La Comisión Europea ha dado un paso de gigante en su estrategia de autonomía digital con la presentación oficial del Cloud and AI Development Act (CADA).
Integrada dentro del ambicioso Paquete de Soberanía Tecnológica de la Unión Europea, esta ley pretende transformar radicalmente el ecosistema digital europeo, expandiendo las infraestructuras críticas y combatiendo la asfixiante dependencia de gigantes tecnológicos extranjeros.
Sin embargo, el camino hacia la auténtica soberanía de los datos está plagado de retos regulatorios y agujeros legales. Mientras Bruselas celebra este hito legislativo, la industria —representada por asociaciones como CISPE (Cloud Infrastructure Services Providers in Europe)— advierte que, si no se corrigen sus deficiencias, la normativa corre el riesgo de quedarse en una simple declaración de intenciones.
¿Qué es CADA?
El CADA nace con el firme propósito de mitigar la alarmante brecha en capacidad de computación y centros de datos que sufre Europa en comparación con potencias como Estados Unidos o China.
El objetivo central es claro: triplicar la capacidad informática de la UE para el año 2030 y garantizar que la ola de innovación en Inteligencia Artificial se asiente sobre suelo e infraestructuras europeas.
¿Cuáles son los objetivos de CADA?
Para articular este cambio, la ley se cimenta sobre tres pilares fundamentales:
- Investigación, Desarrollo e Innovación (I+D+i): Apoyo directo a tecnologías punteras de cloud e IA industrial y física.
- Capacidad: Agilización de los farragosos trámites de concesión de licencias, acceso a energía y suelo para construir centros de datos sostenibles y eficientes.
- Autonomía: Introducción de un marco único de evaluación de la soberanía cloud con cuatro niveles de garantía (Assurance Levels) para clasificar la seguridad y el control legal de los servicios.
Los Pros de CADA: Un marco conceptual necesario
Un escudo contra las jurisdicciones de terceros países
El mayor acierto del CADA es el reconocimiento explícito del riesgo político y de seguridad que supone la dominancia comercial de los proveedores cloud extracomunitarios. Al establecer niveles de soberanía robustos (especialmente el Nivel 3 y superiores), la Comisión alinea sus criterios con marcos sectoriales exigentes como el Sovereign and Resilient Cloud Framework de CISPE, blindando legalmente los datos ante injerencias de leyes extranjeras.
Impulso a la sostenibilidad y a los datos abiertos
La ley propone destrabar inversiones y simplificar normativas para que el despliegue de infraestructuras críticas responda a criterios de alta eficiencia energética. Además, la creación de un ecosistema local fuerte impactará de forma directa en el futuro de los datos abiertos (open data), facilitando entornos seguros e interoperables para que las administraciones públicas y empresas procesen información estratégica a gran escala sin perder su control.
Las cuatro brechas críticas que señala CISPE
A pesar del optimismo inicial, el análisis detallado del borrador del CADA ha encendido las alarmas de los proveedores cloud locales. CISPE ha manifestado su preocupación a través de una nota de prensa donde detalla importantes "brechas" estructurales y omisiones en la contratación pública que amenazan con desvirtuar la ley.
- Inercia y falta de obligaciones en la contratación pública: El CADA falla estrepitosamente en el ámbito de la contratación. La normativa actual no obliga a las autoridades públicas ni siquiera a evaluar las alternativas europeas antes de adjudicar contratos millonarios a proveedores extranjeros. CISPE recuerda que pedir un análisis previo de mercado no es una barrera comercial, sino pura "diligencia debida" con el dinero de los contribuyentes. Sin esta obligación de mirar qué ofrece el mercado local, los departamentos de TI seguirán comprando soluciones no soberanas por pura comodidad.
