Me ha pasado más veces de las que admitiría. Alguien me pregunta qué hosting contratar y, tras quince minutos de conversación técnica, suelta la pregunta mágica: «¿Pero mis datos están en Europa?». Y ahí me doy cuenta de que lo que para mí es una cadena de decisiones técnicas, para mucha gente es un simple checkbox. España vs. AWS. Europa vs. Estados Unidos. Todo blanco o negro.
La realidad es bastante más gris. Y bastante más interesante.
El jamón ibérico de súper
Cuando compras jamón ibérico en el supermercado de turno, la etiqueta dice «España». Pero si miras la letra pequeña, la materia prima puede venir de cualquier sitio. Es legal, está controlado, el producto final cumple. Pero no es exactamente lo que la mente dibuja cuando alguien dice «jamón ibérico».
Lo mismo pasa con la soberanía digital.
Puedes contratar un servidor «en Frankfurt» con una empresa «europea» y sentirte tranquilo. Pero si esa empresa usa AWS como proveedor subyacente, si su matriz cotiza en Nueva York, si su herramienta de monitorización es Datadog y su CDN es Cloudflare… la geografía del disco duro importa menos de lo que crees.
La soberanía no es un interruptor. Es una cadena. Y esa cadena tiene muchos más eslabones de los que se suelen contar.
Las capas que casi nadie explica
Voy capa por capa, que es la única manera de saber dónde estás.
Capa física
El CPD, la ubicación del servidor, si el rack tiene una banderita de Frankfurt o de Barcelona. Y sí, importa: un servidor en tu casa no tiene la misma regulación que uno en un CPD homologado. Pero es solo la primera capa, y la que más fácilmente se usa como coartada comercial.
Capa de virtualización
Aquí se cuela mucha gente. Cuando contratas una instancia en AWS, estás en una máquina virtual que comparte recursos físicos con otras miles. Amazon puede, técnicamente, acceder a la memoria de tu instancia si quisiera (o si un tribunal se lo pidiera). Cuando tienes un servidor dedicado o un Proxmox propio, esa capa desaparece. El hardware es tuyo, o de tu proveedor de housing, y nadie más tiene acceso lógico a lo que hay dentro.
Capa de red
Aquí empieza el verdadero entretenimiento. Yo tengo el AS214855 y mis servidores están en Templus BCN. Cuando alguien hace un traceroute a una de mis webs, la petición no sale de Barcelona para pasar por un carrier estadounidense antes de volver. La ruta se queda en Europa.
Pero si tu proveedor usa Cogent, Lumen o HE como tránsito principal, una parte del camino de tus paquetes probablemente pasa por Estados Unidos. Y eso tiene implicaciones legales, no solo de latencia.
Capa de DNS
La que más me ha quitado el sueño. Durante años usé los resolvers de Cloudflare como todos: rápidos, fiables, con protección contra recursión maliciosa. Pero Cloudflare es una empresa estadounidense, y cada consulta DNS que mandas a 1.1.1.1 la registran ellos.
Desde hace un tiempo tengo Unbound corriendo en varios servidores míos. No es más rápido ni más bonito. Pero las consultas se quedan en mi infraestructura. Si prefieres algo intermedio sin gestionar tu propio resolver, Quad9 opera desde Suiza bajo ley helvética, y dns.watch es alemán. No son perfectos, pero son europeos.
Capa de correo
La que más me duele cuando la explico.
Cada vez que mandas un email desde Gmail, ese correo puede transitar por servidores de Google en cualquier parte del mundo. Y aunque el servidor de tu empresa esté en Dublín, el destinatario use Outlook y tú vivas en Barcelona, la CLOUD Act sigue siendo aplicable a Google y a Microsoft. Una orden judicial estadounidense puede obligarles a entregar el contenido de tu bandeja de entrada.
Las alternativas europeas existen y son maduras: Runbox (Noruega), Posteo (Alemania), Tutanota (Alemania), Proton Mail (Suiza, con matices porque el cifrado end-to-end te protege más que la jurisdicción). Yo uso Postfix propio con gestión local (aunque no siempre y debería hacer un pensamiento mayor). Soy consciente de que cuando envío un correo a alguien en Gmail, ese correo termina en servidores de Google pase lo que pase con el mío. La soberanía del correo es, estructuralmente, asimétrica.
Capa de CDN y WAF
La más traicionera porque se vende como «protección» cuando en realidad es una delegación.
