Estrategia europea de open source y soberanía digital en vídeo
Durante la mayor parte de la última década, el vídeo en tiempo real fue una decisión de compra: elegir un proveedor, firmar un contrato, implementar. Ese enfoque ya no se sostiene. La infraestructura de vídeo sustenta hoy consultas médicas, sesiones parlamentarias, vistas judiciales y colaboración transfronteriza entre administraciones públicas. A ese nivel de dependencia institucional, la pregunta de quién controla la infraestructura y bajo qué régimen jurídico ha pasado a ser una cuestión de soberanía, no una partida presupuestaria.
El 3 de junio de 2026, la Comisión Europea publicó su Comunicación sobre soberanía tecnológica europea, con la estrategia europea de open source como componente central. La acompañan tres iniciativas adicionales: la propuesta de Ley de Desarrollo Cloud e IA (CADA, por sus siglas en inglés), la Chips Act 2.0 y la Hoja de Ruta Estratégica para la Digitalización y la IA en Energía. En conjunto, representan el intento más articulado de la UE hasta la fecha para responder a la pregunta de quién controla el sistema a nivel de política legislativa.
Antes de continuar, dos aclaraciones. La estrategia europea de open source es una Comunicación no vinculante: marca una dirección, pero no impone obligaciones jurídicas a los Estados miembros ni a los poderes adjudicadores. La CADA es una propuesta legislativa en fase inicial sin fuerza legal vigente; su adopción realista se sitúa como pronto en finales de 2027, y los Estados miembros dispondrían después de un período de transposición adicional antes de que entraran en vigor requisitos de contratación vinculantes. Ninguno de los dos documentos crea obligaciones hoy. Esto importa especialmente para los responsables de contratación que pudieran leerlos como si ya estuvieran en vigor.
El código abierto ocupa un papel central en esa respuesta, aunque por sí solo no basta. Este artículo sostiene que, para la infraestructura de vídeo, la soberanía depende en igual medida de dónde se ejecuta el sistema y de quién lo opera.
Tabla de contenidos
- Lo que dice realmente la estrategia europea de open source
- Open source no equivale a soberanía: por qué la licencia es solo una de tres capas
- La contratación pública como ancla: qué cambia para los compradores
- Self-hosted vs servicio gestionado soberano: elegir el equilibrio adecuado
- Lo que esto significa para el vídeo en tiempo real
- Lista de verificación práctica para la contratación de vídeo soberano
- Conclusión
- Preguntas frecuentes
Lo que dice realmente la estrategia europea de open source
La estrategia se articula en torno a cuatro objetivos: open source para la soberanía tecnológica, un entorno de código abierto activo, open source en la administración pública, y refuerzo de estándares y coordinación internacional. Para las organizaciones que evalúan infraestructura de vídeo, tres compromisos de la estrategia tienen un peso más directo.
En primer lugar, la estrategia exige reducir las dependencias estructurales. La UE depende actualmente de países no europeos para más del 80 % de sus productos digitales clave, servicios, infraestructura y propiedad intelectual. La estrategia apuesta por alternativas europeas de código abierto, respaldadas por financiación al desarrollo y un despliegue coordinado a nivel de los Estados miembros a través del EDIC para los Comunes Digitales (Digital Commons EDIC, European Digital Infrastructure Consortium for Digital Commons).
En segundo lugar, la reforma de la contratación pública: las administraciones públicas deben convertirse en usuarios modelo y contribuidores activos del entorno de código abierto. Están en el horizonte nuevas guías de contratación, requisitos de licitación favorables al código abierto y una red ampliada de Oficinas de Programas de Software Libre (OSPO).
En tercer lugar, el mantenimiento y la sostenibilidad a largo plazo: un Instrumento de Mantenimiento de Software Libre y un marco de análisis de riesgos de dependencia. La capa WebRTC y de procesamiento de medios se apoya en componentes cuyo mantenimiento comercial no siempre está garantizado. Un marco respaldado por la Comisión cambia de manera significativa ese análisis de riesgo.
La Comisión también abrió en enero de 2026 una convocatoria de evidencias sobre entornos de código abierto digitales.
Open source no equivale a soberanía: por qué la licencia es solo una de tres capas
Tres capas determinan si un despliegue es genuinamente soberano.
Capa 1 – código y licencia: la capacidad de leer, modificar y desplegar sin necesitar la aprobación de un único proveedor. Esta es la dimensión que el principio de «código público» de la FSFE aborda directamente.
