Las herramientas de comunicación en la nube forman ya parte del día a día de la mayoría de las organizaciones. Plataformas de mensajería, intercambio de archivos y videoconferencia son la base de los flujos de trabajo diarios, desde la colaboración interna hasta la relación con clientes. El teletrabajo y los modelos híbridos han acelerado esta transición, y pocas organizaciones pueden plantearse prescindir de ellas.
Al mismo tiempo, las organizaciones prestan cada vez más atención a cómo y dónde se procesan sus datos. Las preguntas sobre jurisdicción, control y cumplimiento normativo, que antes se dirigían sobre todo a los sistemas de almacenamiento y las bases de datos, ahora se aplican por igual a las herramientas de comunicación en tiempo real.
En España, este debate ha cobrado especial intensidad. Con el 72 % de los servicios cloud europeos controlados por AWS, Microsoft Azure y Google Cloud, y hasta el 90 % de los datos europeos en infraestructuras fuera del control de la UE (DCD, 2026), la dependencia de proveedores no europeos es un riesgo jurídico y geopolítico que el sector público y privado ya no puede ignorar. Según Gartner, el gasto mundial en nube soberana pasará de 6.900 millones de dólares (en torno a 6.400 millones de euros) en 2025 a 23.100 millones de dólares (aproximadamente 21.600 millones de euros) en 2027. La misma firma estima que para 2030 más del 75 % de las empresas europeas y de Oriente Medio habrán «geopatriado» sus cargas de trabajo hacia entornos diseñados explícitamente para mitigar el riesgo geopolítico.
Este artículo analiza qué significa la soberanía en el contexto de la videoconferencia: por qué importa la jurisdicción, en qué se diferencia la nube soberana de conceptos más simples como la residencia de datos, y qué preguntas hacer a un proveedor antes de contratar.
Índice
El término «nube soberana» se refiere a un entorno de computación en la nube en el que los datos están sujetos exclusivamente a las leyes y marcos de gobernanza de un país o región específicos, normalmente donde los datos se procesan y controlan.
Una definición práctica incluye cuatro elementos:
La soberanía va más allá de dónde se ubican físicamente los servidores. La verdadera soberanía requiere alineación en infraestructura, propiedad y control legal. Sin los tres elementos, las organizaciones pueden seguir expuestas a riesgos legales externos.
En octubre de 2025, la Comisión Europea (DG DIGIT) publicó el Cloud Sovereignty Framework, un marco que define cinco niveles de soberanía (los llamados SEAL: Sovereignty Effective Assurance Levels), desde SEAL-0 «Sin Soberanía» hasta SEAL-4 «Soberanía Digital Plena», medidos a través de ocho objetivos de soberanía: estratégico, jurídico y jurisdiccional, de datos e IA, operacional, de cadena de suministro, tecnológico, de seguridad y cumplimiento, y de sostenibilidad medioambiental. En abril de 2026, la propia Comisión adjudicó una licitación de 180 millones de euros exigiendo un mínimo de SEAL-2 a los proveedores admitidos.
Estos dos términos se usan a menudo indistintamente, pero significan cosas distintas. La residencia de datos implica que los datos se almacenan en una ubicación específica. No aclara quién puede acceder a ellos ni bajo qué leyes. Por ejemplo, datos almacenados en un centro de datos de la UE operado por un proveedor extranjero siguen expuestos a la legislación de ese proveedor.
Muchos proveedores ofrecen alojamiento en «región UE», lo que normalmente significa que los datos se encuentran en servidores ubicados dentro de Europa. Pero eso por sí solo no basta.
El proveedor puede tener su sede fuera de la UE, lo que significa que su estructura corporativa global podría exponerlo a obligaciones legales que van más allá del marco normativo europeo. Como resultado, podría verse obligado a atender solicitudes legales o requisitos de divulgación de autoridades no europeas, y los datos podrían quedar expuestos a una jurisdicción extranjera.
Una comparación sencilla aclara la diferencia:
| Escenario | Ubicación de datos | Propiedad | Exposición legal |
|---|---|---|---|
| Centro de datos en la UE (proveedor extranjero) | UE | No UE | Posible acceso extranjero |
| Entorno de nube soberana | UE | Controlada por la UE | Solo jurisdicción UE |
Para cualquier organización sujeta a la normativa europea de protección de datos, esta distinción no es menor. El RGPD (complementado en España por la LOPDGDD y supervisado por la AEPD) impone obligaciones estrictas sobre cómo se procesan, transfieren y acceden los datos personales. Depender solo de la residencia de datos, sin asegurar la soberanía completa, puede dejar a una organización expuesta a marcos legales extranjeros que entran en conflicto con esos requisitos.
