Ley CLOUD, soberanía de datos y Suiza: ¿un punto de inflexión para las estrategias europeas de TI?

24 diciembre 202528 noviembre 2025 por Markus Schall

A mediados de noviembre ocurrió en Suiza algo que casi nadie esperaba de esta forma: Los comisarios de protección de datos del país aprobaron una resolución clara, casi histórica. El mensaje que subyace es sencillo y, al mismo tiempo, muy controvertido: las autoridades públicas no deben seguir subcontratando sus datos más sensibles a servicios internacionales en la nube como Microsoft 365 sin dudarlo. ¿Por qué?

Porque la responsabilidad sobre datos especialmente confidenciales - historiales médicos, casos sociales, investigaciones penales, documentos internos - no debe entregarse a empresas que nunca pueden descartar técnicamente por completo el acceso a estos datos. Este es precisamente el núcleo de la decisión suiza. No hace falta estar muy metido en informática para entender la idea básica. En el pasado, los archivos importantes se guardaban en un archivador cerrado con llave en el ayuntamiento. Hoy, esos mismos datos suelen almacenarse en algún lugar del extranjero: en los servidores de grandes empresas estadounidenses, que a su vez recurren a sus propias empresas asociadas y subcontratistas. Y aunque estos proveedores nos aseguren que todo está seguro, las propias autoridades ya no pueden comprobarlo realmente.

Cuestiones sociales de actualidad

28º régimen de la UE

El 28º régimen de la UE: ¿la reorganización silenciosa del Espacio Económico Europeo?

Por qué Dieter Bohlen habla cuando otros callan: Un retrato de diligencia y claridad

Caja de tensión-Alemania-2025

¿Qué significa la caída de tensión en Alemania y qué consecuencias concretas tendría?

El estrés no es una fuerza de la naturaleza

El estrés no es una fuerza de la naturaleza - Cómo recuperar tu libertad, paso a paso

También hay un punto que a menudo se pasa por alto en el debate público: las empresas estadounidenses pueden verse obligadas a entregar datos en virtud de leyes estadounidenses como la Ley CLOUD, aunque estos datos estén almacenados en realidad en Europa. Para los países europeos, y más aún para un país como Suiza, que tradicionalmente concede gran valor a la independencia, se trata de una pesada carga. En este contexto, las autoridades suizas de protección de datos han dejado clara su postura:

Si una autoridad pública almacena datos especialmente protegidos o incluso amparados por el secreto oficial, nadie más -ni siquiera un proveedor de la nube- debe poder acceder a ellos. Y mientras no exista un verdadero cifrado de extremo a extremo en el que solo la autoridad gestione las claves, esto es sencillamente inviable con los servicios en nube actuales.

De este modo, Suiza tira de la cuerda, por precaución, tradición y una comprensión profundamente arraigada de que los datos estatales son un activo especialmente valioso. Y, curiosamente, las autoridades alemanas, los responsables de protección de datos y los directores de TI también están ahora muy atentos para ver si aquí está surgiendo una nueva norma.

Lo que realmente dice la resolución suiza

Cómo Heise en línea y Dentro de TI Como informamos en nuestro informe, esta decisión fue tomada por la Conferencia de Protección de Datos privatim, una asociación del Comisario Federal de Protección de Datos y todas las autoridades de control cantonales. Aunque sus decisiones no son leyes, tienen un peso enorme. En la práctica, muchas autoridades aplican sus directrices como si fueran vinculantes, porque especifican lo que es permisible y responsable desde el punto de vista de la protección de datos. ¿A quién va dirigida la resolución? El grupo destinatario son las autoridades públicas:

Autoridades federales
Oficinas cantonales
Municipios
Tribunales
instituciones estatales

La resolución no afecta formalmente a las empresas privadas. Sin embargo, si se establecen normas tan estrictas para las instituciones estatales, al sector privado le resultará difícil adoptar un enfoque mucho más laxo en el futuro, especialmente en ámbitos como la sanidad, la educación y los seguros.

El mensaje clave: los datos sensibles no pertenecen a las nubes internacionales

En Resolución lo formula de forma cuidadosa pero inequívoca: la mayoría de los datos sensibles de las administraciones no deben externalizarse a servicios en la nube mientras los proveedores puedan tener acceso técnico. Y esto no se aplica a ninguna aplicación de nicho, sino precisamente a los productos en la nube que muchas administraciones utilizan ahora de serie, entre ellos

Microsoft 365
Espacio de trabajo de Google
Varias aplicaciones SaaS de proveedores internacionales

El escollo es siempre el mismo: no existe un verdadero cifrado de extremo a extremo cuando la autoridad posee las claves y el proveedor está técnicamente excluido. Mientras el propio servicio en la nube realice actualizaciones, lleve a cabo configuraciones o tenga derechos de administrador en caso de asistencia, el acceso teórico sigue existiendo, y eso es un riesgo más que suficiente para los expertos suizos en protección de datos.

