Digital Samba Blog Español

Ley de la Nube e IA (CADA): soberanía en la videoconferencia

Escrito por Nina Benkotic | julio 8, 2026

La videoconferencia ocupa una posición incómoda para las organizaciones de la UE: es uno de los servicios más dependientes de la nube, más intensivos en datos y cada vez más saturados de IA que gestionan a diario. Cada sesión genera medios en tiempo real que hay que enrutar a algún lugar, metadatos que hay que almacenar en algún lugar y, con creciente frecuencia, transcripciones procesadas por IA y resúmenes de reuniones que hay que inferir en algún lugar. Ese "algún lugar" es ahora una cuestión de cumplimiento normativo y contratación, no solo una decisión de ingeniería. Este artículo traduce la legislación en algo concreto para ese público: CADA remodela la capa de nube e IA que hay debajo de tu infraestructura de vídeo, y entender qué exige realmente es el primer paso para saber si tu plataforma actual aguantará el escrutinio al que se enfrentará.

La Ley de Desarrollo de la Nube e Inteligencia Artificial (en inglés, Cloud and AI Development Act o CADA), propuesta por la Comisión Europea el 3 de junio de 2026 como parte del Paquete de Soberanía Tecnológica, está diseñada para dar respuesta a ese problema. La legislación introduce un nuevo marco europeo de soberanía en la nube y en IA, reestructura la forma en que los organismos del sector público contratan servicios en la nube y fija como objetivo triplicar la capacidad de los centros de datos europeos en un plazo de cinco a siete años. CADA inició su proceso legislativo el 3 de junio de 2026, y su adopción está prevista en torno al cuarto trimestre de 2027, por lo que sus requisitos aún no están en vigor. Aun así, las organizaciones que toman decisiones de contratación hoy están consolidando cadenas operativas que serán evaluadas contra este marco a medida que pase de propuesta a reglamento.

Tabla de contenidos

  1. Qué es realmente la Ley de Desarrollo de la Nube e IA
  2. Por qué la videoconferencia es el caso de prueba más exigente de CADA
  3. Soberanía en la nube para vídeo no es una casilla que marcar: las tres capas que debes analizar
  4. Qué aspecto tiene una plataforma de vídeo preparada para CADA
  5. Lista de verificación de preparación para CADA al elegir una plataforma de vídeo
  6. Conclusión
  7. Preguntas frecuentes

Qué es realmente la Ley de Desarrollo de la Nube e IA

La Ley de Desarrollo de la Nube e IA se articula en torno a tres áreas de intervención, cada una de las cuales afecta a la infraestructura de vídeo de forma distinta.

  1. El eje de investigación, desarrollo e innovación respalda el desarrollo de tecnologías de nube e IA de nueva generación, introduce «grandes retos» para estimular la investigación avanzada en IA y financia la adopción de la nube y la IA en sectores industriales estratégicos y en el sector público a través de Centros de Experiencia y Aceleración para la IA. Para el vídeo, esto importa principalmente en la capa de funciones de IA: el esfuerzo por desarrollar capacidad de inferencia de IA soberana en la UE crea una alternativa a enrutar los medios hacia proveedores de modelos de IA ajenos a la Unión.
  2. El eje de capacidad aborda la insuficiente huella de centros de datos de la UE, que no es suficiente para soportar a escala las cargas de trabajo de computación de IA que necesitan sus instituciones e industrias. La legislación fija como objetivo triplicar como mínimo la capacidad de los centros de datos europeos en un plazo de cinco a siete años, simplificando los permisos, mejorando el acceso a la energía, el suelo y la financiación, y eliminando los cuellos de botella estructurales que han frenado la expansión de la nube en la UE. En la práctica, esto importa porque la videoconferencia soberana depende de contar con infraestructura suficiente dentro de la UE para enrutar los medios, y actualmente esa oferta es limitada.
  3. El eje de autonomía es el más relevante para las decisiones de contratación de hoy. Este apartado introduce un marco único de soberanía a escala europea para evaluar los servicios de nube e IA, define cuatro niveles de garantía distintos que los organismos del sector público deben aplicar al contratar servicios en la nube según su evaluación de riesgos, y establece un marco común de contratación a nivel de la UE. Los cuatro niveles se detallan a continuación.
Nivel Enfoque Requisitos clave
1 Ubicación básica Datos tratados y almacenados en infraestructura situada físicamente dentro de la UE.
2 Independencia El proveedor demuestra independencia de los regímenes jurídicos de terceros países; cadena de suministro de software transparente.
3 Control de la UE El proveedor es de titularidad y control europeos; los criterios adicionales incluyen la ciudadanía del personal. La Comisión puede reconocer a determinados proveedores de terceros países.
4 Soberanía plena Transparencia y control totales sobre la cadena de suministro de software; ninguna interferencia de terceros países de ningún tipo.

