Fuera de la nube estadounidense: una descripción general de las ofertas de SaaS soberanas + recomendaciones para la acción

La necesidad de soberanía digital para las empresas europeas

La transformación digital avanza sin cesar, y la computación en la nube, especialmente el software como servicio (SaaS), se ha convertido en una herramienta indispensable para empresas de todos los tamaños. Permite flexibilidad, escalabilidad y acceso a tecnologías innovadoras. Al mismo tiempo, este desarrollo ha generado una dependencia significativa de unos pocos proveedores de servicios en la nube, principalmente estadounidenses.

Adecuado para:

• Por qué la ley estadounidense CLOUD Act es un problema y un riesgo para Europa y el resto del mundo: una ley con consecuencias de gran alcance

Planteamiento del problema: Creciente dependencia de los proveedores de nube estadounidenses

El mercado europeo de la nube está claramente dominado por los principales hiperescaladores estadounidenses: Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP). Estos proveedores controlan una gran cuota del mercado global. Incluso proveedores europeos líderes como SAP y Deutsche Telekom solo alcanzan pequeñas cuotas de mercado en Europa en comparación. Esta concentración conlleva un riesgo inherente: gran parte de la infraestructura de la nube global, y especialmente la europea, está potencialmente sujeta a la jurisdicción estadounidense. En consecuencia, la concienciación sobre los riesgos asociados a esta dependencia está creciendo en las empresas europeas y, cada vez más, también en las administraciones públicas. La preocupación por la protección y la seguridad de los datos, así como por la pérdida de control sobre datos y procesos críticos, está cobrando protagonismo. La cuestión de la soberanía digital se está convirtiendo en un imperativo estratégico.

Relevancia de la soberanía de los datos y el cumplimiento del RGPD

En el centro de las preocupaciones europeas se encuentra el Reglamento General de Protección de Datos (RGPD). Desde 2018, ha conformado el estricto marco legal para la protección de datos personales en la Unión Europea y regula en detalle su procesamiento y transferencia, en particular a países fuera de la UE. Para las empresas europeas, el cumplimiento del RGPD no solo es una obligación legal, sino también un factor crucial para mantener la confianza de clientes y socios comerciales. Paralelamente, el concepto de soberanía digital está cobrando importancia. Describe la ambición de Europa de recuperar o mantener el control sobre sus propios datos, tecnologías e infraestructuras digitales. No se trata solo de una cuestión de protección de datos, sino también de un objetivo de política industrial destinado a fortalecer la economía y la competitividad europeas en un mundo digital globalizado. Para las empresas, esto significa la necesidad de replantear sus estrategias en la nube y buscar proactivamente soluciones que cumplan con la legislación y sean fiables, garantizando así su capacidad operativa.

Adecuado para:

• La integración de la IA de una plataforma de IA de origen independiente y de datos cruzados para todos los asuntos de la compañía

Objetivos y estructura del informe

Este informe está dirigido a los responsables de la toma de decisiones empresariales y de TI europeos que se enfrentan al reto de desarrollar una estrategia de nube con visión de futuro y consciente de los riesgos. Su objetivo es proporcionar una base sólida para la toma de decisiones mediante:

• Analiza los riesgos específicos que surgen para las empresas europeas del uso de servicios SaaS con sede en Estados Unidos, en particular en lo que respecta al conflicto entre el RGPD y las leyes estadounidenses como la Ley CLOUD y la FISA 702.
• Define qué se entiende por “ofertas SaaS soberanas” en el contexto europeo y qué criterios deben cumplir.
• Se presenta una descripción general del mercado de proveedores de SaaS europeos que se posicionan como alternativas soberanas, categorizados por áreas de aplicación.
• Compara alternativas importantes en categorías clave con respecto a características, precios y, lo más importante, la implementación de la soberanía de datos y el cumplimiento del RGPD.
• Se destacaron soluciones especializadas para sectores sensibles como la administración pública, la salud y las finanzas.
• Presenta iniciativas relevantes de la UE (como Gaia-X) y certificaciones (como EUCS, BSI C5) que promueven la soberanía de la nube.
• Se extrae una conclusión y se derivan recomendaciones para la dirección estratégica de las empresas.

Análisis de riesgos: los servicios en la nube de EE. UU. y los desafíos para las empresas europeas

El uso de servicios en la nube, en particular las ofertas SaaS, de proveedores con sede en Estados Unidos plantea a las empresas europeas importantes desafíos legales y operativos. Estos surgen principalmente del conflicto fundamental entre las estrictas normativas europeas de protección de datos y las amplias leyes estadounidenses de vigilancia y acceso a datos.

El conflicto central: el RGPD frente a las leyes de vigilancia estadounidenses

El Reglamento General de Protección de Datos (RGPD) constituye la base de la protección de datos europea. Establece estándares rigurosos para el tratamiento de datos personales de los ciudadanos de la UE. Los artículos 44 y siguientes del RGPD, que regulan la transferencia de dichos datos a terceros países (países fuera de la UE/EEE), son especialmente relevantes para el uso de la nube. Dicha transferencia solo se permite si el tercer país ofrece un "nivel adecuado de protección" (según lo determinado por una decisión de adecuación de la Comisión Europea) o si existen "garantías apropiadas" (como cláusulas contractuales tipo o normas corporativas vinculantes) y los interesados ​​tienen a su disposición derechos exigibles y recursos legales efectivos. Además, el artículo 48 del RGPD prohíbe explícitamente la transferencia de datos a las autoridades de un tercer país basándose en sus decisiones o sentencias, salvo que exista un acuerdo internacional, como un tratado de asistencia jurídica mutua. Varias leyes estadounidenses, que otorgan a las autoridades estadounidenses amplios derechos de acceso a los datos, incluso si se almacenan fuera de EE. UU., contradicen este estándar europeo de protección

• La Ley CLOUD de EE. UU. (Ley para la Aclaración del Uso Legal de Datos en el Extranjero): Esta ley, aprobada en 2018, faculta a las fuerzas del orden y a los servicios de inteligencia estadounidenses para exigir a las empresas estadounidenses de comunicaciones y tecnología que entreguen los datos bajo su control, independientemente de dónde se almacenen. Esto incluye explícitamente los datos ubicados en centros de datos dentro de la Unión Europea. Por lo tanto, la Ley CLOUD socava el principio de territorialidad de la protección de datos y contradice directamente los requisitos del RGPD, en particular el artículo 48. Se promulgó, en parte, como respuesta a una prolongada disputa legal entre Microsoft y el gobierno estadounidense sobre el acceso a correos electrónicos almacenados en servidores en Irlanda, y modernizó las antiguas regulaciones de acceso posteriores al 11 de septiembre de 2001, como la Ley Patriota. Si bien la Ley CLOUD proporciona mecanismos para que un proveedor impugne una orden de divulgación si viola la ley de otro estado (como el RGPD), la efectividad práctica de estos mecanismos, en particular con respecto a las órdenes de seguridad nacional, es muy controvertida y no ofrece ninguna garantía fiable para las empresas europeas. Por lo tanto, los proveedores se encuentran atrapados en un dilema: si cumplen una orden de la Ley CLOUD sin una base legal de la UE, se arriesgan a recibir multas masivas según el RGPD; si se niegan a divulgar información citando el RGPD, enfrentan sanciones según la ley estadounidense.
• Sección 702 de la FISA (Ley de Vigilancia de Inteligencia Extranjera): Esta disposición, que forma parte de la Ley de Enmiendas a la FISA de 2008, permite a las agencias de inteligencia estadounidenses, como la NSA, realizar una vigilancia selectiva de las comunicaciones electrónicas de personas no estadounidenses que se encuentran fuera de Estados Unidos. La vigilancia se lleva a cabo para obtener "información de inteligencia extranjera". La FISA 702 obliga a los proveedores estadounidenses de servicios de comunicaciones electrónicas (ECSP), entre los que se incluyen numerosos grandes proveedores de servicios en la nube y SaaS, a cooperar con las autoridades. El alcance de los datos potencialmente recopilados es muy amplio y puede incluir no solo metadatos, sino también el contenido de las comunicaciones, incluso las de terceros no involucrados que simplemente mencionan a una persona objetivo. Los programas de vigilancia bajo la FISA 702 (como PRISM y Upstream) fueron un punto central de crítica en la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (véase más adelante). También se critica la falta de recursos legales efectivos para los ciudadanos de la UE afectados y la posibilidad de vigilancia masiva, a pesar de que las autoridades estadounidenses lo niegan.
• Orden Ejecutiva 12333 y otras: Además de la Ley CLOUD y la FISA 702, existen otras bases legales, como la Orden Ejecutiva 12333, que otorgan a las agencias de inteligencia estadounidenses amplios poderes para realizar vigilancia en el extranjero, a menudo sin supervisión judicial ni restricciones legales específicas para personas no estadounidenses.

Este conflicto jurídico fundamental crea una situación en la que el uso de servicios en la nube de proveedores estadounidenses plantea riesgos inherentes para las empresas europeas.

