Les eines de comunicació al núvol s'han convertit en una part bàsica del funcionament de qualsevol organització. Plataformes de missatgeria, compartició d'arxius i videoconferència sostenen flux de treball quotidià, des de la col·laboració interna fins a l'atenció al client. El teletreball i els models híbrids han accelerat aquest canvi, i per a la majoria d'organitzacions aquestes eines ja no són opcionals.
Al mateix temps, les organitzacions presten més atenció a com i on es processen les seves dades. Les preguntes sobre jurisdicció, control i compliment normatiu, que abans s'adreçaven sobretot a sistemes d'emmagatzematge i bases de dades, avui també s'apliquen a les eines de comunicació en temps real.
Aquest article explica què significa la sobirania en el context de la videoconferència: per què la jurisdicció importa, en què es diferencia un núvol sobirà de conceptes més senzills com la residència de dades, i quines preguntes cal fer al proveïdor abans de signar un contracte.
Taula de continguts
El terme "núvol sobirà" fa referència a un entorn de computació al núvol on les dades estan subjectes només a les lleis i els marcs de governança d'un país o regió específics, normalment allà on es processen i es controlen.
Una definició pràctica inclou quatre elements:
La sobirania va més enllà d'on es troben físicament els servidors. La sobirania real requereix alineació entre infraestructura, propietat i control legal. Sense els tres elements, una organització pot continuar exposada a riscos legals externs.
Aquests dos termes sovint es fan servir indistintament, però volen dir coses diferents. La residència de dades vol dir que les dades es desen en una ubicació concreta. No garanteix qui hi pot accedir ni sota quines lleis. Per exemple, dades emmagatzemades en un centre de dades europeu però operat per un proveïdor estranger poden continuar subjectes a legislació no comunitària.
Molts proveïdors ofereixen allotjament "a la regió UE", que normalment vol dir que les dades es troben en servidors ubicats a Europa. Per si sol no n'hi ha prou.
El proveïdor pot tenir la seu fora de la UE, cosa que vol dir que la seva estructura corporativa global pot estar exposada a obligacions legals que es projecten més enllà del marc regulador europeu. En conseqüència, pot necessitar respondre a sol·licituds o requeriments d'autoritats no europees, i les dades poden ser accessibles sota una jurisdicció estrangera.
Una comparació senzilla:
| Escenari | Ubicació de les dades | Propietat | Exposició legal |
|---|---|---|---|
| Centre de dades a la UE (proveïdor estranger) | UE | No-UE | Possible accés estranger |
| Núvol sobirà | UE | UE | Només jurisdicció UE |
Aquesta distinció importa per a organitzacions que han de complir amb la normativa europea de protecció de dades. El RGPD imposa obligacions estrictes sobre com es tracten, transfereixen i accedeixen les dades personals. Confiar només en la residència, sense garantir la sobirania completa, pot deixar l'organització exposada a marcs legals estrangers que entren en conflicte amb aquests requisits, soscavant principis com el tractament lícit, la minimització de dades i la protecció contra accés no autoritzat.
La jurisdicció legal és un dels aspectes més importants de la sobirania, i un dels que més sovint es passa per alt.
La CLOUD Act dels Estats Units permet a les empreses nord-americanes lliurar dades a les autoritats dels EUA fins i tot quan aquestes dades es desen fora del país. Per tant, dades ubicades en un centre de dades europeu poden ser accessibles sota llei estrangera si el proveïdor té seu als EUA. La sentència Schrems II del Tribunal de Justícia de la UE (2020) va reforçar aquesta preocupació en concloure que les clàusules contractuals tipus, per si soles, no són suficients quan el proveïdor està subjecte a lleis de vigilància que entren en conflicte amb els estàndards europeus de protecció de dades.
D'aquí es deriven algunes implicacions:
Per a organitzacions de sanitat, educació i administració pública, aquestes qüestions són especialment importants. L'ENISA (l'Agència Europea per a la Ciberseguretat) ha assenyalat que els proveïdors sanitaris afronten riscos significatius quan els serveis al núvol els operen entitats subjectes a lleis extraterritorials. Aquests sectors gestionen historials clínics, informació d'estudiants i dades de ciutadans, totes amb obligacions legals i ètiques estrictes sobre confidencialitat i responsabilitat, sovint amb normes nacionals o sectorials sumades al RGPD.
A l'Estat espanyol, aquestes obligacions es concreten encara més. L'Esquema Nacional de Seguretat (ENS), regulat pel Reial decret 311/2022, és d'aplicació obligatòria a totes les administracions públiques i als operadors privats que els presten serveis. Per als nivells de seguretat Mitjà i Alt, l'ENS exigeix garanties específiques sobre la jurisdicció i la cadena de subministrament dels serveis al núvol.
