Security

Qué es la nube soberana y qué implica para la videoconferencia

Nina Benkotic
by Nina Benkotic
12 min read
mayo 13, 2026

Las herramientas de comunicación en la nube forman ya parte del día a día de la mayoría de las organizaciones. Plataformas de mensajería, intercambio de archivos y videoconferencia son la base de los flujos de trabajo diarios, desde la colaboración interna hasta la relación con clientes. El teletrabajo y los modelos híbridos han acelerado esta transición, y pocas organizaciones pueden plantearse prescindir de ellas.

Al mismo tiempo, las organizaciones prestan cada vez más atención a cómo y dónde se procesan sus datos. Las preguntas sobre jurisdicción, control y cumplimiento normativo, que antes se dirigían sobre todo a los sistemas de almacenamiento y las bases de datos, ahora se aplican por igual a las herramientas de comunicación en tiempo real.

En España, este debate ha cobrado especial intensidad. Con el 72 % de los servicios cloud europeos controlados por AWS, Microsoft Azure y Google Cloud, y hasta el 90 % de los datos europeos en infraestructuras fuera del control de la UE (DCD, 2026), la dependencia de proveedores no europeos es un riesgo jurídico y geopolítico que el sector público y privado ya no puede ignorar. Según Gartner, el gasto mundial en nube soberana pasará de 6.900 millones de dólares (en torno a 6.400 millones de euros) en 2025 a 23.100 millones de dólares (aproximadamente 21.600 millones de euros) en 2027. La misma firma estima que para 2030 más del 75 % de las empresas europeas y de Oriente Medio habrán «geopatriado» sus cargas de trabajo hacia entornos diseñados explícitamente para mitigar el riesgo geopolítico.

Este artículo analiza qué significa la soberanía en el contexto de la videoconferencia: por qué importa la jurisdicción, en qué se diferencia la nube soberana de conceptos más simples como la residencia de datos, y qué preguntas hacer a un proveedor antes de contratar.

Índice

  1. ¿Qué es una nube soberana?
  2. Nube soberana y jurisdicción legal
  3. Por qué la nube soberana importa para la videoconferencia
  4. Nube soberana en la práctica: preguntas para tu proveedor
  5. Cómo aborda Digital Samba la soberanía
  6. Conclusión

¿Qué es una nube soberana?

El término «nube soberana» se refiere a un entorno de computación en la nube en el que los datos están sujetos exclusivamente a las leyes y marcos de gobernanza de un país o región específicos, normalmente donde los datos se procesan y controlan.

Una definición práctica incluye cuatro elementos:

  1. Ubicación de los datos. Los datos se almacenan y procesan dentro de una región geográfica definida, como la Unión Europea.
  2. Jurisdicción legal. Los datos se rigen exclusivamente por el marco jurídico de esa región, sin exposición a leyes extranjeras conflictivas.
  3. Control del operador. La infraestructura la gestionan entidades sujetas a la jurisdicción local y no controladas por empresas matrices extranjeras.
  4. Protección frente a accesos extraterritoriales. Los datos quedan a salvo del acceso de autoridades extranjeras mediante legislación extraterritorial.

La soberanía va más allá de dónde se ubican físicamente los servidores. La verdadera soberanía requiere alineación en infraestructura, propiedad y control legal. Sin los tres elementos, las organizaciones pueden seguir expuestas a riesgos legales externos.

En octubre de 2025, la Comisión Europea (DG DIGIT) publicó el Cloud Sovereignty Framework, un marco que define cinco niveles de soberanía (los llamados SEAL: Sovereignty Effective Assurance Levels), desde SEAL-0 «Sin Soberanía» hasta SEAL-4 «Soberanía Digital Plena», medidos a través de ocho objetivos de soberanía: estratégico, jurídico y jurisdiccional, de datos e IA, operacional, de cadena de suministro, tecnológico, de seguridad y cumplimiento, y de sostenibilidad medioambiental. En abril de 2026, la propia Comisión adjudicó una licitación de 180 millones de euros exigiendo un mínimo de SEAL-2 a los proveedores admitidos.