Riesgos específicos para las empresas europeas

El conflicto jurídico descrito plantea riesgos tangibles para las empresas europeas que utilizan servicios SaaS con sede en Estados Unidos:

• Violaciones de datos y multas: La divulgación de datos personales a las autoridades estadounidenses en virtud de la Ley CLOUD o la FISA 702, sin una base jurídica válida según la legislación de la UE (por ejemplo, un tratado de asistencia jurídica mutua), constituye una clara infracción del RGPD, en particular del artículo 48. Esto puede dar lugar a multas sustanciales de hasta el 4 % de la facturación anual global, así como a demandas civiles por daños y perjuicios por parte de los interesados. El mero uso de un servicio en la nube estadounidense puede considerarse potencialmente incompatible con el RGPD si el proveedor no puede garantizar que no divulgará datos que lo infrinjan.
• Pérdida de soberanía y control de los datos: Las garantías contractuales de los proveedores estadounidenses de que los datos se almacenan únicamente en centros de datos de la UE no ofrecen una protección eficaz contra el acceso estadounidense en virtud de la Ley CLOUD o la FISA. Las leyes estadounidenses pueden invalidar estas garantías e incluso las salvaguardias técnicas. Ni siquiera el cifrado de datos es una solución definitiva si el proveedor estadounidense controla las claves de cifrado, ya que podría verse obligado a revelarlas. De igual modo, se pueden eludir los mecanismos de control de acceso y consultar los registros de auditoría sin el conocimiento del titular de los datos, lo que infringe los requisitos de transparencia del RGPD. Por lo tanto, las empresas europeas pierden el control sobre quién accede a sus datos y en qué circunstancias.
• Espionaje industrial y pérdida de secretos comerciales: La posible fuga de datos empresariales sensibles supone un riesgo especialmente grave. Esto incluye propiedad intelectual, datos de investigación y desarrollo, prototipos, planes estratégicos, datos financieros y datos y comunicaciones confidenciales de clientes. La preocupación de que las autoridades estadounidenses puedan utilizar sus derechos de acceso con fines económicos (espionaje industrial) es un importante motivo para que las empresas europeas busquen alternativas o implementen medidas de protección adicionales. La pérdida de dicha información puede acarrear importantes pérdidas financieras, daños a la reputación y la pérdida de ventajas competitivas.
• Incertidumbre jurídica y pérdida de confianza: El conflicto sin resolver entre la legislación europea de protección de datos y los derechos de acceso estadounidenses genera una importante incertidumbre jurídica para las empresas que utilizan servicios estadounidenses. Esta incertidumbre complica la planificación a largo plazo y las medidas de cumplimiento normativo. Además, el uso continuado de servicios donde no se puede garantizar la protección de datos puede socavar gravemente la confianza de clientes, empleados y socios comerciales.
• Riesgos geopolíticos: Leyes como la Ley CLOUD se consideran en el contexto de las tendencias globales hacia una mayor vigilancia estatal y una posible fragmentación de internet ("Splinternet"). Se establecen comparaciones con leyes similares de otros países, como la Ley de Inteligencia Nacional de China. Además, la excesiva dependencia de proveedores de tecnología de una única región no europea plantea riesgos estratégicos para la autonomía y la resiliencia digital de Europa.

Los riesgos de utilizar servicios en la nube estadounidenses van mucho más allá de las posibles sanciones del RGPD. Incluyen la pérdida de datos empresariales críticos, el daño a la reputación y la amenaza a la competitividad debido al posible uso indebido de los derechos de acceso para espionaje industrial. Estos riesgos colaterales, a menudo difíciles de cuantificar, pero potencialmente existenciales, se subestiman fácilmente cuando se centra únicamente en el cumplimiento del RGPD.

La sentencia Schrems II y el Marco de Privacidad de Datos (MPD)

La incertidumbre jurídica en torno a las transferencias transatlánticas de datos se vio significativamente agravada por la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE) de julio de 2020. El TJUE declaró inválido el entonces aplicable acuerdo del Escudo de Privacidad UE-EE. UU. El razonamiento: las leyes de vigilancia estadounidenses, en particular la FISA 702 y los programas relacionados, permiten infracciones de los derechos fundamentales de los ciudadanos de la UE (protección de datos, privacidad) que no se limitan a lo estrictamente necesario y no ofrecen una protección equivalente a la que se ofrece en la UE. Además, existe una falta de recursos legales efectivos para las personas afectadas en EE. UU. contra dichas medidas de vigilancia. Si bien la sentencia confirmó la validez general de las Cláusulas Contractuales Tipo (CCT) como instrumento alternativo para las transferencias de datos, el TJUE aclaró que los exportadores de datos no pueden confiar ciegamente en las CCT. Como parte de una evaluación caso por caso (Evaluación de Impacto de la Transferencia, TIA), debe examinarse si la legislación y las prácticas del país de destino (en este caso, EE. UU.) garantizan un nivel de protección "esencialmente equivalente" al de la UE. Si esto no es así debido a las leyes de vigilancia, como sugirió el TJUE para EE. UU., se deben adoptar medidas adicionales (medidas complementarias) (por ejemplo, un cifrado fuerte donde el destinatario no tenga acceso a las claves) para garantizar la protección. Si ni siquiera esto es posible, debe suspenderse la transferencia de datos. La Ley CLOUD se consideró en este contexto como un factor que debilita aún más el argumento a favor de un nivel de protección equivalente. En respuesta a la inseguridad jurídica generada por Schrems II y para consolidar los flujos de datos entre la UE y EE. UU., la Comisión Europea y el gobierno estadounidense acordaron el Marco de Privacidad de Datos UE-EE. UU. (MPD). Este entró en vigor en julio de 2023 mediante una nueva decisión de adecuación de la Comisión Europea. El Marco de Protección de Datos (MPD) busca abordar las inquietudes planteadas por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia Schrems II, proporcionando garantías adicionales para Estados Unidos: el acceso de las agencias de inteligencia estadounidenses a los datos de los ciudadanos de la UE se limitará a lo necesario y proporcionado, y se ha establecido un nuevo mecanismo de recurso legal de dos niveles (incluido el Tribunal de Revisión de Protección de Datos, DPRC) para los ciudadanos de la UE. Las empresas estadounidenses pueden obtener la certificación MPD, y las transferencias de datos desde la UE a estas empresas certificadas se consideran entonces admisibles sin necesidad de instrumentos adicionales como las Cláusulas Contractuales Tipo (CCT) u otras medidas. Sin embargo, persisten importantes dudas y riesgos con respecto a la estabilidad y eficacia del MPD

• Las leyes fundamentales de EE. UU. siguen vigentes: la Ley CLOUD y la FISA 702 no fueron modificadas por el DPF. Las facultades fundamentales de las autoridades estadounidenses para acceder a los datos siguen vigentes.
• Dudas sobre el escrutinio del Tribunal de Justicia de la Unión Europea (TJUE): Numerosos expertos y activistas en protección de datos dudan de que las garantías previstas en el Fondo de Protección de Datos (FPD) y el nuevo mecanismo de recurso legal resistan un nuevo escrutinio por parte del TJUE. En particular, se cuestionan la independencia y la capacidad de ejecución de la Comisión Reguladora de Protección de Datos (CRPD).
• Se requiere una supervisión continua: De conformidad con el artículo 45(4) del RGPD, la Comisión Europea está obligada a supervisar continuamente la evolución de la situación en EE. UU. y a revisar periódicamente su idoneidad. La primera revisión tuvo lugar en el verano de 2024. Acontecimientos recientes, como la prórroga y la posible ampliación de la FISA 702, podrían volver a poner en peligro la base del DPF.
• Riesgo para las empresas: Las empresas que dependen exclusivamente del DPF asumen un riesgo considerable. Si el Tribunal de Justicia de la Unión Europea también declara inválido el DPF en el futuro (un escenario similar al de Schrems III), las transferencias de datos basadas en él volverían a ser ilegales de la noche a la mañana. Las empresas que carezcan de un plan B (por ejemplo, cambiar a un proveedor de la UE o implementar medidas adicionales efectivas) no pueden esperar clemencia.

El conflicto fundamental entre la legislación estadounidense sobre acceso generalizado a los datos y el derecho fundamental de la UE a la protección de datos persiste, por lo tanto, incluso bajo el DPF. Las leyes estadounidenses que causan el problema siguen vigentes. El DPF representa más una medida provisional política y potencialmente temporal que una solución jurídica definitiva. El problema fundamental del acceso, potencialmente infringiendo el RGPD, por parte de las autoridades estadounidenses a los datos de ciudadanos y empresas europeas no se ha resuelto.

Definición y criterios: ¿Qué significa “SaaS soberano”?

