Cloud Act e IA generativa: ¿quién decide realmente dónde se almacenan tus datos?
Usted pega un documento confidencial en ChatGPT o Copilot. Un borrador de contrato, una tabla de márgenes, un memorándum estratégico. Esta noche, ese documento se encuentra en un servidor estadounidense. Y el sistema judicial estadounidense puede acceder a él, incluso si está almacenado físicamente en Europa. Tiene un nombre: la Ley de la Nube.
He visto a ejecutivos descubrir esta realidad en medio de las negociaciones. Demasiado tarde para plantear el tema del alojamiento. La soberanía de los datos no es responsabilidad del departamento de TI; es una decisión de la dirección, igual que elegir un banco o una compañía de seguros. He aquí por qué, y lo que es más importante, qué hacer.
La Ley de la Nube, esa ley que nadie lee antes de pegar un documento en un chatbot.
Conclusiones clave
- La Ley Cloud (2018) permite a las autoridades estadounidenses exigir datos a cualquier proveedor sujeto a la legislación estadounidense, incluso si están almacenados en Europa, sin previo aviso. ChatGPT, Copilot, Gemini y Claude se ven afectados.
- El artículo 48 del RGPD se opone en principio a estas divulgaciones, pero es su empresa, como responsable del tratamiento de datos, la que es responsable de las transferencias ilícitas: hasta 20 millones de euros o 4 billones de euros de facturación global.
- El 17 de abril de 2026, la Comisión Europea adjudicó su contrato soberano de nube (180 millones de euros, 6 años) a cuatro grupos europeos —OVHcloud, Scaleway y STACKIT, en particular— basándose en un marco de referencia de soberanía (SEAL) reutilizable por cualquier empresa.
- La IA en la sombra es un fenómeno masivo: el 61 % de los empleados utiliza IA a través de cuentas personales; el 54 % de las herramientas no declaradas han procesado datos confidenciales.
- Tres decisiones de gestión: clasificar los datos por nivel de confidencialidad, reservar la red soberana o local para datos estratégicos (Mistral, alojamiento en SecNumCloud, implementación local) y dejar el arbitraje en manos del Comité Ejecutivo.
Lo que dice el texto, sin jerga.
La Ley para la Aclaración del Uso Legal de Datos en el Extranjero fue aprobada por el Congreso de los Estados Unidos el 23 de marzo de 2018. Esta ley modifica la Ley de Comunicaciones Almacenadas de 1986 y resuelve un problema de larga data para el FBI: cómo obtener datos que una empresa estadounidense posee en el extranjero sin tener que pasar por los lentos procedimientos de asistencia legal mutua internacional.
La respuesta se resume en una frase: las autoridades estadounidenses pueden exigir a un proveedor sujeto a la legislación de EE. UU. que entregue los datos que posee o controla, independientemente de dónde estén almacenados. Servidor en Fráncfort, centro de datos en París, región en la nube en Europa Occidental: da igual. Lo que importa es la nacionalidad legal del proveedor, no la ubicación geográfica de los equipos.
Dos puntos clave que lo cambian todo. Primero, el procedimiento no implica informar a la empresa en cuestión: usted nunca sabrá que se ha accedido a sus datos. Segundo, el alcance es amplio: empresas estadounidenses, sus filiales y, potencialmente, cualquier empresa extranjera con una presencia comercial significativa en Estados Unidos.
ChatGPT, Copilot, Gemini, Claude: mismo sistema
OpenAI, Microsoft, Google y Anthropic son empresas constituidas bajo la legislación estadounidense. Por lo tanto, sus asistentes de IA generativa —ChatGPT, Copilot, Gemini y Claude— están sujetos a la Ley de la Nube, incluso cuando ofrecen alojamiento europeo. Un centro de datos irlandés operado por una entidad estadounidense permanece bajo la jurisdicción de los tribunales estadounidenses. Este es el principio fundamental de la extraterritorialidad: la ley sigue a la empresa, no al servidor.