Una vez adoptado el reglamento, se exigiría a las administraciones públicas que evaluasen qué sistemas dependen de servicios de nube externos, los clasificasen por nivel de garantía y contratasen en consecuencia. Este proceso está anclado en los artículos sobre evaluación de riesgos de la propuesta. Según ese marco, el nivel asignado a cada servicio concreto depende de la propia evaluación de riesgos del organismo, no de una correspondencia predeterminada. Un organismo público que gestione una plataforma de vídeo sensible encontrará en general que su evaluación de riesgos exige un nivel de garantía superior a la simple ubicación en la UE, pero la clasificación corresponde al propio organismo. Los requisitos de los niveles 2, 3 y 4 pasan a ser obligatorios solo para las actividades que la evaluación de riesgos de un Estado miembro identifique como contribuyentes a la preservación del orden público o de operaciones en sectores críticos.

El ámbito de aplicación del reglamento no se limita a los organismos públicos. CADA también faculta a la Comisión para adoptar actos delegados que obliguen a las empresas privadas de sectores regulados por la Directiva NIS2, incluidos la banca, la energía, las telecomunicaciones y la sanidad, a realizar evaluaciones de riesgo de soberanía comparables. Este mecanismo de extensión es directamente relevante para los hospitales, los reguladores financieros y las operadoras de telecomunicaciones que son el público principal de este artículo.

Por qué la videoconferencia es el caso de prueba más exigente de CADA

La mayoría de los servicios en la nube tocan una o dos dimensiones del marco de soberanía. La videoconferencia las toca todas al mismo tiempo, lo que la convierte en la prueba más clara de si una organización está aplicando realmente el marco o se está limitando a cumplir con el criterio más evidente mientras ignora el resto.

Una sesión en directo enruta medios en tiempo real a través de una unidad de reenvío selectivo (SFU) alojada en la nube. Esa es una cuestión de infraestructura: ¿dónde se están tratando los medios y esa infraestructura está gobernada por una cadena operativa soberana en la UE? La grabación de esa misma sesión se almacena en algún lugar como datos en reposo. Esa es una pregunta distinta sobre almacenamiento de datos, con sus propias implicaciones de soberanía en cuanto a retención, acceso y gestión de claves. Y cada vez más, la transcripción, el resumen de la reunión y la extracción de puntos de acción son tratados por un modelo de IA que recibe audio o vídeo decodificado como entrada, lo que plantea una tercera pregunta diferente: ¿dónde ocurre realmente la inferencia y los medios salen de la UE para llegar a ella?

La mayoría de las conversaciones de contratación se detienen en la primera capa: "¿Dónde están vuestros servidores?" es la pregunta que se hace; el destino de la inferencia de IA rara vez se pregunta. Pero el marco de soberanía no permite esa atención selectiva. Imagina una plataforma que enruta los medios en servidores dentro de la UE mientras envía el audio a un proveedor de IA fuera de la UE para su transcripción. Cumple el Nivel 1, pero probablemente plantearía problemas en el Nivel 2, porque el proveedor que realiza la inferencia sobre medios decodificados se convierte en un subencargado cuya jurisdicción rectora es directamente relevante para el cumplimiento de la soberanía. La propuesta no prohíbe aún de forma explícita la inferencia de IA fuera de la UE en el Nivel 2; ese argumento es una lectura del requisito de independencia del Nivel 2, no una disposición concreta. Donde sí aparece la prohibición explícita es en el Nivel 4, que exige ninguna interferencia de terceros países de ningún tipo.

Por eso el vídeo se ha convertido en el caso más difícil. La combinación de enrutamiento de medios en tiempo real, grabaciones almacenadas y cadenas de procesamiento de IA significa que una plataforma de vídeo genuinamente soberana debe acreditar una cadena gobernada por la UE en tres flujos de datos distintos, no en uno solo. Los compradores que auditan solo el primero están dejando sin examinar la vulnerabilidad técnicamente más compleja.

