Security

Sobirania digital al núvol: jurisdicció vs. ubicació del servidor

Digital Samba
by Digital Samba
10 min read
May 20, 2026 6:00:00 AM

Les eines de comunicació al núvol s'han convertit en una part bàsica del funcionament de qualsevol organització. Plataformes de missatgeria, compartició d'arxius i videoconferència sostenen flux de treball quotidià, des de la col·laboració interna fins a l'atenció al client. El teletreball i els models híbrids han accelerat aquest canvi, i per a la majoria d'organitzacions aquestes eines ja no són opcionals.

Al mateix temps, les organitzacions presten més atenció a com i on es processen les seves dades. Les preguntes sobre jurisdicció, control i compliment normatiu, que abans s'adreçaven sobretot a sistemes d'emmagatzematge i bases de dades, avui també s'apliquen a les eines de comunicació en temps real.

Aquest article explica què significa la sobirania en el context de la videoconferència: per què la jurisdicció importa, en què es diferencia un núvol sobirà de conceptes més senzills com la residència de dades, i quines preguntes cal fer al proveïdor abans de signar un contracte.

Taula de continguts

  1. Què és un núvol sobirà
  2. Núvol sobirà i jurisdicció legal
  3. L'estat de l'EUCS i les iniciatives nacionals
  4. Per què la sobirania importa en videoconferència
  5. Preguntes per fer al teu proveïdor
  6. Què vol dir realment "videoconferència sobirana"
  7. Preguntes freqüents

Què és un núvol sobirà

El terme "núvol sobirà" fa referència a un entorn de computació al núvol on les dades estan subjectes només a les lleis i els marcs de governança d'un país o regió específics, normalment allà on es processen i es controlen.

Una definició pràctica inclou quatre elements:

  1. Ubicació de les dades. Les dades es desen i es processen dins d'una regió geogràfica definida, com per exemple la Unió Europea.
  2. Jurisdicció legal. Les dades es regeixen exclusivament pel marc legal d'aquesta regió, sense exposició a lleis estrangeres en conflicte.
  3. Control de l'operador. La infraestructura la gestionen entitats subjectes a la jurisdicció local i no controlades per matrius estrangeres.
  4. Immunitat enfront de l'accés governamental estranger. Les dades no poden ser accedides per autoritats estrangeres mitjançant legislació extraterritorial.

La sobirania va més enllà d'on es troben físicament els servidors. La sobirania real requereix alineació entre infraestructura, propietat i control legal. Sense els tres elements, una organització pot continuar exposada a riscos legals externs.

Sobirania vs residència de dades

Aquests dos termes sovint es fan servir indistintament, però volen dir coses diferents. La residència de dades vol dir que les dades es desen en una ubicació concreta. No garanteix qui hi pot accedir ni sota quines lleis. Per exemple, dades emmagatzemades en un centre de dades europeu però operat per un proveïdor estranger poden continuar subjectes a legislació no comunitària.

Sobirania vs allotjament "a la regió UE"

Molts proveïdors ofereixen allotjament "a la regió UE", que normalment vol dir que les dades es troben en servidors ubicats a Europa. Per si sol no n'hi ha prou.

El proveïdor pot tenir la seu fora de la UE, cosa que vol dir que la seva estructura corporativa global pot estar exposada a obligacions legals que es projecten més enllà del marc regulador europeu. En conseqüència, pot necessitar respondre a sol·licituds o requeriments d'autoritats no europees, i les dades poden ser accessibles sota una jurisdicció estrangera.

Una comparació senzilla:

Escenari Ubicació de les dades Propietat Exposició legal
Centre de dades a la UE (proveïdor estranger) UE No-UE Possible accés estranger
Núvol sobirà UE UE Només jurisdicció UE

Aquesta distinció importa per a organitzacions que han de complir amb la normativa europea de protecció de dades. El RGPD imposa obligacions estrictes sobre com es tracten, transfereixen i accedeixen les dades personals. Confiar només en la residència, sense garantir la sobirania completa, pot deixar l'organització exposada a marcs legals estrangers que entren en conflicte amb aquests requisits, soscavant principis com el tractament lícit, la minimització de dades i la protecció contra accés no autoritzat.