Capa 2 – dónde se procesan y almacenan físicamente los datos. La infraestructura cloud operada por empresas estadounidenses está sujeta a legislación que puede imponer la divulgación de datos. El Marco de Privacidad de Datos UE-EE.UU. fue avalado en primera instancia por el Tribunal General de la UE en septiembre de 2025 (recurso pendiente ante el Tribunal de Justicia), pero ese aval no elimina la exposición a la Ley CLOUD. Para las administraciones españolas, esta capa conecta directamente con los requisitos del Esquema Nacional de Seguridad (ENS, Real Decreto 311/2022): los sistemas de categoría MEDIA o ALTA deben procesarse dentro del territorio nacional o en jurisdicciones con garantías equivalentes.
Capa 3 – la cadena operativa: quién opera el servicio, quién lo mantiene y parchea, dónde está constituida la entidad y ante qué ley puede ser requerida. El modelo de cuatro niveles de garantía de soberanía de la CADA lo recoge explícitamente: el Nivel 1 exige que los datos se procesen y almacenen dentro de infraestructura UE; los Niveles 2 a 4 añaden requisitos progresivamente más estrictos (independencia de regímenes de terceros países, titularidad y control europeos, personal con base en la UE).
Una ilustración concreta: código abierto desplegado en autoalojamiento sobre infraestructura de un hiperscaler estadounidense supera la Capa 1, pero falla en las Capas 2 y 3. Un servicio de vídeo gestionado desplegado en infraestructura UE por una entidad constituida en la UE satisface las Capas 2 y 3, aunque existan componentes propietarios.
La contratación pública como ancla: qué cambia para los compradores
La estrategia sitúa a las administraciones públicas como usuarios modelo y contribuidores activos. Las nuevas guías de contratación y los requisitos de licitación favorables al código abierto afectarán a los contratos de plataformas de vídeo en todo el sector público europeo, aunque las obligaciones vinculantes dependen del resultado de la CADA.
En España, los poderes adjudicadores operan bajo la Ley de Contratos del Sector Público (LCSP, Ley 9/2017). Los requisitos de soberanía que la guía europea recomiende deberán trasladarse a cláusulas compatibles con la LCSP — en los Pliegos de Cláusulas Administrativas Particulares (PCAP) y en los pliegos técnicos — antes de que resulten operativos para un organismo público español. Los responsables de contratación deben prepararse para incorporar criterios de soberanía digital en los documentos de licitación LCSP en anticipación a ese marco.
Antes de firmar un contrato, los proveedores deben acreditar:
- ¿Qué componentes son de código abierto y bajo qué licencias concretas?
- ¿Dónde se procesa el contenido multimedia durante una sesión en directo? ¿Dónde se almacenan los metadatos y los datos de grabación?
- ¿Quién opera el servicio, en qué jurisdicción y bajo qué régimen de acceso legal?
- ¿Existe una capacidad de portabilidad y salida real?
La convocatoria de evidencias dará forma a las guías de contratación durante los próximos 12 a 18 meses. Los compradores que redacten licitaciones en 2027 deben seguir los resultados a través de la página de estrategia digital de la Comisión y el Portal Europa Interoperable. En España, el Centro de Transferencia de Tecnología (CTT) y la Red de Oficinas de Software Libre (Red OSLAM) son los puntos de referencia nacionales equivalentes.
Self-hosted vs servicio gestionado soberano: elegir el equilibrio adecuado
Opciones de autoalojamiento:
Construir sobre componentes de código abierto — bibliotecas WebRTC, servidores de medios — ofrece el máximo control. Las plataformas de código abierto maduras como Jitsi Meet, BigBlueButton y Nextcloud Talk están ampliamente desplegadas en el sector público europeo. Cuando se alojan en infraestructura UE con una cadena operativa europea, satisfacen las tres capas de soberanía. Son la única opción para requisitos de aislamiento total (air-gap).
La carga operativa del autoalojamiento es real: parcheo de seguridad, configuración del SFU (Selective Forwarding Unit), gestión de códecs, disponibilidad, evidencia de cumplimiento y registros de auditoría del RGPD.
Existe una tercera vía: un servicio de vídeo integrable o programable por API, desplegado en infraestructura UE y operado por una entidad constituida en la UE. Satisface las Capas 2 y 3 sin asumir la complejidad de ingeniería. El modelo de integración (SDK o embebido) no determina el estatus de soberanía — lo que lo determina es la cadena de alojamiento y operación.