Soberanía en la nube para vídeo no es una casilla que marcar: las tres capas que debes analizar

Las tres preguntas del apartado anterior no son aspectos del mismo problema; son capas independientes que debes analizar por separado, porque cada una puede fallar de forma independiente mientras las otras parecen superarse.

  1. La capa de infraestructura abarca dónde se enrutan los medios en tiempo real durante una sesión en directo y dónde se almacenan las grabaciones en reposo. Esto se corresponde más directamente con el requisito del Nivel 1: datos tratados y almacenados en infraestructura dentro de la UE. Es la capa que ya comprueban la mayoría de los compradores, y es necesaria pero no suficiente. Un proveedor con sede en Estados Unidos puede operar servidores dentro de la UE; eso cumple el Nivel 1 sin abordar en absoluto el Nivel 2.
  2. La capa del operador pregunta quién controla la infraestructura y quién puede ser obligado, por qué autoridad legal, a entregar el acceso o los datos. Los proveedores de nube controlados desde EE. UU. que operan centros de datos dentro de la UE siguen estando sujetos a marcos jurídicos estadounidenses que pueden obligar a esos mismos proveedores a revelar información independientemente de dónde estén situados físicamente los servidores. El Nivel 2 exige independencia demostrada de los regímenes jurídicos de terceros países y transparencia sobre la cadena de suministro de software. Para el vídeo, esto significa preguntar no solo dónde está el hardware, sino bajo qué obligaciones legales opera la entidad que lo gestiona, y si esa entidad puede ser obligada fuera del derecho de la UE. Proveedores con sede en EE. UU. han buscado la certificación en los Niveles 2 y 3 mediante empresas conjuntas y filiales bajo control europeo. La licitación SEAL de nube soberana de abril de 2026 adjudicó un contrato al consorcio Proximus, que trabaja con S3NS (una empresa conjunta de Thales y Google Cloud que opera bajo controles legales y operativos franceses), en el nivel SEAL-2.

    Los otros tres adjudicatarios (Post Telecom, en consorcio con OVHcloud y CleverCloud; STACKIT y Scaleway, cada uno de ellos de forma independiente) alcanzaron el nivel SEAL-3 porque no tenían dependencias materiales de la cadena de suministro fuera de la UE. El resultado de S3NS fue criticado públicamente como «sovereignty washing» por CISPE, que representa a 38 empresas europeas de nube y que argumentó que adjudicar el contrato a una estructura respaldada por Google socavaba el propósito del marco; los proveedores de origen puramente europeo que alcanzaron el Nivel 3 son los que los arquitectos del marco tenían en mente. Si acuerdos como el consorcio Proximus/S3NS constituyen soberanía sustantiva o una solución pragmática es un debate abierto; la prueba que aplica la propuesta es la cadena operativa y jurídica, no la bandera del logotipo.
  3. La capa de IA y flujo de datos es la que se pasa por alto con más frecuencia. La transcripción por IA, los resúmenes de reuniones, la cancelación de ruido y los análisis de intervención implican que medios decodificados se envían a un punto de inferencia. La pregunta es directa: ¿ese punto está dentro de la UE, lo opera una entidad soberana europea y está libre de interferencias de terceros países? En el Nivel 4, la respuesta debe ser sí sin matices: el nivel prohíbe explícitamente cualquier interferencia de terceros países de ningún tipo, lo que incluye las cadenas de inferencia de IA. En el Nivel 2, la situación es menos clara: enrutar audio o vídeo hacia un proveedor de modelos no europeo (incluido uno con servidores en la UE, si ese proveedor sigue sujeto a regímenes de acceso legal no europeos) probablemente entraría en conflicto con el requisito de independencia, aunque esa conclusión es una interpretación del texto y no una norma explícita. La cadena de procesamiento de IA no es una categoría de producto aparte; es parte de la misma cadena de tratamiento de datos.

Una plataforma que supera las tres capas es una categoría de producto distinta de una que solo supera la primera. Las cargas de trabajo más sensibles (poder judicial, defensa, inteligencia) también necesitan cumplir los requisitos de titularidad y control europeos del Nivel 3 y la transparencia total de la cadena de suministro del Nivel 4, por lo que la lista de verificación de tres capas no debe considerarse exhaustiva para esos contextos. La distinción importa ahora, porque las organizaciones que toman decisiones de contratación hoy están consolidando cadenas operativas que serán evaluadas contra este marco a medida que pase de propuesta a reglamento.