Por qué Suiza traza esta línea

La decisión suiza sigue una lógica clara que podría resumirse con un principio clásico, casi anticuado:
No se puede proteger realmente lo que no está en la propia esfera de influencia. Tres motivos están en el centro de esto:

Protección de la soberanía estatalLos datos del Estado son un fundamento de la soberanía. Si proveedores internacionales -posiblemente incluso bajo jurisdicción extranjera- pudieran teóricamente acceder a ellos, el Estado pierde una parte de esta soberanía.
Protección del secreto oficialEl secreto oficial es especialmente importante en Suiza. No sólo pretende evitar intrigas políticas, sino también garantizar la confianza de los ciudadanos. En cuanto los datos salen del país, esta confianza se hace más difícil de garantizar.
Protección de datos personales especialmente sensiblesDatos sanitarios, expedientes policiales, casos sociales: todos ellos son ámbitos en los que un acceso no autorizado tendría graves consecuencias. Y aquí se considera inaceptable hasta el más mínimo riesgo.

¿Qué datos se ven especialmente afectados?

La resolución habla explícitamente de:

datos personales especialmente sensibles
Datos sujetos a confidencialidad legal (secreto oficial)
Datos de la policía, la justicia, los servicios sociales, la sanidad, la administración

Para este tipo de información, la resolución exige un estándar que los sistemas SaaS actuales no ofrecen: encriptación total bajo el control exclusivo de la autoridad. Sin esta norma, la externalización a nubes internacionales es „en la mayoría de los casos inadmisible“ -según la redacción-.

¿Qué les queda por hacer a las autoridades?

Técnicamente hablando, sólo tienen un estrecho pasillo:

Almacenamiento en la nube con cifrado propio
Explotación de infraestructuras clave propias
o soluciones totalmente locales, es decir, proveedores locales o suizos

Esto no significa que las autoridades ya no puedan utilizar la nube en absoluto. Pero deben asegurarse de que el proveedor no tiene forma de leer los datos en texto plano. Y en la práctica, esto es prácticamente imposible con la mayoría de las herramientas modernas en la nube, porque estos sistemas sólo pueden cumplir sus funciones si procesan ellos mismos los datos. De este modo, Suiza está diciendo indirectamente:

„Usa la nube con moderación y solo donde realmente puedas controlarla“.“

Y eso es en sí mismo un paso notable, que también está suscitando debate fuera de Suiza.

Los cinco argumentos principales, desde la falta de cifrado de extremo a extremo hasta la lotería de los contratos

1. falta de un auténtico cifrado de extremo a extremo

El punto más importante es también el más sencillo: mientras un proveedor de nube pueda acceder técnicamente a los datos, no está permitido utilizarla para información especialmente sensible. Y aquí es precisamente donde fallan prácticamente todas las ofertas internacionales de SaaS, aunque se autodenominen „seguras“, „certificadas“ o „conformes con la protección de datos“. ¿Por qué? Porque servicios como Microsoft 365, Google Workspace u otras grandes plataformas en la nube solo funcionan si pueden procesar los datos de nuestro trabajo: Documentos, correos electrónicos, calendarios, reuniones, chats. Los sistemas analizan, buscan, sincronizan y conectan contenidos: ese es su modelo de negocio.

Un auténtico cifrado de extremo a extremo, en el que sólo la autoridad posee la clave y el proveedor no la conoce, haría estas funciones en gran medida imposibles. Esta es precisamente la razón por la que los proveedores no ofrecen una separación completa a este respecto. Y por eso lo dicen los expertos suizos en protección de datos:

„Mientras esto no sea posible, no podremos utilizar estos sistemas con la conciencia tranquila“.“

2. cadenas de subcontratación poco transparentes y falta de control

Los grandes proveedores de servicios en nube trabajan con una enorme red de subcontratistas. Estas estructuras suelen estar distribuidas por todo el mundo, cambian con regularidad y son casi imposibles de entender para las personas ajenas a la empresa. Aunque exista un contrato oficial con Microsoft o Google, a menudo se aplica lo siguiente en segundo plano:

Otras empresas prestan apoyo
Equipos externos realizan trabajos de mantenimiento
otros proveedores de servicios alojan o gestionan partes de la infraestructura

Para una autoridad pública, esto significa que no puede saber exactamente quién tiene o podría tener acceso y cuándo. Y esto contradice el principio de que una autoridad pública debe poder saber en todo momento dónde se encuentran sus datos y quién puede acceder a ellos. Las autoridades suizas han insistido deliberadamente en este punto porque la transparencia y la responsabilidad están estrechamente vinculadas.

3. modificaciones contractuales unilaterales - la nube como base jurídica tambaleante

Un factor de riesgo que a menudo se pasa por alto es el diseño del contrato. Muchos proveedores de nube se reservan el derecho a cambiar sus condiciones en cualquier momento, a veces con plazos muy cortos. Esto es en cierto modo aceptable para las empresas privadas, pero:

El principio de previsibilidad se aplica a las autoridades públicas. La administración debe poder documentar y justificar qué datos se tratan y cómo. Sin embargo, si las condiciones marco cambian espontáneamente -porque el proveedor inserta nuevas cláusulas o restringe las existentes- se produce una situación en la que la autoridad ya no puede evaluar con certeza su propio cumplimiento legal.

