopten estrategias nacionales de nube e inteligencia artificial alineadas con el marco de la Comisión.

El segundo elemento es la EuroCloud Federation, que permitirá poner en común y compartir capacidad de nube y de centros de datos no utilizada entre Estados. Para el nivel subcentral, esta federación abre una oportunidad: la posibilidad de acceder a capacidad soberana sin necesidad de construir o contratar infraestructura propia, mancomunando recursos a escala europea.

9. A modo de cierre

El recorrido permite formular una conclusión:

La dependencia tecnológica de los sistemas de información que sostienen la gestión pública europea es real, estructural y multinivel: se despliega en las dependencias examinadas (desde la infraestructura de cómputo hasta la cadena de suministro, pasando por la sujeción jurisdiccional, la ciberseguridad, los servicios y su prestación remota, la erosión democrática y el riesgo de fragmentación interna), y ninguna de ellas se resuelve con la simple localización física de los servidores. 

Pero de ese diagnóstico no se sigue la tentación autárquica, sino la contraria: la soberanía que Europa necesita es control efectivo, esto es, la garantía de que los activos digitales críticos permanecen bajo la jurisdicción y legislación de cada Estado, sean auditables, reversibles y resilientes, y no quedan a merced de la decisión unilateral de un tercero, sea un Estado o una empresa.

PREGUNTAS FRECUENTES