La Llei de Desenvolupament del Núvol i la IA (CADA) i la videoconferència

16 min read
Jul 17, 2026 6:00:01 AM

La videoconferència ocupa una posició incòmoda per a les organitzacions de la UE: és un dels serveis més dependents del núvol, més intensius en dades i cada vegada més saturats d'IA que gestionen diàriament. Cada sessió genera mitjans en temps real que s'han d'enrutar en algun lloc, metadades que s'han d'emmagatzemar en algun lloc, i, amb una freqüència creixent, transcripcions processades per IA i resums de reunions que s'han d'inferir en algun lloc. Aquell 'lloc' és ara una qüestió de compliment normatiu i contractació pública, no simplement una decisió d'enginyeria.

La Llei de Desenvolupament del Núvol i la IA (CADA), proposada per la Comissió Europea el 3 de juny de 2026 com a part del paquet Tech Sovereignty Package, ha estat dissenyada per respondre a aquesta qüestió. La legislació introdueix un nou marc de sobirania del núvol i la IA a escala europea, reestructura com els organismes del sector públic contracten serveis al núvol, i estableix l'objectiu de triplicar la capacitat dels centres de dades de la UE en cinc a set anys. Res d'això és abstracte per a un responsable de contractació que ha d'escollir una plataforma de vídeo per a un hospital, un servei judicial o un regulador financer.

La CADA va entrar en el procés legislatiu el 3 de juny de 2026, amb l'adopció prevista cap al Q4 del 2027, de manera que els seus requisits encara no estan en vigor. Tanmateix, les organitzacions que prenen decisions de contractació avui estan consolidant cadenes operatives que seran avaluades d'acord amb aquest marc a mesura que passi de proposta a reglament.

Aquest article fa la legislació concreta per a aquest públic. La CADA remodela la capa del núvol i la IA que hi ha sota el teu sistema de videoconferència, i entendre el que requereix realment és el primer pas per saber si la teva plataforma actual (o la que estàs avaluant) resistirà l'escrutini al qual s'enfrontarà cada cop més.

Taula de continguts

  1. Què és la Llei de Desenvolupament del Núvol i la IA
  2. Per què la videoconferència és el cas de prova més exigent de la CADA
  3. La sobirania del núvol per al vídeo no és un simple tauler: les tres capes que els compradors han de verificar
  4. Com és una plataforma de videoconferència preparada per a la CADA
  5. Una llista de verificació de preparació CADA per triar una plataforma de videoconferència
  6. Conclusió
  7. Preguntes freqüents

Què és la Llei de Desenvolupament del Núvol i la IA

La Llei de Desenvolupament del Núvol i la IA s'estructura al voltant de tres àrees d'intervenció, cadascuna de les quals afecta la infraestructura de videoconferència d'una manera diferent.

  1. El pilar de recerca, desenvolupament i innovació dóna suport al desenvolupament de tecnologies de núvol i IA de nova generació, introdueix 'reptes principals' per impulsar la recerca d'IA de frontera, i finança l'adopció del núvol i la IA en sectors industrials i públics estratègics a través dels Centres d'Experiència i Acceleració per a la IA. Per al vídeo, això importa principalment a la capa de funcionalitats d'IA: l'impuls per desenvolupar capacitat d'inferència d'IA sobirana de la UE crea una alternativa a enrutar els mitjans cap a proveïdors de models fora de la UE.
  2. El pilar de capacitat aborda l'empremta actual dels centres de dades de la UE, que és massa limitada per donar suport a les càrregues de treball d'IA que les seves institucions i indústries necessiten a escala. La legislació apunta a triplicar com a mínim la capacitat dels centres de dades de la UE en cinc a set anys, simplificant els permisos, millorant l'accés a l'energia, el sòl i el finançament, i eliminant els colls d'ampolla estructurals que han limitat l'expansió del núvol europeu. Pràcticament, això importa perquè la videoconferència sobirana depèn de tenir infraestructura adequada ubicada a la UE per enrutar els mitjans, i actualment aquesta oferta és limitada.
  3. El pilar d'autonomia és el més rellevant per a les decisions de contractació actuals. Aquesta secció introdueix un marc únic de sobirania a escala europea per avaluar els serveis al núvol i d'IA, defineix quatre nivells d'assegurament que els organismes del sector públic han d'aplicar en contractar serveis al núvol basant-se en una avaluació de riscos, i estableix un marc de contractació pública comú a escala europea. Els quatre nivells s'exposen a continuació.
Nivell Enfocament Requisits clau
1 Ubicació bàsica Dades processades i emmagatzemades en infraestructura físicament ubicada dins de la UE.
2 Independència El proveïdor demostra independència dels règims jurídics de tercers països; cadena de subministrament de programari transparent.
3 Control de la UE El proveïdor és propietat i està controlat des de la UE; criteris addicionals inclouen la ciutadania del personal. La Comissió pot reconèixer alguns proveïdors de tercers països.
4 Sobirania plena Transparència i control totals sobre la cadena de subministrament de programari; cap interferència de tercers països de cap tipus.