Los expertos suizos en protección de datos consideran que esta „lotería de contratos“ es incompatible con las obligaciones estatales. Un Estado no puede confiar en modelos de negocio que pueden cambiarse en cualquier momento, sin codeterminación.

4. pérdida de control y riesgo para los derechos fundamentales

En cuanto los datos salen del país o se procesan fuera de su propio ámbito de responsabilidad, surge un riesgo: el Estado pierde parte de su control.

Esto puede parecer abstracto a primera vista, pero es muy real en la vida cotidiana: si se produce un error, si los datos se ven comprometidos o si surge una disputa legal, una autoridad pública ya no puede asegurar que pueda arreglárselas sin ayuda externa. Y esto es precisamente lo que contradice la idea básica de una administración pública que funciona:

Un Estado debe ser capaz de actuar por sí mismo en caso de emergencia, sin depender de empresas externas ni de sistemas jurídicos extranjeros. Los proteccionistas de datos suizos tienen aquí un enfoque tradicional, casi anticuado - y esto es precisamente lo que hace que su posición sea tan coherente. Las tareas del Estado siguen siendo tareas del Estado. Y los datos estatales deben estar en manos del Estado.

5 La ley estadounidense CLOUD: el centro de las preocupaciones

La Ley CLOUD es quizá el antecedente más importante de todo este debate. Esta ley obliga a las empresas estadounidenses a entregar los datos a las autoridades de su país cuando éstas lo soliciten, incluso si estos datos están almacenados en el extranjero y están sujetos a la protección de leyes extranjeras. Para Suiza, esto es un absoluto no-go.

En teoría, esto permitiría a las autoridades estadounidenses acceder a datos administrativos suizos sensibles sin implicar a los tribunales o las autoridades suizas. Incluso si los proveedores de la nube afirman que solo facilitarán esos datos en condiciones estrictas, el problema básico persiste:

La autoridad pierde la soberanía sobre sus datos, simplemente por elegir al proveedor de servicios técnicos. Para un país que tradicionalmente ha defendido su independencia, se trata de un riesgo que no merece la pena correr. Y es precisamente este punto el que dejan muy claro los expertos suizos en protección de datos.

Miniatura de vídeo de YouTube

Ver este vídeo en YouTube

Suiza contra Microsoft 365: Alemania vigila de cerca | Suiza contra Microsoft 365: Alemania vigila de cerca heise & c't

Suiza frente a la UE: dos formas de tratar Microsoft 365

Mientras Suiza adopta un enfoque muy cauto y advierte explícitamente a las autoridades contra la externalización de datos sensibles a servicios SaaS internacionales, la Unión Europea adopta un enfoque diferente. Trata de encontrar una vía intermedia mediante acuerdos, mejoras contractuales y ajustes técnicos, una vía que no prohíbe fundamentalmente los servicios en la nube, sino que pretende hacerlos „utilizables“ imponiendo condiciones.

Esta diferencia es notable y dice mucho sobre las diferencias entre los Estados a la hora de abordar la cuestión de la soberanía digital.

Suiza: cautela, soberanía de datos y una frontera clara

La posición suiza puede resumirse en una frase:

„Lo que no puedo controlar, no lo soltaré de mis manos“.“

Suiza se aferra así a un principio tradicional: los datos estatales -sobre todo los secretos o especialmente sensibles- permanecen en el país o se cifran de tal forma que nadie más que las propias autoridades pueda acceder a ellos. Se trata de un retorno deliberado a viejos principios, trasladados al presente del mundo digital.

La UE: tratados, exenciones y soluciones de compromiso

La Unión Europea está adoptando un enfoque diferente. Quiere aprovechar las ventajas de las grandes plataformas en nube sin prohibirlas por completo. Para ello:

Nuevos contratos negociados
Más garantías de protección de datos
Introducción de mecanismos de control y auditorías
Garantías técnicas proporcionadas posteriormente

Un ejemplo de ello es la decisión del Supervisor Europeo de Protección de Datos de que la Comisión de la UE puede utilizar Microsoft 365 en cumplimiento de la normativa de protección de datos en determinadas condiciones. Ahora se oyen declaraciones similares de varios Estados miembros, incluida parte de Alemania. La idea básica:

„Regulamos la nube en lugar de prohibirla“.“

Pero este planteamiento se basa en la confianza en los proveedores y en el hecho de que la complejidad sigue siendo manejable. Los críticos se oponen a ello: Cuanto mayor es la plataforma, más difícil es controlarla.

