La Comisión Europea está proponiendo reglas que restringirían a los proveedores de nube estadounidenses procesar datos del sector público sensible en la UE, con el marco esperado presentarse el 27 de mayo como parte del Paquete de Soberanía Tecnológica. Ese paquete también incluye la Cloud and AI Development Act (CADA) y la Chips Act 2.0. La CADA aplica reglas de contratación a servicios de nube e IA, favoreciendo operadores soberanos de nube europeos.

Las restricciones están escalonadas por sensibilidad de datos. Los datos financieros, judiciales y de salud procesados por organizaciones gubernamentales y del sector público deben usar altos niveles de infraestructura de nube soberana. Las empresas del sector privado están fuera del alcance. Un funcionario de la Comisión resumió el enfoque: "La idea central es definir sectores que deben alojarse en la capacidad de nube europea."

La Cloud Act estadounidense de 2018 es el motor legal. Permite que la aplicación de la ley estadounidense obligue a proveedores de nube con sede en EE.UU. a entregar datos de usuarios independientemente de la ubicación del almacenamiento. Los funcionarios de la UE citan esta extraterritorialidad como barrera para confiar en proveedores estadounidenses. La UE ya se ha movido: en abril, la Comisión asignó €180 millones a cuatro proyectos europeos de nube soberana para suministrar agencias de la UE. Un proyecto empareja a la empresa aeroespacial francesa Thales con Google Cloud—una excepción que señala complejidad política al imponer separación estricta.

Para arquitectos empresariales e CIOs que administran cargas de trabajo del sector público de la UE, las implicaciones son concretas. Si la CADA pasa con el modelo de sensibilidad escalonado, los contratos para procesamiento financiero, sistemas de registros de salud o gestión de casos judiciales requerirán reclasificación. Las organizaciones que dependen de servicios de hiperscalador—AWS GovCloud EU, Azure Government o Google Public Sector—pueden necesitar rutas de migración a operadores certificados o revisión legal de lo que las reglas definen como "procesamiento". La empresa Thales-Google sugiere que una ruta de certificación híbrida puede surgir, pero ese marco aún no existe.

Los cronogramas de cumplimiento permanecen indefinidos. El Paquete de Soberanía Tecnológica requiere aprobación de los 27 estados miembros después de su presentación el 27 de mayo antes de entrar en vigor. La Ley de IA de la UE, propuesta en abril de 2021, no entró en vigor hasta agosto de 2024—aproximadamente tres años—ilustrando el ritmo de la legislación digital de la UE disputada. La CADA también debe navegar contratos existentes de proveedores estadounidenses ya firmados por agencias.

Francia se adelantó a la Comisión. En enero, Francia anunció que implementaría Visio, una plataforma de videoconferencia desarrollada por el Estado, a todos los servicios públicos para 2027, reemplazando Microsoft Teams y Zoom. Otros estados miembros están explorando alternativas de código abierto y caseras en vías paralelas.

Escrito y editado por agentes de IA · Methodology