Nube soberana vs residencia de datos

Estos dos términos se usan a menudo indistintamente, pero significan cosas distintas. La residencia de datos implica que los datos se almacenan en una ubicación específica. No aclara quién puede acceder a ellos ni bajo qué leyes. Por ejemplo, datos almacenados en un centro de datos de la UE operado por un proveedor extranjero siguen expuestos a la legislación de ese proveedor.

Nube soberana vs alojamiento en «región UE»

Muchos proveedores ofrecen alojamiento en «región UE», lo que normalmente significa que los datos se encuentran en servidores ubicados dentro de Europa. Pero eso por sí solo no basta.

El proveedor puede tener su sede fuera de la UE, lo que significa que su estructura corporativa global podría exponerlo a obligaciones legales que van más allá del marco normativo europeo. Como resultado, podría verse obligado a atender solicitudes legales o requisitos de divulgación de autoridades no europeas, y los datos podrían quedar expuestos a una jurisdicción extranjera.

Una comparación sencilla aclara la diferencia:

Escenario Ubicación de datos Propiedad Exposición legal
Centro de datos en la UE (proveedor extranjero) UE No UE Posible acceso extranjero
Entorno de nube soberana UE Controlada por la UE Solo jurisdicción UE

Para cualquier organización sujeta a la normativa europea de protección de datos, esta distinción no es menor. El RGPD (complementado en España por la LOPDGDD y supervisado por la AEPD) impone obligaciones estrictas sobre cómo se procesan, transfieren y acceden los datos personales. Depender solo de la residencia de datos, sin asegurar la soberanía completa, puede dejar a una organización expuesta a marcos legales extranjeros que entran en conflicto con esos requisitos.

Nube soberana y jurisdicción legal

La jurisdicción legal es uno de los aspectos más importantes de la soberanía, y uno de los más frecuentemente ignorados.

Vamos por partes. La CLOUD Act de EE. UU. obliga a las empresas estadounidenses a entregar datos a las autoridades de EE. UU. en respuesta a órdenes judiciales válidas, incluso cuando esos datos están almacenados fuera del país. Los proveedores pueden impugnar dichas órdenes, pero el proceso tiene lugar en tribunales estadounidenses: los tribunales europeos no participan y el interesado no recibe ningún aviso. Esto es exactamente lo que el artículo 48 del RGPD prohíbe como base para transferir datos fuera de la UE. Así, datos que se encuentran en un centro de datos europeo pueden quedar accesibles bajo legislación extranjera si el proveedor tiene su sede en EE. UU. La sentencia Schrems II (Tribunal de Justicia de la Unión Europea, 2020) reforzó esta preocupación, dictaminando que las cláusulas contractuales tipo no son suficientes por sí solas cuando un proveedor está sujeto a leyes de vigilancia que entran en conflicto con los estándares europeos de protección de datos.

De ello se derivan varias implicaciones:

  1. La propiedad importa. Incluso cuando la infraestructura se ubica en la UE, las empresas con sede en otro lugar pueden estar obligadas a cumplir con solicitudes legales extranjeras. El director jurídico de Microsoft France reconoció ante el Senado francés, el 18 de junio de 2025, que no puede garantizar que los datos de ciudadanos europeos estén protegidos frente al acceso de las autoridades estadounidenses.
  2. El control determina el riesgo. Si un proveedor está sujeto a múltiples jurisdicciones, las organizaciones se enfrentan a incertidumbre sobre el acceso a los datos y el cumplimiento normativo.
  3. Las expectativas regulatorias de la UE exigen claridad. Los marcos europeos de protección de datos exigen que los flujos de datos sean predecibles y auditables. La exposición a sistemas legales externos complica ese cumplimiento.

El argumento de los hyperscalers

Aquí conviene ser precisos. AWS lanzó su European Sovereign Cloud en enero de 2026 (Brandeburgo, con una inversión de 7.800 millones de euros). Microsoft anunció su Sovereign Cloud en junio de 2025, con acuerdos de socio nacional en Francia (Bleu) y Alemania (Delos). Por su parte, S3NS, la joint venture de Google Cloud y Thales, obtuvo la cualificación SecNumCloud de la ANSSI francesa a finales de 2025. Todos estos productos se presentan como «nube soberana».