Dados los riesgos descritos, las empresas europeas buscan cada vez más alternativas que les ofrezcan mayor control, seguridad y cumplimiento legal. En este contexto, se utilizan con frecuencia los términos «nube soberana» o «SaaS soberano». Pero ¿qué significan exactamente estos términos y qué criterios debe cumplir una oferta para ser considerada soberana en el contexto europeo?

Elementos clave de la soberanía en el contexto de la nube

La soberanía digital en el entorno de la nube es un concepto multifacético que va más allá de la mera prestación técnica de servicios. Puede comprenderse a través de varios elementos fundamentales:

• Soberanía de los datos: Este es el principio fundamental. Establece que los datos están sujetos a las leyes y regulaciones de la jurisdicción donde se encuentran o fueron recopilados. Para Europa, esto significa principalmente la plena aplicación de la legislación de protección de datos de la UE (en especial el RGPD) y la protección contra el acceso por parte de autoridades de terceros países con base en leyes extraterritoriales como la Ley CLOUD de EE. UU. El cliente conserva el control total sobre quién puede acceder a sus datos y bajo qué condiciones.
• Residencia de datos y localización de datos:
  • La residencia de datos implica que se garantiza que los datos del cliente (incluidos los metadatos y las copias de seguridad) se almacenarán y procesarán dentro de una región geográfica definida, normalmente la UE o el EEE. Esta es una condición necesaria para la soberanía de datos en el contexto de la UE, pero no es suficiente si el proveedor está sujeto a leyes no europeas.
  • La localización de datos es un requisito más estricto que estipula que los datos no pueden salir de las fronteras de un país específico. Estas leyes son poco frecuentes en la UE, pero pueden ser relevantes para normativas o sectores nacionales específicos.
• Soberanía operativa: Este elemento se refiere al control sobre el funcionamiento de la infraestructura en la nube y los servicios que se ejecutan en ella. Los aspectos clave incluyen:
  • Operación por parte del personal y las entidades jurídicas de la UE: Debe garantizarse que el personal con acceso físico o lógico al entorno de la nube y a los datos de los clientes resida en la UE y esté sujeto a la legislación de la UE. El acceso desde fuera de la UE debe impedirse o controlarse estrictamente mediante medidas técnicas y organizativas.
  • Sede y estructura corporativa de la UE: El propio proveedor de servicios de nube, o al menos la entidad legal responsable de las operaciones en la UE, debe tener su sede en un Estado miembro de la UE/EEE y, por lo tanto, estar sujeto principalmente a la legislación europea. También es crucial que no existan dependencias de empresas matrices o filiales en terceros países (especialmente EE. UU.) que puedan obligar al cumplimiento de sus leyes (como la Ley CLOUD o la FISA).
  • Transparencia y auditabilidad: Los clientes necesitan transparencia en cuanto a los procesos operativos, los subcontratistas y las medidas de seguridad implementadas. La capacidad de revisar y auditar de forma independiente el acceso y los procesos es una característica clave de la soberanía operativa.
• Soberanía tecnológica: Se refiere a la capacidad de comprender, controlar, validar e idealmente también (seguir) desarrollando las tecnologías clave subyacentes. Algunos aspectos de esto incluyen:
  • Uso de estándares abiertos y software de código abierto: Los estándares abiertos y el software de código abierto promueven la interoperabilidad entre diferentes proveedores y soluciones, aumentan la transparencia (ya que el código es auditable), reducen el riesgo de dependencia de un proveedor y facilitan las auditorías de seguridad. Suelen ser la base de las pilas tecnológicas europeas, como Sovereign Cloud Stack (SCS).
  • Interoperabilidad y portabilidad: la capacidad de migrar fácilmente datos y aplicaciones entre diferentes proveedores de nube o de regreso a la propia infraestructura (en las instalaciones) es una señal de independencia y flexibilidad.
  • Control sobre la pila tecnológica: a largo plazo, la soberanía tecnológica tiene como objetivo reducir la dependencia de componentes de hardware y software propietarios de fuentes no europeas y desarrollar experiencia europea.

Adecuado para:

• Plataformas de IA independientes como una alternativa estratégica para las empresas europeas

Demarcación y malentendidos

El término "nube soberana" no está legalmente protegido y es utilizado a menudo por diversos proveedores como herramienta de marketing, con conceptos y medidas subyacentes que varían considerablemente. Por lo tanto, es crucial que las empresas examinen cuidadosamente qué entiende un proveedor por soberanía y qué garantías específicas ofrece. Un error común es creer que almacenar datos en un centro de datos dentro de la UE es suficiente para garantizar la soberanía. Esto no es así. Como se explica en la Sección II, la Ley US CLOUD permite el acceso a datos pertenecientes a empresas estadounidenses, independientemente de dónde se almacenen. Por lo tanto, la residencia de datos en la UE no protege contra el acceso desde EE. UU. si el propio proveedor o su empresa matriz tienen su sede en EE. UU. o están sujetos a la jurisdicción estadounidense. Otro error común es creer que las ofertas de nube soberana conllevan inevitablemente limitaciones funcionales o un ritmo de innovación más lento en comparación con los hiperescaladores globales. Si bien esto puede ser cierto en algunos casos, ya que los proveedores locales a menudo carecen de las mismas economías de escala y presupuestos de investigación, el objetivo principal de las soluciones soberanas no es la restricción, sino combinar las ventajas de la computación en la nube (flexibilidad, escalabilidad) con los requisitos de control, seguridad y cumplimiento normativo. Muchos proveedores europeos confían en tecnologías abiertas para posibilitar la innovación y la adaptabilidad.

Criterios para los proveedores de SaaS soberanos desde una perspectiva de la UE

A partir de los elementos centrales de la soberanía, se pueden derivar criterios concretos mediante los cuales las empresas europeas pueden evaluar a los proveedores de SaaS:

• Protección de Datos y Cumplimiento: El proveedor debe demostrar que cumple con los requisitos del RGPD. Esto debe documentarse mediante un acuerdo de tratamiento de datos (APD) de conformidad con el artículo 28 del RGPD y las medidas técnicas y organizativas (MTD) pertinentes. También debe garantizarse el cumplimiento de otras normativas nacionales y de la UE pertinentes (por ejemplo, para sectores específicos).
• Ubicación y procesamiento de datos: Se debe garantizar contractualmente que todos los datos del cliente, incluidos los metadatos, los datos de configuración y las copias de seguridad, se almacenen y procesen exclusivamente dentro de la UE o el EEE.
• Operación y Control de Acceso: La operación de los servicios y el acceso a los datos de los clientes deben ser realizados por personal con sede en la UE y perteneciente a una entidad legal de la UE. Se deben implementar estrictas medidas técnicas y organizativas para evitar el acceso no autorizado, especialmente desde fuera de la UE.
• Estructura corporativa y jurisdicción: El proveedor debe tener su sede y control legal principal dentro de la UE/EEE. No debe haber afiliaciones corporativas ni sucursales en terceros países (especialmente en EE. UU.) que lo sometan a su jurisdicción y puedan obligarlo a divulgar datos (por ejemplo, a través de la Ley CLOUD o la FISA).
• Transparencia: El proveedor debe ser transparente en cuanto a sus procesos operativos, el uso de subcontratistas, las ubicaciones del procesamiento de datos y las medidas de seguridad implementadas. Se debe ofrecer la posibilidad de auditoría por parte del cliente o de terceros independientes.
• Tecnología e interoperabilidad: El uso preferido de estándares abiertos (por ejemplo, API) y/o software de código abierto facilita la integración, las pruebas y el posible cambio a otros proveedores (evitando la dependencia de un solo proveedor).
• Certificaciones y atestaciones: Las certificaciones y atestaciones reconocidas pueden servir como prueba del cumplimiento de las normas de seguridad y cumplimiento normativo, además de generar confianza. Son especialmente relevantes las normas ISO 27001, BSI C5 (en Alemania) y, en el futuro, EUCS.

Cada vez es más evidente que la soberanía digital en el contexto SaaS es un concepto multidimensional. No se trata solo de dónde se almacenan los datos, sino también de quién los procesa y cómo, a qué leyes está sujeto el proveedor y qué fundamentos tecnológicos utiliza. Por lo tanto, las empresas deben considerar qué dimensiones de soberanía son las más importantes para ellas al seleccionar un proveedor y en qué medida este cumple con estos requisitos específicos. La simple residencia de datos en la UE suele ser insuficiente para mitigar eficazmente los riesgos, en particular los que plantean las leyes estadounidenses. Al mismo tiempo, las empresas se enfrentan a menudo a un dilema: el deseo de máxima soberanía y control debe sopesarse con las posibles desventajas en términos de funcionalidad, velocidad de innovación o costes, que pueden surgir con algunos proveedores europeos o estrictamente soberanos en comparación con los hiperescaladores globales. Muchos proveedores europeos consideran el uso de software de código abierto como un enfoque estratégico para garantizar la transparencia, la confianza y la adaptabilidad, incluso si no están a la vanguardia de todos los nuevos desarrollos tecnológicos.

