Desde los servidores de correo electrónico hasta las herramientas de videoconferencia y las plataformas de colaboración documental, la infraestructura digital de Europa está profundamente entrelazada con empresas tecnológicas estadounidenses, y muy especialmente con Microsoft. Microsoft 365 domina las implantaciones en el sector público de las instituciones de la UE, mientras que Teams se ha convertido en la herramienta de comunicación interna por defecto en muchas administraciones públicas y hospitales.
Un informe de la Open Cloud Coalition (OCC) estima que la cuota de mercado global de Microsoft en el software de productividad del sector público de la UE alcanza el 77 %, con cifras aún más elevadas —de hasta el 84 % en herramientas de colaboración y entre el 90 % y el 92 % en software de productividad ofimática— en determinados Estados miembros.
A nivel de las instituciones públicas de la UE, los datos de contratación procedentes de Tenders Electronic Daily (TED) incluyen avisos que a menudo mencionan proveedores concretos, normalmente cuando una empresa resulta adjudicataria de un contrato o cuando se la cita en especificaciones técnicas o requisitos de compatibilidad. Estos datos permitieron a los investigadores de la OCC calcular una cuota de incidencia, midiendo con qué frecuencia se menciona a proveedores como Microsoft en comparación con otros.
Los resultados muestran que Microsoft aparece citado con mucha más frecuencia que cualquier competidor, con cuotas de incidencia que oscilan entre el 72 % y el 91 % en 2023, y que aumentan hasta situarse entre el 89 % y el 100 % en 2024.
Esto genera una paradoja: aunque las instituciones europeas están obligadas por el RGPD y se espera que apliquen los más altos estándares de protección de datos, la infraestructura en la nube de la que dependen está, en muchos casos, controlada por proveedores estadounidenses y, por tanto, sujeta a marcos legales de Estados Unidos, no europeos. Gracias al Marco de Privacidad de Datos UE–EE. UU. (Data Privacy Framework, DPF) —el acuerdo transatlántico actualmente en vigor—, estos proveedores estadounidenses son reconocidos, por ahora, como oferentes de un “nivel adecuado” de protección conforme al RGPD. Esto legitima formalmente su uso por parte de las instituciones europeas desde un punto de vista jurídico.
Sin embargo, las implicaciones prácticas plantean serias preocupaciones en materia de soberanía. En virtud de leyes como el US CLOUD Act, las autoridades estadounidenses pueden obligar a proveedores como Microsoft, Google o Amazon a entregar datos, incluso cuando estos se almacenan físicamente en Europa. Como consecuencia, datos europeos críticos —desde procedimientos judiciales hasta registros de la ciudadanía— pueden seguir siendo accesibles o quedar sometidos a regímenes legales extranjeros.
A la luz de estos datos y del marco jurídico existente, puede concluirse que la creciente dependencia de Europa de proveedores de nube estadounidenses socava directamente su soberanía digital: la capacidad de controlar, almacenar y proteger sus propios datos de forma independiente. En esencia, el cumplimiento del RGPD puede mantenerse sobre el papel, pero el control real sobre la infraestructura y las decisiones de acceso suele residir en Washington o Redmond, y no en Bruselas.
En resumen, el estudio de la OCC muestra que Microsoft ocupa una posición claramente dominante en la contratación de TI del sector público de la UE, con cuotas de mercado que alcanzan hasta el 90 % en software de productividad ofimática y el 84 % en herramientas de colaboración, si se tiene en cuenta la cuota de mercado ajustada (en la que los investigadores utilizaron datos públicos para estimar el impacto de los ecosistemas de socios de Microsoft y Google).
Aquí tienes una localización natural y fiel al español de España, manteniendo el tono analítico y el significado intacto:
Este dominio se ve reforzado por prácticas de contratación como la recompra por parte de clientes existentes, los requisitos de compatibilidad y las ofertas de software en paquete, que dificultan cada vez más que las instituciones puedan cambiar a proveedores alternativos. Tal y como señala Computer Weekly, esta concentración genera preocupación sobre el grado de dependencia institucional de un único proveedor extranjero y los riesgos que ello supone para la autonomía y la resiliencia digital de Europa.
En el ámbito del software de colaboración y videoconferencia —herramientas diseñadas para facilitar la comunicación y el trabajo en equipo entre personas y grupos, incluidos productos como Google Meet, Google Chat, Slack o Zoom— el mercado presenta una imagen similar, con una cuota de mercado total de empresas estadounidenses en la UE que supera el 88 %.