Un cop adoptada, la normativa exigiria que les administracions públiques avaluïn quins sistemes depenen de serveis externs al núvol, els classifiquin per nivell d'assegurament i contractin en conseqüència, un procés que la proposta ancla als articles 29 i 30. En virtut d'aquest marc, el nivell assignat a qualsevol servei es deriva de l'avaluació de riscos del propi organisme, no d'una assignació predeterminada. Un organisme del sector públic que gestioni una plataforma de videoconferència sensible normalment trobaria que la seva avaluació de riscos justifica un nivell d'assegurament superior a la simple ubicació a la UE, però la classificació és seva. Els requisits dels nivells 2, 3 i 4 només passen a ser obligatoris per a activitats que l'avaluació de riscos d'un estat membre identifiqui com a contribuents a la preservació de l'ordre públic o les operacions de sectors crítics.

L'àmbit d'aplicació del reglament no es limita als organismes públics. La CADA també faculta la Comissió per adoptar actes delegats que exigeixin que les empreses privades dels sectors regulats per la NIS2, inclosos la banca, l'energia, les telecomunicacions i la sanitat, duguin a terme avaluacions de risc de sobirania comparables. Aquest mecanisme d'extensió és directament rellevant per als hospitals, els reguladors financers i les empreses de telecomunicacions que constitueixen el públic principal d'aquest article.

Per què la videoconferència és el cas de prova més exigent de la CADA

La majoria de serveis al núvol toquen una o dues dimensions del marc de sobirania. La videoconferència les toca totes simultàniament, la qual cosa és la raó per la qual proporciona la prova més clara de si una organització aplica genuïnament el marc o simplement compleix el criteri més obvi mentre ignora la resta.

Una sessió en directe enruta els mitjans en temps real a través d'una Unitat de Reenviament Selectiu (SFU) allotjada al núvol. Aquesta és una qüestió d'infraestructura al núvol: on s'estan processant els mitjans, i aquesta infraestructura està governada per una cadena operativa sobirana de la UE? La gravació d'aquesta mateixa sessió s'emmagatzema en algun lloc com a dades en repòs. Aquesta és una qüestió d'emmagatzematge de dades separada, amb les seves pròpies implicacions de sobirania pel que fa a la retenció, l'accés i la gestió de claus. I cada vegada més, la transcripció, el resum de la reunió i l'extracció d'elements d'acció es processen per un model d'IA que rep àudio o vídeo decodificat com a entrada, la qual cosa és una tercera qüestió diferent: on es produeix realment la inferència, i els mitjans surten de la UE per arribar-hi?

La videoconferència sobirana requereix una resposta creïble a les tres preguntes, no només a la primera sobre la ubicació del centre de dades. La majoria de les converses de contractació s'aturen aquí: 'On teniu els servidors?' és la pregunta que es fa; la destinació de la inferència d'IA rarament es planteja. Però el marc de sobirania no permet aquesta atenció selectiva. Considera una plataforma que enruta els mitjans en servidors ubicats a la UE mentre envia àudio a un proveïdor d'IA fora de la UE per a la transcripció: satisfà el nivell 1 però probablement plantejaria problemes al nivell 2, perquè el proveïdor que realitza la inferència sobre els mitjans decodificats es converteix en un subprocessador la jurisdicció reguladora del qual és directament material per al compliment de la sobirania. La proposta no prohibeix explícitament la inferència d'IA fora de la UE al nivell 2; aquest argument és una lectura del requisit d'independència del nivell 2, no una disposició nominativa. On apareix la prohibició explícita és al nivell 4, que requereix cap interferència de tercers països de cap tipus.