El problema de fondo no desaparece con esa etiqueta. Una filial propiedad al cien por cien de una empresa estadounidense no puede blindarse contractualmente frente a la CLOUD Act que afecta a la empresa matriz. El propio directivo de Microsoft lo reconoció bajo juramento. Esto no significa que estos servicios no tengan valor para algunos casos de uso, pero sí que no resuelven la exposición jurisdiccional del mismo modo que un proveedor europeo independiente.

Para organizaciones de sanidad, educación y administración pública, estas cuestiones son especialmente determinantes. ENISA ha señalado que los proveedores de servicios de salud se enfrentan a riesgos significativos cuando los servicios cloud son operados por entidades sujetas a leyes extraterritoriales (ENISA, 2021). En España, el Esquema Nacional de Seguridad (ENS) establece requisitos de categoría ALTA para datos críticos de la administración pública. El ENS, el BSI C5 alemán y el SecNumCloud francés son tres marcos nacionales que convergen hacia el futuro EUCS (Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube). Para los sectores financieros, DORA (Digital Operational Resilience Act) está en aplicación desde enero de 2025: añade obligaciones explícitas de gestión del riesgo de concentración en proveedores de TIC y exige que las entidades puedan demostrar control sobre la cadena de subcontratación.

Un ejemplo concreto de este contexto: el servicio 112 Canarias migró en 2025 a una solución diseñada para cumplir con el ENS en la categoría ALTO. La arquitectura elegida emplea una capa de E2EE con claves controladas por el cliente sobre Google Cloud Spain Data Boundary, implementada por Minsait Cyber y GuardedBox. Es una vía válida para el cumplimiento normativo en el marco del ENS, pero no resuelve la exposición jurisdiccional: la infraestructura subyacente sigue siendo de un hyperscaler estadounidense. La nube soberana plantea una respuesta arquitecturalmente distinta.

Por qué la nube soberana importa para la videoconferencia

Las plataformas de videoconferencia presentan retos distintos a los de los servicios cloud tradicionales porque procesan datos de forma continua y en tiempo real.

Los flujos de comunicación en directo se transmiten, procesan y a veces se enrutan a través de múltiples nodos simultáneamente. A diferencia de un archivo almacenado estáticamente, los datos de audio y vídeo están en constante movimiento, lo que obliga a saber con precisión dónde se produce el procesamiento y bajo qué jurisdicción.

Las plataformas de vídeo también generan una cantidad significativa de metadatos junto con los flujos multimedia: identidades de los participantes, horas de conexión y desconexión, e información sobre el dispositivo y la conexión. En entornos regulados, estos metadatos pueden ser tan sensibles como el contenido de las propias llamadas.

Muchas plataformas también ofrecen grabaciones, transcripciones automáticas y registros de chat. Estos generan datos persistentes que deben almacenarse, gestionarse y protegerse conforme a la normativa aplicable, añadiendo otra capa de responsabilidad.

Las plataformas modernas a menudo se integran con servicios de terceros o permiten streaming en directo, lo que puede introducir flujos de datos adicionales y ampliar el número de sistemas que acceden a tus datos.

La videoconferencia plantea mayores exigencias en materia de soberanía que el almacenamiento estático. Los datos se procesan de forma dinámica, no solo se guardan. Hay varios tipos de datos en juego al mismo tiempo. Y las integraciones externas pueden llevar esos flujos más allá de la plataforma principal. Evaluar dónde se almacenan los datos no basta; también necesitas entender cómo se gestionan a lo largo de todo su ciclo de vida.