Núvol sobirà i jurisdicció legal

La jurisdicció legal és un dels aspectes més importants de la sobirania, i un dels que més sovint es passa per alt.

La CLOUD Act dels Estats Units permet a les empreses nord-americanes lliurar dades a les autoritats dels EUA fins i tot quan aquestes dades es desen fora del país. Per tant, dades ubicades en un centre de dades europeu poden ser accessibles sota llei estrangera si el proveïdor té seu als EUA. La sentència Schrems II del Tribunal de Justícia de la UE (2020) va reforçar aquesta preocupació en concloure que les clàusules contractuals tipus, per si soles, no són suficients quan el proveïdor està subjecte a lleis de vigilància que entren en conflicte amb els estàndards europeus de protecció de dades.

D'aquí es deriven algunes implicacions:

  • La propietat importa. Encara que la infraestructura sigui a la UE, una empresa amb seu en un altre lloc pot estar obligada a complir amb requeriments legals estrangers.
  • El control determina el risc. Si un proveïdor està subjecte a múltiples jurisdiccions, l'organització s'enfronta a incertesa sobre l'accés a les dades i el compliment normatiu.
  • Expectatives reguladores europees. El marc europeu de protecció de dades exigeix previsibilitat, transparència i control sobre el tractament. L'exposició a sistemes legals externs complica el compliment.

Per a organitzacions de sanitat, educació i administració pública, aquestes qüestions són especialment importants. L'ENISA (l'Agència Europea per a la Ciberseguretat) ha assenyalat que els proveïdors sanitaris afronten riscos significatius quan els serveis al núvol els operen entitats subjectes a lleis extraterritorials. Aquests sectors gestionen historials clínics, informació d'estudiants i dades de ciutadans, totes amb obligacions legals i ètiques estrictes sobre confidencialitat i responsabilitat, sovint amb normes nacionals o sectorials sumades al RGPD.

A l'Estat espanyol, aquestes obligacions es concreten encara més. L'Esquema Nacional de Seguretat (ENS), regulat pel Reial decret 311/2022, és d'aplicació obligatòria a totes les administracions públiques i als operadors privats que els presten serveis. Per als nivells de seguretat Mitjà i Alt, l'ENS exigeix garanties específiques sobre la jurisdicció i la cadena de subministrament dels serveis al núvol.

A Catalunya, el CTTI (Centre de Telecomunicacions i Tecnologies de la Informació de la Generalitat) és el responsable de la contractació de serveis tecnològics per a la majoria de departaments de la Generalitat. Quan el CTTI o un ajuntament licita una eina al núvol per a serveis crítics, els criteris de sobirania ja són un factor pràctic d'exclusió per a alguns proveïdors.

L'estat de l'EUCS i les iniciatives nacionals

L'EUCS (European Cybersecurity Certification Scheme for Cloud Services) és l'esquema europeu de certificació de ciberseguretat per a serveis al núvol que ENISA porta anys preparant. La idea és tenir un marc únic per a tota la UE amb tres nivells d'assegurament: bàsic, substancial i alt.

L'esquema és, en principi, voluntari. Però la directiva NIS2 i la futura llei europea sobre dades preveuen que els estats membres puguin exigir certificació EUCS a entitats essencials, importants i, en alguns casos, a usuaris comercials. A la pràctica, una certificació "voluntària" pot acabar sent obligatòria per a contractació pública.

El punt més polèmic ha estat l'anomenada "clàusula de sobirania" del nivell més alt: la possibilitat de restringir la certificació a proveïdors amb seu i operació a la UE, per garantir immunitat enfront d'accessos extraterritorials. Aquesta clàusula es va eliminar de l'esborrany de 2024, però el debat continua i alguns estats membres mantenen pressió per reintroduir-la, sigui directament a l'EUCS o per via legislativa nacional.

Mentre l'EUCS no es resol, alguns estats han avançat amb esquemes propis. França té el SecNumCloud, una certificació nacional que exclou explícitament proveïdors no europeus de la contractació pública. Alemanya té el C5 (Cloud Computing Compliance Criteria Catalogue) del BSI. La iniciativa Gaia-X, en què participen empreses i administracions de tota Europa (incloent operadors espanyols i catalans), busca crear una federació europea d'infraestructures de dades amb principis de sobirania compartits.

