Nube soberana; las estrategias de las grandes tecnológicas en territorio europeo

La ascensión de cloud como opción tecnológica de facto y el proteccionismo regulatorio europeo han sembrado el germen de uno de los conceptos más escuchados en la industria durante estos últimos dos años, el de nube soberana. Los grandes jugadores norteamericanos, dueños de más del 80% del mercado del Viejo Continente, se están adaptando para ofrecer soluciones locales que garanticen la residencia, la privacidad, la seguridad y, en definitiva, y valga la redundancia, la soberanía del dato, sobre todo en sectores críticos como el público. Lo hacen adecuándose a normativas clave como el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas), que desde mayo de 2018 rige el terreno de juego de las empresas comunitarias en cuanto al tratamiento de la información.

Parece que estas iniciativas están surtiendo efecto a tenor de un estudio de la consultora Capgemini que, en el ejercicio pasado, cifraba en un 71% el porcentaje de compañías que tenía en mente adoptar este tipo de nubes para garantizar el cumplimiento legislativo, y en un 67% las que buscaban introducir controles y transparencia sobre sus datos. Sin embargo, entre los principales temores destacaban la posible exposición a leyes extraterritoriales en estos entornos y la dependencia operativa de proveedores con sede fuera de la jurisdicción de su región. Alimentando esta incertidumbre, John Gazal, vicepresidente para el Sur de Europa y Brasil del pure player europeo OVHcloud, llegaba a asegurar en esta entrevista que “la soberanía del dato depende de la nacionalidad del proveedor […] China y Estados Unidos tienen preceptos que permiten a sus gobiernos, estén donde estén sus operadores, acceder a los datos. Es decir, un proveedor norteamericano con un data center en España está sujeto a la regulación de Europa, pero por encima tiene normas como Cloud Act”.

El debate está servido y para analizar los movimientos que están haciendo al respecto, ComputerWorld se ha puesto en contacto con varios de los jugadores americanos más importantes del panorama actual de la nube como AWS, Microsoft, Google y Oracle.

AWS: “Las empresas de la UE deben poder elegir la  mejor tecnología sin restricciones sobre dónde tiene su sede mundial un proveedor”

Uno de los principales hiperescalares, Amazon Web Services (AWS) ha anunciado recientemente el lanzamiento de su nueva European Sovereign Cloud para clientes e industrias altamente reguladas con el objetivo de que puedan cumplir con los requisitos de residencia de datos, autonomía operativa y resiliencia. “Nuestro planteamiento es contar con una nube soberana por diseño, como hemos hecho desde el primer día”, asegura Max Peterson, VP Sovereign Cloud en la multinacional. “Esta será nueva e independiente de nuestras regiones existentes, con una infraestructura ubicada completamente en la Unión Europea (UE) y operada por residentes europeos”

El directivo defiende que tendrá todas las capacidades AWS, ya que “las compañías de la UE deben poder elegir la tecnología que mejor se adapte a sus necesidades sin restricciones sobre dónde tiene su sede mundial un proveedor”. Además, cita las conclusiones de un estudio que el gigante corporativo encargó a la consultora independiente Public First en 2022: solo el 6% de las empresas del Viejo Continente señalaron la nacionalidad del operador como uno de los factores más importantes a la hora de elegir un fabricante de nube, “siendo el menos importante de 14 posibles factores. Así pues, para los usuarios de estos servicios, que necesitan innovar y tener éxito, no existe ningún requisito basado en la nacionalidad”.

Por otra parte, Peterson argumenta que su nube soberana está diseñada para que todos los metadatos y contenidos creados por los clientes permanezcan en la UE, con controles de resiliencia operativa e independencia en la geografía. E insiste en que las actividades diarias, el soporte técnico y el servicio al cliente serán controlados únicamente por personal ubicado y residente en la UE, facultado para rechazar solicitudes que violen una ley como GDPR. “Estas garantías se suman al compromiso de AWS de impugnar cualquier solicitud gubernamental, incluidas las procedentes en virtud de Cloud Act, para acceder a los datos de los clientes que sean excesivas e inapropiadas, por ejemplo, cuando entren en conflicto con el propio GDPR”. Desde 2020, AWS no ha tenido ninguna solicitud que haya dado lugar a la revelación al Gobierno de Estados Unidos de datos de contenido empresarial o de otro tipo ubicados fuera del país.