Alemania, entre dos mundos

Alemania se encuentra entre la espada y la pared. Algunas autoridades estatales de protección de datos son más cautelosas, otras están más orientadas a la práctica.
En el sector escolar, por ejemplo, ya ha habido decisiones estrictas contra Microsoft 365, mientras que a nivel federal se trabaja en soluciones que permitan su uso. El resultado: una colcha de retales.

Precisamente por eso muchos se fijan ahora en la línea suiza, porque establece por primera vez una norma clara en lugar de abrirse camino a base de compromisos.

Dos filosofías chocan

En pocas palabras, hay dos escuelas de pensamiento opuestas:

La tradición suiza: „Nuestros datos se quedan con nosotros, o permanecen encriptados y nadie más los ve“.“
La pragmática europea: „Necesitamos plataformas modernas, así que nos estamos adaptando a ellas lo mejor que podemos“.“

Ambos enfoques tienen sus puntos fuertes. Pero Suiza está enviando una señal clara: demuestra que un Estado puede centrarse conscientemente en la independencia digital en el siglo XXI sin depender de las corporaciones globales.

Y esta actitud por sí sola ya está haciendo que las autoridades, los responsables de protección de datos y los departamentos informáticos de toda Europa se planteen si la práctica anterior es realmente tan irrefutable como siempre ha parecido.

Criterio / Tema	Panorama suizo (privado / autoridades)	Práctica u opinión actual de la UE/Alemania
Grupo destinatario	Instituciones públicas: Confederación, cantones, municipios, tribunales, etc.	Autoridades y administraciones (en parte), pero muchas autoridades también siguen utilizando nubes SaaS; la normativa es a veces incoherente según el país y el estado federal.
Tipo de datos / sensibilidad	Datos que requieren especial protección o confidencialidad (sanidad, policía, servicios sociales, datos oficiales, etc.) - se requiere un uso restrictivo de la nube.	El uso de la nube también es posible para datos sensibles, dependiendo de la evaluación de riesgos, las medidas de protección de datos y el contrato con el proveedor.
Cifrado de extremo a extremo / soberanía de claves	Sólo es aceptable si la propia autoridad controla la clave y el proveedor está técnicamente excluido; de lo contrario, su uso no está autorizado.	Se utilizan nubes estándar, incluso sin soberanía de clave propia; el cifrado del proveedor suele ser suficiente, siempre que existan contratos y requisitos de protección de datos.
Subcontratistas / transparencia de la infraestructura	Las cadenas de subcontratistas se consideran demasiado opacas: no se autoriza su uso con datos críticos.	Se aceptan las cadenas de subcontratistas, con pruebas de cumplimiento, certificaciones y normas contractuales, pero la transparencia suele ser limitada.
Modificaciones contractuales / seguridad jurídica	Las modificaciones unilaterales de los contratos por parte de los proveedores están prohibidas: no deben ponerse en peligro las obligaciones del Estado.	Los servicios se utilizan aunque los proveedores puedan cambiar de contrato; las autoridades/empresas asumen riesgos, a menudo con acuerdos legales y mecanismos de control.
Peligro para la legislación estadounidense (por ejemplo, la Ley CLOUD)	Las leyes estadounidenses se consideran un riesgo inaceptable: se prohíbe el uso de la nube para datos sensibles mientras los proveedores puedan estar sujetos a obligaciones judiciales estadounidenses.	A pesar de la Ley CLOUD, se utilizan nubes internacionales; el riesgo suele considerarse aceptable, en referencia a los mecanismos de protección, la frontera de los datos o las cláusulas contractuales estándar de la UE.
Alternativas recomendadas	On-premise, proveedores suizos/europeos con soberanía de claves, infraestructura propia o soluciones de almacenamiento fuertemente encriptadas.	Nube híbrida, proveedores con centros de datos en Europa, servicios en la nube sujetos a condiciones; uso frecuente siempre que se cumplan las normas de conformidad.
Filosofía / actitud	Principio de precaución, control, soberanía del Estado y máxima soberanía de los datos.	Pragmatismo, capacidad de compromiso, gestión del riesgo y confianza en las condiciones marco contractuales/técnicas.

Una mirada al otro lado de la frontera: por qué Alemania necesita ahora una mirada más atenta

La resolución suiza llega en un momento en que las autoridades y empresas alemanas están cada vez más inseguras sobre cómo tratar los servicios en la nube. Por un lado, la economía empuja hacia la nube, que promete automatización, colaboración y eficiencia de costes. Por otro lado, la cuestión primordial es: ¿cuánto control cedemos?

Precisamente aquí es donde la decisión suiza tiene un efecto señalizador. Sirve de espejo a Alemania y muestra lo que ocurre si se piensan las cosas hasta el final. Esto afecta no sólo a ministerios y autoridades, sino también a escuelas, bufetes de abogados, consultas médicas, PYME y cualquiera que trabaje con datos sensibles. Los suizos básicamente dicen:

„Utilizamos la tecnología moderna, pero no a costa de nuestra independencia“.“

Esta frase podría escribirse fácilmente encima de una estrategia digital alemana. Todavía no lo es, pero la decisión de Berna ha dado un nuevo impulso al debate.