Per a una organització catalana, el missatge pràctic és aquest: encara no hi ha un segell europeu únic que digui "aquest proveïdor és sobirà". Però la direcció és clara, i les organitzacions que aposten per proveïdors europeus ben establerts es posicionen millor enfront de qualsevol futur enduriment.

Per què la sobirania importa en videoconferència

Les plataformes de videoconferència plantegen reptes diferents dels serveis al núvol tradicionals perquè processen dades de manera contínua i en temps real.

Els fluxos de comunicació en directe es transmeten, processen i sovint es ruten a través de diversos nodes simultàniament. A diferència d'un fitxer guardat a l'emmagatzematge, l'àudio i el vídeo estan en moviment constant, cosa que fa essencial entendre on es processen i sota quina jurisdicció.

A més, una videotrucada genera molta metadada al costat del flux de mitjans: identitats dels participants, horaris d'entrada i sortida, dispositius i informació de xarxa. En entorns regulats, aquesta metadada pot ser tan sensible com el contingut mateix de la trucada.

Moltes plataformes ofereixen també enregistraments, transcripcions automàtiques i registres de xat. Aquestes funcionalitats generen dades persistents que cal desar, gestionar i protegir d'acord amb la normativa aplicable, afegint una capa més de responsabilitat de compliment.

Les plataformes modernes també s'integren amb serveis de tercers o suporten transmissió en directe, cosa que pot introduir fluxos de dades addicionals i ampliar el nombre de sistemes que toquen les teves dades.

En comparació amb l'emmagatzematge estàtic, la videoconferència eleva el llistó de la sobirania: les dades es processen dinàmicament en lloc de simplement desar-se, hi ha múltiples tipus de dades implicats simultàniament, i les integracions externes poden estendre els fluxos més enllà de la plataforma principal. Avaluar només on es desen les dades no és suficient: cal entendre com es gestionen al llarg de tot el seu cicle de vida.

Preguntes per fer al teu proveïdor

Quan avaluïs una plataforma, aquestes preguntes t'ajudaran a anar més enllà del màrqueting i entrar al detall:

  1. On es processen les dades de vídeo en temps real? Concreta si els fluxos de mitjans es queden dins d'una regió definida.
  2. Qui opera i controla la infraestructura? Esbrina si el proveïdor està subjecte a propietat o influència estrangera.
  3. Quina jurisdicció regeix les sol·licituds d'accés? Has d'entendre com respon el proveïdor a requeriments legals de dades.
  4. Els enregistraments i les transcripcions són opcionals? Assegura't que les funcionalitats de dades persistents es poden activar o desactivar segons calgui.
  5. Es poden controlar les funcionalitats per organització? Busca flexibilitat en la configuració del tractament de dades.
  6. Quins subencarregats fa servir? Si la plataforma fa servir DNS, transcripció o serveis de suport externs, aquests també formen part de la cadena.
  7. Pot signar el DPA amb les teves clàusules? Per a sectors regulats, el DPA estàndard del proveïdor pot no ser suficient.

Què vol dir realment "videoconferència sobirana"

A la pràctica, una videoconferència sobirana significa que les dades de comunicació en temps real es processen dins d'una jurisdicció definida, que la infraestructura l'operen entitats subjectes a aquesta jurisdicció, i que els fluxos de dades són previsibles i transparents. Les organitzacions també mantenen control sobre funcionalitats opcionals com els enregistraments i les integracions.

Això s'alinea amb els principis bàsics de protecció de dades: minimització, responsabilitat i control. També reflecteix la demanda creixent d'infraestructura digital que compleixi els requisits reguladors sense sacrificar funcionalitat.