Precisament per això, el vídeo s'ha convertit en el cas més difícil. La combinació d'enrutament de mitjans en temps real, gravacions emmagatzemades i cadenes de processament d'IA significa que una plataforma de videoconferència genuïnament sobirana ha d'evidenciar una cadena governada per la UE en tres fluxos de dades diferenciats, no en un. Els compradors que només auditen el primer estan deixant la vulnerabilitat tècnicament més complexa sense examinar.

La sobirania del núvol per al vídeo no és un simple tauler: les tres capes que els compradors han de verificar

La sobirania del núvol per al vídeo es resol en tres capes que s'han de verificar per separat, perquè cadascuna pot fallar de manera independent mentre les altres semblen superar la prova.

  1. La capa d'infraestructura cobreix on s'enruten els mitjans en temps real durant una sessió en directe i on s'emmagatzemen les gravacions en repòs. Això es correspon més directament amb el requisit del nivell 1: dades processades i emmagatzemades en infraestructura ubicada a la UE. És la capa que la majoria dels compradors ja comproven, i és necessària però no suficient. Un proveïdor amb seu als EUA pot operar servidors ubicats a la UE; això satisfà el nivell 1 mentre deixa el nivell 2 completament sense abordar.
  2. La capa de l'operador pregunta qui controla la infraestructura i qui pot ser compel·lit, per quina autoritat legal, a lliurar accés o dades. Els proveïdors de núvol controlats pels EUA que operen centres de dades ubicats a la UE continuen subjectes als marcs jurídics dels EUA que poden obligar a la divulgació d'aquests mateixos proveïdors independentment d'on se situïn físicament els servidors. El nivell 2 requereix independència demostrada dels règims jurídics de tercers països i transparència sobre la cadena de subministrament de programari. Per al vídeo, això significa preguntar no només on és el maquinari, sinó sota quines obligacions legals opera l'entitat que el gestiona, i si aquesta entitat pot ser compel·lida fora del dret de la UE. Els proveïdors amb seu als EUA han buscat la qualificació de nivells 2 i 3 a través de societats mixtes i filials controlades per la UE. La licitació de núvol sobirà SEAL d'abril del 2026 va adjudicar un contracte al nivell SEAL-2 al consorci Proximus, que s'associa amb S3NS, una empresa conjunta de Thales i Google Cloud que opera sota controls legals i operatius francesos. Els altres tres guanyadors de la licitació (Post Telecom amb OVHcloud i CleverCloud, STACKIT i Scaleway) van assolir el nivell SEAL-3 més alt perquè no tenien dependències materials de la cadena de subministrament fora de la UE. El resultat de S3NS va ser criticat públicament com a 'rentat de sobirania' per la CISPE, que representa 38 empreses europees de núvol, que va argumentar que adjudicar el contracte a una estructura recolzada per Google socavava el propòsit del marc; els venedors purament europeus que van assolir el nivell SEAL-3 són els que els arquitectes del marc tenien en ment. Si acords com el consorci Proximus/S3NS constitueixen sobirania substantiva o una solució pragmàtica és un debat obert; la prova que aplica la proposta és la cadena operativa i legal, no la bandera del logotip.
  3. La capa d'IA i flux de dades és la que es passa per alt amb més freqüència. La transcripció d'IA, els resums de reunions, la cancel·lació de soroll i l'anàlisi de veus impliquen cadascun que els mitjans decodificats es transmetin a un punt d'inferència. La pregunta és directa: aquest punt d'inferència està ubicat dins de la UE, operat per una entitat sobirana de la UE i lliure d'interferències de tercers països? Al nivell 4, la resposta ha de ser sí sense qualificació: el nivell prohibeix explícitament qualsevol interferència de tercers països de cap tipus, la qual cosa inclou les cadenes de processament d'inferència d'IA. Al nivell 2, el panorama és menys clar: enrutar àudio o vídeo a un proveïdor de models fora de la UE probablement entraria en conflicte amb el requisit d'independència, però aquesta conclusió és una interpretació del text i no una norma expressament prevista. La cadena de processament d'IA no és una categoria de producte separada; és part de la mateixa cadena de tractament de dades.

