En 2025 más del 50 % de las empresas europeas contrataron servicios de nube, frente al 45 % registrado en 2023, según datos de Eurostat. Cifra que prácticamente se ha triplicado en la última década en el conjunto de la Unión Europea, impulsada por la necesidad de agilidad y escalabilidad digital. Sin embargo, en España la adopción continúa por debajo de la media comunitaria. Varios informes sectoriales señalan entre el 30 y el 32 % el porcentaje de empresas españolas que utilizan servicios en la nube, lejos del objetivo europeo del 75 % en 2030. Más allá del ritmo de adopción, el foco del debate ha cambiado de dónde se almacenan los datos a quién controla el acceso a ellos y bajo qué marco jurídico opera ese control, algo que ha cobrado especial relevancia en el contexto del Reglamento General de Protección de Datos (RGPD) y de normativas extraterritoriales como la CLOUD Act estadounidense. Mientras el RGPD impone estrictas obligaciones sobre base legal, limitación de finalidad, minimización y transparencia en el tratamiento de datos (con especial atención a las transferencias internacionales) la CLOUD Act establece que las autoridades estadounidenses pueden requerir datos a proveedores sujetos a su jurisdicción, con independencia de la ubicación física de los servidores.
El debate, además, tiene implicaciones geopolíticas. La Unión Europea aprobó el Reglamento (UE) 2023/2675, conocido como Instrumento contra la Coerción Económica, que permite adoptar medidas de respuesta ante presiones de terceros países que afecten decisiones soberanas en comercio o tecnología. En un contexto en el que la inversión global en tecnologías en la nube y de inteligencia artificial podría superar el billón de euros en la próxima década, según estimaciones de analistas de mercado, estas tensiones normativas ya influyen en la estrategia tecnológica de las organizaciones.
“El riesgo silencioso no está en el dato físico, sino en quién puede acceder a él”, comenta Gaspar Palmer, CEO de OpenKM. “Muchas organizaciones entienden que, si sus datos están en servidores en España o en la Unión Europea, están protegidos. Pero leyes como la Cloud Act demuestran que la jurisdicción operativa del proveedor puede imponer obligaciones de entrega de datos que tensionan el cumplimiento europeo”.
Desde una visión europea, el punto crítico es la posible colisión entre la obligación de facilitar datos bajo requerimiento judicial en Estados Unidos y el mandato del RGPD de garantizar que cualquier transferencia fuera del Espacio Económico Europeo mantenga un nivel de protección “esencialmente equivalente”. En este sentido, el Comité Europeo de Protección de Datos (EDPB) ha recomendado medidas suplementarias como el cifrado robusto y controles técnicos adicionales cuando los marcos legales de terceros países no ofrecen garantías equivalentes.
Para las empresas españolas, el impacto afecta a la reputación, la gobernanza y la capacidad de demostrar cumplimiento. Gaspar Palmer señala que “El riesgo silencioso no está en el dato físico, sino en quién puede acceder a él”. Además, identifica cuatro riesgos: el conflicto con el RGPD ante requerimientos de terceros; la pérdida de control sobre información sensible (que incluye no solo datos personales, sino propiedad intelectual, contratos o documentación crítica); el riesgo reputacional ante clientes y socios que exigen mayor transparencia; y la incertidumbre en auditorías y trazabilidad, que dificulta acreditar el cumplimiento ante autoridades o terceros.
Ante este escenario muchas organizaciones están adoptando un enfoque por capas que combina análisis exhaustivo de proveedores, controles técnicos y arquitecturas híbridas. Entre las medidas destacan el mapeo de servicios críticos, la evaluación de los marcos legales aplicables a los proveedores, la implantación de cifrado fuerte con gestión propia de claves, la clasificación de la información según su criticidad y el refuerzo de cláusulas contractuales relativas a notificación y subprocesadores.
Las arquitecturas híbridas o soberanas se perfilan como una alternativa para proteger el núcleo de la información más sensible. En este contexto, la gestión documental adquiere una dimensión estratégica: no se trata solo de almacenar archivos, sino de controlar su ciclo de vida completo, incluidos accesos, permisos, versiones y auditoría.
