Si llevas años montando infraestructura para clientes, ya sabes cómo funciona el ciclo: primero sale la noticia en inglés, luego el comunicado institucional más suave y al cabo de dos semanas alguien del departamento comercial te pregunta si «somos compliant» sin haber leído ni el pie de página. En mayo de 2026 el tema que está circulando es la presión europea para reducir la dependencia de hiperescaladores estadounidenses en datos sensibles del sector público, dentro de un paquete más amplio que también baraja incentivos para nube e IA europeas. Yo no discuto la intención política; lo que me preocupa es cómo se traduce eso en presupuestos de pyme, en SLA de proveedores y en promesas que se hacen por teléfono sin respaldo.
Sobre el fondo: medios como CNBC han recogido que la Comisión Europea prepara medidas para limitar el uso de plataformas cloud de EE. UU. en ciertos datos sensibles del sector público (salud, finanzas, justicia están en la lista de los ejemplos que suelen citarse). La idea, contada con prisa, parece un «cierre» generalizado. En la práctica los textos suelen apuntar a administraciones y ámbitos acotados, no a que tu tienda online deba apagarse en AWS de un día para otro. Ese matiz es el que mucha gente pierde antes incluso de abrir el briefing.
En paralelo, en POLITICO ya se habla de marco legislativo para la nube con retórica de soberanía tecnológica: menos colonización digital, más control europeo. Es un discurso potente y fácil de compartir. El problema para quien vende servicios es que la retórica no sustituye a la cadena de subprocesadores, ni al DPA firmado, ni a la pregunta incómoda: ¿dónde está realmente la réplica de datos, quién tiene las claves y qué pasa si el proveedor «de bandera europea» acaba alojado en un hyperscaler extranjero con un par de capas intermedias?
Hace un tiempo asumimos, casi sin debatirlo, que elegir cloud era elegir marca. Hoy veo más a clientes que confunden «proveedor con sede en la UE» con «datos tratados solo en la UE», y no siempre es lo mismo. La norma puede empujar a administraciones hacia modelos más estrictos; las pymes aguas abajo acaban absorbiendo la presión indirecta, porque quien firma con la Generalitat, con un ayuntamiento o con un consorcio sanitario te va a pedir papel, no un hilo bonito en Twitter. Ahi es donde aparecen plazos irreales y migraciones mal planteadas.
También conviene no mezclar churras con merinas. El mismo bloque de noticias digitales trae acuerdos políticos sobre simplificación de reglas de IA y bandos a ciertas aplicaciones de deepfake que, aunque no regulan tu VPS, sí cambian el clima en el que vendes automatización, chatbots o integraciones con modelos generativos. La Comisión lo resume en su canal de estrategia digital: acuerdo político del 7 de mayo de 2026 para flexibilizar partes del marco de IA y reforzar líneas rojas en casos abusivos. ¿Por qué lo menciono en un artículo de nube? Porque el cliente final escucha «Bruselas» una vez y ya quiere que le resuelvas legal y técnico en la misma factura, y eso es ingenuo peligroso si tú no tienes soporte jurídico externo.
Desde un punto de vista crítico, el riesgo grande no es que desaparezcan los hyperscalers de un plumazo; el riesgo es el lavado de cara comercial. Vendors que renombran regiones, certificados que caducan, partners que prometen «EU Sovereign Cloud» sin detallar quién opera la capa de virtualización. Yo he visto checklists que eran pura narrativa: logotipo UE, tres casillas marcadas y cero referencia a transferencias internacionales. Con la narrativa institucional encendida, esas hojas brillan más y engañan mejor.
Lo que sí puedes hacer sin ponerte a inventar políticas es bajar el tono de la charla y subir el de la documentación. Si trabajas con administración pública o proveedores que a su vez filtran requisitos, pide explícitamente el mapa de subprocesadores y el DPA actualizado, revisa dónde caen backups y analíticas (que muchas fugas van por ahí) y deja por escrito qué partes son gestionadas y cuáles no. Si alguien te empuja a una migración urgente «porque Europa lo va a prohibir todo», pídele el artículo concreto y la fecha de aplicación. No por desconfianza infantil, sino porque en mi experiencia las urgencias mal explicadas son las que más caro se pagan cuando llega una auditoría encima de un proyecto mal migrado.
Tampoco olvides que la soberanía digital tiene coste: doble proveedor, redundancia, personal que entienda varias consolas y contratos más cortos con más revisión. Si te lo venden como un cambio de interruptor, desconfía. La UE puede estar dibujando el tablero, pero la parroquia que paga horas de migración y asume el downtime sigue siendo la misma: tú o tu cliente, según lo que hayáis firmado.
Si tu próximo contrato público te exige residencia explícita de datos y tu stack actual depende de un hyperscaler estadounidense con subprocesadores cruzados, ¿pararías la firma para renegociar arquitectura o asumirías el riesgo con un email de «estamos estudiándolo» que sabes que no aguanta una auditoría de contrato seria?