Una plataforma que supera les tres capes és una categoria de producte diferent d'una que només supera la primera. Les càrregues de treball de major sensibilitat (poder judicial, defensa, intel·ligència) també necessitarien complir els requisits de propietat i control europeus del nivell 3 i la transparència total de la cadena de subministrament del nivell 4, de manera que la llista de verificació de les tres capes que hi ha a continuació no s'ha de tractar com a exhaustiva per a aquests contextos. La distinció importa ara, perquè les organitzacions que prenen decisions de contractació avui estan consolidant cadenes operatives que seran avaluades d'acord amb aquest marc a mesura que passi de proposta a reglament.

Com és una plataforma de videoconferència preparada per a la CADA

Una plataforma que pugui respondre de manera creïble a les tres capes ha pres decisions arquitectòniques deliberades des del principi, no ha assemblat un relat de compliment a posteriori. Les decisions que importan no tracten principalment de papers; tracten de per on flueixen els mitjans, qui pot llegir-los i quina jurisdicció legal regeix les persones responsables d'ells.

Per fer-ho concret: qualsevol plataforma que busqui demostrar la preparació per a la CADA hauria de mostrar evidència documentada per a cada capa de la cadena de sobirania, cobrint on es processen els mitjans, qui opera i controla aquesta infraestructura, i com es gestionen les funcionalitats d'IA. Considera com és això per a una plataforma dissenyada al voltant d'aquestes limitacions des del principi.

A Digital Samba, les decisions arquitectòniques estan documentades i són públiques. La infraestructura dels productes Embedded i Free està allotjada a la UE, amb subprocessadors basats a la UE i jurisdiccions adequades al RGPD. La SFU reenvía paquets xifrats sense decodificar el contingut dels mitjans, la qual cosa limita la superfície de tractament de dades del costat del servidor a l'enrutament de paquets en lloc de l'accés als mitjans. Això reflecteix la nostra arquitectura documentada i és una autodeclaració del proveïdor consistent amb el disseny estàndard de la SFU. El processament que treballa sobre els mitjans decodificats, com ara la transcripció i l'anàlisi, és gestionat per un subprocessador d'IA basat a la UE i contractat, en lloc d'enrutar-se a un punt d'inferència global. L'SDK incrustat es publica sota una llicència BSD-2-Clause, proporcionant una capa d'integració concreta sense dependència del proveïdor que s'alinea directament amb la promoció de solucions de codi obert per part de la legislació com a mecanisme de resiliència.

Per als compradors, l'opció pràctica que això crea és entre assemblar aquesta cadena ells mateixos a través d'infraestructura de codi obert autogestionada, o heretar-la incrustant una plataforma que ja l'ha construïda. L'autogestió aconsegueix els mateixos objectius de sobirania, però requereix que el comprador assumeixi tota la càrrega operativa: aprovisionament d'infraestructura, manteniment de la SFU, relacions contractuals amb subprocessadors d'IA, generació d'evidències de compliment i aplicació contínua de pedaços de seguretat. El model incrustat transfereix aquesta complexitat al proveïdor sense transferir la sobirania, sempre que el proveïdor pugui evidenciar la cadena de principi a fi.

Una advertència important: per a les càrregues de treball que requereixen l'assegurament del nivell 4 (control total de la cadena de subministrament, cap interferència de tercers països de cap tipus), un servei incrustat gestionat pel proveïdor pot no ser suficient. Els compradors que operen a aquest nivell normalment haurien de controlar la pila completa, inclosa la gestió de la SFU en la seva pròpia infraestructura. El model incrustat és el més adequat directament per als requisits de contractació dels nivells 2 i 3.

