«Centro de datos soberano» es una de esas expresiones que suenan tranquilizadoras en una presentación para la junta directiva. Y, para ser justos, es acertado: el lugar donde se almacenan y procesan los datos es un requisito normativo real en muchos sectores. Pero la residencia y la soberanía no son lo mismo, y la diferencia entre ambas es precisamente donde la mayoría de las organizaciones se meten en problemas. Según Gartner, el gasto mundial en la nube soberana alcanzará los 80,000 millones de dólares en 2026, lo que supone un aumento interanual del 35,6%. En todos los sectores, las organizaciones están destinando presupuestos significativos para alojar la infraestructura dentro de sus propias fronteras. Los reguladores lo exigen, los equipos de compras lo valoran positivamente y, sin embargo, según el Informe sobre amenazas a los datos de Thales de 2026, solo el 47% de los datos sensibles en la nube están cifrados.
Esa cifra ha disminuido, en lugar de aumentar, durante el último año. La inversión en la ubicación geográfica se está acelerando; la inversión en el control se está quedando atrás. Y esa brecha es donde las estrategias de soberanía tienden a fracasar. La residencia no es lo mismo que la soberanía Estos dos términos se utilizan habitualmente de forma intercambiable, y confundirlos es uno de los problemas más persistentes en la forma en que las organizaciones abordan la gobernanza de los datos. La residencia de los datos es un requisito de ubicación. Especifica dónde deben almacenarse y procesarse los datos. La soberanía de los datos es un requisito de control. Determina quién ostenta la autoridad legal y operativa última sobre esos datos: quién puede acceder a ellos, trasladarlos, exigir su divulgación o cambiar quién puede hacer esas cosas.
Una organización puede cumplir plenamente los requisitos de residencia y, al mismo tiempo, incumplir los de soberanía. El ejemplo más claro es la Ley CLOUD de EE. UU., que otorga a las fuerzas del orden estadounidenses la autoridad para obligar a las empresas estadounidenses a entregar datos almacenados en cualquier parte del mundo. Una organización que aloje cargas de trabajo en Frankfurt (Alemania) con un proveedor sujeto a la jurisdicción de EE. UU. puede tener datos en Europa; pero eso no significa automáticamente que dichos datos estén bajo control soberano europeo. El servidor es local. La jurisdicción, no. El mismo principio se aplica de formas más sutiles en cualquier entorno operativo complejo. Las plataformas de gestión, los sistemas de identidad controlados por una matriz extranjera, los procesos de soporte que requieren el acceso de terceros a entornos sensibles. Cada uno de ellos introduce una dependencia que se sitúa fuera de los límites de gobernanza de la organización. La infraestructura puede ser totalmente local, mientras que el control se escapa silenciosamente a otra parte.
El test no forma parte del funcionamiento habitual El problema de una estrategia de soberanía basada en la ubicación es que suele parecer adecuada la mayor parte del tiempo. Las deficiencias solo se hacen evidentes bajo presión. Pensemos en una auditoría normativa. A los auditores no les interesa dónde se encuentra la infraestructura; quieren pruebas documentadas de quién ha accedido a los sistemas, qué se ha modificado, cuándo y con qué autorización. Según el informe de IBM «El costo de una filtración de datos en 2025», el 97% de las filtraciones relacionadas con la IA se produjeron en organizaciones que carecían de controles de acceso adecuados, un hallazgo que apunta directamente a deficiencias de gobernanza más que a deficiencias de infraestructura. La recuperación tras un incidente supone un test similar.
Las organizaciones que restauran los sistemas tras un ciberincidente no solo deben actuar con rapidez, sino que deben mantener los controles de gobernanza en todo momento. Los procedimientos de recuperación que eluden los controles de acceso establecidos o dependen de la intervención externa restablecen las operaciones, pero debilitan la soberanía. Los cambios comerciales constituyen un tercer punto de presión al que se presta menos atención. Los proveedores de tecnología evolucionan, los modelos de precios cambian y las prioridades estratégicas varían. Las organizaciones con una postura de soberanía genuina disponen de una libertad de acción significativa cuando eso ocurre, mientras que aquellas cuyo modelo operativo está profundamente entrelazado con la capa de gestión de un único proveedor suelen descubrir que tienen menos margen de maniobra del que suponían. Lo que realmente requiere el control La soberanía significativa se construye a través de un conjunto de disciplinas operativas que no tienen nada que ver con el código postal. La autoridad y el control de acceso —es decir, quién puede administrar los sistemas, aprobar cambios y auditar acciones— son fundamentales. El acceso basado en roles, el principio del privilegio mínimo, la autenticación multifactorial (MFA) y la separación de funciones no son conceptos nuevos.