Benefíciese de la amplia y quíntuple experiencia de Xpert.Digital en un paquete integral de servicios | I+D, XR, RR. PP. y optimización de la visibilidad digital - Imagen: Xpert.Digital

Xpert.Digital tiene un conocimiento profundo de diversas industrias. Esto nos permite desarrollar estrategias a medida que se adaptan precisamente a los requisitos y desafíos de su segmento de mercado específico. Al analizar continuamente las tendencias del mercado y seguir los desarrollos de la industria, podemos actuar con previsión y ofrecer soluciones innovadoras. Mediante la combinación de experiencia y conocimiento generamos valor añadido y damos a nuestros clientes una ventaja competitiva decisiva.

Más sobre esto aquí:

• Utilice la experiencia quíntuple de Xpert.Digital en un solo paquete, desde sólo 500 € al mes

Panorama del mercado: alternativas SaaS soberanas de la UE

El mercado europeo de software como servicio (SaaS) ofrece un número creciente de proveedores que se posicionan como alternativas a los actores dominantes estadounidenses. Muchos de ellos priorizan la protección de datos, el cumplimiento del RGPD y la soberanía digital para satisfacer las necesidades específicas de las empresas y organizaciones europeas.

Criterios para la selección de proveedores

La siguiente descripción general se centra en los proveedores de SaaS que cumplen los siguientes criterios:

• Origen: La sede de la empresa se encuentra en un estado miembro de la Unión Europea (UE), del Espacio Económico Europeo (EEE) o Suiza (SU), ya que Suiza tiene una decisión de adecuación de la Comisión de la UE y a menudo está estrechamente integrada en el Espacio Económico Europeo.
• Posicionamiento: El proveedor se posiciona explícitamente como una alternativa soberana o que cumple con la protección de datos o exhibe características esenciales de soberanía digital (por ejemplo, alojamiento exclusivo en la UE/EEE, cumplimiento demostrable del RGPD, sin sujeción a las leyes estadounidenses como la Ley CLOUD/FISA, uso de código abierto).
• Relevancia: El proveedor fue mencionado en las fuentes de investigación subyacentes o es conocido como una alternativa relevante en su categoría.

Para mayor claridad, los proveedores están agrupados según categorías SaaS comunes.

Descripción general categorizada de los proveedores europeos de SaaS

La siguiente tabla ofrece una visión general de una selección de proveedores europeos de SaaS, organizados por área funcional. Sirve como punto de partida para una evaluación más detallada.

Descripción general de los proveedores europeos de SaaS por categoría

Resumen de proveedores europeos de SaaS por categoría – Imagen: Xpert.Digital

(Nota: Esta tabla es una selección y no es exhaustiva. La información se basa en fuentes disponibles y está sujeta a cambios. La verificación independiente por parte de la empresa es esencial)

El panorama de los proveedores europeos de SaaS presenta una amplia gama de soluciones, categorizadas por tipo. En el sector de la colaboración y la oficina, proveedores como Nextcloud Hub de Alemania ofrecen una plataforma de código abierto para archivos, comunicación, software colaborativo y aplicaciones ofimáticas. Esta plataforma puede ser alojada por un proveedor o por uno propio y prioriza la soberanía de los datos. Open-Xchange App Suite, también de Alemania, ofrece una solución integral para correo electrónico, software colaborativo, Drive y documentos, especialmente para proveedores y empresas, y cumple con la norma ISO 27001. ONLYOFFICE de Letonia ofrece una suite ofimática con funciones de colaboración y un espacio de trabajo (que incluye CRM y correo electrónico). Es compatible tanto con la nube como con instalaciones locales y cumple con el RGPD. Collabora Online, basado en LibreOffice, se integra frecuentemente con plataformas como Nextcloud. TeamDrive, también de Alemania, se centra en el almacenamiento en la nube de alta seguridad con cifrado de extremo a extremo y un principio de conocimiento cero. Conceptboard, también de Alemania, ofrece una pizarra en línea para la colaboración visual utilizando servidores de la UE y sin la participación de EE. UU. CryptPad, de Francia, combina código abierto y colaboración cifrada de extremo a extremo. Stackfield, de Alemania, ofrece una plataforma que cumple con el RGPD para chat, tareas y vídeo.

En el sector de CRM y Ventas, Zeeg, de Alemania, destaca por su sistema de programación de citas que cumple con el RGPD, mientras que CentralStationCRM ofrece una solución CRM sencilla para pymes. SAP CRM, como parte de la suite SAP, está dirigido a grandes empresas. Para soluciones de almacenamiento en la nube, proveedores como pCloud, de Suiza, ofrecen cifrado de extremo a extremo opcional y planes de por vida. Tresorit combina alta seguridad, acceso de conocimiento cero y cumplimiento normativo en Europa. Proton Drive, también de Suiza, ofrece alojamiento de archivos cifrados. Proveedores alemanes como IONOS HiDrive y opciones internacionales como Infomaniak kDrive completan la gama de servicios.

Para videoconferencias, cabe destacar OpenTalk (Alemania), con especial énfasis en la seguridad y el cumplimiento del RGPD, y la solución de código abierto Jitsi Meet. eyeson (Austria) ofrece videoconferencias en la nube, mientras que Univid (Suecia) se centra en seminarios web. En analítica web, Matomo ofrece una opción de código abierto con control total de datos, Plausible Analytics prioriza la facilidad de uso y la privacidad de los datos, etracker (Alemania) evita el uso de cookies y Piwik PRO está dirigido a empresas.

La automatización del marketing está a cargo de proveedores como Brevo (anteriormente Sendinblue), con servidores en Alemania/UE, y Evalanche, especializada en B2B y con certificación ISO. Personio es líder en software de RR. HH. y ofrece una plataforma integral para pymes, complementada con soluciones como HRworks y Rexx Systems, que ofrecen modelos tanto en la nube como locales. OpenProject es una solución alemana de gestión de proyectos de código abierto, mientras que Zenkit destaca por sus espacios de trabajo flexibles. Proveedores de correo electrónico seguro como Tutanota y Proton Mail priorizan la protección de datos y el cifrado de extremo a extremo. Bare.ID, con sede en Alemania, ofrece inicio de sesión único con seguridad conforme al RGPD. En cuanto a herramientas de encuesta, LamaPoll y LimeSurvey destacan por su personalización y los estándares de servidor alemanes. QuestionPro, en su versión para la UE, completa la lista con amplias funciones y cumplimiento del RGPD.

Este resumen destaca la notable diversidad y especialización del mercado europeo de SaaS. En particular, en áreas donde la protección y la seguridad de datos han desempeñado tradicionalmente un papel fundamental, como la colaboración, la comunicación segura, el almacenamiento en la nube y la analítica web, existe una amplia gama de alternativas. Muchos de estos proveedores son pequeñas y medianas empresas (pymes) o empresas especializadas de diversos países europeos. Suelen priorizar el cumplimiento del RGPD y las necesidades específicas del mercado europeo, lo que se refleja en características como el alojamiento en la UE, la asistencia en alemán o las certificaciones de cumplimiento específicas.

La importancia estratégica del software de código abierto para muchos proveedores europeos también es notable. Especialmente en las áreas de colaboración (Nextcloud, CryptPad), aplicaciones ofimáticas (ONLYOFFICE, Collabora), gestión de proyectos (OpenProject), analítica web (Matomo) y videoconferencia (Jitsi, OpenTalk), las tecnologías de código abierto suelen ser la base. Esto va más allá de un simple detalle técnico; es una decisión consciente que promueve la transparencia (mediante código accesible), la adaptabilidad, la auditabilidad y la evitación de la dependencia de un proveedor. Estos aspectos son pilares fundamentales para la soberanía digital y permiten a los proveedores europeos ofrecer soluciones fiables y flexibles sin tener que acceder necesariamente a los enormes presupuestos de desarrollo de los hiperescaladores globales. Esto proporciona a los clientes un mayor control y conocimiento de la tecnología que utilizan.

Comparación de alternativas seleccionadas de la UE

Tras la visión general del mercado, se presenta una comparación más detallada de alternativas SaaS europeas representativas seleccionadas en categorías clave. El enfoque se centra en las funciones principales, los modelos de precios, las ventajas competitivas y, en particular, la implementación de la soberanía de datos y el cumplimiento del RGPD.

Metodología de comparación

La selección de proveedores para la comparación detallada se basa en su relevancia y frecuencia de mención en las fuentes subyacentes, así como en su posicionamiento como alternativas europeas directas a servicios estadounidenses reconocidos. La comparación se basa en información de los fragmentos específicos del proveedor y otros datos relevantes de los fragmentos generales. Los criterios incluyen:

• Funciones principales: ¿Qué hace el software en esencia?
• Modelo de precios: ¿Cuál es la estructura de precios (suscripción, freemium, de por vida, local)?
• Ubicación/alojamiento de datos: ¿Dónde se alojan los datos (garantía UE/DE)? ¿Existen opciones de autoalojamiento?
• Cifrado: ¿Qué métodos de cifrado se utilizan (especialmente de extremo a extremo, de conocimiento cero)?
• Certificaciones/Cumplimiento: ¿Qué certificados relevantes (ISO 27001, BSI C5, etc.) y compromisos de cumplimiento (GDPR) existen?
• Fortalezas/debilidades en materia de soberanía: Particularidades o limitaciones en materia de control de datos, transparencia e independencia.