Una llista de verificació de preparació CADA per triar una plataforma de videoconferència

El model de tres capes produeix un conjunt pràctic de preguntes per a qualsevol procés de contractació de videoconferència. Per a les càrregues de treball que una avaluació de riscos situa al nivell 3 o al nivell 4, aquestes preguntes són un punt de partida; aquests nivells afegeixen requisits de propietat, control i transparència de la cadena de subministrament que van més enllà del que s'enumera aquí.

Capa d'infraestructura

  • On s'enruten els mitjans en temps real durant una sessió en directe, i en quin país?
  • On s'emmagatzemen les gravacions en repòs, i en la infraestructura de qui?
  • El proveïdor d'infraestructura subjacent està subjecte a algun règim d'accés legal fora de la UE?

Capa de l'operador

  • Qui opera el servei, i en quina jurisdicció està constituït?
  • Quins subprocessadors gestionen alguna part de la cadena de mitjans o dades, i on està basat cadascun?
  • El proveïdor pot aportar documentació que mapegi el seu servei als nivells d'assegurament de sobirania de la CADA?

Capa d'IA i flux de dades

  • On es realitzen la transcripció i la inferència d'IA, i les dades d'àudio o vídeo poden sortir de la UE?
  • Els subprocessadors d'IA estan identificats i documentats, amb cadenes operatives basades a la UE?
  • La llista de subprocessadors del proveïdor cobreix totes les funcionalitats d'IA, o només l'enrutament dels mitjans principals?

Sortida i portabilitat

  • Hi ha un procés definit de sortida i portabilitat de dades, o el marc 'allotjat a la UE' amaga una dependència operativa tancada?
  • Alguna part de la capa d'integració és de codi obert i disponible per a inspecció?

Conclusió

La legislació no entrarà en vigor d'un dia per l'altre, i la seva forma final emergirà del tríleg (la negociació interinstitucional entre la Comissió, el Parlament i el Consell). Però la direcció és clara i consistent amb totes les iniciatives de sobirania digital europea dels últims tres anys: els serveis al núvol utilitzats per a càrregues de treball sensibles en el sector públic seran avaluats d'acord amb un marc de sobirania de quatre nivells, i la videoconferència, juntament amb els seus mitjans en temps real, les gravacions emmagatzemades i la inferència d'IA, haurà d'evidenciar el compliment en les tres capes del flux de dades, no només en la que és més fàcil de mostrar en un material de màrqueting.

Les plataformes que ja pensen en aquests termes van per davant en la contractació. Per als compradors que necessiten prendre decisions ara, les preguntes de la llista de verificació anterior tradueixen la lògica del reglament en criteris de selecció de proveïdors que haurien de ser-te útils independentment de com es resolgui el tríleg. Una advertència que val la pena assenyalar: l'auditoria de tercers requerida per certificar formalment els nivells 2 a 4 depèn d'un esquema de certificació de ciberseguretat de la UE (EUCS) que encara no s'ha finalitzat, de manera que els proveïdors encara no poden obtenir una certificació validada en virtut del marc CADA. Això és una llacuna d'implementació coneguda, no una raó per retardar les converses de contractació, però val la pena comprendre-ho abans de demanar als proveïdors documentació que encara no existeix.

Per a més informació sobre com abordem la seguretat de les dades i la transparència de la infraestructura, visiteu la pàgina de seguretat de Digital Samba. Per a un tractament més ampli de la sobirania de dades per al vídeo, llegiu el nostre article anterior sobre el tema.

Preguntes freqüents

Què és la Llei de Desenvolupament del Núvol i la IA (CADA)?

La Llei de Desenvolupament del Núvol i la IA és una proposta legislativa publicada per la Comissió Europea el 3 de juny de 2026 com a part del Paquet de Sobirania Tecnològica de la UE. S'orienta cap a tres àrees: donar suport a la recerca i la innovació en núvol i IA, triplicar la capacitat dels centres de dades de la UE en cinc a set anys, i introduir un marc únic de sobirania a escala europea per avaluar els serveis de núvol i IA. Aquest marc defineix quatre nivells d'assegurament que els organismes del sector públic han d'aplicar en contractar serveis al núvol basant-se en els seus perfils de risc.