Cloudflare tiene nodos por todo el mundo, incluyendo Europa. Pero Cloudflare es una empresa de San Francisco y todo el tráfico que pasa por ella está sujeto a legislación estadounidense. Esto incluye el contenido sin cifrar que sirves a tus usuarios. Si estás usando Cloudflare como proxy inverso, Cloudflare ve el tráfico descifrado. Siempre.
Las alternativas europeas existen: BunnyCDN (Eslovenia), Fastly tiene presencia europea (aunque la empresa es americana), CDN77 (República Checa). El ecosistema es más pequeño, pero es funcional.
Capa de analítica y telemetría
Esta es la capa que casi nadie incluye en la conversación de soberanía, y es un error garrafal.
Google Analytics, que sigue siendo la herramienta de facto en millones de sitios, envía datos de comportamiento de tus usuarios a servidores de Google en Estados Unidos. El Tribunal de Justicia de la UE ha dejado claro, a raíz del caso Schrems II, que esto es problemático bajo el RGPD si no hay garantías adecuadas. Austria y Francia ya sancionaron el uso de GA3 por esta razón. GA4 no resuelve el problema estructural.
Las alternativas europeas están maduras: Matomo (autohospedado o en servidores europeos), Plausible (Estonia/UK), Fathom Analytics (Canadá, no ideal pero mejor). Migrar a Matomo autohospedado es un tarde de trabajo y te saca de la nube de Google por completo en lo que respecta a analítica.
Capa de monitorización e infraestructura
Datadog, New Relic, Sentry, PagerDuty. Todas americanas. Si tienes agentes de monitorización en tus servidores enviando métricas a estas plataformas, estás filtrando información de tu infraestructura a empresas bajo jurisdicción estadounidense.
Alternativas europeas o autohospedadas: Grafana + Prometheus (autohospedado), VictoriaMetrics (Ucrania/EU), Netdata (Irlanda), Sentry autohospedado. Son más trabajo de mantener, pero el stack es perfectamente viable en producción.
Capa de repositorios y CI/CD
GitHub es Microsoft. GitLab es americano aunque el software sea libre. Si tu código está en GitHub y tu pipeline corre en GitHub Actions, Microsoft puede inspeccionar ese código si hay una orden judicial.
Alternativas: Gitea o Forgejo autohospedado (lo que yo uso en Proxmox), Codeberg (Alemania, basado en Forgejo), GitLab CE autohospedado. Woodpecker CI o Drone para el pipeline, ambos autohospedables. No es el ecosistema más rico, pero funciona.
Capa de pagos
Si aceptas pagos, probablemente uses Stripe (americano) o PayPal (americano). Redsys es español y es la pasarela bancaria estándar en España. Mollie es holandesa. Adyen también holandesa. Si puedes procesar con Redsys o Mollie en lugar de Stripe, tu flujo financiero se queda en Europa.
El marco legal: CLOUD Act y Schrems II
Dos leyes que conviene tener claras porque son las que fundamentan por qué la geografía del servidor no es suficiente.
La CLOUD Act (2018) permite a las autoridades estadounidenses exigir datos almacenados en cualquier parte del mundo a cualquier empresa con presencia en Estados Unidos. Da igual que tu bucket S3 esté en Frankfurt. Si AWS recibe una National Security Letter, tiene que entregar lo que se le pida, sin notificarte. Y AWS es una empresa americana.
Schrems II (2020) es la sentencia del TJUE que invalidó el Privacy Shield, el acuerdo marco que permitía la transferencia de datos personales de europeos hacia Estados Unidos. El tribunal determinó que las garantías de ese acuerdo eran insuficientes precisamente por la CLOUD Act y las capacidades de vigilancia de la NSA. El Data Privacy Framework que lo sustituyó en 2023 ya está siendo impugnado de nuevo ante el TJUE. Seguiremos en ping-pong legal indefinidamente mientras no haya cambios estructurales en la legislación de vigilancia americana.
La consecuencia práctica: si manejas datos personales de ciudadanos europeos y usas proveedores americanos sin garantías contractuales sólidas, puedes estar en incumplimiento del RGPD. No porque lo diga yo, sino porque lo han dicho las autoridades de protección de datos de varios países europeos ya.
GAIA-X y el proyecto europeo (o su intento)
No se puede hablar de soberanía digital europea sin mencionar GAIA-X, el proyecto de la UE para crear una infraestructura cloud soberana. La idea era buena: un estándar común de interoperabilidad y portabilidad de datos para el cloud europeo, con certificaciones de cumplimiento.
La ejecución ha sido más modesta. El consorcio acabó incluyendo a AWS, Google y Microsoft como miembros, lo que generó bastante escepticismo razonable. Lo que sí ha producido GAIA-X son estándares de etiquetado (los «labels» de cumplimiento) y frameworks de gobernanza que algunos proveedores europeos están adoptando.