La jurisdicción legal es uno de los aspectos más importantes de la soberanía, y uno de los más frecuentemente ignorados.
Vamos por partes. La CLOUD Act de EE. UU. obliga a las empresas estadounidenses a entregar datos a las autoridades de EE. UU. en respuesta a órdenes judiciales válidas, incluso cuando esos datos están almacenados fuera del país. Los proveedores pueden impugnar dichas órdenes, pero el proceso tiene lugar en tribunales estadounidenses: los tribunales europeos no participan y el interesado no recibe ningún aviso. Esto es exactamente lo que el artículo 48 del RGPD prohíbe como base para transferir datos fuera de la UE. Así, datos que se encuentran en un centro de datos europeo pueden quedar accesibles bajo legislación extranjera si el proveedor tiene su sede en EE. UU. La sentencia Schrems II (Tribunal de Justicia de la Unión Europea, 2020) reforzó esta preocupación, dictaminando que las cláusulas contractuales tipo no son suficientes por sí solas cuando un proveedor está sujeto a leyes de vigilancia que entran en conflicto con los estándares europeos de protección de datos.
De ello se derivan varias implicaciones:
Aquí conviene ser precisos. AWS lanzó su European Sovereign Cloud en enero de 2026 (Brandeburgo, con una inversión de 7.800 millones de euros). Microsoft anunció su Sovereign Cloud en junio de 2025, con acuerdos de socio nacional en Francia (Bleu) y Alemania (Delos). Por su parte, S3NS, la joint venture de Google Cloud y Thales, obtuvo la cualificación SecNumCloud de la ANSSI francesa a finales de 2025. Todos estos productos se presentan como «nube soberana».
El problema de fondo no desaparece con esa etiqueta. Una filial propiedad al cien por cien de una empresa estadounidense no puede blindarse contractualmente frente a la CLOUD Act que afecta a la empresa matriz. El propio directivo de Microsoft lo reconoció bajo juramento. Esto no significa que estos servicios no tengan valor para algunos casos de uso, pero sí que no resuelven la exposición jurisdiccional del mismo modo que un proveedor europeo independiente.
Para organizaciones de sanidad, educación y administración pública, estas cuestiones son especialmente determinantes. ENISA ha señalado que los proveedores de servicios de salud se enfrentan a riesgos significativos cuando los servicios cloud son operados por entidades sujetas a leyes extraterritoriales (ENISA, 2021). En España, el Esquema Nacional de Seguridad (ENS) establece requisitos de categoría ALTA para datos críticos de la administración pública. El ENS, el BSI C5 alemán y el SecNumCloud francés son tres marcos nacionales que convergen hacia el futuro EUCS (Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube). Para los sectores financieros, DORA (Digital Operational Resilience Act) está en aplicación desde enero de 2025: añade obligaciones explícitas de gestión del riesgo de concentración en proveedores de TIC y exige que las entidades puedan demostrar control sobre la cadena de subcontratación.
Un ejemplo concreto de este contexto: el servicio 112 Canarias migró en 2025 a una solución diseñada para cumplir con el ENS en la categoría ALTO. La arquitectura elegida emplea una capa de E2EE con claves controladas por el cliente sobre Google Cloud Spain Data Boundary, implementada por Minsait Cyber y GuardedBox. Es una vía válida para el cumplimiento normativo en el marco del ENS, pero no resuelve la exposición jurisdiccional: la infraestructura subyacente sigue siendo de un hyperscaler estadounidense. La nube soberana plantea una respuesta arquitecturalmente distinta.
Las plataformas de videoconferencia presentan retos distintos a los de los servicios cloud tradicionales porque procesan datos de forma continua y en tiempo real.
Los flujos de comunicación en directo se transmiten, procesan y a veces se enrutan a través de múltiples nodos simultáneamente. A diferencia de un archivo almacenado estáticamente, los datos de audio y vídeo están en constante movimiento, lo que obliga a saber con precisión dónde se produce el procesamiento y bajo qué jurisdicción.
Las plataformas de vídeo también generan una cantidad significativa de metadatos junto con los flujos multimedia: identidades de los participantes, horas de conexión y desconexión, e información sobre el dispositivo y la conexión. En entornos regulados, estos metadatos pueden ser tan sensibles como el contenido de las propias llamadas.
Muchas plataformas también ofrecen grabaciones, transcripciones automáticas y registros de chat. Estos generan datos persistentes que deben almacenarse, gestionarse y protegerse conforme a la normativa aplicable, añadiendo otra capa de responsabilidad.