Qué aspecto tiene una plataforma de vídeo preparada para CADA

Como editores de este artículo, Digital Samba tiene interés comercial en esta cuestión. Lo que sigue describe nuestra propia arquitectura como ejemplo ilustrativo, no como el único modelo válido.

Una plataforma que puede responder a las tres capas de forma sólida necesita haber tomado decisiones arquitectónicas deliberadas desde el principio, no haber construido un relato de cumplimiento a posteriori. Las decisiones que importan no son principalmente de papeleo; son sobre dónde fluyen los medios, quién puede leerlos y qué jurisdicción legal rige a las personas responsables de ello.

Para que esto sea concreto: cualquier plataforma que quiera demostrar preparación para CADA necesita presentar documentación para cada capa de la cadena de soberanía, cubriendo dónde se tratan los medios, quién opera y controla esa infraestructura y cómo se gestionan las funciones de IA. Considera cómo es eso para una plataforma diseñada en torno a esas restricciones desde el principio.

En Digital Samba, las decisiones arquitectónicas están documentadas y son públicas. La infraestructura de los productos Embedded y Free está alojada en la UE, con subencargados del tratamiento ubicados en la UE y en jurisdicciones adecuadas desde la perspectiva del RGPD. La SFU reenvía los paquetes cifrados sin decodificar el contenido de los medios, lo que limita la superficie de tratamiento de datos del lado del servidor al enrutamiento de paquetes en lugar del acceso a medios. Esto aplica cuando el cifrado de extremo a extremo está activado; en la configuración estándar, la SFU descifra y vuelve a cifrar los flujos durante el enrutamiento. Esto refleja nuestra arquitectura documentada y es una afirmación propia del proveedor coherente con el diseño estándar de una SFU. El tratamiento que trabaja sobre medios decodificados, como la transcripción y el análisis, lo realiza un subencargado de IA con sede en la UE contratado a tal efecto, según nuestra documentación pública, en lugar de enrutarse a un punto de inferencia global. El SDK integrado se publica bajo una licencia BSD-2-Clause, lo que ofrece una capa de integración sin dependencia de proveedor que se alinea directamente con el fomento de soluciones de código abierto como mecanismo de resiliencia que promueve la legislación.

Para los compradores, la elección práctica que esto plantea es entre montar ellos mismos esa cadena mediante infraestructura de código abierto autogestionada, o heredarla integrando una plataforma que ya la ha construido. La autogestión consigue los mismos objetivos de soberanía, pero exige que el comprador asuma toda la carga operativa: aprovisionamiento de infraestructura, mantenimiento de la SFU, relaciones contractuales con subencargados de IA, generación de evidencias de cumplimiento y aplicación continua de parches de seguridad. El modelo de integración transfiere esa complejidad al proveedor sin transferir la soberanía, siempre que el proveedor pueda acreditar la cadena de principio a fin.

Una advertencia importante: para las cargas de trabajo que requieren garantía de Nivel 4 (control total de la cadena de suministro, ninguna interferencia de terceros países de ningún tipo), un servicio integrado gestionado por el proveedor puede no ser suficiente. Los compradores que operan a ese nivel normalmente necesitarían controlar la pila completa, incluido gestionar la SFU en su propia infraestructura. El modelo integrado es más adecuado para los requisitos de contratación de los Niveles 2 y 3.

Lista de verificación de preparación para CADA al elegir una plataforma de vídeo

El modelo de tres capas genera un conjunto práctico de preguntas para cualquier proceso de contratación de vídeo. Para las cargas de trabajo que una evaluación de riesgos sitúa en el Nivel 3 o el Nivel 4, estas preguntas son un punto de partida; esos niveles añaden requisitos de titularidad, control y transparencia de la cadena de suministro que van más allá de lo que se incluye aquí.

Nota sobre certificación: la certificación formal bajo el marco de CADA depende del EUCS (Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube), que aún no está finalizado; pide a los proveedores documentación de su arquitectura, no certificados que todavía no existen.