Comparación detallada por categoría

Comparación detallada de importantes alternativas SaaS en la UE

Comparación detallada de importantes alternativas SaaS en la UE – Imagen: Xpert.Digital

Una comparación detallada de las principales alternativas SaaS en la UE revela que Nextcloud Hub, como plataforma modular, ofrece funciones como sincronización y compartición de archivos, videoconferencias, software colaborativo e integración ofimática, mientras que Open-Xchange App Suite, como suite integrada, se centra en el correo electrónico, el calendario, los contactos y el almacenamiento. Nextcloud Hub permite un control total mediante el autoalojamiento y ofrece cifrado de extremo a extremo opcional, pero presenta mayores requisitos de TI para el autoalojamiento. Open-Xchange destaca por su certificación ISO y protección de datos conforme a la normativa de la UE, pero su nube depende del proveedor. En el sector CRM, Zeeg destaca por su claro cumplimiento del RGPD y su alojamiento en Alemania, mientras que CentralStationCRM impresiona por su simplicidad y su enfoque en las pymes. Ambos proveedores ofrecen modelos freemium y garantizan ubicaciones de datos que cumplen con el RGPD. En el sector del almacenamiento en la nube, pCloud ofrece ventajas en cuanto a flexibilidad, con planes de por vida y opciones de almacenamiento en la UE; sin embargo, el cifrado de extremo a extremo es opcional y tiene un coste. Tresorit, por otro lado, destaca por su cifrado de conocimiento cero consistente y un alto nivel de cumplimiento, pero es más caro. ONLYOFFICE y Collabora Online ofrecen alternativas integrales de oficina con un fuerte enfoque en la UE y opciones de código abierto. ONLYOFFICE destaca por su compatibilidad con Microsoft y sus funciones de colaboración. Collabora Online está estrechamente integrada con plataformas como Nextcloud y, por lo tanto, se centra menos en funciones independientes. En el ámbito de las videoconferencias, OpenTalk destaca con funciones como seminarios web, encuestas y un claro enfoque en el RGPD, mientras que Jitsi Meet, como solución gratuita de código abierto, ofrece el máximo autocontrol y simplicidad. Ambas soluciones ofrecen opciones locales y sólidas funciones de protección de datos, y OpenTalk cuenta con el sello de seguridad informática de BSI.

Una comparación detallada subraya que rara vez existe una única alternativa europea "mejor". La elección depende en gran medida de los requisitos y prioridades específicos de la empresa. Surgen claras disyuntivas, por ejemplo, entre máxima seguridad y precio (pCloud vs. Tresorit) o ​​entre un control integral mediante autoalojamiento y la comodidad de una solución SaaS gestionada (Nextcloud vs. OX App Suite Cloud). Las empresas deben sopesar qué aspecto —gama de funciones, facilidad de uso, coste o grado de soberanía y seguridad— es más importante para ellas.

Una característica clave de muchos proveedores europeos es la flexibilidad de sus modelos operativos. Soluciones como Nextcloud, ONLYOFFICE, OpenTalk y Jitsi ofrecen opciones tanto en la nube (SaaS) como locales o alojadas en servidores propios. Esto permite a las empresas determinar su propio nivel de control y soberanía. Pueden optar por la comodidad de una solución SaaS de un proveedor europeo de confianza o por el máximo control sobre los datos y la infraestructura operándola en su propio centro de datos. Esta opción aborda directamente la necesidad fundamental de control que impulsa el debate sobre la soberanía.

Integración de una plataforma de IA de origen independiente y de datos intermedios para todos los asuntos de la compañía-Image: xpert.digital

Ki-Gamechanger: las soluciones fabricadas en colas de plataforma de IA más flexibles que reducen los costos, mejoran sus decisiones y aumentan la eficiencia

Plataforma de IA independiente: integra todas las fuentes de datos de la compañía relevantes

• Esta plataforma de IA interactúa con todas las fuentes de datos específicas
  • De SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox y muchos otros sistemas de gestión de datos
• Integración rápida de IA: soluciones de IA hechas a medida para empresas en horas o días en lugar de meses
• Infraestructura flexible: basada en la nube o alojamiento en su propio centro de datos (Alemania, Europa, libre elección de ubicación)

• Seguridad de datos más alta: el uso en la firma de abogados es la evidencia segura
• Usar en una amplia variedad de fuentes de datos de la empresa
• Elección de sus propios modelos de IA (DE, UE, EE. UU., CN)

Desafíos que resuelve nuestra plataforma de IA

• Falta de precisión de las soluciones de IA convencionales
• Protección de datos y gestión segura de datos confidenciales
• Altos costos y complejidad del desarrollo individual de IA
• Falta de IA calificada
• Integración de la IA en los sistemas de TI existentes

Más sobre esto aquí:

• La integración de la IA de una plataforma de IA de origen independiente y de datos cruzados para todos los asuntos de la compañía

Soluciones especializadas: SaaS soberano para sectores sensibles

Si bien las soluciones SaaS analizadas hasta ahora suelen ser aplicables en diversas industrias, existen sectores con exigencias especialmente altas en materia de seguridad, cumplimiento normativo y soberanía digital. Entre ellos se incluyen, en particular, la administración pública, la sanidad y el sector financiero. Se están desarrollando ofertas especializadas y marcos regulatorios en estas áreas, que promueven o incluso exigen el uso de soluciones de nube soberana.

Administración pública

El sector público en Alemania y Europa tiene un interés inherente en la soberanía digital para garantizar el control sobre los datos de los ciudadanos y los procesos gubernamentales críticos. Los requisitos suelen ir más allá del cumplimiento estándar del RGPD e incluyen estándares de seguridad específicos como la Protección Base de TI de BSI o el catálogo de criterios C5 de BSI. La interoperabilidad entre diferentes autoridades y niveles de gobierno, así como la preferencia por el software de código abierto para evitar dependencias, también son aspectos importantes.

Varias iniciativas tienen como objetivo crear una infraestructura de nube soberana para la administración:

• Estrategia Administrativa Alemana de Nube (DVS): Esta estrategia, impulsada por el Consejo de Planificación de TI y FITKO, busca establecer un ecosistema de nube federal, seguro, interoperable y soberano para el gobierno federal, los estados y los municipios. Se basa en estándares abiertos, un enfoque multicloud y la integración de proveedores públicos de servicios de TI (como Dataport, AKDB e IT.NRW), que desempeñan un papel fundamental y gozan de un alto nivel de confianza. En el futuro, también se podrán integrar proveedores externos que cumplan con la DVC. Un elemento clave es el Portal de Servicios en la Nube (CSP), como plataforma para servicios en la nube estandarizados y certificados.
• Plataforma Federal de Operaciones de TI / Nube Federal: ITZBund ya opera plataformas en la nube (SaaS, PaaS) para autoridades federales, que se consolidarán en 2025 y cumplen altos requisitos de seguridad y protección de datos.
• Centro para la Soberanía Digital (ZenDiS): Esta institución promueve específicamente el uso de software de código abierto en la administración pública y apoya proyectos como OpenDesk, una alternativa de código abierto a Microsoft 365, desarrollada específicamente para el sector público.
• Gaia-X y Sovereign Cloud Stack (SCS): Estas iniciativas europeas proporcionan importantes bases técnicas y estándares para la construcción de infraestructuras de nube soberana, que DVS también pretende utilizar. SCS, una pila de código abierto basada en OpenStack y Kubernetes, ya la utilizan varios proveedores alemanes (por ejemplo, plusserver).

Las ofertas de SaaS concretas y soberanas para la administración pública provienen tanto de proveedores de servicios de TI públicos (p. ej., Conceptboard de IT.NRW, dDataBox de Dataport) como de proveedores comerciales especializados, que suelen contar con certificaciones BSI C5 y están disponibles a través de plataformas como govdigital (p. ej., plusserver, STACKIT, IONOS, OVHcloud). Las soluciones de código abierto como Nextcloud u OpenDesk también desempeñan un papel importante.

Adecuado para:

• ¿Dependiente de la nube estadounidense? La batalla de Alemania por la nube: Cómo planean competir con AWS (Amazon) y Azure (Microsoft)

Cuidado de la salud

El sector sanitario trata datos personales extremadamente sensibles (datos de salud, según se definen en el artículo 9 del RGPD), que están sujetos a una protección especial. Además del RGPD y la confidencialidad médica, se aplican leyes nacionales específicas, como la Ley de Protección de Datos del Paciente (PDSG) y, más recientemente, la Ley de Salud Digital (DigiG). La seguridad, la disponibilidad y la confidencialidad son fundamentales en este contexto.