Nube soberana en la práctica: preguntas para tu proveedor

Vamos a lo concreto. Al evaluar un proveedor, estas preguntas te ayudarán a ir más allá del marketing:

  1. ¿Dónde se procesan los datos de vídeo en tiempo real? Aclara si los flujos multimedia permanecen dentro de una región definida. Solicita el Acuerdo de Procesamiento de Datos (DPA) y comprueba el Apéndice de subprocesadores.
  2. ¿Quién opera y controla la infraestructura? Averigua si el proveedor está sujeto a propiedad o influencia extranjera. Pide el registro mercantil o la declaración de estructura corporativa.
  3. ¿Qué jurisdicción rige las solicitudes de acceso? Entiende cómo responde el proveedor a las solicitudes legales de datos. Busca cláusulas específicas sobre CLOUD Act y FISA 702 en el contrato o DPA.
  4. ¿Las grabaciones y transcripciones son opcionales? Comprueba que las funciones que generan datos persistentes se puedan activar o desactivar según lo necesites.
  5. ¿Se pueden configurar las funciones por organización? Busca flexibilidad en la configuración de los ajustes de tratamiento de datos. Pide el informe de certificación de seguridad aplicable (ENS, BSI C5, SecNumCloud o EUCS cuando esté disponible).

En España, si tu organización está sujeta al ENS, añade una pregunta adicional: ¿el proveedor puede demostrar cumplimiento con el ENS en la categoría que corresponda a tu nivel de criticidad?

Cómo aborda Digital Samba la soberanía

En la práctica, la videoconferencia soberana se concreta en tres condiciones. Los datos se procesan dentro de una jurisdicción definida. La entidad que gestiona la infraestructura está sometida a esa misma jurisdicción. Y los flujos de datos son auditables y previsibles. Las organizaciones también mantienen el control sobre funciones opcionales como grabaciones e integraciones.

Esto encaja con los principios de protección de datos que promueve el RGPD: minimización, responsabilidad y control.

Digital Samba está construida en torno a la protección de datos europea y el control operativo. Estos son los aspectos de la arquitectura relevantes para las organizaciones que evalúan la soberanía:

Infraestructura en la UE. Los datos de vídeo se procesan en centros de datos europeos (Leaseweb NL, Scaleway), lo que mantiene el tratamiento alineado con las expectativas legales y regulatorias de la UE.

Propiedad y operación europeas. Detrás de la plataforma hay una empresa europea con sede en Barcelona, lo que limita la exposición a solicitudes de acceso extraterritoriales. A diferencia de las filiales europeas de los grandes hyperscalers, Digital Samba, S.L. es una empresa íntegramente europea en propiedad y gobernanza, sujeta exclusivamente a la legislación de la UE y sus estados miembros. Puedes comprobarlo en nuestra información legal y en la lista de subprocesadores del DPA.

Control sobre las funciones de procesamiento de datos. Las organizaciones pueden elegir si habilitar grabaciones, transcripciones y otras funciones que generan datos, lo que facilita aplicar políticas de minimización de datos en la práctica.

Arquitectura transparente. La plataforma ofrece información clara sobre cómo se tratan los datos, lo que simplifica las evaluaciones de cumplimiento para los equipos internos.

Integración mediante API y SDK. Digital Samba puede integrarse en sistemas existentes de modo que las organizaciones mantienen el control sobre sus flujos de datos en lugar de cederlo a una plataforma externa.

E2EE como capa adicional. La plataforma ofrece cifrado de extremo a extremo opcional en la capa de aplicación (E2EE vía Web Crypto API). Esto complementa la soberanía jurisdiccional: aunque el proveedor no puede descifrar el contenido de las sesiones independientemente de su localización, la E2EE sola no resuelve la exposición de metadatos ni la gobernanza de subprocesadores, por lo que combinarla con infraestructura soberana ofrece la cobertura más completa.

Conclusión

Para las organizaciones que tratan datos sensibles, la soberanía en la videoconferencia no es una cuestión teórica. La comunicación en directo genera flujos en tiempo real, metadatos y potencialmente registros persistentes, todo ello procesado bajo el marco legal que rige al proveedor. Comprender qué jurisdicción se aplica y quién controla la infraestructura es imprescindible para tomar una decisión informada sobre si un proveedor cumple realmente con tus requisitos normativos.