Nota para administraciones españolas: el ENS (Esquema Nacional de Seguridad, Real Decreto 311/2022) es obligatorio ahora mismo, no en 2027. Cualquier proveedor de vídeo que trabaje con organismos públicos españoles debe contar con la certificación ENS correspondiente (Básico, Medio o Alto según el nivel de categorización del sistema). CADA es el marco europeo que se añadirá encima; el ENS es el requisito vigente dentro del cual operará.

Orientación previa: antes de recorrer la lista, conviene que determines qué nivel de garantía aplica a tu caso. Como referencia general, los organismos del sector regulado que gestionan datos personales en sesiones de vídeo en tiempo real (por ejemplo, telemedicina, asesoramiento jurídico, inspecciones financieras) suelen situarse en el Nivel 2 o superior en su evaluación de riesgos. Los organismos responsables de infraestructuras críticas u operaciones de orden público generalmente evalúan en el Nivel 3. Solo los contextos que requieren control total de la cadena de suministro sin ninguna interferencia exterior (poder judicial de alta seguridad, defensa, inteligencia) alcanzan el Nivel 4. La clasificación final corresponde al propio organismo según su evaluación de riesgos específica.

Capa de infraestructura

  • ¿Dónde se enrutan los medios en tiempo real durante una sesión en directo y en qué país?
  • ¿Dónde se almacenan las grabaciones en reposo y en qué infraestructura?
  • ¿El proveedor de infraestructura subyacente está sujeto a algún régimen de acceso legal fuera de la UE?

Capa del operador

  • ¿Quién opera el servicio y en qué jurisdicción está constituido?
  • ¿Qué subencargados del tratamiento participan en alguna parte de la cadena de medios o datos y dónde tiene su sede cada uno?
  • ¿Puede el proveedor presentar documentación que relacione su servicio con los niveles de garantía de soberanía de CADA?

Capa de IA y flujo de datos

  • ¿Dónde se realizan la transcripción y la inferencia de IA y pueden los datos de audio o vídeo salir de la UE?
  • ¿Los subencargados de IA están identificados y documentados, con cadenas operativas dentro de la UE?
  • ¿La lista de subencargados del proveedor cubre todas las funciones de IA o solo el enrutamiento central de medios?

Salida y portabilidad

  • ¿Existe un proceso definido de salida y portabilidad de datos, o el encuadre "alojado en la UE" oculta una dependencia operativa cerrada?
  • ¿Alguna parte de la capa de integración es de código abierto y está disponible para su inspección?

Conclusión

La legislación no entrará en vigor de la noche a la mañana, y su forma definitiva surgirá del trílogo (la negociación interinstitucional entre la Comisión, el Parlamento y el Consejo). Pero la dirección es clara y coherente con todas las iniciativas de soberanía digital de la UE de los últimos tres años: los servicios en la nube utilizados para cargas de trabajo sensibles en el sector público serán evaluados contra un marco de soberanía de cuatro niveles. Y la videoconferencia, con sus medios en tiempo real, sus grabaciones almacenadas y su inferencia de IA, necesitará acreditar el cumplimiento en las tres capas de flujo de datos, no solo en la que es más fácil de mostrar en una presentación de marketing.

Las plataformas que ya piensan en estos términos llevan ventaja en los procesos de contratación. Para los compradores que necesitan tomar decisiones ahora, las preguntas de la lista de verificación traducen la lógica del reglamento en criterios de selección de proveedor que deberían servirte bien independientemente de cómo se resuelva el trílogo. Una advertencia que conviene tener en cuenta: la auditoría de terceros necesaria para certificar formalmente los Niveles 2 a 4 depende de un esquema europeo de certificación de ciberseguridad (EUCS) que aún no está finalizado, por lo que los proveedores no pueden obtener todavía una certificación validada bajo el marco de CADA. Eso es una brecha de implementación conocida, no un motivo para retrasar las conversaciones de contratación, pero vale la pena entenderlo antes de pedir a los proveedores que presenten documentación que aún no existe.

Para saber más sobre cómo abordamos la seguridad de los datos y la transparencia de la infraestructura, visita la página de seguridad de Digital Samba. Para un tratamiento más amplio de la soberanía de datos en el vídeo, consulta nuestro artículo anterior sobre el tema.

Preguntas frecuentes

¿Qué es la Ley de Desarrollo de la Nube e IA (CADA)?