Microsoft: “Nuestra política de GDPR no contempla la minería de datos para investigación de marketing o publicidad”

Microsoft también está ultimando el lanzamiento de su solución para el sector público en este sentido, Microsoft Cloud Sovereignty. En España, según explica Alberto Pinedo, national technology officer de la compañía, contará con socios locales como Minsait –perteneciente a Indra– para combinar gobernanza, transparencia y su tecnología. “Los clientes pueden elegir el país o la región donde se alojarán sus servicios en la nube y aprovechar las señales de seguridad de Microsoft”.

Con un discurso similar, Pinedo estima que, independientemente de nacionalidades, “la soberanía va de tener un control efectivo de tus datos, de tener certeza de que no son procesados en contra de tus instrucciones y de que no son utilizados para desarrollar modelos de negocio que luego compitan contigo. En definitiva, de saber que la tecnología que utilizas funciona de manera fiable y te facilita el desarrollo de sus actividades”. Además, indica, la apertura de la zona cloud en España es un claro ejemplo de estas demandas del mercado.

De hecho, el hiperescalar cuenta con la iniciativa EU Data Boundary, una garantía para que los datos se almacenen y procesen en la UE. “En Microsoft no utilizamos los datos sin un consentimiento explícito […] Nuestra política de GDPR no contempla la minería de datos para investigación de marketing o publicidad, sino que los procesamos siempre conforme a los procedimientos establecidos por el contrato”.

En cuanto al posible choque de legislaciones transnacionales, el directivo argumenta que la existencia de distintos mecanismos a uno y otro lado del Atlántico no significa que se rompa con los principios de cooperación jurídica internacional. “Nosotros nos comprometemos a dar transparencia en nuestro portal de todas las solicitudes que recibimos de autoridades a nivel mundial y, a nivel contractual, a defender a nuestros clientes del sector público y empresas en contra de cualquier solicitud que incumpla la normativa de protección de datos”.

Oracle: “El panorama de la UE ha cambiado drásticamente debido a la creciente importancia de la protección de datos y la localización”

Una de las multinacionales que está apostando por España como uno de los enclaves de su ‘soberanía europea’ es Oracle. De hecho contará con dos sedes, una en Alemania, y la local se ubica en Madrid, en los centros de datos de Telefónica para dar cobertura a los 27 países miembros con el objetivo, también, de garantizar la seguridad y la residencia de la información en el Viejo Continente en sectores hiperregulados como administración pública, banca o salud. De hecho, ha llegado a montar una sociedad aquí, Oracle Sovereign Cloud Spain, gestionada exclusivamente por empleados europeos.

“El panorama tecnológico de la UE ha cambiado drásticamente debido a la creciente importancia de la protección de datos y la localización, lo que ha provocado un aumento de la demanda de soluciones de nube soberana que puedan alojar de forma segura los datos confidenciales de los clientes y cumplir con la normativa”, asegura Sergio Sáez, vicepresidente y director del negocio cloud de Oracle en España y Portugal. El directivo destaca, como parte de la estrategia, la asociación con Thales. “Ellos guardan las llaves y nosotros ayudamos”, expresa. “Queremos satisfacer la creciente necesidad de gestionar los activos de los datos y tener más transparencia sobre dónde están, quién los procesa y cómo se puede conseguir valor”.

Google Cloud: “Trabajamos en soberanía de datos, operativa y de software”

La alianza de Google Cloud en España en lo que a nube soberana se refiere, también pasa por Minsait, como Microsoft. “Nos aporta su experiencia en la gestión de calves de cifrado externas, servicios de seguridad, de gestión de infraestructuras en la nube y soporte local, así como la continua auditoría del centro de datos” que la compañía tiene en Madrid -es el primer hiperescalar en abrir una ubicación en España-, cuenta Héctor Sánchez Montenegro, national technology office de Google Cloud Iberia.

Sobre el debate generado, dice entender que las organizaciones europeas quieran un proveedor de servicios que cumpla sus requisitos de seguridad, privacidad y autonomía. “Estamos trabajando en tres áreas: soberanía de datos, operativa y de software, para ayudar a abordar la soberanía digital en el contexto de computación en la nube […] En nuestro caso, los datos se almacenan y descansan en regiones específicas nuestras y no pueden trasladarse fuera de ellas”.