La nube soberana europea ya no es una idea: Bruselas empieza a contratarla
Durante años, la “soberanía digital” europea ha sonado a consigna política, a documento estratégico o a promesa de feria tecnológica. Ahora empieza a bajar al terreno de la contratación pública. La Comisión Europea ha adjudicado un marco de nube soberana de hasta 180 millones de euros durante seis años para que instituciones, agencias y organismos de la UE puedan contratar servicios cloud bajo criterios medibles de soberanía, seguridad y resiliencia. No es una revolución inmediata. Tampoco convierte a Europa en una alternativa a AWS, Azure o Google Cloud de la noche a la mañana. Pero sí marca un cambio: Bruselas empieza a comprar como dice que quiere regular.
Qué ha adjudicado exactamente la Comisión Europea
La adjudicación afecta a entidades de la Unión Europea: instituciones, organismos, oficinas y agencias. No hablamos de una “nube europea única”, sino de un marco de contratación que permite adquirir servicios cloud soberanos por un importe máximo de 180 millones de euros en seis años.
Los proveedores seleccionados son cuatro bloques: una alianza liderada por Post Telecom con OVHcloud y CleverCloud; la alemana STACKIT, del grupo Schwarz; la francesa Scaleway, del grupo Iliad; y una alianza liderada por Proximus que incorpora S3NS, Clarence y Mistral. S3NS es especialmente relevante porque es una joint venture entre Thales y Google Cloud.
La decisión tiene dos lecturas. La primera es positiva: Europa está usando compra pública para empujar un mercado cloud propio. La segunda es más incómoda: incluso cuando se habla de soberanía, la tecnología no siempre es completamente europea.
Soberanía no es solo dónde están los datos
El error habitual es reducir la nube soberana a una pregunta: “¿el dato está alojado en Europa?”. Es importante, pero insuficiente. La soberanía real depende también de quién opera la plataforma, qué legislación puede afectar al proveedor, quién tiene acceso privilegiado, qué ocurre si un tercero corta una dependencia crítica y si el cliente puede migrar sin quedar atrapado.
Por eso la Comisión ha usado un Cloud Sovereignty Framework con criterios estratégicos, legales, operativos, medioambientales, de transparencia de cadena de suministro, apertura tecnológica, seguridad y cumplimiento de la legislación europea. La novedad está ahí: convertir un concepto político en criterios de licitación.
Ese cambio importa más de lo que parece. En tecnología, lo que no se mide no se compra bien. Y lo que no se compra bien termina dependiendo del proveedor que mejor empaqueta el discurso, no del que ofrece más control efectivo.
El detalle clave: los niveles SEAL
La Comisión ha introducido niveles llamados SEAL, o Sovereignty Effectiveness Assurance Levels. Van de SEAL-0 a SEAL-4. Para ser elegible había que alcanzar al menos SEAL-2, considerado nivel de soberanía del dato. Según Bruselas, eso implica cumplir la normativa europea sin que el cliente tenga que añadir medidas técnicas adicionales para proteger sus datos.
La mayoría de adjudicatarios alcanzó SEAL-3, asociado a resiliencia digital: servicios, tecnología u operaciones que no puedan quedar bloqueados por disrupciones de la cadena de suministro provocadas por terceros no europeos. Post Telecom con OVHcloud y CleverCloud, STACKIT y Scaleway aparecen en ese grupo. Proximus/S3NS alcanzó SEAL-2.
La diferencia no es menor. SEAL-2 puede ser suficiente para determinados usos, pero SEAL-3 apunta a algo más ambicioso: continuidad operativa y menor exposición a dependencias externas. Para administraciones públicas y sectores críticos, esa distinción puede ser decisiva.
La paradoja Google Cloud: ¿soberanía o pragmatismo?
La parte más polémica es la presencia de S3NS, una alianza entre Thales y Google Cloud, dentro del consorcio liderado por Proximus. La Comisión defiende que incluso tecnologías no europeas pueden cumplir el nivel mínimo de soberanía si se operan bajo un marco estricto y adecuado. Traducido: Europa no está exigiendo pureza absoluta, sino control verificable.
Aquí hay que ser pragmáticos. La nube moderna no es solo almacenamiento y máquinas virtuales. Es PaaS, automatización, observabilidad, bases de datos gestionadas, despliegue continuo, ciberseguridad, identidad, analítica e IA. Replicar todo el catálogo de los hiperescaladores desde cero es una tarea enorme.
El problema es que el pragmatismo tiene coste. Si la capa tecnológica profunda sigue viniendo de actores no europeos, la soberanía puede convertirse en una soberanía de operación, no de diseño. Es mejor que depender sin condiciones, pero no equivale a autonomía plena.
Esto encaja con el European Edge Continuum
Este movimiento no aparece aislado. En Tecnoic ya analizamos el European Edge Continuum frente a AWS y Azure, y la tesis era clara: Europa no tiene fácil ganar la guerra del cloud centralizado, pero puede disputar el terreno del edge, la interoperabilidad y la infraestructura crítica.
La adjudicación de esta nube soberana va en esa misma dirección. No pretende que todos los desarrolladores europeos abandonen mañana AWS, Azure o Google Cloud. Pretende crear una vía institucional para cargas sensibles, datos públicos, servicios estratégicos y entornos donde el control jurídico y operativo pesa tanto como el precio o la comodidad.
Además, llega en un momento en el que Francia ha elegido a Scaleway para alojar su Health Data Hub, sustituyendo a Microsoft Azure tras años de debate sobre datos sanitarios y jurisdicción extraterritorial. La soberanía cloud ya no es solo una discusión de Bruselas: empieza a materializarse en decisiones nacionales concretas.
Conclusión
La nube soberana europea no ha ganado todavía ninguna batalla definitiva. Pero ha pasado de la retórica a la compra pública, y eso cambia el incentivo del mercado. La pregunta importante ya no es si Europa quiere soberanía digital. Eso está respondido. La cuestión es si será capaz de convertir estos marcos en tecnología competitiva, operable y atractiva más allá de los contratos institucionales.
¿Estamos ante el inicio de una autonomía digital real o ante una soberanía limitada, útil pero incompleta? Ahí está el debate.