La Ley de Desarrollo de la Nube e IA es una propuesta legislativa publicada por la Comisión Europea el 3 de junio de 2026 como parte del Paquete de Soberanía Tecnológica de la UE. Actúa en tres áreas: respaldar la investigación y la innovación en nube e IA, triplicar la capacidad de los centros de datos europeos en un plazo de cinco a siete años, e introducir un marco único de soberanía a escala europea para evaluar los servicios de nube e IA. Ese marco define cuatro niveles de garantía que los organismos del sector público deben aplicar al contratar servicios en la nube según sus perfiles de riesgo.

¿Cómo afecta CADA a las plataformas de videoconferencia en la UE?

La legislación somete a las plataformas de videoconferencia a una evaluación formal de soberanía cuando las utilizan organismos del sector público. El vídeo toca todas las capas que le importan al marco: el enrutamiento de medios en tiempo real en infraestructura de nube, las grabaciones almacenadas y la inferencia de IA para transcripciones y resúmenes. Cada una de ellas se evalúa por separado bajo el modelo de soberanía de cuatro niveles. Una plataforma que cumple el Nivel 1 (datos en servidores dentro de la UE) pero enruta la inferencia de IA a través de un proveedor no europeo probablemente tendría problemas en el Nivel 2 por el requisito de independencia, aunque la prohibición geográfica explícita de que los datos de inferencia de IA salgan de la UE es una norma del Nivel 4, no del Nivel 2.

¿Qué es la soberanía en la nube para vídeo y en qué se diferencia del alojamiento en la UE?

La soberanía en la nube para vídeo significa que el control gobernado por la UE puede acreditarse a lo largo de toda la cadena de tratamiento de datos: dónde se enrutan y almacenan los medios, quién opera y controla la infraestructura y dónde se produce la inferencia de IA. El alojamiento en la UE es un subconjunto de eso: cumple el requisito de ubicación del Nivel 1, pero no dice nada sobre quién controla la infraestructura ni si el operador está sujeto a demandas de acceso legal fuera de la UE. Una plataforma puede estar alojada en la UE y fallar en soberanía en el Nivel 2 si la opera una entidad de control no europeo.

¿Exige CADA que la transcripción e inferencia de IA se quede en la UE?

La respuesta explícita depende del nivel que se mire. En el Nivel 4, el requisito es claro: ninguna interferencia de terceros países de ningún tipo, lo que cubre las cadenas de inferencia de IA. En el Nivel 2, el asunto está menos definido. El requisito de independencia del Nivel 2 (demostrar independencia de los regímenes jurídicos de terceros países) probablemente crearía una barrera funcional para los proveedores de IA sujetos a leyes de acceso no europeas, pero esa conclusión es una lectura del requisito de independencia y no una disposición concreta de la propuesta. Para un organismo público que contrate una plataforma de vídeo en el Nivel 2, enrutar el audio a un proveedor de IA no europeo para su transcripción casi con toda seguridad crearía problemas en una evaluación de soberanía, aunque el fundamento jurídico exacto de esa conclusión pueda cambiar a medida que avance el trílogo.

¿Cómo se puede saber si una plataforma de vídeo es genuinamente soberana en la UE?

La señal más fiable es si el proveedor puede responder a tres preguntas con documentación en lugar de con mensajes de marketing: ¿Dónde exactamente se tratan los medios en directo y quién opera esa infraestructura? ¿Dónde se produce la inferencia de IA y quiénes son los subencargados de IA identificados? ¿La cadena operativa (alojamiento, operaciones y procesamiento de IA) está íntegramente dentro de entidades constituidas en la UE que no están sujetas a regímenes de acceso legal fuera de la UE? Un proveedor que puede relacionar su servicio con los niveles de soberanía de CADA en una respuesta a una licitación está demostrando el tipo de transparencia operativa que el marco está diseñado para incentivar.

¿Qué deberían preguntar los compradores europeos a un proveedor de vídeo sobre la nube e IA?

Los compradores deberían pedir respuestas documentadas en tres áreas: (1) la ubicación y el operador de la infraestructura que gestiona los medios en directo y las grabaciones; (2) la identidad, la ubicación y la jurisdicción legal de todos los subencargados de IA que participan en la transcripción, los resúmenes o cualquier otra función que implique medios decodificados; y (3) si el proveedor puede presentar una correspondencia de su servicio con los niveles de garantía de soberanía de CADA, con documentación de respaldo. Un repositorio público o una etiqueta de "cumple el RGPD" no es una respuesta suficiente a ninguna de estas preguntas.