La pregunta que ninguna empresa puede ignorar

Hoy en día, las empresas tienen que plantearse una pregunta aparentemente sencilla, una pregunta que difícilmente se habrían planteado hace diez o quince años:

„¿Quién tiene acceso a nuestros datos en caso de duda?“.“

Antes, la respuesta era clara: uno mismo. Hoy suele ser: „Eso depende“.“

Y es precisamente este „depende“ lo que supone un problema para muchas organizaciones. En cuanto los datos se almacenan en sistemas en la nube, ya no es la empresa la única que decide quién puede acceder a ellos. Es ella quien decide:

el proveedor
sus subcontratistas
su procesador de datos contratado
autoridades extranjeras (en el caso de proveedores estadounidenses, incluso sin consentimiento europeo)

Si se analiza con sobriedad, uno se da cuenta rápidamente de que cada vez hay menos respuestas claras a la cuestión de una auténtica soberanía de los datos.
Por eso, de repente, la línea suiza ya no parece anticuada, sino decididamente moderna.

La clase media, entre la comodidad y la pérdida de control

Muchas empresas medianas alemanas se encuentran actualmente atrapadas entre dos polos:

La comodidad de las modernas plataformas en nube
- Archivos sincronizados en todas partes
- Videoconferencias en segundos
- Sistemas integrados de correo electrónico, calendario y comunicación
El deseo de control, confidencialidad e independencia
- especialmente para datos confidenciales
- secretos comerciales estratégicos
- propiedad intelectual
- Datos de clientes o empleados

La decisión suiza muestra una dirección posible: se puede utilizar la tecnología, pero no hay que seguir ciegamente todas las tendencias. Algunas formas son cómodas, pero lo cómodo no siempre es seguro.

Encuesta actual sobre la digitalización en la vida cotidiana

Mi momento en la nube con HostEurope

He seguido con especial atención este acontecimiento suizo porque hace algún tiempo me encontré en una situación muy parecida. En HostEurope iban a sustituir todo mi sistema de correo electrónico, sin consultarme ni preguntarme. simplemente migrado a Microsoft 365 convertido. Esto habría significado que mis comunicaciones se almacenarían de repente en una nube internacional, en condiciones que no puedo controlar y con el riesgo de que las autoridades extranjeras accedieran a ellas en caso de duda.

Para mí, ese fue un punto claro en el que dije: Basta, así no. Me decidí deliberadamente en contra de HostEurope porque no quiero que mis datos se trasladen a un sistema sobre el que, en última instancia, ya no tengo ningún control real. Ese momento me hizo darme cuenta una vez más de lo rápido que puedes quedar atrapado en estructuras que nunca quisiste, y de lo importante que es tirar tú mismo de la cuerda antes de que otros tomen el control de tus propios datos.

Qué significa para todos nosotros

Si se observa con sobriedad la evolución de los últimos años, se puede pensar que el mundo avanza a toda velocidad hacia la dependencia tecnológica. Todo se centraliza, se estandariza y se traslada a la nube, a menudo sin analizar realmente las consecuencias a largo plazo.

Y ahora llega un pequeño país del centro de Europa y nos recuerda a todos que es posible actuar de otra manera: con reflexión, con respeto, con cuidado... y con una clara visión de la propia responsabilidad. Esta actitud suiza no es un paso atrás. Es una vuelta a la vieja pregunta que muchos casi han olvidado en el frenético ritmo de la digitalización:

„¿Quién es el responsable si pasa algo?“

Si la respuesta ya no está clara, es que algo va mal.

Qué significa esto para cada individuo

En última instancia, esta decisión no sólo afecta a las autoridades públicas o a las grandes empresas, sino a todos los que producen, almacenan o intercambian datos.

No hace falta ser técnico para entender que cada externalización cuesta un control.
No hace falta ser un experto en protección de datos para darse cuenta de que la información sensible está mejor si se sabe dónde está almacenada.
Y no hace falta ser abogado para darse cuenta de que las leyes extranjeras son problemáticas si pueden decidir sobre tus propios datos.

Basta con el sentido común. Y esto es precisamente lo que Suiza intenta volver a poner en primer plano.

La decisión de Berna no es una llamada a la hostilidad hacia la tecnología, sino un llamamiento a nuestros propios estándares. Es un recordatorio de que la digitalización no significa entregarnos ciegamente a los mayores proveedores, sino preguntarnos cuánta responsabilidad estamos cediendo. Sobre el tema Nube y soberanía de datos Ya había escrito un artículo sobre este tema en el pasado.

Los empresarios partidarios de Software ERP sin la nube encontrará información útil en este otro artículo.

En cierto modo, Suiza nos está mostrando algo que todos sabemos desde hace mucho tiempo, pero que a menudo reprimimos: La soberanía no empieza con la tecnología, empieza con la actitud. Con la forma de tomar decisiones. Con la voluntad de analizar las cosas críticamente.