Un factor clave para el uso de soluciones de nube soberana en el sistema sanitario alemán es la Ley Digital (DigiG), que entró en vigor en marzo de 2024. Si bien el nuevo artículo 393 del Código Social alemán, Libro V (SGB V), permite explícitamente el procesamiento de datos sociales y sanitarios mediante computación en la nube, impone condiciones muy estrictas:

• Tratamiento de datos únicamente en la UE/EEE/Suiza o en un país con decisión de adecuación: El tratamiento de datos únicamente podrá tener lugar a nivel nacional, en un Estado de la UE/EEE, Suiza o un tercer país con una decisión de adecuación de la Comisión Europea.
• La certificación BSI C5 es obligatoria: A partir del 1 de julio de 2024, los proveedores de servicios en la nube que procesan datos sociales o de salud en nombre de proveedores de atención médica (médicos, hospitales, cajas de seguro médico, etc.) deben presentar una certificación BSI C5 válida. Hasta el 30 de junio de 2025, basta con una certificación de Tipo 1 (adecuación de los controles); a partir del 1 de julio de 2025, es obligatoria una certificación de Tipo 2 (prueba de eficacia a lo largo del tiempo).
• Esto también se aplica a los proveedores de SaaS: esta obligación no solo se aplica a los proveedores de infraestructura (IaaS) o plataforma (PaaS), sino también explícitamente a los proveedores de software como servicio (SaaS) cuyas aplicaciones se utilizan en la nube (por ejemplo, sistemas de información hospitalaria (HIS), sistemas de gestión de prácticas (PMS), sistemas de reserva de citas, DiGAs).
• Implementación de controles de cliente: La institución usuaria (clínica, consultorio, etc.) debe a su vez implementar los controles de usuario final mencionados en el informe de auditoría del proveedor de la nube.

Este reglamento endurece significativamente los requisitos para los servicios en la nube en el sector sanitario, convirtiendo la certificación BSI C5 en un requisito indispensable para los proveedores de este mercado. Proveedores de servicios en la nube como Open Telekom Cloud, AWS (región de Fráncfort), Azure, GCP y proveedores alemanes como plusserver, STACKIT e IONOS ya cuentan con certificaciones C5 para sus infraestructuras. Ahora, las soluciones SaaS para el sector sanitario basadas en estas infraestructuras (HIS, sistemas de gestión de consultas, componentes de historiales clínicos electrónicos, etc.) también deben proporcionar esta certificación. Entre las empresas activas en el entorno de la nube sanitaria o que buscan certificaciones relevantes se incluyen Gini, Doctolib y Kite Consult. Según Gematik, el historial clínico electrónico se aloja en servidores en Alemania y la UE, de conformidad con el RGPD.

Finanzas

El sector financiero (bancos, aseguradoras, proveedores de servicios financieros) también está altamente regulado y procesa datos extremadamente sensibles. Se aplican estrictos requisitos regulatorios, impuestos por la Autoridad Federal de Supervisión Financiera de Alemania (BaFin) (p. ej., BAIT, KAIT, VAIT, ZAIT), así como regulaciones europeas cada vez más armonizadas. Los altos estándares de seguridad informática, gestión de riesgos, resiliencia y auditabilidad son una práctica habitual.

Los impulsores regulatorios clave para la implementación de soluciones de nube seguras y soberanas incluyen:

• Directiva NIS2: Los bancos y las infraestructuras del mercado financiero generalmente se clasifican como entidades «esenciales» o «importantes» según la NIS2. Por lo tanto, deben cumplir requisitos más estrictos en materia de gestión de riesgos, seguridad de la cadena de suministro (incluidos los proveedores de servicios en la nube), notificación de incidentes y rendición de cuentas de la dirección.
• DORA (Ley de Resiliencia Operativa Digital): Este reglamento de la UE tiene como objetivo específico fortalecer la resiliencia operativa digital en el sector financiero. Establece requisitos detallados para la gestión de riesgos de las TIC, la notificación de incidentes graves relacionados con las TIC, las pruebas de resiliencia digital y, en particular, la gestión de riesgos por parte de proveedores externos de servicios de TIC, incluidos los proveedores de servicios en la nube. DORA exige, entre otras cosas, acuerdos contractuales claros con los proveedores de servicios en la nube y derechos de auditoría.

Los proveedores de nube que buscan prestar servicios a instituciones financieras deben demostrar su capacidad para cumplir con estos requisitos regulatorios. Esto suele lograrse mediante certificaciones como BSI C5 o ISO 27001, garantías contractuales específicas y la divulgación transparente de su arquitectura y procesos de seguridad. Proveedores como plusserver, T-Systems, Microsoft con su Límite de Datos de la UE y AWS con su Nube Soberana Europea se están posicionando específicamente para este mercado regulado.

Además, existen proveedores de SaaS especializados que ofrecen soluciones de cumplimiento para el sector financiero, como prevención del blanqueo de capitales (AML), conocimiento del cliente (KYC), revisión de listas de sanciones, detección de fraude y supervisión del abuso de mercado. Entre los proveedores con presencia europea se incluyen ACTICO (Alemania), Pelican AI (¿Reino Unido?), Sopra Financial Technology (Alemania/Francia), Otris (Alemania) y ViClarity (¿Irlanda/EE. UU.?).

En estos sectores altamente sensibles, cada vez es más evidente que la decisión de utilizar soluciones de nube soberana ya no se limita a la minimización de riesgos, sino que se ve cada vez más impulsada por requisitos legales y estrictas obligaciones de cumplimiento. La necesidad de demostrar certificaciones como BSI C5 transforma la base de la toma de decisiones, que ya no es una evaluación voluntaria de riesgos, sino un requisito obligatorio para participar en el mercado.

Esto plantea nuevos desafíos a los proveedores de SaaS. Si bien antes el proveedor de infraestructura (IaaS/PaaS) solía contar con las certificaciones pertinentes, normativas como el artículo 393 del Código Social Alemán, Libro V (SGB V) ahora exigen explícitamente que los proveedores de SaaS también proporcionen la documentación correspondiente, como la certificación BSI C5. Los costes y el esfuerzo necesarios para obtener y mantener dichas certificaciones son considerables y podrían suponer un obstáculo importante, especialmente para las empresas de SaaS más pequeñas e innovadoras, lo que podría conducir a la consolidación del mercado en estos sectores regulados.

Adecuado para:

• ¿Está la política estadounidense impulsando a las empresas tecnológicas de la UE? Soberanía de datos vs. dominio estadounidense: El futuro de la computación en la nube en Europa

Promoción de la soberanía: iniciativas y certificaciones de la UE

Para fortalecer la soberanía digital de Europa y crear un marco fiable para la computación en la nube, se han puesto en marcha diversas iniciativas y estándares de certificación a nivel europeo y nacional. Estos buscan promover la interoperabilidad, armonizar los estándares de seguridad y aumentar la confianza en los servicios en la nube.

Gaia-X: Visión de una infraestructura de datos europea federada

Gaia-X es una de las iniciativas europeas más destacadas para fortalecer la soberanía digital. Lanzada en 2019 por Alemania y Francia, ahora cuenta con la participación de numerosos socios del ámbito empresarial, científico y político de numerosos países europeos.

• Objetivos: El objetivo principal de Gaia-X es crear una infraestructura de datos segura, federada e interoperable basada en valores europeos como la protección de datos (RGPD), la transparencia, la confianza y la autodeterminación. Su objetivo es aumentar la independencia digital de Europa respecto a proveedores no europeos, impulsar la innovación mediante el intercambio seguro de datos y fortalecer la competitividad de las empresas europeas.
• Arquitectura y enfoque: Es importante comprender que Gaia-X no es un proveedor de nube ni está construyendo su propia "supernube europea". En cambio, Gaia-X define un conjunto de reglas, estándares comunes y elementos arquitectónicos para un ecosistema descentralizado de espacios de datos interoperables en red y servicios de infraestructura en la nube. Se basa en principios como la apertura, la transparencia, la modularidad y el uso de estándares abiertos y software de código abierto. La Asociación Gaia-X para Datos y Nube (AISBL) está desarrollando especificaciones, reglas, políticas y un marco para verificar el cumplimiento normativo (Gaia-X Compliance), que se implementará a través de las Cámaras de Compensación Digital Gaia-X (GXDCH).
• Componentes y proyectos: Dentro del marco de Gaia-X, están surgiendo bloques de construcción y proyectos concretos. Sovereign Cloud Stack (SCS) es un ejemplo importante: una pila tecnológica estandarizada y de código abierto (basada en OpenStack, Kubernetes, etc.) para construir infraestructuras de nube soberana (IaaS/PaaS) compatibles con Gaia-X. Su objetivo es servir de base técnica para ofertas de nube soberana e interoperable, incluida la Nube Administrativa Alemana.
• Casos de uso: Para demostrar los beneficios de Gaia-X, se están desarrollando espacios de datos y aplicaciones concretos en diversos ámbitos. Se pueden encontrar ejemplos en la Industria 4.0 (p. ej., Catena-X para la industria automotriz), la movilidad, la energía, las finanzas, la administración pública y, especialmente, en la sanidad. Proyectos como TEAM-X, Health-X dataLOFT y GAIA-Med buscan facilitar el intercambio seguro y soberano de datos sanitarios para mejorar la atención y la investigación.
• Desafíos: A pesar de sus ambiciosos objetivos, Gaia-X también enfrenta desafíos y críticas. Estos incluyen la complejidad del proyecto, el lento avance en la implementación práctica, definiciones a veces poco claras y el temor de que la iniciativa pudiera verse dominada por hiperescaladores globales consolidados. También se ha criticado que se haya centrado demasiado en la capa de infraestructura (IaaS/PaaS) durante demasiado tiempo, descuidando la capa de aplicación (SaaS).