En cuanto a los servicios gestionados, los compradores deben exigir por escrito garantías de portabilidad antes de firmar cualquier contrato.
| Modelo | Control | Carga operativa | Más adecuado para |
|---|---|---|---|
| Código abierto autoalojado en infraestructura UE | Máximo | Muy alta: parcheo, SFU, códecs, disponibilidad y auditoría recaen en el equipo propio | Equipos de ingeniería dedicada; requisitos de aislamiento total |
| Servicio gestionado en infraestructura UE (cadena operativa UE) | Alto: alojamiento UE, cadena operativa UE, sin exposición extracomunitaria | Baja: el proveedor gestiona las operaciones, el mantenimiento y las actualizaciones | Equipos que necesitan soberanía sin sobrecarga de ingeniería; organismos públicos que priorizan rapidez de despliegue |
| Servicio gestionado en infraestructura no UE | Bajo | Baja | No cumple las Capas 2 y 3; no recomendado para contratación pública soberana |
Lo que esto significa para el vídeo en tiempo real
El vídeo en tiempo real es más difícil de evaluar que otros servicios digitales: el enrutamiento de medios, el procesamiento de códecs y las grabaciones tocan los datos de maneras distintas.
Un SFU que únicamente enruta paquetes cifrados genera una huella de procesamiento de datos muy diferente a la de un servidor que decodifica, mezcla o analiza los flujos. La distinción es relevante para determinar qué capa de soberanía se aplica.
Las canalizaciones de grabación plantean sus propias preguntas: dónde se almacenan los archivos, quién posee las claves de descifrado y bajo qué régimen legal se rige la retención de datos.
Las funciones basadas en IA — transcripción, supresión de ruido, traducción en tiempo real — se procesan habitualmente en el servidor, a veces mediante proveedores de modelos de terceros. Esto exige una verificación explícita de la cadena operativa para cada función.
Digital Samba opera con infraestructura alojada en la UE; sus subencargados se ubican en los Países Bajos (Leaseweb) y Francia (Scaleway), ambos en jurisdicciones UE sujetos a supervisión del RGPD. El SFU enruta flujos cifrados sin decodificarlos ni mezclarlos. El SDK integrado se publica bajo licencia BSD-2-Clause, lo que permite su inspección, modificación y redistribución con condiciones mínimas (atribución y sin uso del nombre del licenciante para respaldo). Los responsables de contratación que deseen verificar estas afirmaciones pueden consultar el libro blanco de seguridad disponible para descarga.
Lista de verificación práctica para la contratación de vídeo soberano
Capa 1: código y licencia
- ¿Qué componentes son de código abierto y bajo qué licencias concretas (Apache 2.0, BSD-2-Clause, AGPL)?
- ¿El SDK o la capa de integración están disponibles para su inspección, modificación y redistribución sin permiso del proveedor?
Capa 2: infraestructura y ubicación de datos
- ¿Dónde se procesa el contenido multimedia en directo? ¿En qué país y con qué proveedor de infraestructura?
- ¿Dónde se almacenan en reposo los metadatos, los datos de usuario y los datos de grabación?
- ¿La infraestructura subyacente está sujeta a algún régimen de acceso legal extraeuropeo?
- Para compradores bajo ENS: ¿cumple el sistema los requisitos de la categoría ENS aplicable (BÁSICA, MEDIA o ALTA) según el Real Decreto 311/2022?
Capa 3: cadena operativa y jurisdicción
- Identificación del operador del servicio y jurisdicción de constitución.
- ¿Qué subencargados intervienen en el procesamiento de medios o datos? ¿Están constituidos en la UE y sujetos al RGPD o a la LOPDGDD?
- ¿Puede el proveedor facilitar un mapeo frente a los niveles de garantía propuestos por la CADA?
- ¿Existe un proceso definido de salida y portabilidad?
- Para compradores españoles: ¿puede el proveedor acreditar el cumplimiento ante la AEPD y proporcionar un Acuerdo de Encargado de Tratamiento (DPA) compatible con la supervisión de la AEPD?
Recursos de verificación para compradores españoles: Las Guías CCN-STIC y el Catálogo de Productos de Seguridad (CPSTIC) del CCN-CERT constituyen la capa de validación nacional sobre la verificación de nivel UE descrita en esta lista. Para entidades financiadas con fondos PRTR, los requisitos de soberanía digital ya forman parte de las condiciones contractuales de los Componentes 15 y 19 del Plan de Recuperación — lo que convierte esta verificación en un imperativo operativo inmediato, no en una preparación futura.
Conclusión
La estrategia europea de open source de junio de 2026 es un documento relevante: identifica correctamente los componentes de código abierto como ingrediente necesario de la soberanía digital. La estrategia no es todavía legislación vinculante. La CADA sigue siendo una propuesta. Ambos señalan la dirección hacia la que se encamina la política de contratación pública en la UE.
