La Comisión Europea está pasando a la acción. Se espera que este organismo presente su «Paquete de Soberanía Tecnológica» el próximo 27 de mayo. Esta directiva incluirá una serie de medidas dirigidas a impulsar la autonomía estratégica de la UE en áreas sensibles, y eso supone algo singular: dejar de depender lo máximo posible de los hiperescaladores de EEUU para almacenar datos críticos.
El miedo al botón de apagado. Las medidas se quieren aplicar debido a la creciente inestabilidad política y a algunos casos recientes que han demostrado el poder que tiene EEUU sobre la infraestructura tecnológica europea. En mayo Microsoft «canceló» el correo electrónico de Karim Khan, fiscal que había sido directamente citado en una orden ejecutiva de Donald Trump. Microsoft lo negó, pero el daño ya estaba hecho, y esos problemas han hecho temer que Trump podría hacer uso de una especie de «botón de apagado» contra instituciones europeas que dependen de la infraestructura hardware y software proporcionada por empresas como Microsoft, Google o Amazon.
Espionaje legal. La CLOUD Act (Clarifying Lawful Overseas Use of Data Act) es una ley estadounidense de 2018 que permite a las fuerzas del orden obligar a las empresas tecnológicas con sede en Estados Unidos (como Google, Microsoft o Amazon) a facilitar datos, independientemente de dónde estén almacenados, ya sea dentro o fuera de Estados Unidos. Esta ley actualiza la Stored Communications Act para dar prioridad al control de los datos frente a su ubicación. O lo que es lo mismo: si usas los servicios de los hiperescaladores de EEUU, EEUU puede acabar accediendo a tus datos. Y como has aceptado sus términos de uso, aceptas que te espíen legalmente si lo «necesitan».
Si quieres mis datos críticos, tendrás que protegerlos. La nueva normativa exige que los proveedores de servicios que quieran trabajar con datos críticos europeos demuestren que no están sujetos a peticiones de gobiernos no pertenecientes a la Unión Europea. Eso excluye automáticamente a Microsoft, Google o Amazon, porque las tres están sujetas a la CLOUD Act. Europa busca así proveedores que garanticen que los datos críticos no estarán en poder de empresas que luego tengan que cederlos a potencias extranjeras.
Europa depende de la nube estadounidense. La realidad es que hoy por hoy Amazon (AWS), Microsoft (Azure) y Google (Google Cloud) controlan actualmente más del 70% del mercado Cloud Computing en el viejo continente. Perder esos contratos institucionales supondría un importante varapalo financiero, pero además envía una señal potente a las empresas privadas europeas: si Bruselas no confía en EEUU par sus secretos, ¿por qué deberían hacerlo las corporaciones europeas? El efecto dominó podría ser enorme.
Europa tiene sus propias nubes. Esta directiva le daría una oportunidad importante a iniciativas que parecían estancadas como GAIA-X, pero también hay empresas con infraestructura propia como OVH (Francia) o T-Systems (Alemania). Hay desafíos técnicos importantes en ese ámbito, porque los hiperescaladores estadounidenses han ido perfeccionando su oferta durante las últimas dos décadas. Sin embargo Bruselas parece estar dispuesta a aceptar un servicio algo menos eficiente o completo a cambio de una mayor autonomía. Las opciones existen, sin duda, pero el reto es enorme.
Migrar va a salir caro. Una cosa es tomar la decisión y otra muy distinta completar esa migración que necesitará trasladar décadas de datos y sistemas a una infraestructura distinta. Habría que expandir los centros de datos actuales para satisfacer la demanda, afirman algunos análisis, y eso supondría un coste de entre 14.000 y 24.000 millones de euros. Consultoras como Forrester no ven nada claro que la UE pueda conseguir la soberanía en la nube, y otros expertos también dejan claro que Europa no abandonará a los hiperescaladores.
Trazabilidad. Además de cambiar de proveedor, la directiva quiere imponer también requisitos estrictos en cuanto a la transparencia. Los sistemas de IA que tengan acceso a esos datos deben ser auditables por la recién creada Oficina de la IA de la UE. La Comisión quiere saber quién tiene acceso al código, quién mantiene los servidores y quién tiene la capacidad técnica de gestionar e incluso interceptar dichas transferencias de datos.
Datos demasiado sensibles. En comentarios a la CNBC, funcionarios de la UE explicaron que hay debates activos que exigen que los datos financieros, judiciales o de salud que se usan a nivel gubernamental y en el sector público cuenten con una infraestructura en la nube soberana. Eso también es cierto para los datos militares, por supuesto, y ya hay movimientos en esa dirección.
Internet fragmentado. La medida confirma que el mundo parece dirigirse a un futuro con una internet fragmentada y que contará con importantes fronteras geopolíticas. Mientras EEUU intenta blidar su tecnología frente a China, Europa y el mundo entero están intentando evitar o al menos mitigar la excesiva dependencia que tienen de las soluciones tecnológicas estadounidenses.
Imagen | İsmail Enes Ayhan y François Genon