Las plataformas modernas a menudo se integran con servicios de terceros o permiten streaming en directo, lo que puede introducir flujos de datos adicionales y ampliar el número de sistemas que acceden a tus datos.
La videoconferencia plantea mayores exigencias en materia de soberanía que el almacenamiento estático. Los datos se procesan de forma dinámica, no solo se guardan. Hay varios tipos de datos en juego al mismo tiempo. Y las integraciones externas pueden llevar esos flujos más allá de la plataforma principal. Evaluar dónde se almacenan los datos no basta; también necesitas entender cómo se gestionan a lo largo de todo su ciclo de vida.
Vamos a lo concreto. Al evaluar un proveedor, estas preguntas te ayudarán a ir más allá del marketing:
En España, si tu organización está sujeta al ENS, añade una pregunta adicional: ¿el proveedor puede demostrar cumplimiento con el ENS en la categoría que corresponda a tu nivel de criticidad?
En la práctica, la videoconferencia soberana se concreta en tres condiciones. Los datos se procesan dentro de una jurisdicción definida. La entidad que gestiona la infraestructura está sometida a esa misma jurisdicción. Y los flujos de datos son auditables y previsibles. Las organizaciones también mantienen el control sobre funciones opcionales como grabaciones e integraciones.
Esto encaja con los principios de protección de datos que promueve el RGPD: minimización, responsabilidad y control.
Digital Samba está construida en torno a la protección de datos europea y el control operativo. Estos son los aspectos de la arquitectura relevantes para las organizaciones que evalúan la soberanía:
Infraestructura en la UE. Los datos de vídeo se procesan en centros de datos europeos (Leaseweb NL, Scaleway), lo que mantiene el tratamiento alineado con las expectativas legales y regulatorias de la UE.
Propiedad y operación europeas. Detrás de la plataforma hay una empresa europea con sede en Barcelona, lo que limita la exposición a solicitudes de acceso extraterritoriales. A diferencia de las filiales europeas de los grandes hyperscalers, Digital Samba, S.L. es una empresa íntegramente europea en propiedad y gobernanza, sujeta exclusivamente a la legislación de la UE y sus estados miembros. Puedes comprobarlo en nuestra información legal y en la lista de subprocesadores del DPA.
Control sobre las funciones de procesamiento de datos. Las organizaciones pueden elegir si habilitar grabaciones, transcripciones y otras funciones que generan datos, lo que facilita aplicar políticas de minimización de datos en la práctica.
Arquitectura transparente. La plataforma ofrece información clara sobre cómo se tratan los datos, lo que simplifica las evaluaciones de cumplimiento para los equipos internos.
Integración mediante API y SDK. Digital Samba puede integrarse en sistemas existentes de modo que las organizaciones mantienen el control sobre sus flujos de datos en lugar de cederlo a una plataforma externa.
E2EE como capa adicional. La plataforma ofrece cifrado de extremo a extremo opcional en la capa de aplicación (E2EE vía Web Crypto API). Esto complementa la soberanía jurisdiccional: aunque el proveedor no puede descifrar el contenido de las sesiones independientemente de su localización, la E2EE sola no resuelve la exposición de metadatos ni la gobernanza de subprocesadores, por lo que combinarla con infraestructura soberana ofrece la cobertura más completa.
Para las organizaciones que tratan datos sensibles, la soberanía en la videoconferencia no es una cuestión teórica. La comunicación en directo genera flujos en tiempo real, metadatos y potencialmente registros persistentes, todo ello procesado bajo el marco legal que rige al proveedor. Comprender qué jurisdicción se aplica y quién controla la infraestructura es imprescindible para tomar una decisión informada sobre si un proveedor cumple realmente con tus requisitos normativos.
En España, la soberanía digital ha subido de posición en la agenda política y empresarial. El sector público lleva años migrando a infraestructuras certificadas bajo ENS. Los sectores financiero y sanitario siguen el mismo camino, empujados por DORA y el RGPD respectivamente. Y la propia Comisión Europea ya exige niveles SEAL mínimos en sus licitaciones. El EUCS sigue en debate, pero la tendencia es inequívoca: lo que hoy es buena práctica de cumplimiento acabará convirtiéndose en requisito normativo explícito.
Si quieres saber más sobre la arquitectura cloud de Digital Samba, puedes consultar nuestra información legal o leer nuestra declaración de privacidad y RGPD. También puedes contactar con nuestro equipo comercial para analizar cómo nuestra infraestructura se adapta a tu caso de uso.