La videoconferència ocupa una posició incòmoda per a les organitzacions de la UE: és un dels serveis més dependents del núvol, més intensius en dades i cada vegada més saturats d'IA que gestionen diàriament. Cada sessió genera mitjans en temps real que s'han d'enrutar en algun lloc, metadades que s'han d'emmagatzemar en algun lloc, i, amb una freqüència creixent, transcripcions processades per IA i resums de reunions que s'han d'inferir en algun lloc. Aquell 'lloc' és ara una qüestió de compliment normatiu i contractació pública, no simplement una decisió d'enginyeria.
La Llei de Desenvolupament del Núvol i la IA (CADA), proposada per la Comissió Europea el 3 de juny de 2026 com a part del paquet Tech Sovereignty Package, ha estat dissenyada per respondre a aquesta qüestió. La legislació introdueix un nou marc de sobirania del núvol i la IA a escala europea, reestructura com els organismes del sector públic contracten serveis al núvol, i estableix l'objectiu de triplicar la capacitat dels centres de dades de la UE en cinc a set anys. Res d'això és abstracte per a un responsable de contractació que ha d'escollir una plataforma de vídeo per a un hospital, un servei judicial o un regulador financer.
La CADA va entrar en el procés legislatiu el 3 de juny de 2026, amb l'adopció prevista cap al Q4 del 2027, de manera que els seus requisits encara no estan en vigor. Tanmateix, les organitzacions que prenen decisions de contractació avui estan consolidant cadenes operatives que seran avaluades d'acord amb aquest marc a mesura que passi de proposta a reglament.
Aquest article fa la legislació concreta per a aquest públic. La CADA remodela la capa del núvol i la IA que hi ha sota el teu sistema de videoconferència, i entendre el que requereix realment és el primer pas per saber si la teva plataforma actual (o la que estàs avaluant) resistirà l'escrutini al qual s'enfrontarà cada cop més.
Taula de continguts
La Llei de Desenvolupament del Núvol i la IA s'estructura al voltant de tres àrees d'intervenció, cadascuna de les quals afecta la infraestructura de videoconferència d'una manera diferent.
| Nivell | Enfocament | Requisits clau |
|---|---|---|
| 1 | Ubicació bàsica | Dades processades i emmagatzemades en infraestructura físicament ubicada dins de la UE. |
| 2 | Independència | El proveïdor demostra independència dels règims jurídics de tercers països; cadena de subministrament de programari transparent. |
| 3 | Control de la UE | El proveïdor és propietat i està controlat des de la UE; criteris addicionals inclouen la ciutadania del personal. La Comissió pot reconèixer alguns proveïdors de tercers països. |
| 4 | Sobirania plena | Transparència i control totals sobre la cadena de subministrament de programari; cap interferència de tercers països de cap tipus. |
Un cop adoptada, la normativa exigiria que les administracions públiques avaluïn quins sistemes depenen de serveis externs al núvol, els classifiquin per nivell d'assegurament i contractin en conseqüència, un procés que la proposta ancla als articles 29 i 30. En virtut d'aquest marc, el nivell assignat a qualsevol servei es deriva de l'avaluació de riscos del propi organisme, no d'una assignació predeterminada. Un organisme del sector públic que gestioni una plataforma de videoconferència sensible normalment trobaria que la seva avaluació de riscos justifica un nivell d'assegurament superior a la simple ubicació a la UE, però la classificació és seva. Els requisits dels nivells 2, 3 i 4 només passen a ser obligatoris per a activitats que l'avaluació de riscos d'un estat membre identifiqui com a contribuents a la preservació de l'ordre públic o les operacions de sectors crítics.
L'àmbit d'aplicació del reglament no es limita als organismes públics. La CADA també faculta la Comissió per adoptar actes delegats que exigeixin que les empreses privades dels sectors regulats per la NIS2, inclosos la banca, l'energia, les telecomunicacions i la sanitat, duguin a terme avaluacions de risc de sobirania comparables. Aquest mecanisme d'extensió és directament rellevant per als hospitals, els reguladors financers i les empreses de telecomunicacions que constitueixen el públic principal d'aquest article.