Los compradores que se detengan en la lectura de la licencia cometerán un error de contratación. Soberanía equivale a tres capas: componentes abiertos + infraestructura alojada en la UE + cadena operativa europea no sujeta a regímenes de acceso extracomunitarios.
Para los compradores españoles, esa verificación opera en dos niveles paralelos: el marco UE que describe este artículo y los requisitos nacionales del ENS, la LCSP y la supervisión de la AEPD. Ignorar cualquiera de los dos niveles genera un riesgo de contratación real.
Para profundizar en cómo Digital Samba aborda estas tres capas, descarga el libro blanco de seguridad o contacta con nosotros para una revisión de infraestructura.
Preguntas frecuentes
¿Qué es la estrategia europea de open source de 2026?
Es una Comunicación no vinculante publicada por la Comisión Europea el 3 de junio de 2026 como parte del paquete sobre soberanía tecnológica europea. Establece cuatro objetivos: open source para la soberanía tecnológica, un entorno de código abierto activo, open source en la administración pública, y refuerzo de estándares y coordinación internacional. No crea obligaciones jurídicas inmediatas, pero orienta la futura política de contratación y financiación en la UE.
¿El uso de software de código abierto convierte una plataforma de vídeo en soberana?
No por sí solo. La licencia abierta determina si puedes leer, modificar y desplegar el código sin depender de un único proveedor — pero es solo una de tres capas. La soberanía real exige también que los datos se procesen en infraestructura dentro de la UE (Capa 2) y que la cadena operativa — operador, subencargados, personal — esté sujeta a jurisdicción europea y no a regímenes de acceso extracomunitarios (Capa 3). Un servicio de código abierto desplegado en un hiperscaler estadounidense no satisface las Capas 2 y 3.
¿Es el vídeo autoalojado más soberano que un servicio gestionado?
Depende de dónde se aloja y quién lo opera, no del modelo de despliegue en sí. Un servicio de código abierto autoalojado en infraestructura estadounidense no cumple la soberanía de Capas 2 y 3. Un servicio gestionado operado por una entidad europea sobre infraestructura UE sí las cumple. El autoalojamiento es la única opción para requisitos de aislamiento total (air-gap); fuera de ese caso, el factor determinante es la cadena de alojamiento y operación, no la etiqueta «autoalojado».
¿Qué relación tiene la estrategia europea de open source con el Esquema Nacional de Seguridad (ENS)?
El ENS (Real Decreto 311/2022) es el marco de seguridad obligatorio para las administraciones públicas españolas y los servicios cloud que utilizan. Las categorías ENS — BÁSICA, MEDIA y ALTA — imponen requisitos específicos sobre dónde se procesan los datos y qué garantías debe ofrecer el proveedor. El modelo de tres capas descrito en este artículo se alinea directamente con esos requisitos: los sistemas clasificados como MEDIA o ALTA en el ENS exigen, en la práctica, proveedores que satisfagan las Capas 2 y 3. Para cualquier organismo público español, la pregunta «¿cumple con el ENS?» antecede a la pregunta sobre los niveles CADA.
¿Qué debe pedir un comprador público español a los proveedores para verificar la soberanía en vídeo?
Como mínimo: identificación de todos los componentes de código abierto y sus licencias; lugar de procesamiento del contenido multimedia en directo y almacenamiento de datos en reposo; identidad y jurisdicción del operador y de todos los subencargados; capacidad de portabilidad y proceso de salida definido; mapeo frente a la categoría ENS aplicable; y DPA compatible con la supervisión de la AEPD. Las Guías CCN-STIC del CCN-CERT ofrecen la capa de validación técnica nacional para estas verificaciones.
¿Requiere la soberanía de datos en la UE que los datos estén alojados en la UE?
La ubicación de los datos es una condición necesaria pero no suficiente. Los datos pueden estar físicamente alojados en la UE y seguir siendo accesibles para autoridades no europeas si el operador es una empresa estadounidense sujeta a la Ley CLOUD. La soberanía real requiere que tanto la infraestructura (Capa 2) como la cadena operativa (Capa 3) estén fuera del alcance de regímenes de acceso extracomunitarios. El aval del Marco de Privacidad de Datos UE-EE.UU. por el Tribunal General en septiembre de 2025 no modifica esta realidad.
Share this
You May Also Like
These Related Stories

La soberanía digital de Europa en riesgo: la dependencia de Microsoft

Navegar por la soberanía de los datos: Cumplimiento e impacto empresarial