Y con el valor de tomar otro camino si es necesario, si es más sensato.

Artículos de actualidad sobre la legislación de la UE

28º régimen de la UE

El 28º régimen de la UE: ¿la reorganización silenciosa del Espacio Económico Europeo?

Todos los datos sobre el expediente electrónico del paciente

El expediente electrónico del paciente: riesgos, derechos y objeciones

La teoría de juegos explica 25 años de geopolítica

La teoría de juegos explica 25 años de geopolítica: cómo Europa perdió su papel estratégico

Visión general de la obligación de expedir facturas electrónicas

Facturas electrónicas para PYME: XRechnung, ZUGFeRD y ERP de un vistazo

DNI digital de la UE

El DNI digital de la UE: vinculación, control y riesgos en la vida cotidiana

Jeffrey Sachs escribe una carta abierta al Canciller Merz

Jeffrey Sachs advierte a Alemania: Por qué hay que replantearse la seguridad de Europa

Preguntas más frecuentes

¿Por qué Suiza ha adoptado una postura tan estricta respecto a los servicios internacionales en la nube como Microsoft 365?
Suiza sigue un principio claro: los datos estatales deben protegerse de tal forma que nadie más que la autoridad competente pueda acceder a ellos. Los proveedores internacionales de servicios en la nube nunca pueden descartar por completo, ni técnica ni jurídicamente, la posibilidad de que puedan acceder a los datos en caso de emergencia, ya sea por motivos de mantenimiento, por derechos de administrador o por peticiones gubernamentales de su país de origen. Se trata de un riesgo inaceptable para datos especialmente sensibles, como los procesados en la administración, la justicia, la policía o los sistemas sanitarios. Por ello, las autoridades suizas de protección de datos sacan la conclusión lógica y restringen severamente el uso de la nube mientras no exista un auténtico cifrado de extremo a extremo bajo la soberanía exclusiva de la autoridad en materia de claves.
¿Esta decisión se aplica a todos los datos o sólo a determinadas categorías?
La resolución se dirige principalmente a los datos especialmente sensibles o sujetos a confidencialidad, como los datos sanitarios, los expedientes sociales, la información de investigación y las comunicaciones internas con las autoridades. Suiza exige las normas de seguridad más estrictas para estas categorías, que las plataformas SaaS internacionales no cumplen actualmente. Los datos menos sensibles aún pueden externalizarse, pero sólo tras una cuidadosa evaluación de riesgos y cumpliendo determinadas medidas de protección.
¿También se ven afectadas las empresas suizas?
Formalmente, la resolución se dirige exclusivamente a los organismos públicos. En la práctica, sin embargo, también repercutirá en las empresas, especialmente en las que procesan datos sensibles o protegidos legalmente, como hospitales, aseguradoras, bancos o instituciones educativas. Si las autoridades públicas ya no pueden utilizar determinados servicios, será más difícil para las organizaciones privadas clasificar esos mismos servicios como „totalmente exentos de problemas“.
¿Cuál es el mayor problema técnico de Microsoft 365 desde la perspectiva suiza?
El problema central es la falta de un auténtico cifrado de extremo a extremo. Microsoft 365 requiere acceso al contenido para habilitar funciones como la búsqueda, la indexación, los chats de equipo, los calendarios, el antispam o las características de IA. Esto significa que, técnicamente, los servidores y administradores siempre pueden ver el texto sin formato. Aunque Microsoft insista en que no lo hace, la posibilidad sigue existiendo, y es precisamente esta posibilidad teórica la que supone un riesgo para las autoridades suizas.
¿Qué papel desempeña la Ley estadounidense CLOUD en la decisión?
La Ley CLOUD obliga a las empresas estadounidenses a entregar datos a petición de las autoridades de su país, aunque estén almacenados en el extranjero. Para Suiza, esto significa que incluso si Microsoft utiliza centros de datos europeos o suizos, los datos pueden tener que ser accesibles a las autoridades estadounidenses. Este posible acceso contradice la concepción suiza de la soberanía y el secreto oficial. Por ello, la Ley CLOUD se cita como un serio contraargumento.
¿Por qué los tratados o las „fronteras de datos de la UE“ no son suficientes para Suiza?
Los contratos y las medidas técnicas de protección son instrumentos valiosos, pero no cambian la realidad jurídica. Si una empresa estadounidense está obligada a entregar datos, no hay ningún contrato al respecto. Además, los grandes proveedores de nube pueden cambiar sus condiciones en cualquier momento. Por ello, los expertos suizos en protección de datos afirman que la seguridad jurídica no procede de las promesas, sino del control real sobre los datos, y este control no se da plenamente en las nubes SaaS.
¿Qué significa concretamente la resolución para las autoridades?
En el futuro, las autoridades tendrán que demostrar que no están externalizando datos sensibles de forma que un proveedor de la nube pueda acceder a ellos. En la práctica, esto significa que Microsoft 365 y otras plataformas SaaS internacionales ya no podrán utilizarse para esos datos. Las autoridades deberán confiar en soluciones locales, cambiar a proveedores suizos o utilizar sus propios mecanismos de cifrado en los que el proveedor no tenga ningún tipo de acceso.
¿Pueden las autoridades seguir utilizando servicios en la nube si utilizan su propio cifrado?