En términos prácticos, cada correo electrónico que contiene archivos de clientes, información de precios, trabajos de I+D o datos personales de empleados constituye una transferencia de datos a una entidad sujeta a legislación extranjera. Sus datos viajan más lejos que usted. Y no requirió su consentimiento.
El RGPD te designa a ti como responsable del tratamiento de datos, no a tu proveedor.
Artículo 48, un cierre más teórico que práctico
La legislación europea no ha ignorado el problema. El artículo 48 del RGPD estipula que una decisión de una autoridad de un tercer país que requiera la divulgación de datos personales solo puede reconocerse si se basa en un acuerdo internacional, generalmente un tratado de asistencia jurídica mutua. Sin embargo, la Ley Cloud Act es una ley unilateral de EE. UU., no un tratado. Ya en 2019, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) concluyeron en su análisis conjunto que una solicitud basada únicamente en la Ley Cloud Act no constituye una base válida para la transferencia de datos.
El proveedor estadounidense se enfrenta, por lo tanto, a dos órdenes legales contradictorias: obedecer al juez estadounidense e infringir el RGPD, o negarse y arriesgarse a sanciones en Estados Unidos. ¿Adivina qué opción elegirá una empresa cuya sede, dirección y la mayor parte de sus ingresos se encuentran en Estados Unidos?
Schrems II, Meta: la factura ya está pagada para otros.
Esta tensión no se limitó al ámbito académico. El 16 de julio de 2020, la sentencia Schrems II del Tribunal de Justicia de la Unión Europea invalidó el Escudo de Privacidad, argumentando que los programas de vigilancia estadounidenses no garantizaban una protección equivalente a la que ofrece la legislación europea. En mayo de 2023, la autoridad irlandesa de protección de datos multó a Meta con 1200 millones de euros por transferencias ilegales de datos personales a Estados Unidos. La CNIL (Autoridad Francesa de Protección de Datos) también emitió notificaciones formales a organizaciones francesas que utilizaban Google Analytics por los mismos motivos.
Y aquí reside el punto que muchos ejecutivos subestiman: como responsable del tratamiento de datos, su empresa es responsable de la legalidad de las transferencias, no OpenAI ni Microsoft. Las recomendaciones del CEPD de enero de 2020 exigen que evalúe la exposición de sus encargados del tratamiento a las leyes extraterritoriales y documente medidas adicionales, incluido el cifrado con claves inaccesibles para el proveedor. El incumplimiento de esta obligación puede acarrear sanciones en virtud del artículo 83 del RGPD de hasta 20 millones de euros o el 4 % de su facturación anual global. El proveedor cobra sus cuotas de suscripción; usted asume el riesgo.
Abril de 2026: Europa votó con su cartera.
Esto ya no es un debate entre expertos. El 17 de abril de 2026, la Comisión Europea notificó la adjudicación de su contrato marco de nube soberana —180 millones de euros a lo largo de seis años, en el marco de la iniciativa Cloud III— a cuatro consorcios exclusivamente europeos: Post Telecom con OVHcloud y CleverCloud, la empresa alemana STACKIT, la empresa francesa Scaleway y Proximus en colaboración con S3NS, Clarence y Mistral. AWS, Microsoft Azure y Google Cloud, que anteriormente habían dominado los contratos institucionales, no figuran entre los adjudicatarios directos.
Para realizar su selección, Bruselas creó una herramienta única: el Marco de Soberanía en la Nube, que califica la soberanía en una escala SEAL de 0 a 4. El nivel SEAL-3, alcanzado por tres de los cuatro proveedores ganadores, exige que ninguna entidad no europea tenga poder de veto, una cláusula de acceso a los datos o la capacidad técnica para interrumpir el servicio. En otras palabras, la inmunidad frente a la Ley de la Nube se ha convertido en un criterio de contratación pública medible y exigible. Este marco es público; puede utilizarse libremente en sus propias licitaciones. Francia sigue el mismo camino: la doctrina de la "Nube Estatal", revisada en marzo de 2026, exige que los datos gubernamentales sensibles se alojen en infraestructuras certificadas como SecNumCloud por la Agencia Nacional de Ciberseguridad francesa (ANSSI).