EUCS: Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube

El Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS) es un marco de certificación desarrollado por la Agencia Europea de Ciberseguridad (ENISA) bajo la Ley de Ciberseguridad de la UE (CSA).

• Finalidad: El objetivo principal es armonizar los requisitos y certificaciones de ciberseguridad para los servicios en la nube (IaaS, PaaS, SaaS) en toda la UE. Su objetivo es crear un estándar unificado para superar la fragmentación causada por los diferentes esquemas de certificación nacionales (como SecNumCloud en Francia o C5 en Alemania) y fortalecer el mercado único digital. Para los usuarios de la nube, el EUCS busca generar mayor transparencia y confianza al demostrar que los servicios certificados cumplen con estándares de seguridad específicos.
• Niveles de seguridad: El esquema define tres (o cuatro en borradores anteriores) niveles de seguridad («Básico», «Sustancial», «Alto» y posiblemente «Alto+») que reflejan diferentes niveles de riesgo y capacidades de ataque. A medida que aumentan los niveles, también aumentan los requisitos para las medidas de seguridad implementadas (p. ej., red, almacenamiento, seguridad de cifrado, pruebas de penetración) y el rigor de la evaluación por parte de organismos de evaluación de la conformidad (OEC) acreditados.
• Voluntaria vs. obligatoria: La certificación EUCS es generalmente voluntaria. Sin embargo, la Ley de Ciberseguridad y la Directiva NIS2 permiten a los Estados miembros de la UE exigir el uso de servicios TIC certificados para ciertos sectores, en particular para infraestructuras críticas (KRITIS). Por lo tanto, es probable que la certificación EUCS se convierta en un requisito obligatorio de facto o en un criterio clave en las licitaciones, al menos en los sectores regulados.
• Debate sobre la soberanía: Un punto central y controvertido en el desarrollo del EUCS fue la cuestión de los requisitos específicos de soberanía, en particular para el nivel de seguridad más alto («Alto» o «Alto+»). Los borradores anteriores estipulaban que la localización de datos dentro de la UE era obligatoria para este nivel, y que el proveedor debía tener su sede y centro global en un estado miembro de la UE para garantizar la protección contra leyes no europeas (como la Ley CLOUD). Sin embargo, estos requisitos aparentemente se eliminaron o se suavizaron en borradores posteriores (a partir de 2024). Esto generó fuertes críticas por parte de los proveedores europeos de servicios en la nube (especialmente pymes), las asociaciones del sector y los defensores de la protección de datos, quienes temen que debilite la soberanía digital de Europa, consolide la dependencia de hiperescaladores no europeos y exponga los datos de los ciudadanos y empresas europeos a un mayor riesgo. El debate sobre el diseño final de estos requisitos continúa.

BSI C5: estándar alemán para la seguridad en la nube

El Catálogo de criterios de cumplimiento de la computación en la nube (C5) de la Oficina Federal Alemana para la Seguridad de la Información (BSI) es un catálogo establecido de criterios que define requisitos mínimos específicos para la seguridad de la información de los servicios en la nube.

• Propósito y contenido: C5 está diseñado para guiar a los clientes de la nube en la selección de proveedores seguros y sentar las bases para su gestión de riesgos. Se basa en estándares internacionalmente reconocidos, como ISO/IEC 27001, pero los complementa con requisitos específicos de la nube y prioriza la transparencia mediante los denominados parámetros ambientales. Estos parámetros proporcionan información sobre aspectos como la ubicación de los datos, la jurisdicción, las certificaciones y las obligaciones de divulgación a las agencias gubernamentales, lo que debería ayudar a los clientes a evaluar mejor los riesgos (por ejemplo, los derivados del espionaje industrial o las filtraciones de datos). El catálogo abarca 17 áreas temáticas, entre las que se incluyen la organización de la seguridad de la información, la seguridad del personal, la gestión de activos, la criptografía, la gestión de identidades y accesos, la gestión de incidentes y la seguridad física.
• Certificado de Auditoría (Tipo 1 y Tipo 2): El cumplimiento de los criterios C5 se demuestra mediante un certificado de auditoría emitido por un auditor independiente y cualificado. Existen dos tipos de certificados de auditoría: el Tipo 1 certifica la idoneidad del diseño y la implementación de los controles de seguridad a una fecha específica. El Tipo 2 confirma, además, la eficacia operativa de estos controles durante un período de auditoría definido (normalmente de 6 a 12 meses). El certificado de auditoría Tipo 2 se considera más completo y será necesario para las auditorías de seguimiento y en el sector sanitario a partir de julio de 2025.
• Relevancia: C5 se ha convertido en un estándar de facto para la computación en la nube segura en Alemania, especialmente para la administración pública y sectores altamente regulados como la sanidad y las finanzas. Como se mencionó anteriormente, la certificación C5 será obligatoria para los servicios en la nube en el sector sanitario a través de la Ley de Infraestructura Digital (DigiG) a partir de julio de 2024/2025. Muchos proveedores de servicios en la nube alemanes, europeos e internacionales (para sus regiones de la UE) cuentan con certificaciones C5 para sus servicios.

Otras normas relevantes

Además de las iniciativas y certificaciones mencionadas, los estándares internacionales establecidos también juegan un papel importante:

• ISO/IEC 27001: El estándar mundialmente reconocido para Sistemas de Gestión de Seguridad de la Información (SGSI). Define un enfoque sistemático para gestionar información empresarial sensible, garantizando así su confidencialidad, integridad y disponibilidad. La certificación ISO 27001 suele ser un requisito previo para los proveedores de servicios en la nube y sirve de base para estándares más específicos como C5.
• ISO/IEC 27017: Esta norma proporciona un código de prácticas con medidas de control específicas para la seguridad de la información en entornos de nube, complementando la norma ISO/IEC 27002.
• ISO/IEC 27018: Se centra en la protección de la información de identificación personal (PII) en nubes públicas que actúan como procesadores de datos. Contiene directrices estrechamente alineadas con los principios europeos de protección de datos y puede servir como complemento a la norma C5, que no aborda principalmente la protección de datos.

Estas diversas iniciativas y normas no deben considerarse necesariamente competidoras, sino complementarias. Gaia-X proporciona la visión y las normas para un ecosistema soberano, EUCS busca armonizar la certificación en toda la UE, y normas nacionales como BSI C5 ya ofrecen requisitos concretos y establecidos, así como mecanismos de prueba. El reto consistirá en integrar eficazmente estos enfoques y crear un marco coherente que satisfaga las aspiraciones de soberanía de Europa, a la vez que sea práctico para proveedores y usuarios. Sin embargo, el debate actual en torno a los requisitos de soberanía en EUCS demuestra que aún se requiere mayor trabajo político y técnico.

Es importante que las empresas comprendan que certificaciones como BSI C5 o ISO 27001 son valiosos pilares de confianza, que generan transparencia y facilitan la demostración de las medidas de seguridad. Sin embargo, no son la panacea ni sustituyen la evaluación de riesgos ni la diligencia debida del cliente. Por ejemplo, una certificación C5 para un proveedor estadounidense no modifica su sujeción a la Ley CLOUD. La responsabilidad compartida por la seguridad del uso de la nube recae en el proveedor y el cliente, y las empresas deben verificar siempre si las medidas del proveedor son suficientes para sus requisitos y riesgos específicos.

Adecuado para:

• Sistemas de gestión de datos en transición: estrategias para el éxito empresarial en la era de la IA

Ventajas estratégicas de cambiar a proveedores SaaS de la UE

El análisis de los riesgos asociados al uso de servicios en la nube con sede en EE. UU. y el examen del creciente mercado de alternativas SaaS soberanas europeas permiten llegar a una conclusión clara: para las empresas europeas, abordar su estrategia en la nube desde la perspectiva de la soberanía digital no solo es aconsejable, sino cada vez más una necesidad estratégica.