Los investigadores de la OCC también analizaron los datos que muestran la frecuencia con la que se mencionan los proveedores en TED, lo que les permitió identificar qué empresas aparecen con mayor recurrencia en los pliegos de contratación pública. Para ofrecer una visión más comparable, presentaron además las cuotas de incidencia, es decir, la proporción de menciones de cada proveedor sobre el total en la geografía correspondiente para los años 2023 y 2024.
Pero ¿hasta qué punto es realmente vulnerable Europa? Uno de los episodios que ilustra con claridad cómo las grandes tecnológicas pueden imponer la legislación estadounidense sobre instituciones públicas europeas tuvo lugar en mayo de 2025. Según informó Associated Press, Microsoft quedó bajo escrutinio después de que la compañía bloqueara la cuenta de correo electrónico de Karim Khan, fiscal jefe de la Corte Penal Internacional (CPI), en cumplimiento de las sanciones impuestas por Estados Unidos contra la CPI en relación con las investigaciones sobre Israel, decretadas por la administración Trump en febrero.
Aunque este bloqueo fue ampliamente difundido por los medios, Microsoft negó rotundamente haber tomado dicha medida, alegando que la CPI había trasladado el correo electrónico de Khan al servicio de Proton. Hasta la fecha, la CPI no ha emitido ninguna respuesta oficial al respecto.
Si bien Microsoft negó haber suspendido completamente los servicios, la empresa reconoció su cumplimiento de las obligaciones legales estadounidenses, lo que plantea serias dudas sobre la vulnerabilidad de las instituciones europeas que dependen de infraestructuras sometidas a marcos legales ajenos a la UE.
Este incidente no solo levantó sospechas, sino que provocó una oleada de críticas por parte de defensores de la privacidad, juristas y responsables políticos en toda Europa. Tal y como recogió Computer Weekly, el episodio reavivó los temores sobre la falta de control democrático y de supervisión cuando servicios esenciales se externalizan a empresas que operan bajo jurisdicciones extranjeras.
Lo especialmente preocupante no es solo lo que hizo Microsoft, sino lo que el caso puso de manifiesto: que una empresa estadounidense puede, con una simple decisión técnica, desactivar los sistemas de comunicación de una institución judicial internacional soberana, sin proceso judicial, sin transparencia y sin mecanismos efectivos de recurso.
Este episodio refuerza el argumento de que Europa no puede alcanzar una autonomía estratégica real mientras sus servicios esenciales dependan de plataformas controladas desde el exterior. También pone seriamente en cuestión la idea de que los servicios en la nube de proveedores estadounidenses —incluso cuando se alojan en centros de datos europeos— puedan estar alguna vez verdaderamente bajo jurisdicción de la UE.
Microsoft y otros proveedores de servicios en la nube con sede en Estados Unidos suelen afirmar que cumplen plenamente con el Reglamento General de Protección de Datos (RGPD) de la UE. A primera vista, satisfacen muchos de los requisitos formales: acuerdos de tratamiento de datos, centros de datos ubicados en la UE y cláusulas contractuales tipo. Sin embargo, un análisis más profundo revela una tensión jurídica fundamental que pone en duda estas garantías.
El problema central es el alcance extraterritorial de la legislación estadounidense, en particular la Clarifying Lawful Overseas Use of Data Act, más conocida como CLOUD Act. Aprobada en 2018, esta ley obliga a las empresas tecnológicas estadounidenses a entregar datos a las autoridades de EE. UU. cuando así se les requiera, independientemente de dónde se encuentren físicamente almacenados. Esto significa que, incluso si los datos europeos residen en servidores ubicados en Fráncfort o París, Microsoft, Google o Amazon deben cumplir una orden judicial estadounidense.
Esto socava directamente principios clave del RGPD, como la minimización de datos, la limitación de la finalidad y —sobre todo— el derecho de la ciudadanía europea a que sus datos estén protegidos frente a una vigilancia ilegal o desproporcionada.
Para intentar cerrar esta brecha jurídica transatlántica, la UE y Estados Unidos introdujeron en julio de 2023 el Marco de Privacidad de Datos (Data Privacy Framework, DPF), con el objetivo de restablecer un mecanismo legal para la transferencia de datos personales entre ambos bloques. Sin embargo, la experiencia histórica ofrece pocos motivos para el optimismo.