Com ho aborda Digital Samba

Digital Samba està construïda al voltant de la protecció de dades europea i el control operatiu. Els punts següents són rellevants per a organitzacions que estan avaluant la sobirania:

  • Infraestructura ubicada a la UE. El processament de vídeo es fa a centres de dades europeus: producció a Leaseweb (Països Baixos) i Scaleway (França, Països Baixos, Polònia), amb còpies de seguretat a Leaseweb Alemanya (Frankfurt). Cap dada d'aplicació o de sessió es desa fora de la UE.
  • Propietat i operació europees. Digital Samba és una empresa amb seu a Barcelona, operada per una entitat europea. Això limita l'exposició a sol·licituds d'accés extraterritorial des de jurisdiccions no comunitàries.
  • Control sobre les funcionalitats que generen dades. Les organitzacions poden decidir si volen activar enregistraments, transcripcions i altres funcionalitats que generen dades persistents, cosa que facilita aplicar polítiques de minimització.
  • Arquitectura transparent. El Security White Paper de març de 2026 documenta com es gestiona cada categoria de dades, simplificant les avaluacions de compliment dels equips interns.
  • Integració via API i SDK. Digital Samba es pot incrustar als sistemes existents, de manera que les organitzacions mantenen control sobre el conjunt dels seus fluxos de dades sense haver-los de cedir a una plataforma separada.

Per a entendre com la nostra arquitectura encaixa en el teu cas concret, pots consultar la informació legal i la declaració de privacitat i RGPD, o contactar amb l'equip per discutir requisits específics.

Preguntes freqüents

Què diferencia un núvol sobirà d'un servidor allotjat a la UE?

L'allotjament a la UE només garanteix la ubicació física dels servidors. Un núvol sobirà afegeix dues condicions: que l'operador estigui subjecte exclusivament a la jurisdicció europea, i que la propietat sigui europea. Sense aquestes dues condicions, les dades poden continuar exposades a lleis extraterritorials com la CLOUD Act, encara que el data center sigui a Frankfurt o Amsterdam.

Què és exactament la CLOUD Act i per què afecta organitzacions europees?

La Clarifying Lawful Overseas Use of Data Act és una llei estatunidenca de 2018 que obliga els proveïdors amb seu als EUA a lliurar dades a les autoritats federals quan se'ls requereix, independentment d'on es trobin físicament aquestes dades. Això vol dir que un hospital català que faci servir un servei al núvol d'un proveïdor nord-americà, encara que les dades dels pacients siguin en un centre europeu, pot teòricament veure aquestes dades requerides per autoritats dels EUA, sense control directe per part del client europeu.

S'ha aprovat ja l'EUCS amb requisits de sobirania?

No del tot. La versió més recent de l'esborrany (2024) va eliminar els requisits explícits de sobirania, mantenint només requisits funcionals. Tanmateix, la pressió política d'estats com França, Espanya i Itàlia per reintroduir aquests requisits continua, i alguns estats apliquen ja esquemes nacionals propis (SecNumCloud a França, C5 a Alemanya). Per al sector públic, val la pena seguir el procés de prop.

Una empresa privada catalana està obligada a fer servir núvol sobirà?

Depèn del sector. Per al sector privat general, no hi ha obligació legal directa més enllà del compliment del RGPD. Però per a entitats considerades essencials o importants sota la NIS2 (incloent sanitat privada, energia, aigua, serveis financers, infraestructura digital), els requisits de seguretat de la cadena de subministrament fan que la sobirania sigui un factor pràctic gairebé inevitable. A més, el sector públic català (Generalitat, ajuntaments, universitats) ja l'aplica via ENS i contractes del CTTI.

Què és la iniciativa Gaia-X i per què és rellevant?

Gaia-X és un projecte impulsat originalment per França i Alemanya el 2019, ara amb participació de tot Europa, que busca crear una federació d'infraestructures de dades europees amb principis comuns de sobirania, interoperabilitat i transparència. No és una infraestructura única, sinó un marc i un conjunt d'estàndards perquè proveïdors europeus puguin oferir serveis amb garanties comparables a les dels grans hyperscalers, però sota control europeu.

Com puc verificar de manera senzilla si un proveïdor és realment sobirà?

Comprova tres coses: (1) on està la seu legal de l'empresa, (2) on són els centres de dades de producció (no només els de "redundància"), i (3) qui és el titular últim de l'empresa (especialment si és filial d'un grup internacional). Si tots tres apunten a la UE, tens un punt de partida sòlid. Demana sempre el Security White Paper o un document equivalent al proveïdor: si no en té, és un mal senyal.

Back to top
Previous story
← Educació a distància: del correu postal a l'aula virtual