Resumen de resultados

Las principales conclusiones de este informe pueden resumirse de la siguiente manera:

• Riesgos persistentes con proveedores estadounidenses: El uso de servicios SaaS de empresas sujetas a la jurisdicción estadounidense plantea riesgos significativos y constantes para las empresas europeas. El conflicto fundamental entre el RGPD de la UE y las leyes estadounidenses, como la Ley CLOUD y la FISA 702, conlleva posibles filtraciones de datos, multas elevadas, pérdida de control de los datos y riesgo de espionaje industrial. Ni siquiera el actual Marco de Privacidad de Datos (MPD) UE-EE. UU. resuelve este conflicto fundamental, y su estabilidad a largo plazo es incierta (véase la Sección II).
• Soberanía como concepto multidimensional: En el contexto europeo, el «SaaS soberano» implica mucho más que simplemente almacenar datos en centros de datos de la UE. Incluye el cumplimiento de la legislación europea (en particular, el RGPD), la protección contra el acceso no europeo, la operación por parte de entidades y personal de la UE e, idealmente, la apertura tecnológica y la interoperabilidad para evitar dependencias (véase la Sección III).
• Mercado en crecimiento para alternativas en la UE: Existe un mercado diverso y en crecimiento de proveedores de SaaS con sede y operaciones en la UE, el EEE y Suiza. Estos proveedores ofrecen soluciones en numerosas categorías, a menudo con un fuerte enfoque en la protección de datos, la seguridad y las necesidades locales. Muchos recurren estratégicamente al código abierto para maximizar la transparencia y el control (véanse las Secciones IV y V).
• Presión regulatoria en sectores sensibles: En áreas como la administración pública, la atención sanitaria y el sector financiero, el uso de soluciones en la nube demostrablemente seguras y soberanas (a menudo con certificación BSI C5 o evidencia comparable) se está volviendo cada vez más obligatorio a través de la legislación (por ejemplo, DigiG, DORA, NIS2) y requisitos estratégicos (por ejemplo, DVS) (ver Sección VI).
• Condiciones marco a través de iniciativas y estándares: iniciativas europeas como Gaia-X y certificaciones como la EUCS prevista, así como estándares nacionales establecidos como BSI C5, crean condiciones marco importantes, promueven la interoperabilidad y tienen como objetivo fortalecer la confianza en las ofertas de nube soberana (véase la sección VII).

Ventajas estratégicas de las alternativas SaaS de la UE

Cambiar o elegir principalmente proveedores de SaaS europeos que cumplan criterios de soberanía ofrece a las empresas ventajas estratégicas más allá de la mera minimización de riesgos:

• Mayor cumplimiento y seguridad jurídica: El uso de proveedores sujetos exclusivamente a la legislación de la UE y que garantizan el tratamiento de datos dentro de la UE reduce significativamente el riesgo de infracciones del RGPD y de conflictos con leyes no europeas. Esto crea una base jurídica más estable y predecible para el tratamiento de datos.
• Mayor control y seguridad de los datos: Los proveedores europeos centrados en la soberanía suelen ofrecer un mayor nivel de control sobre sus propios datos. Esto se puede lograr mediante opciones de autoalojamiento, cifrado de extremo a extremo consistente (conocimiento cero), procesos operativos transparentes y la exclusión del acceso por parte de autoridades de terceros países.
• Soberanía digital reforzada: La elección de proveedores europeos reduce la dependencia estratégica de empresas tecnológicas no europeas. Apoya el desarrollo de un ecosistema digital resiliente en Europa y fortalece la economía digital local.
• Apoyo local y proximidad cultural: Los proveedores europeos suelen ofrecer un servicio al cliente más accesible y comprensible en el idioma y la zona horaria locales. Suelen tener un conocimiento más profundo de los requisitos y costumbres específicos del mercado europeo, lo que facilita la cooperación y la negociación de contratos.
• Generar confianza: El uso de soluciones soberanas y que demuestran que cumplen con las normas de protección de datos demuestra un fuerte compromiso con la protección y seguridad de datos ante clientes, socios y empleados. Esto puede convertirse en una ventaja significativa en términos de confianza y competitividad.

Recomendaciones para empresas europeas

Para aprovechar los beneficios de las soluciones SaaS soberanas y gestionar los riesgos de la adopción de la nube, las empresas europeas deberían considerar los siguientes pasos:

• Realice un análisis de riesgos individual: Evalúe críticamente los servicios SaaS que utiliza actualmente (especialmente los ubicados en EE. UU.). Analice el tipo de datos procesados ​​(confidencialidad, datos personales), los requisitos regulatorios aplicables (RGPD, regulaciones específicas del sector) y el posible impacto en su negocio del acceso no autorizado a los datos o las interrupciones del servicio.
• Defina los requisitos de soberanía: Determine el nivel de soberanía de datos, control operativo e independencia tecnológica necesario y deseable para su organización. No todas las aplicaciones requieren el mismo nivel de soberanía. Priorice según el riesgo y la importancia estratégica.
• Evalúe sistemáticamente el mercado de alternativas en la UE: Utilice descripciones generales del mercado (como la de este informe) y su propia investigación para identificar posibles proveedores europeos de SaaS que satisfagan sus requisitos funcionales y de soberanía. Considere el tamaño del proveedor, su especialización, sus referencias y su viabilidad futura.
• Es fundamental realizar una diligencia debida exhaustiva al seleccionar un proveedor: No se base en afirmaciones de marketing. Examine críticamente la información del proveedor sobre la ubicación de los datos (incluidas las copias de seguridad y los metadatos), el personal operativo, la estructura de la empresa (propiedad, domicilio social), los subcontratistas empleados, las tecnologías de cifrado (especialmente el cifrado de extremo a extremo/de conocimiento cero) y las medidas de seguridad. Solicite acuerdos de procesamiento de datos (APD), medidas técnicas y organizativas (MTO) y los certificados o certificaciones pertinentes (p. ej., ISO 27001, BSI C5) y revíselos detenidamente.
• Desarrolle una estrategia de migración y un plan de salida: Planifique cuidadosamente cualquier posible migración. Considere los costos, el esfuerzo técnico requerido para la migración de datos, los ajustes necesarios en la interfaz y la gestión de cambios para sus empleados. Garantice la interoperabilidad y defina una estrategia de salida clara para facilitar un futuro cambio de proveedor o la reversibilidad de los datos.
• Considere el código abierto como una opción: evalúe si las soluciones SaaS basadas en código abierto, ya sea como un servicio administrado por un proveedor de la UE o autoalojado, representan una alternativa adecuada para lograr la máxima transparencia, adaptabilidad y control.
• Monitoree el panorama regulatorio: manténgase informado sobre los desarrollos en el tráfico de datos transatlántico (verificación DPF), estándares de certificación europeos (EUCS) y leyes relevantes (NIS2, DORA, regulaciones específicas de la industria), ya que estos pueden influir significativamente en su estrategia de nube.

La decisión a favor o en contra del uso de servicios en la nube específicos, en particular respecto a proveedores estadounidenses frente a alternativas europeas, va mucho más allá de una cuestión técnica o puramente de cumplimiento normativo. Se trata de una decisión estratégica con implicaciones a largo plazo para la seguridad jurídica, la seguridad de los datos, el control de los procesos empresariales críticos y, en última instancia, la resiliencia y la competitividad de la empresa en el entorno digital global. Los riesgos analizados de la dependencia de proveedores no europeos son considerables y se ven exacerbados, en lugar de mitigados, por la actual situación geopolítica y jurídica.

Al mismo tiempo, cambiar a alternativas europeas no es algo inevitable. Las empresas deben sopesar cuidadosamente si las ventajas en términos de cumplimiento y control superan las posibles desventajas en cuanto a funcionalidad, velocidad de innovación o esfuerzo de migración. Un análisis exhaustivo de sus propias necesidades, una evaluación realista de las alternativas disponibles y una planificación cuidadosa de la transición son cruciales para el éxito. Sin embargo, el mercado europeo ofrece cada vez más opciones viables y fiables que permiten a las empresas aprovechar las ventajas de la nube sin comprometer su soberanía digital.

☑️ Apoyo a las PYMES en estrategia, consultoría, planificación e implementación.

☑️ Creación o realineación de la estrategia de IA

☑️ Desarrollo empresarial pionero

Konrad Wolfenstein

Estaré encantado de servirle como su asesor personal.

Puedes contactarme completando el formulario de contacto a continuación o simplemente llámame al +49 89 89 674 804 (Múnich) .

Estoy deseando que llegue nuestro proyecto conjunto.

Xpert.Digital es un centro industrial centrado en la digitalización, la ingeniería mecánica, la logística/intralogística y la fotovoltaica.

Con nuestra solución de desarrollo empresarial de 360°, apoyamos a empresas reconocidas desde nuevos negocios hasta posventa.

Inteligencia de mercado, smarketing, automatización de marketing, desarrollo de contenidos, relaciones públicas, campañas de correo, redes sociales personalizadas y desarrollo de leads son parte de nuestras herramientas digitales.

Puede obtener más información en: www.xpert.digital - www.xpert.solar - www.xpert.plus