Corría el año 2019 cuando la Comisión Europea le encargó a la Agencia Europea de Ciberseguridad (ENISA) el desarrollo de un Esquema de Certificación de Servicios Cloud (EUCS). En esencia, este esquema tenía que ayudar tanto a los gobiernos como a las empresas de los Estados miembros a seleccionar a proveedores de servicios en la nube fiables. Cinco años más tarde, Europa sigue sin EUCS con la soberanía como problema de telón de fondo.

Francia fue quien introdujo en el proceso el asunto de la soberanía, reclamando que los proveedores cloud de fuera de la UE no pudieran calificar para las opciones de seguridad más altas que se requieren en determinadas licitaciones. Una de estas certificaciones es, precisamente, su certificado SecNumCloud, desarrollado por la Agencia Nacional de Ciberseguridad de Francia (ANSSI) como blindaje de las soluciones en la nube ante el crecimiento exponencial de ciberataques.

La propuesta gala no tuvo una gran acogida al percibirse como excesivamente proteccionista, encontrando la oposición de diversos países y de buena parte de la industria. El negocio de proporcionar servicios en la nube a los gobiernos es muy atractivo para las grandes tecnológicas (big tech), los hiperescaladores como se llama en este campo a Amazon, Microsoft, Google... De hecho, en espera de que Bruselas se decida, ya han comenzado a moverse y Amazon Web Services (AWS) anunciaba el pasado mes de mayo una inversión de 7.800 millones de euros en Brandeburgo (Alemania) para montar un centro de nube soberana (European Sovereign Cloud) que podría estar operativo a finales de 2025.

Durante su presidencia rotatoria en el primer semestre de este año, Bélgica intentó desbloquear la situación separando la soberanía de los requisitos funcionales. De este modo, cualquier multinacional de servicios cloud no comunitaria podría obtener la certificación de más alto nivel y competir en todas las licitaciones, eso sí, "sin perjuicio de posibles requisitos adicionales de soberanía nacional para algunas entidades". En esencia, se abría la puerta a las big tech.

Esta misma semana, el punto en el que el grupo de trabajo de la Agencia Europea de Ciberseguridad (ENISA) debía abordar el EUCS fue eliminado. A estas alturas, la Comisión Europea no ha proporcionado las guías a los expertos sobre cómo los Estados miembros pueden incorporar sus propios requisitos, especialmente los referidos a la soberanía. En el mejor de los casos –que EUCS entre en vigor después del verano-, las disposiciones no se aplicarán hasta 18 meses después del acuerdo. Algo parecido le ha sucedido al certificado de 5G, que sigue en proceso; de hecho, de los tres propuestos desde 2019 tan sólo se ha aprobado uno sobre productos TIC (Tecnologías de la Información y las Comunicaciones) básicos.

Un día antes de la reunión de ENISA, 26 grupos empresariales de la UE remitieron una carta reclamando dejar a un lado cuestiones de soberanía en pos de "un EUCS inclusivo y no discriminatorio que apoye la libre circulación de servicios en la nube en Europa". Entre los firmantes se encontraban la Federación Europea de Instituciones de Pago, la Confederación de Industria Checa, Dansk Industry de Dinamarca, el Bundesverband deutscher Banken de Alemania, la Asociación Digital Poland, el grupo de presión empresarial irlandés IBEC, NL Digital de los Países Bajos y la Cámara de Comercio Estadounidense ante la UE en la República Checa, Estonia, Finlandia, Italia, Noruega, Rumania y España.

Paradójicamente, también aparecía como firmante la Asociación Española de Startups, que justamente el pasado mes de mayo denunciaba a Microsoft ante la CNMC por supuestas prácticas anti-competitivas. Mientras por un lado la asociación española quiere eliminar la cláusula de la soberanía, por el otro advierte de que "Microsoft podría estar sirviéndose de su dominio en el mercado de software para forzar el uso de sus servicios cloud, imponiendo barreras técnicas y contractuales que limitan la competencia y la innovación de las startups".

Por qué es importante la soberanía

Para entender por qué la cuestión de la soberanía va más allá de un asunto proteccionista basta repasar los argumentos de otro grupo empresarial formado por 15 compañías del peso de Airbus, Deutsche Telekom, Orange o Capgemini. Reclaman el mantenimiento de las cláusulas de soberanía "para reducir el riesgo de acceso ilegal a datos bajo leyes extranjeras". No incluir el requisito de soberanía permitiría a potencias extranjeras acceder a datos europeos sensibles al amparo de legislaciones foráneas como la Cloud Act de EEUU o la Ley de Inteligencia Nacional de China.

Esta misma semana, Microsoft admitía no poder ofrecer ninguna garantía de que los datos policiales de las fuerzas del orden de Reino Unido alojados en su nube permanezcan en el país. Según las informaciones de Computer Weekly, la tecnológica no puede asegurar que los datos que la Policía de Escocia ha subido a su infraestructura de nube pública permanezcan en el país, lo que incumpliría la ley vigente. A la luz de los hechos, parece probado que Microsoft transfieren y procesa estos datos regularmente en el extranjero y, lo que es peor, al tratarse de algo estructural, no sólo afecta a la policía escocesa, sino a todos los usuarios del gobierno británico por igual.

Este escándalo no allana el camino a quienes quieren abrir la puerta a las big tech. Además, otro argumento a favor de este último grupo empresarial es que tender la alfombra roja a las grandes tecnológicas no comunitarias daría al traste con los planes marcados por el Comisario Europeo de Mercado Interior y Servicios, Thierry Breton, en la anterior legislatura de recuperar la soberanía tecnológica europea, para lo que ya hay soluciones en desarrollo y otras disponibles.

En este sentido, Bruselas es experta en poner palos en las ruedas a los proveedores cloud europeos, como es el caso de OVHcloud, por ejemplo. A pesar de que AWS, Microsoft y Google acaparan en la actualidad cerca del 80% de la nube pública en la UE, según datos de la propia Comisión Europea, a finales del año pasado la Comisión confió en otra compañía estadounidense, Oracle, incorporando los servicios de alojamiento en la nube de su Oracle EU Sovereign Cloud entre las ofertas disponibles para los organismos públicos de la UE.