La majoria de serveis al núvol toquen una o dues dimensions del marc de sobirania. La videoconferència les toca totes simultàniament, la qual cosa és la raó per la qual proporciona la prova més clara de si una organització aplica genuïnament el marc o simplement compleix el criteri més obvi mentre ignora la resta.
Una sessió en directe enruta els mitjans en temps real a través d'una Unitat de Reenviament Selectiu (SFU) allotjada al núvol. Aquesta és una qüestió d'infraestructura al núvol: on s'estan processant els mitjans, i aquesta infraestructura està governada per una cadena operativa sobirana de la UE? La gravació d'aquesta mateixa sessió s'emmagatzema en algun lloc com a dades en repòs. Aquesta és una qüestió d'emmagatzematge de dades separada, amb les seves pròpies implicacions de sobirania pel que fa a la retenció, l'accés i la gestió de claus. I cada vegada més, la transcripció, el resum de la reunió i l'extracció d'elements d'acció es processen per un model d'IA que rep àudio o vídeo decodificat com a entrada, la qual cosa és una tercera qüestió diferent: on es produeix realment la inferència, i els mitjans surten de la UE per arribar-hi?
La videoconferència sobirana requereix una resposta creïble a les tres preguntes, no només a la primera sobre la ubicació del centre de dades. La majoria de les converses de contractació s'aturen aquí: 'On teniu els servidors?' és la pregunta que es fa; la destinació de la inferència d'IA rarament es planteja. Però el marc de sobirania no permet aquesta atenció selectiva. Considera una plataforma que enruta els mitjans en servidors ubicats a la UE mentre envia àudio a un proveïdor d'IA fora de la UE per a la transcripció: satisfà el nivell 1 però probablement plantejaria problemes al nivell 2, perquè el proveïdor que realitza la inferència sobre els mitjans decodificats es converteix en un subprocessador la jurisdicció reguladora del qual és directament material per al compliment de la sobirania. La proposta no prohibeix explícitament la inferència d'IA fora de la UE al nivell 2; aquest argument és una lectura del requisit d'independència del nivell 2, no una disposició nominativa. On apareix la prohibició explícita és al nivell 4, que requereix cap interferència de tercers països de cap tipus.
Precisament per això, el vídeo s'ha convertit en el cas més difícil. La combinació d'enrutament de mitjans en temps real, gravacions emmagatzemades i cadenes de processament d'IA significa que una plataforma de videoconferència genuïnament sobirana ha d'evidenciar una cadena governada per la UE en tres fluxos de dades diferenciats, no en un. Els compradors que només auditen el primer estan deixant la vulnerabilitat tècnicament més complexa sense examinar.
La sobirania del núvol per al vídeo es resol en tres capes que s'han de verificar per separat, perquè cadascuna pot fallar de manera independent mentre les altres semblen superar la prova.
Una plataforma que supera les tres capes és una categoria de producte diferent d'una que només supera la primera. Les càrregues de treball de major sensibilitat (poder judicial, defensa, intel·ligència) també necessitarien complir els requisits de propietat i control europeus del nivell 3 i la transparència total de la cadena de subministrament del nivell 4, de manera que la llista de verificació de les tres capes que hi ha a continuació no s'ha de tractar com a exhaustiva per a aquests contextos. La distinció importa ara, perquè les organitzacions que prenen decisions de contractació avui estan consolidant cadenes operatives que seran avaluades d'acord amb aquest marc a mesura que passi de proposta a reglament.
Una plataforma que pugui respondre de manera creïble a les tres capes ha pres decisions arquitectòniques deliberades des del principi, no ha assemblat un relat de compliment a posteriori. Les decisions que importan no tracten principalment de papers; tracten de per on flueixen els mitjans, qui pot llegir-los i quina jurisdicció legal regeix les persones responsables d'ells.
Per fer-ho concret: qualsevol plataforma que busqui demostrar la preparació per a la CADA hauria de mostrar evidència documentada per a cada capa de la cadena de sobirania, cobrint on es processen els mitjans, qui opera i controla aquesta infraestructura, i com es gestionen les funcionalitats d'IA. Considera com és això per a una plataforma dissenyada al voltant d'aquestes limitacions des del principi.