Sí, pero sólo si la autoridad conserva el control total de las claves y el proveedor queda técnicamente excluido. El problema: muchos servicios en la nube dejan de funcionar si el contenido se cifra antes de procesarlo. En la práctica, Microsoft 365 solo podría utilizarse como solución de almacenamiento de datos, sin herramientas de colaboración, sistema de correo electrónico, calendario, Teams ni funciones automatizadas de Office.
¿En qué se diferencia la posición suiza de la línea actual de la UE?
La UE se esfuerza por que el uso de Microsoft 365 cumpla la normativa de protección de datos mediante acuerdos, auditorías y garantías contractuales. El objetivo es aprovechar las ventajas de la nube sin cuestionarlas fundamentalmente. Suiza, en cambio, se centra en el principio de precaución y traza una línea clara: sin un control total de los datos, no se permite su uso. Se crea así un contraste entre el pragmatismo europeo y la coherencia suiza.
¿Cómo reaccionan las autoridades alemanas?
Muchas organizaciones estatales alemanas de protección de datos siguen de cerca la decisión suiza. Algunas ya se han mostrado críticas con Microsoft 365, por ejemplo en las escuelas, donde se han criticado los mecanismos de seguimiento y los flujos de datos poco claros. La resolución suiza podría servir de refuerzo argumental: Si un país con normas estrictas restringe el uso, a las autoridades alemanas les resultará más difícil adoptar una línea más liberal sin poder justificarlo bien.
¿Por qué es tan importante la transparencia para los subcontratistas?
Los grandes proveedores de nube utilizan redes mundiales de socios y subcontratistas para la asistencia, el mantenimiento y los servicios técnicos. Es casi imposible para una autoridad pública comprender qué empresas podrían tener acceso y cuándo. Es precisamente esta falta de transparencia la que hace imposible evaluar adecuadamente los riesgos. Suiza considera que se trata de un problema fundamental: una autoridad pública necesita saber quién podría acceder a sus datos, y esto es prácticamente imposible en las complejas estructuras en nube.
¿Cómo influye esta decisión en el debate sobre la soberanía digital en Europa?
La postura suiza actúa como catalizador. Muchos países de la UE llevan años hablando de soberanía digital, pero a menudo recurren a los mismos proveedores mundiales. Suiza demuestra ahora que un Estado también puede actuar coherentemente de otro modo. Esta decisión avivará de nuevo el debate europeo, especialmente en los ámbitos de la justicia, la administración y los datos sanitarios, donde una línea estricta podría parecer especialmente sensata.
¿Qué pueden aprender las empresas de esta evolución?
Las empresas deben ser conscientes de que la externalización de datos siempre implica una pérdida de control. La decisión suiza es un recordatorio de que es importante examinar cuidadosamente qué datos se transfieren y a dónde. Las empresas deben considerar si algunas áreas críticas es mejor dejarlas localmente o en infraestructuras soberanas, aunque la nube parezca más conveniente a primera vista.
¿Es la decisión suiza un retroceso al pasado?
No, es más bien una vuelta a principios fundamentales que a veces se pierden en la digitalización: Responsabilidad, control, trazabilidad. Suiza utiliza tecnologías modernas, pero no acepta perder en el proceso la soberanía sobre sus datos más sensibles. Esta actitud parece anticuada, pero en realidad está orientada al futuro.
¿Qué alternativas tienen las autoridades o las empresas si quieren evitar los servicios en la nube?
Hay varias opciones: servidores locales, proveedores suizos o europeos con estricta soberanía de datos, modelos híbridos con cifrado propio o infraestructura completamente autogestionada. Estas opciones no son tan cómodas como hacer clic en „Suscribirse a Microsoft 365“, pero refuerzan el control... y son completamente suficientes para muchas aplicaciones sensibles.
¿Qué papel desempeña en este contexto su propio incidente con HostEurope?
El incidente es un ejemplo típico de lo rápido que puedes quedar atrapado en estructuras que no querías. Si un proveedor quiere migrar tus correos electrónicos a Microsoft 365 sin consultarte, pierdes al mismo tiempo parte de tu soberanía, y completamente sin que te lo pidan. Su decisión de excluirse inmediatamente fue, en última instancia, un paso en la misma dirección que Suiza ha tomado ahora oficialmente: Control en lugar de comodidad. Por eso mismo, esta historia es un buen ejemplo de la relevancia práctica de la postura suiza.
¿Qué significa todo esto para los particulares que no trabajan en el sector público?
Los particulares también deben ser más conscientes de dónde se almacenan sus datos. Hoy en día, muchas personas utilizan automáticamente plataformas internacionales sin tener en cuenta hasta qué punto estas empresas pueden ver en su vida digital. La decisión de Suiza es un recordatorio de que no hay que tratar los propios datos como un asunto menor, porque la seguridad empieza siempre por la decisión personal de en quién se confía.
¿Cómo podría evolucionar la situación en los próximos años?
Es muy posible que Suiza esté marcando una tendencia con esta resolución que luego se retomará en la UE. El debate sobre la soberanía es cada vez más fuerte, no más débil. Los Estados y las empresas se darán cuenta cada vez más de que la nube no es una ley de la naturaleza, sino una elección. Y como cualquier elección, puede reconsiderarse, sobre todo si en algún momento los riesgos parecen mayores que la conveniencia.