A Catalunya, el CTTI (Centre de Telecomunicacions i Tecnologies de la Informació de la Generalitat) és el responsable de la contractació de serveis tecnològics per a la majoria de departaments de la Generalitat. Quan el CTTI o un ajuntament licita una eina al núvol per a serveis crítics, els criteris de sobirania ja són un factor pràctic d'exclusió per a alguns proveïdors.
L'EUCS (European Cybersecurity Certification Scheme for Cloud Services) és l'esquema europeu de certificació de ciberseguretat per a serveis al núvol que ENISA porta anys preparant. La idea és tenir un marc únic per a tota la UE amb tres nivells d'assegurament: bàsic, substancial i alt.
L'esquema és, en principi, voluntari. Però la directiva NIS2 i la futura llei europea sobre dades preveuen que els estats membres puguin exigir certificació EUCS a entitats essencials, importants i, en alguns casos, a usuaris comercials. A la pràctica, una certificació "voluntària" pot acabar sent obligatòria per a contractació pública.
El punt més polèmic ha estat l'anomenada "clàusula de sobirania" del nivell més alt: la possibilitat de restringir la certificació a proveïdors amb seu i operació a la UE, per garantir immunitat enfront d'accessos extraterritorials. Aquesta clàusula es va eliminar de l'esborrany de 2024, però el debat continua i alguns estats membres mantenen pressió per reintroduir-la, sigui directament a l'EUCS o per via legislativa nacional.
Mentre l'EUCS no es resol, alguns estats han avançat amb esquemes propis. França té el SecNumCloud, una certificació nacional que exclou explícitament proveïdors no europeus de la contractació pública. Alemanya té el C5 (Cloud Computing Compliance Criteria Catalogue) del BSI. La iniciativa Gaia-X, en què participen empreses i administracions de tota Europa (incloent operadors espanyols i catalans), busca crear una federació europea d'infraestructures de dades amb principis de sobirania compartits.
Per a una organització catalana, el missatge pràctic és aquest: encara no hi ha un segell europeu únic que digui "aquest proveïdor és sobirà". Però la direcció és clara, i les organitzacions que aposten per proveïdors europeus ben establerts es posicionen millor enfront de qualsevol futur enduriment.
Les plataformes de videoconferència plantegen reptes diferents dels serveis al núvol tradicionals perquè processen dades de manera contínua i en temps real.
Els fluxos de comunicació en directe es transmeten, processen i sovint es ruten a través de diversos nodes simultàniament. A diferència d'un fitxer guardat a l'emmagatzematge, l'àudio i el vídeo estan en moviment constant, cosa que fa essencial entendre on es processen i sota quina jurisdicció.
A més, una videotrucada genera molta metadada al costat del flux de mitjans: identitats dels participants, horaris d'entrada i sortida, dispositius i informació de xarxa. En entorns regulats, aquesta metadada pot ser tan sensible com el contingut mateix de la trucada.
Moltes plataformes ofereixen també enregistraments, transcripcions automàtiques i registres de xat. Aquestes funcionalitats generen dades persistents que cal desar, gestionar i protegir d'acord amb la normativa aplicable, afegint una capa més de responsabilitat de compliment.
Les plataformes modernes també s'integren amb serveis de tercers o suporten transmissió en directe, cosa que pot introduir fluxos de dades addicionals i ampliar el nombre de sistemes que toquen les teves dades.
En comparació amb l'emmagatzematge estàtic, la videoconferència eleva el llistó de la sobirania: les dades es processen dinàmicament en lloc de simplement desar-se, hi ha múltiples tipus de dades implicats simultàniament, i les integracions externes poden estendre els fluxos més enllà de la plataforma principal. Avaluar només on es desen les dades no és suficient: cal entendre com es gestionen al llarg de tot el seu cicle de vida.
Quan avaluïs una plataforma, aquestes preguntes t'ajudaran a anar més enllà del màrqueting i entrar al detall:
A la pràctica, una videoconferència sobirana significa que les dades de comunicació en temps real es processen dins d'una jurisdicció definida, que la infraestructura l'operen entitats subjectes a aquesta jurisdicció, i que els fluxos de dades són previsibles i transparents. Les organitzacions també mantenen control sobre funcionalitats opcionals com els enregistraments i les integracions.
Això s'alinea amb els principis bàsics de protecció de dades: minimització, responsabilitat i control. També reflecteix la demanda creixent d'infraestructura digital que compleixi els requisits reguladors sense sacrificar funcionalitat.
Digital Samba està construïda al voltant de la protecció de dades europea i el control operatiu. Els punts següents són rellevants per a organitzacions que estan avaluant la sobirania:
Per a entendre com la nostra arquitectura encaixa en el teu cas concret, pots consultar la informació legal i la declaració de privacitat i RGPD, o contactar amb l'equip per discutir requisits específics.