- El peligro del "Sovereignty Washing" (Blanqueamiento de soberanía): El borrador genera confusión al otorgar etiquetas de "soberanía" a los Niveles 1 y 2. Según CISPE, los requisitos de estos niveles inferiores son tan laxos que prácticamente cualquier hiperescalar extranjero puede cumplirlos. Denominar "soberano" a estos niveles confundirá tanto al sector público como al privado y propiciará un engañoso lavado de imagen de los proveedores de fuera de la UE.
- Evaluaciones a nivel de empresa y no de servicio: El CADA propone auditar a las compañías de forma global en lugar de certificar cada servicio de manera individual. Esto abre la puerta a que una multinacional obtenga un sello genérico y comercialice bajo esa enseña servicios específicos que jamás han sido auditados. CISPE reclama auditorías transparentes a nivel de servicio para dotar a los compradores de métricas y puntuaciones reales.
- Agujeros legales y trampas a través de intermediarios: La complejidad del texto ha dejado un peligroso vacío estructural: el coladero de los agregadores locales. Un proveedor extranjero no soberano podría utilizar a un distribuidor o agregador europeo (que sí cumpla formalmente los criterios) como pantalla jurídica para revender sus servicios cloud en licitaciones de Nivel 2, 3 o 4, eludiendo las restricciones de control extranjero directas. Asimismo, preocupan las lagunas sobre el control agregado de accionistas alineados que posean menos del 5% del capital.
Por qué un proveedor local sigue siendo la apuesta más segura
En este complejo escenario normativo, la verdadera alternativa de soberanía digital no vendrá de las grandes corporaciones extranjeras que intenten camuflar sus contratos, sino de los proveedores cloud locales y de proximidad. Para la mediana empresa europea, que constituye el motor económico de la región, la transición hacia la nube soberana no puede ser un dolor de cabeza burocrático ni un riesgo de cumplimiento legal.
Los proveedores locales aportan un valor diferencial insustituible en el nuevo marco del CADA:
- Control legal absoluto y arraigo europeo: Al operar bajo infraestructura propia radicada íntegramente en suelo europeo y sujeta de forma exclusiva a las leyes de la UE, eliminan de raíz cualquier conflicto geopolítico o de acceso a datos por parte de terceras potencias. Cumplen de forma natural con los máximos niveles de exigencia del CADA sin necesidad de complejas arquitecturas de ingeniería jurídica.
- Acompañamiento y flexibilidad frente a la rigidez de los hiperescalares: Una mediana empresa no necesita soluciones estandarizadas e impersonales, sino flexibilidad. Los operadores locales ofrecen cercanía, soporte especializado en su idioma y la capacidad de diseñar nubes híbridas y multicloud a medida. Esto evita la dependencia cautiva (vendor lock-in) y garantiza la agilidad operativa.
- Garantía frente a los vacíos de la ley: Ante la confusión que genera el texto de la Comisión Europea sobre las auditorías y los intermediarios, contratar con un proveedor local de confianza ofrece la máxima transparencia. No hay riesgo de sovereignty washing; la infraestructura, la gestión y el soporte técnico se realizan desde el propio territorio.
Conclusión
El Cloud and AI Development Act (CADA) es una declaración valiente y un marco arquitectónico bien orientado para devolver a Europa las riendas de su destino digital. No obstante, la Comisión no puede permitir que las trampas en la letra pequeña o la inercia de los compradores públicos arruinen el espíritu de la ley.
Para que la soberanía tecnológica sea una realidad y no una etiqueta de marketing, Bruselas debe escuchar a la industria y cerrar los coladeros de los subcontratistas y agregadores, además de exigir de forma obligatoria la consulta de alternativas europeas en las licitaciones.
Entretanto, el verdadero bastión de la resistencia digital europea seguirá estando en los proveedores locales. Apoyarse en operadores nacionales como Gigas es la opción más segura y estratégica para que las medianas empresas protejan su activo más valioso, sus datos, impulsando al mismo tiempo la economía y la innovación interna de la Unión.
© 2026 Autonomía Digital Europea. Documento Informativo.