El DPF sucede a dos intentos anteriores —Safe Harbour (anulado en 2015) y Privacy Shield (invalidado en 2020 por el Tribunal de Justicia de la Unión Europea en el caso Schrems II)—, ambos rechazados por no ofrecer una protección adecuada frente a la vigilancia gubernamental estadounidense. Los críticos sostienen que el DPF adolece de muchos de los mismos fallos estructurales, con mejoras más bien superficiales y sin mecanismos sólidos de aplicación y control.
Voces destacadas del ámbito de la privacidad, como Max Schrems y la organización NOYB, ya han advertido de que el DPF probablemente será objeto de impugnaciones legales y podría volver a ser anulado, lo que sumiría de nuevo las transferencias de datos entre la UE y EE. UU. en una grave inseguridad jurídica.
En la práctica, esto significa que los datos almacenados en proveedores de nube estadounidenses, incluso cuando se alojan en centros de datos europeos, siguen siendo vulnerables al acceso por parte de autoridades extranjeras y pueden no cumplir el estándar legal de “protección adecuada” exigido por el Derecho de la UE.
Las autoridades europeas de protección de datos, como la Datenschutzkonferenz (DSK) alemana, han expresado preocupaciones similares. De hecho, algunos estados federados y municipios de Alemania ya han prohibido el uso de Microsoft 365 en centros educativos y administraciones públicas debido a las dudas persistentes sobre su cumplimiento normativo.
Los estudios muestran que las instituciones europeas y las administraciones públicas siguen comprando de forma sistemática a empresas tecnológicas estadounidenses, favoreciendo abrumadoramente a proveedores como Microsoft, Google y Amazon en los procesos de contratación. Estas decisiones no son únicamente técnicas o económicas; también son profundamente políticas.
El informe de la Open Cloud Coalition (OCC) pone de manifiesto la magnitud de esta dependencia y, como señaló Computer Weekly, advierte de que Europa está “caminando dormida hacia una dependencia aún mayor de las tecnologías en la nube de Microsoft”. Los datos de la OCC muestran que, en casi todos los Estados miembros de la UE, Microsoft ostenta una cuota de mercado cercana al 80 % en el software de productividad del sector público, alcanzando con frecuencia más del 90 % en ministerios, tribunales, centros educativos y hospitales.
Esta dependencia sistémica genera un círculo vicioso que se retroalimenta. Dado que las herramientas de Microsoft están omnipresentes, las organizaciones tienden a estandarizar sus sistemas de TI en torno a su ecosistema: Outlook, Teams, SharePoint, OneDrive y Azure se convierten en opciones por defecto. Esta posición dominante permite a Microsoft reinvertir masivamente en desarrollo de funcionalidades, capas de integración y soporte empresarial, financiado en gran medida con dinero procedente de los contribuyentes europeos.
Mientras tanto, las empresas de software europeas quedan desplazadas, no por falta de capacidad tecnológica o de innovación, sino por la ausencia de respaldo institucional. Sin contratos públicos relevantes ni visibilidad en las licitaciones, los proveedores locales tienen dificultades para escalar. Esto socava directamente la autonomía digital que la propia UE afirma defender.
El informe de la OCC muestra que aspectos del diseño de los concursos —como la contratación en paquete, la recompra recurrente o los requisitos de compatibilidad— han contribuido de forma significativa a la elevada cuota de Microsoft y a la dependencia resultante, excluyendo de facto a las alternativas europeas.
Paradójicamente, mientras la UE proclama con fuerza sus objetivos de soberanía digital, ciberseguridad e innovación a través de iniciativas como GAIA-X o la Estrategia Europea de Datos, las prácticas cotidianas de contratación pública a menudo contradicen estas ambiciones. Tal y como recoge un artículo del Financial Times, aunque la Comisión Europea defiende públicamente su agenda de soberanía digital, la contratación en el sector público sigue priorizando a los gigantes tecnológicos estadounidenses, dificultando que las empresas europeas ganen tracción.
Esto genera una clara paradoja política: las pymes y los innovadores europeos reciben apoyo a nivel discursivo, pero son ignorados en la práctica. Se les anima a innovar, pero rara vez se les recompensa con oportunidades reales de mercado.
Sin un cambio serio de mentalidad y de estrategia en la contratación pública, Europa corre el riesgo de externalizar de forma permanente su columna vertebral digital a potencias extranjeras, quedando expuesta no solo a extralimitaciones legales, sino también a una dependencia estratégica crítica en momentos de crisis.