Com afecta la CADA les plataformes de videoconferència a la UE?

La legislació fa que les plataformes de videoconferència estiguin subjectes a una avaluació formal de sobirania quan les fan servir organismes del sector públic. El vídeo toca totes les capes que el marc té en compte: enrutament de mitjans en temps real en infraestructura al núvol, gravacions emmagatzemades i inferència d'IA per a transcripcions i resums. Cadascuna d'elles s'avalua per separat dins del model de sobirania de quatre nivells. Una plataforma que satisfà el nivell 1 però enruta la inferència d'IA a través d'un proveïdor fora de la UE probablement tindria problemes al nivell 2 pel requisit d'independència, tot i que la prohibició geogràfica explícita que les dades d'inferència d'IA surtin de la UE és una norma del nivell 4, no del nivell 2.

Què és la sobirania del núvol per al vídeo, i en qué es diferencia de l'allotjament a la UE?

La sobirania del núvol per al vídeo significa que el control governat per la UE es pot evidenciar al llarg de tota la cadena de tractament de dades: on s'enruten i emmagatzemen els mitjans, qui opera i controla la infraestructura, i on es produeix la inferència d'IA. L'allotjament a la UE és un subconjunt d'això, ja que satisfà el requisit d'ubicació del nivell 1 però no diu res sobre qui controla la infraestructura ni si l'operador està subjecte a demandes d'accés legal fora de la UE. Una plataforma pot estar allotjada a la UE i, tot i així, fallar la sobirania al nivell 2 si és operada per una entitat no controlada per la UE.

La CADA exigeix que la transcripció i la inferència d'IA es mantinguin a la UE?

La resposta explícita depèn de quin nivell s'examina. Al nivell 4, el requisit és clar: cap interferència de tercers països de cap tipus, la qual cosa cobreix les cadenes de processament d'inferència d'IA. Al nivell 2, el panorama és menys definit. El requisit d'independència del nivell 2 probablement crearia una barrera funcional per als proveïdors d'IA subjectes a lleis d'accés fora de la UE, però aquesta conclusió és una lectura del requisit d'independència i no una disposició nominativa de la proposta. Per a un organisme del sector públic que contracti una plataforma de videoconferència al nivell 2, enrutar àudio a un proveïdor d'IA fora de la UE per a la transcripció quasi certament crearia problemes en una avaluació de sobirania, fins i tot si la base legal exacta pot evolucionar a mesura que avanci el tríleg.

Com pots saber si una plataforma de videoconferència és genuïnament sobirana a la UE?

El senyal més fiable és si el proveïdor pot respondre a tres preguntes amb evidència documentada en lloc de missatges de màrqueting: On exactament es processen els mitjans en directe i qui opera aquesta infraestructura? On es produeix la inferència d'IA, i qui són els subprocessadors d'IA identificats? La cadena operativa (allotjament, operacions i processament d'IA) es troba íntegrament dins d'entitats constituïdes a la UE no subjectes a règims d'accés legal fora de la UE? Un proveïdor que pugui mapear el seu servei als nivells de sobirania de la CADA en una resposta de contractació està demostrant el tipus de transparència operativa que el marc pretén incentivar.

Quines preguntes haurien de fer els compradors de la UE a un proveïdor de videoconferència sobre núvol i IA?

Els compradors haurien de sol·licitar respostes documentades en tres àrees: (1) la ubicació i l'operador de la infraestructura que gestiona els mitjans en directe i les gravacions; (2) la identitat, la ubicació i la jurisdicció legal de tots els subprocessadors d'IA que gestionen la transcripció, els resums o qualsevol altra funcionalitat que impliqui mitjans decodificats; i (3) si el proveïdor pot aportar un mapatge del seu servei als nivells d'assegurament de sobirania de la CADA, amb evidència de suport. Un repositori públic o una etiqueta 'conforme al RGPD' no és una resposta suficient a cap d'aquestes preguntes.