Cuando la Comisión Europea, el BCE y unas cincuenta agencias se niegan a confiar sus cargas de trabajo a proveedores sujetos a la legislación estadounidense, la cuestión merece, como mínimo, ser planteada en su comité de gestión.
Mientras tanto, en sus oficinas: IA en la sombra
Mientras Europa organiza su soberanía digital, ¿qué ocurre en tu país? Según un estudio de YouGov para Microsoft Francia (enero de 2026, 657 directivos y ejecutivos), el 80 % de los directivos utiliza IA generativa al menos una vez por semana, y el 61 % de los empleados accede a ella a través de cuentas personales, fuera de cualquier infraestructura informática, con un 38 % que la utiliza a diario. Más de siete de cada diez directivos no han recibido ninguna formación al respecto.
Esto es lo que se conoce como IA en la sombra, y le encanta acceder a tus datos confidenciales. El informe Netwrix 2026 estima que el 54 % de las herramientas de IA no declaradas detectadas en las empresas habían accedido a datos confidenciales: código fuente, archivos de clientes y documentos regulados. Netskope registra un promedio de 223 incidentes mensuales de envío de datos confidenciales a herramientas de IA generativa por empresa. Y el Barómetro de Privacidad 2026 del Grupo EQS lo confirma: el 80 % de las organizaciones carecen de una comprensión clara de su uso de la IA, y solo el 32 % de las que emprenden proyectos de IA han completado una Evaluación de Impacto en la Protección de Datos (EIPD).
Haz los cálculos para tu propia organización. Si tus equipos se parecen en algo al promedio francés, partes de tus contratos, datos de RRHH e I+D ya se han ido a servidores sujetos a la Ley de la Nube. Sin una decisión. Sin dejar rastro en tu registro de tratamientoSin que su responsable de protección de datos esté informado.
¿Quiere saber qué información se genera realmente en su empresa? Los expertos de Viqtor® le ayudan a mapear el uso de la IA y las transferencias de datos.
Hay tres decisiones que deben tomarse —y que deben mantenerse en el nivel directivo—.
1. Ordena tus datos por sensibilidad.
No todo es igual. Un folleto de producto se puede transmitir a través de cualquier herramienta; su base de datos de clientes, sus márgenes, su cartera de ventas y su trabajo de I+D no. Establezca una clasificación simple (tres niveles son suficientes: público, interno, estratégico/regulado) y básela en un enfoque real. gobernanza de datos ¿Quién puede enviar qué, con qué herramienta y con qué validación? Sin esta correspondencia, cualquier política de IA se queda en una mera ilusión.
2. Para asuntos delicados, exija al soberano o al local
Ahora existen alternativas fiables. Mistral AI, una empresa francesa, procesa datos en servidores europeos, fuera del alcance de la Ley de la Nube, con ofertas empresariales que pueden aprovechar infraestructuras certificadas por SecNumCloud. Además, el Ministerio de las Fuerzas Armadas francés le confió en enero de 2026 el despliegue de IA generativa dentro de las fuerzas armadas francesas. Sus modelos de ponderación abierta pueden incluso implementarse en sus propios servidores: los datos nunca salen de su infraestructura. Para el alojamiento, OVHcloud, Scaleway y Outscale ofrecen alojamiento europeo inmune a la extraterritorialidad estadounidense. Una IA soberana ligeramente menos sofisticada es preferible a una IA de vanguardia que exponga su activo más valioso. Para usos no sensibles, las herramientas estadounidenses siguen siendo utilizables, siempre que se trate de una elección documentada y regida por un acuerdo de subcontratación que cumpla con el Artículo 28.