A Digital Samba, les decisions arquitectòniques estan documentades i són públiques. La infraestructura dels productes Embedded i Free està allotjada a la UE, amb subprocessadors basats a la UE i jurisdiccions adequades al RGPD. La SFU reenvía paquets xifrats sense decodificar el contingut dels mitjans, la qual cosa limita la superfície de tractament de dades del costat del servidor a l'enrutament de paquets en lloc de l'accés als mitjans. Això reflecteix la nostra arquitectura documentada i és una autodeclaració del proveïdor consistent amb el disseny estàndard de la SFU. El processament que treballa sobre els mitjans decodificats, com ara la transcripció i l'anàlisi, és gestionat per un subprocessador d'IA basat a la UE i contractat, en lloc d'enrutar-se a un punt d'inferència global. L'SDK incrustat es publica sota una llicència BSD-2-Clause, proporcionant una capa d'integració concreta sense dependència del proveïdor que s'alinea directament amb la promoció de solucions de codi obert per part de la legislació com a mecanisme de resiliència.
Per als compradors, l'opció pràctica que això crea és entre assemblar aquesta cadena ells mateixos a través d'infraestructura de codi obert autogestionada, o heretar-la incrustant una plataforma que ja l'ha construïda. L'autogestió aconsegueix els mateixos objectius de sobirania, però requereix que el comprador assumeixi tota la càrrega operativa: aprovisionament d'infraestructura, manteniment de la SFU, relacions contractuals amb subprocessadors d'IA, generació d'evidències de compliment i aplicació contínua de pedaços de seguretat. El model incrustat transfereix aquesta complexitat al proveïdor sense transferir la sobirania, sempre que el proveïdor pugui evidenciar la cadena de principi a fi.
Una advertència important: per a les càrregues de treball que requereixen l'assegurament del nivell 4 (control total de la cadena de subministrament, cap interferència de tercers països de cap tipus), un servei incrustat gestionat pel proveïdor pot no ser suficient. Els compradors que operen a aquest nivell normalment haurien de controlar la pila completa, inclosa la gestió de la SFU en la seva pròpia infraestructura. El model incrustat és el més adequat directament per als requisits de contractació dels nivells 2 i 3.
El model de tres capes produeix un conjunt pràctic de preguntes per a qualsevol procés de contractació de videoconferència. Per a les càrregues de treball que una avaluació de riscos situa al nivell 3 o al nivell 4, aquestes preguntes són un punt de partida; aquests nivells afegeixen requisits de propietat, control i transparència de la cadena de subministrament que van més enllà del que s'enumera aquí.
La legislació no entrarà en vigor d'un dia per l'altre, i la seva forma final emergirà del tríleg (la negociació interinstitucional entre la Comissió, el Parlament i el Consell). Però la direcció és clara i consistent amb totes les iniciatives de sobirania digital europea dels últims tres anys: els serveis al núvol utilitzats per a càrregues de treball sensibles en el sector públic seran avaluats d'acord amb un marc de sobirania de quatre nivells, i la videoconferència, juntament amb els seus mitjans en temps real, les gravacions emmagatzemades i la inferència d'IA, haurà d'evidenciar el compliment en les tres capes del flux de dades, no només en la que és més fàcil de mostrar en un material de màrqueting.
Les plataformes que ja pensen en aquests termes van per davant en la contractació. Per als compradors que necessiten prendre decisions ara, les preguntes de la llista de verificació anterior tradueixen la lògica del reglament en criteris de selecció de proveïdors que haurien de ser-te útils independentment de com es resolgui el tríleg. Una advertència que val la pena assenyalar: l'auditoria de tercers requerida per certificar formalment els nivells 2 a 4 depèn d'un esquema de certificació de ciberseguretat de la UE (EUCS) que encara no s'ha finalitzat, de manera que els proveïdors encara no poden obtenir una certificació validada en virtut del marc CADA. Això és una llacuna d'implementació coneguda, no una raó per retardar les converses de contractació, però val la pena comprendre-ho abans de demanar als proveïdors documentació que encara no existeix.
Per a més informació sobre com abordem la seguretat de les dades i la transparència de la infraestructura, visiteu la pàgina de seguretat de Digital Samba. Per a un tractament més ampli de la sobirania de dades per al vídeo, llegiu el nostre article anterior sobre el tema.