La apuesta más concreta y operativa sigue siendo OVHcloud, Hetzner, IONOS (Deutsche Telekom), Exoscale (Suiza) e Infomaniak (Suiza). Todos con infraestructura propia, sin dependencia de hyperscalers americanos, y con jurisdicción europea clara. Ninguno tiene el ecosistema de servicios de AWS, pero para la mayoría de cargas de trabajo, no hace falta.
El coste real de la soberanía
Seré honesto: la soberanía completa es cara. No solo en dinero, sino en tiempo y en funcionalidad perdida.
Una comparativa aproximada de lo que implica moverse hacia soberanía real:
| Función | Opción americana | Alternativa europea/soberana | Coste extra |
|---|---|---|---|
| Compute | AWS EC2 | Hetzner, OVHcloud, IONOS | Menor o igual |
| CDN/WAF | Cloudflare | BunnyCDN + WAF propio | Moderado |
| Correo | Google Workspace | Postfix propio / Posteo | Moderado-alto (tiempo) |
| DNS | Cloudflare / Google | Unbound propio / Quad9 | Bajo |
| Analítica | Google Analytics | Matomo autohospedado | Bajo (tiempo) |
| Repositorios | GitHub | Forgejo autohospedado | Bajo (tiempo) |
| Monitorización | Datadog | Grafana + Prometheus | Moderado (tiempo) |
| Pagos | Stripe | Redsys / Mollie | Variable |
El patrón es claro: el coste no está tanto en el dinero como en el tiempo de setup y mantenimiento, y en la pérdida de un ecosistema de integraciones más rico.
No siempre compensa. Para un blog personal, probablemente no necesites un AS propio ni un Postfix configurado a mano. Para una clínica que maneja historiales médicos, una fintech, o cualquier empresa que procese datos sensibles de ciudadanos europeos, la ecuación cambia.
La soberanía es proporcional al riesgo y al valor de lo que proteges.
El espectro, no el interruptor
La soberanía digital no es blanco y negro. Es un degradado con al menos cuatro niveles prácticos:
Nivel 0 — Exposición total: Servidor en AWS us-east-1, Google Analytics, Cloudflare, GitHub, Gmail. Tienes latencia y dependencias americanas en todas las capas. La mayoría de startups están aquí.
Nivel 1 — Geografía controlada: Servidor en AWS eu-central-1 o Hetzner Falkenstein. La capa física está en Europa pero el proveedor es americano o las herramientas auxiliares lo son. Es el checkbox que pide el cliente, pero no mucho más.
Nivel 2 — Soberanía funcional: Proveedor europeo con infraestructura propia (OVHcloud, Hetzner, IONOS), Matomo en lugar de GA, Postfix propio o Posteo, Forgejo autohospedado. Aquí están muchas empresas europeas conscientes del tema.
Nivel 3 — Soberanía de red: Lo anterior más AS propio, tránsito europeo, Unbound propio, DNS autoritativo propio. La cadena de red se queda en Europa. Es donde estoy yo con AS214855 y Templus BCN.
Nivel 4 — Soberanía máxima: Todo lo anterior más hardware propio o housing en CPD propio, software libre sin dependencias americanas, stack de pagos europeo, sin trazas en ningún servicio de terceros. Es viable pero caro en tiempo y mantenimiento. Pocas organizaciones lo justifican.
Entre esos niveles hay docenas de grises. Lo importante es saber en cuál estás, por qué, y qué implicaciones tiene.
Coda: la pregunta correcta
A mí, que llevo más de veinte años en esto, lo que me importa no es la perfección sino la consciencia. Volviendo al jamón ibérico: nadie espera que todo sea de cerdo ibérico de bellota con denominación de origen. Pero sí tiene sentido saber qué estás comiendo.
Cada vez que instalo algo nuevo me hago las mismas preguntas: ¿Dónde van estos datos? ¿Quién puede tocarlos técnicamente? ¿Bajo qué legislación? ¿Bajo qué legislación adicional a la que yo creo que aplica?
No siempre tengo la respuesta correcta ni puedo aplicar siempre la alternativa soberana. Uso GitHub. Tengo Let’s Encrypt. Tengo cuentas en servicios americanos porque son los mejores en lo que hacen. La perfección es enemiga de lo posible.
Pero al menos me hago la pregunta. Y en muchos contextos, sobre todo si manejas datos ajenos, hacerte la pregunta ya es empezar a hacer las cosas bien.
Deja una respuesta