El control criptográfico es igualmente importante y, a menudo, se entiende mal. El cifrado sin control de las claves no es soberanía, sino que simplemente transfiere la custodia a quienquiera que posea las claves. La cuestión no es si los datos están cifrados, sino quién controla las claves, cómo se regula el acceso a ellas y qué ocurre con esa custodia cuando cambia la relación con el proveedor. La independencia operativa también es importante en el día a día. ¿Puede la organización aplicar parches, solucionar problemas, supervisar y recuperar datos sin depender de servicios externos que no controla? Aquí es donde el concepto de centro de datos soberano suele quedarse corto en la práctica. No porque las instalaciones sean inadecuadas, sino porque el modelo operativo que las rodea crea dependencias invisibles. Por último, la reversibilidad. La libertad de acción implica disponer de una opción creíble para cambiar de rumbo sin que ello suponga una interrupción desproporcionada. Eso no requiere planificar la salida de ningún proveedor; requiere garantizar que esa opción exista.
La IA eleva considerablemente lo que está en juego La cuestión de la gobernanza de la IA ha agudizado considerablemente este debate. A medida que se acercan las obligaciones de la Ley de IA de la UE para los sistemas de alto riesgo, las preguntas que se plantean los reguladores van mucho más allá de dónde se almacenan los datos de entrenamiento. ¿Quién puede ver las indicaciones de inferencia? ¿Qué datos de telemetría se envían al proveedor y en qué condiciones? En el caso de las cargas de trabajo de IA sensibles —aquellas que implican historiales sanitarios, decisiones financieras, datos biométricos o servicios a los ciudadanos—, el perímetro de soberanía debe extenderse a todo el entorno de inferencia, no solo a los datos subyacentes. Por eso la IA acelera, en lugar de complicar, el debate sobre la soberanía. Los mismos controles que definen una soberanía de datos significativa, la autoridad, la custodia de las claves, la independencia operativa y una gobernanza documentada son precisamente lo que exigen los reguladores cuando se someten a escrutinio los sistemas de IA de alto riesgo. Un enfoque proporcional al riesgo Un error habitual es considerar la soberanía como un requisito uniforme para todo el conjunto de sistemas.
Una plataforma de marketing dirigida al público no requiere los mismos controles que un sistema de transacciones financieras o una base de datos de salud nacional. Aplicar el máximo aislamiento de forma indiscriminada aumenta los costos y la complejidad sin mejorar los resultados allí donde realmente importan. El modelo más eficaz es la clasificación basada en las cargas de trabajo: identificar qué sistemas requieren los controles de soberanía más estrictos, aplicarlos rigurosamente en esos casos y mantener la flexibilidad adecuada en el resto. Esa alineación entre la postura de seguridad y el riesgo empresarial es lo que permite que los programas de soberanía sean operativamente sostenibles, en lugar de meras aspiraciones. La geografía es un factor, no una estrategia La expresión «centro de datos soberano» no va a desaparecer, ni debería hacerlo. La ubicación física sigue siendo una consideración real para las obligaciones de residencia de datos, la seguridad de la cadena de suministro y las cargas de trabajo reguladas sensibles a la latencia. Pero la soberanía no es un edificio.
Es una capacidad operativa: autoridad sobre quién accede a los sistemas, custodia de las claves criptográficas, independencia en las operaciones diarias, gobernanza demostrada mediante auditorías y la libertad de cambiar de rumbo cuando las circunstancias lo requieran. Las organizaciones que la están construyendo de manera eficaz la tratan como una disciplina de ingeniería, no como una decisión de adquisición.