La Llei de Desenvolupament del Núvol i la IA és una proposta legislativa publicada per la Comissió Europea el 3 de juny de 2026 com a part del Paquet de Sobirania Tecnològica de la UE. S'orienta cap a tres àrees: donar suport a la recerca i la innovació en núvol i IA, triplicar la capacitat dels centres de dades de la UE en cinc a set anys, i introduir un marc únic de sobirania a escala europea per avaluar els serveis de núvol i IA. Aquest marc defineix quatre nivells d'assegurament que els organismes del sector públic han d'aplicar en contractar serveis al núvol basant-se en els seus perfils de risc.
La legislació fa que les plataformes de videoconferència estiguin subjectes a una avaluació formal de sobirania quan les fan servir organismes del sector públic. El vídeo toca totes les capes que el marc té en compte: enrutament de mitjans en temps real en infraestructura al núvol, gravacions emmagatzemades i inferència d'IA per a transcripcions i resums. Cadascuna d'elles s'avalua per separat dins del model de sobirania de quatre nivells. Una plataforma que satisfà el nivell 1 però enruta la inferència d'IA a través d'un proveïdor fora de la UE probablement tindria problemes al nivell 2 pel requisit d'independència, tot i que la prohibició geogràfica explícita que les dades d'inferència d'IA surtin de la UE és una norma del nivell 4, no del nivell 2.
La sobirania del núvol per al vídeo significa que el control governat per la UE es pot evidenciar al llarg de tota la cadena de tractament de dades: on s'enruten i emmagatzemen els mitjans, qui opera i controla la infraestructura, i on es produeix la inferència d'IA. L'allotjament a la UE és un subconjunt d'això, ja que satisfà el requisit d'ubicació del nivell 1 però no diu res sobre qui controla la infraestructura ni si l'operador està subjecte a demandes d'accés legal fora de la UE. Una plataforma pot estar allotjada a la UE i, tot i així, fallar la sobirania al nivell 2 si és operada per una entitat no controlada per la UE.
La resposta explícita depèn de quin nivell s'examina. Al nivell 4, el requisit és clar: cap interferència de tercers països de cap tipus, la qual cosa cobreix les cadenes de processament d'inferència d'IA. Al nivell 2, el panorama és menys definit. El requisit d'independència del nivell 2 probablement crearia una barrera funcional per als proveïdors d'IA subjectes a lleis d'accés fora de la UE, però aquesta conclusió és una lectura del requisit d'independència i no una disposició nominativa de la proposta. Per a un organisme del sector públic que contracti una plataforma de videoconferència al nivell 2, enrutar àudio a un proveïdor d'IA fora de la UE per a la transcripció quasi certament crearia problemes en una avaluació de sobirania, fins i tot si la base legal exacta pot evolucionar a mesura que avanci el tríleg.
El senyal més fiable és si el proveïdor pot respondre a tres preguntes amb evidència documentada en lloc de missatges de màrqueting: On exactament es processen els mitjans en directe i qui opera aquesta infraestructura? On es produeix la inferència d'IA, i qui són els subprocessadors d'IA identificats? La cadena operativa (allotjament, operacions i processament d'IA) es troba íntegrament dins d'entitats constituïdes a la UE no subjectes a règims d'accés legal fora de la UE? Un proveïdor que pugui mapear el seu servei als nivells de sobirania de la CADA en una resposta de contractació està demostrant el tipus de transparència operativa que el marc pretén incentivar.
Els compradors haurien de sol·licitar respostes documentades en tres àrees: (1) la ubicació i l'operador de la infraestructura que gestiona els mitjans en directe i les gravacions; (2) la identitat, la ubicació i la jurisdicció legal de tots els subprocessadors d'IA que gestionen la transcripció, els resums o qualsevol altra funcionalitat que impliqui mitjans decodificats; i (3) si el proveïdor pot aportar un mapatge del seu servei als nivells d'assegurament de sobirania de la CADA, amb evidència de suport. Un repositori públic o una etiqueta 'conforme al RGPD' no és una resposta suficient a cap d'aquestes preguntes.