En un mercado dominado por plataformas con sede en Estados Unidos, Digital Samba destaca como una de las pocas soluciones de videoconferencia desarrolladas íntegramente en Europa, diseñadas específicamente para responder a las necesidades de los equipos modernos, los proveedores de telemedicina, las instituciones educativas y las organizaciones del sector público.
Pero no son solo sus funcionalidades lo que la diferencia, sino los principios fundacionales sobre los que se ha construido.
A diferencia de los proveedores estadounidenses, Digital Samba garantiza plena jurisdicción de los datos dentro de la UE. Todos los datos —ya sean vídeo, audio, mensajes de chat o metadatos de usuario— se almacenan de forma segura en centros de datos europeos y se gestionan conforme al RGPD y bajo la supervisión de las autoridades europeas de protección de datos, sin estar sujetos a legislaciones extranjeras como el US CLOUD Act.
¿Qué significa esto en la práctica?
Sin riesgo de exfiltración de datos: las conversaciones sensibles y los datos de usuario no pueden ser legalmente requeridos por gobiernos no pertenecientes a la UE.
Cifrado de extremo a extremo (E2EE): las comunicaciones permanecen confidenciales, incluso para la propia Digital Samba.
SDK y API totalmente personalizables: los desarrolladores pueden integrar vídeo seguro en profundidad dentro de sus aplicaciones, manteniendo el control sobre la experiencia de usuario, la lógica de negocio y el cumplimiento normativo.
Desarrollada en Europa: la plataforma está creada y mantenida por un equipo europeo, con la privacidad, la transparencia y la confianza del usuario integradas en su arquitectura desde el inicio, no como un añadido posterior.
Digital Samba es más que una alternativa conforme al RGPD. Es la prueba de que la innovación europea puede ofrecer infraestructuras de comunicación de primer nivel, sin compromisos.
Y, sin embargo, plataformas como Digital Samba suelen enfrentarse a una clara desventaja. A pesar de ofrecer seguridad, flexibilidad y tranquilidad regulatoria, con demasiada frecuencia se ven relegadas frente a opciones extranjeras adoptadas por defecto. Todas las fuentes analizadas coinciden en que el dominio de los proveedores estadounidenses en el sector público europeo no responde únicamente a dinámicas de mercado, sino a un fallo sistémico de las políticas públicas para apoyar alternativas europeas.
Si la Unión Europea se toma en serio la consecución de una verdadera soberanía digital, debe ir más allá de las declaraciones y financiar y priorizar activamente las alternativas que afirma respaldar. Esto implica repensar los procesos de contratación pública, poner fin al bloqueo por proveedor (vendor lock-in) y dar prioridad a soluciones que no solo cumplan con el RGPD, sino que también estén alineadas con los intereses estratégicos a largo plazo de Europa.
Si la UE se toma en serio la consecución de la soberanía digital, debe ir más allá de la retórica y empezar a apoyar activamente alternativas europeas y centradas en la privacidad, como Digital Samba, no solo mediante la financiación de la innovación, sino también a través de cambios estructurales en la contratación pública y en el marco regulatorio.
La propia Comisión Europea reconoce que crear desde cero competidores sistémicos capaces de rivalizar con los gigantes estadounidenses de la nube puede ya no ser realista, dado el nivel de inversión requerido y el riesgo de desviar recursos de ámbitos en los que Europa ya es competitiva. Sin embargo, la Comisión subraya que, por razones de soberanía, Europa debe mantener una industria de nube propia y viable, capaz de ofrecer soluciones de “nube soberana” seguras y de confianza.
Para lograrlo, la UE debería adoptar políticas de seguridad de datos a escala europea que permitan la colaboración entre proveedores de nube de la UE y de terceros países, al tiempo que se preservan el cifrado y los servicios protegidos para los proveedores europeos. Asimismo, debe introducir estándares obligatorios en la contratación pública, garantizando un terreno de juego más equilibrado en el que empresas europeas como Digital Samba puedan competir en igualdad de condiciones frente a actores dominantes no pertenecientes a la UE. Paralelamente, la UE debería impulsar la creación de un mercado digital transatlántico con bajas barreras de entrada, donde las pequeñas y medianas empresas —a ambos lados del Atlántico— puedan beneficiarse de una menor carga regulatoria y de un mejor acceso a las cadenas de suministro tecnológicas globales.
Sin este tipo de cambios en las políticas públicas, Europa seguirá externalizando su infraestructura digital y, con ella, su propia autonomía.
Referencias