Artículos de actualidad sobre arte y cultura

Estepa tártaro-crimea

Los tártaros de Crimea: historia, orígenes y presente de un pueblo olvidado

-

25 diciembre 2025

La teoría de juegos explica 25 años de geopolítica

La teoría de juegos explica 25 años de geopolítica: cómo Europa perdió su papel estratégico

-

11 diciembre 2025

Suite gráfica Affinity gratuita

La suite gráfica Affinity pasa a ser gratuita: Lo que los usuarios profesionales necesitan saber ahora

-

25 noviembre 2025

Dieter Hallervorden y la Wühlmäuse de Berlín

Dieter Hallervorden - Más que Didi: Retrato de un incómodo espíritu libre

-

11. enero 2026

Deja un comentario Cancelar la respuesta

En 1989, Jan-Josef Liefers pronunció un discurso en Alexanderplatz como joven actor, no como estrella. Hoy, décadas después, se puede reconocer en él una línea: la libertad, la responsabilidad y el valor de defender el propio punto de vista. Este retrato combina biografía, arte e historia contemporánea y muestra por qué la coherencia es más importante que el favoritismo. Una valiosa aportación sobre el carácter en tiempos turbulentos. #DDR #Alexanderplatz #Chistoria contemporánea #JanJosefLiefers #Cultura #Libertad de expresión

19.01.2026 - @MarkusSchall

Muchas empresas invierten grandes presupuestos en publicidad y redes sociales cada año, y acaban no siendo propietarias de nada. El alcance se alquila, no se posee. Si se deja de pagar, se deja de tener alcance. Una revista de empresa dedicada invierte este principio: El contenido permanece, crece y es independiente de plataformas y algoritmos. En este artículo he resumido por qué esto es hoy más importante que nunca. 1TP24Alcance 1TP24Estrategia empresarial 1TP24Marketing de contenidos 1TP24Independencia #Marketing

19.01.2026 - @MarkusSchall

Los vehículos híbridos no son soluciones a medias, sino puentes pragmáticos. Ahorran combustible, aumentan el confort de conducción y reducen las dependencias, si se utilizan correctamente. Consumir tres litros menos de combustible en el día a día es realista, sin sacrificar nada. La electromovilidad no empieza con prohibiciones, sino con soluciones adecuadas. Una visión general de la movilidad eléctrica, desde los scooters hasta los e-scooters, pasando por los híbridos y los coches eléctricos. #Hybrid #PlugInHybrid #Electromobility #Auto #Praxis #Electric car

18.01.2026 - @MarkusSchall

Con el llamado 28º régimen, la UE proyecta una nueva forma voluntaria de empresa junto a los 27 ordenamientos jurídicos nacionales. El objetivo: menos burocracia, creación más rápida y mayor competitividad. Sin embargo, los críticos advierten de una legislación paralela, un traspaso de poder a Bruselas y consecuencias a largo plazo para las normas nacionales. Un asunto aparentemente tecnocrático, pero políticamente explosivo. #EU #28Régimen #Imercado interior #Economía #Europa #CDerecho de sociedades

18.01.2026 - @MarkusSchall

Quieres montar tu propio estudio #KI en 2025? 💡 En mi nuevo artículo, te muestro qué hardware merece realmente la pena: desde el Mac Studio hasta la RTX 3090. Sin dependencia de la nube, sin costes de suscripción, pero con soberanía real de datos, velocidad y control sobre tus propios flujos de trabajo de IA. 🔧🧠Aprende cómo trabajar localmente sin pagar permanentemente por los tokens de la nube - y qué GPUs y sistemas tienen más sentido hoy en día. #AI #LocalAI #Hardware #MacStudio #RTX3090

17.01.2026 - @MarkusSchall

Protección de datos

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por él. De éstas, las cookies clasificadas como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funciones básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador sólo con su consentimiento. También tiene la opción de excluirse de estas cookies. Pero la exclusión de algunas de estas cookies puede afectar a su experiencia de navegación.

Necesario

Siempre activado

Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.

Galleta	Duración	Descripción
cookielawinfo-checkbox-analytics	11 meses	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analytics".
cookielawinfo-checkbox-functional	11 meses	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 meses	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Otros".
cookielawinfo-checkbox-performance	11 meses	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".
viewed_cookie_policy	11 meses	La cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Otros

↑