3. Mantener el arbitraje a nivel del Comité Ejecutivo.
El destino de sus datos no es una cuestión técnica. Un CIO optimiza los costes y el rendimiento; un proveedor de servicios vende su catálogo. Ninguno de los dos será responsable ante la CNIL (Autoridad Francesa de Protección de Datos), sus accionistas o sus clientes en caso de una violación de datos o una transferencia ilícita. Usted sí lo será. La decisión de equilibrar el poder de las herramientas con el control de los activos de información recae en la alta dirección, respaldada por un Auditoría del RGPD seriedad, una evaluación continua de su subcontratistas y socios y procesos documentados del RGPD — AIPD incluido para usos riesgosos de la IA.
La IA más potente es inútil si te hace perder el control de lo que te hace valioso: tus datos. La verdadera pregunta esta noche es simple: ¿Tus datos más confidenciales están en tu poder o en el de otra persona?
Viqtor® le ayuda a recuperar el control: mapeo de actividades de procesamiento, evaluación de proveedores de IA, cumplimiento del RGPD gestionado desde una plataforma soberana 100 %.
Preguntas frecuentes: Sus preguntas sobre la auditoría del RGPD.
¿Se aplica la Ley de la Nube incluso si los servidores están en Europa?
Sí. El criterio de la Ley de Servicios en la Nube es la nacionalidad legal del proveedor, no la ubicación de los servidores. Un centro de datos parisino operado por una empresa estadounidense o su filial sigue sujeto a la normativa estadounidense. Solo un proveedor legalmente europeo, sin ningún control estadounidense, escapa estructuralmente a esta extraterritorialidad.
¿Es ilegal usar ChatGPT o Copilot según el RGPD?
No, no en sí mismo. Pero el tratamiento de datos personales requiere un acuerdo de procesamiento de datos conforme al artículo 28, una evaluación de riesgos de las transferencias de datos (tras la sentencia Schrems II), medidas adicionales si fuera necesario y una evaluación de impacto en la protección de datos (EIPD) para usos de alto riesgo. Es el uso no regulado —la IA en la sombra— lo que constituye la infracción, no la herramienta en sí.
¿Quién es el responsable en caso de una transferencia ilegal: mi empresa o el proveedor de IA?
Su empresa, como responsable del tratamiento de datos, es responsable de seleccionar a sus subcontratistas y de garantizar la legalidad de las transferencias de datos ante la CNIL (Autoridad Nacional de Informática y Libertades de Francia). El proveedor tiene sus propias obligaciones, pero estas no le eximen de responsabilidad: las sanciones previstas en el artículo 83 del RGPD se dirigen principalmente a quien determina los fines y los medios del tratamiento.
¿Qué es exactamente una IA soberana?
Una IA cuyo proveedor, alojamiento y gobernanza se rigen exclusivamente por la legislación europea: una empresa europea, servidores ubicados en la UE y ninguna entidad no europea con acceso a los datos. Mistral AI es el ejemplo francés más exitoso de esto. El siguiente nivel implica implementar un modelo de ponderación abierta en su propia infraestructura: los datos nunca salen de sus instalaciones.
¿Es suficiente el cifrado para protegerme de la Ley de la Nube?
Resulta útil, pero solo bajo una condición estricta: que las claves de cifrado permanezcan inaccesibles para el proveedor. Esta es la principal medida técnica reconocida por las recomendaciones del CEPD de enero de 2020. Sin embargo, con la IA generativa, esta protección falla: para procesar su solicitud, el modelo debe leer sus datos en texto plano. El cifrado protege el almacenamiento, no la inferencia.
¿Por dónde empiezo a regular el uso de la IA generativa en mi empresa?
El proceso comienza con una evaluación inicial: qué herramientas se utilizan, quién las usa y con qué datos. A continuación, se realiza una clasificación basada en la sensibilidad, se elabora un plan de uso, se seleccionan las herramientas validadas (herramientas soberanas para datos sensibles), se actualiza el registro de procesamiento y se lleva a cabo una Evaluación de Impacto en la Protección de Datos (EIPD) para los casos de alto riesgo. Una auditoría del RGPD, realizada con una plataforma como Viqtor®, abarca todos estos pasos sin necesidad de invertir meses de recursos internos.