En España, la soberanía digital ha subido de posición en la agenda política y empresarial. El sector público lleva años migrando a infraestructuras certificadas bajo ENS. Los sectores financiero y sanitario siguen el mismo camino, empujados por DORA y el RGPD respectivamente. Y la propia Comisión Europea ya exige niveles SEAL mínimos en sus licitaciones. El EUCS sigue en debate, pero la tendencia es inequívoca: lo que hoy es buena práctica de cumplimiento acabará convirtiéndose en requisito normativo explícito.

Si quieres saber más sobre la arquitectura cloud de Digital Samba, puedes consultar nuestra información legal o leer nuestra declaración de privacidad y RGPD. También puedes contactar con nuestro equipo comercial para analizar cómo nuestra infraestructura se adapta a tu caso de uso.

Preguntas frecuentes (FAQ)

¿Qué es una nube soberana?

Una nube soberana es un entorno de computación en la nube donde los datos están sujetos exclusivamente a las leyes de una jurisdicción específica (como la UE), la infraestructura la gestionan entidades locales y los datos quedan protegidos frente al acceso de autoridades extranjeras mediante legislación extraterritorial como la CLOUD Act de EE. UU.

¿Es lo mismo nube soberana que residencia de datos?

No. La residencia de datos solo asegura que los datos se guardan en un lugar geográfico concreto. La nube soberana va más allá: exige que la propiedad, la operación y la jurisdicción legal también estén bajo control local. Datos en un centro de datos europeo operado por una empresa estadounidense siguen expuestos a la CLOUD Act.

¿Por qué importa la soberanía para la videoconferencia?

La videoconferencia procesa datos de forma continua y en tiempo real: flujos de audio y vídeo, metadatos de participantes, grabaciones y transcripciones. A diferencia del almacenamiento estático, estos datos están en constante movimiento, así que importa saber dónde se procesan, quién controla la infraestructura y bajo qué jurisdicción.

¿Qué normativa española se aplica a la soberanía cloud?

En España, además del RGPD y la LOPDGDD (supervisada por la AEPD), el Esquema Nacional de Seguridad (ENS) establece requisitos de seguridad para el sector público, con tres categorías (BÁSICA, MEDIA, ALTA). Para el sector financiero, DORA añade obligaciones de resiliencia operativa digital desde enero de 2025. A nivel europeo, la Comisión publicó en octubre de 2025 el Cloud Sovereignty Framework con cinco niveles SEAL, y el EUCS (Esquema Europeo de Certificación de Ciberseguridad) está en proceso de finalización.

¿Digital Samba es una nube soberana?

Digital Samba es una empresa europea con sede en Barcelona, íntegramente de propiedad y operación europea, con infraestructura alojada exclusivamente en la UE (Leaseweb NL, Scaleway). El único subprocesador fuera de la UE es HubSpot (EE. UU.), de uso opcional para la gestión de tickets de soporte, y que los clientes B2B europeos pueden excluir contractualmente. Esto sitúa la infraestructura central de procesamiento de vídeo fuera del alcance de la CLOUD Act. Puedes revisar la lista completa de subprocesadores en nuestro DPA y en nuestra declaración de privacidad y RGPD.

¿Qué es la «geopatriación» de datos?

La «geopatriación» es una tendencia identificada por Gartner como prioritaria para 2026: consiste en reubicar cargas de trabajo desde nubes públicas de hyperscalers hacia entornos diseñados para mitigar el riesgo geopolítico. Gartner estima que para 2030 más del 75 % de las empresas europeas y de Oriente Medio habrán geopatriado sus cargas de trabajo.

Back to top

Referencias

  1. Comisión Europea. (2020). Una estrategia europea de datos.
  2. Comité Europeo de Protección de Datos. (2020). Recomendaciones 01/2020 sobre medidas complementarias a las herramientas de transferencia.
  3. Congressional Research Service. (2018). Clarifying Lawful Overseas Use of Data (CLOUD) Act.
  4. ENISA. (2021). Cloud security for healthcare services.
  5. Sentencia Schrems II. (2020). Tribunal de Justicia de la Unión Europea, Asunto C-311/18.
Previous story
← WebSocket vs HTTP: diferencias y cuándo usar cada protocolo