Tema de portadaEl tiempo estimado de lectura es de 9 minutos

La urgencia por la soberanía del dato

Arantxa Herranz
gestión del dato
Comparte la noticia

El futuro de la soberanía del dato en España pasará por innovar con control, regular con visión estratégica y construir alianzas que fortalezcan el entramado digital público, siempre con un foco firme en la protección, confianza y autonomía de la información que sustenta a la sociedad y sus instituciones.

La soberanía del dato se refiere al principio por el cual los datos están sujetos a las leyes y regulaciones del país o región donde se generan o almacenan. Esto implica que cada territorio tiene jurisdicción y autoridad sobre cómo se pueden utilizar esos datos y quién puede acceder a ellos.

Este concepto es clave en la gestión del dato porque determina el marco legal que protege la privacidad, regula el uso y garantiza la seguridad de la información, especialmente cuando los datos se almacenan o procesan en infraestructuras tecnológicas que pueden estar situadas en diferentes lugares geográficos.

La soberanía del dato es importante porque afecta directamente a la protección del derecho a la privacidad, la seguridad nacional y la confianza ciudadana en los servicios digitales. Al garantizar que los datos del país están bajo control local y regulaciones propias, se evita que actores externos puedan tener acceso no regulado a información sensible.

Asimismo, también permite cumplir con normativas como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que establece fuertes requisitos para la gestión de datos personales. De manera práctica, la soberanía del dato resguarda la autonomía tecnológica, defiende los intereses estratégicos del país y permite usar la tecnología para innovar sin sacrificar el control ni la transparencia sobre la información pública y privada.

Se trata de un concepto que resulta aún más crítico en el caso de las administraciones públicas, puesto que esta soberanía es crítica para asegurar que los datos de los ciudadanos y de las instituciones se manejan con total responsabilidad, evitando riesgos derivados del acceso transfronterizo o de la transferencia de información a terceros países con regulaciones diferentes.

Además, es fundamental para mantener la confianza en los sistemas públicos digitales y en la seguridad de los servicios públicos que dependen intensamente del dato.

Por todo ello, la soberanía del dato se ha convertido en un eje central de las políticas tecnológicas y de transformación digital en las administraciones públicas, pues establece los parámetros para que estos organismos gestionen la información con total control, cumpliendo con las leyes nacionales y europeas y preservando la autonomía frente a proveedores externos.

Gestión pública

La gestión de datos públicos es una responsabilidad inherentemente vinculada a la soberanía de las naciones. En España, donde el despliegue digital de las Administraciones Públicas avanza de manera acelerada, asegurar que los datos sensibles de los ciudadanos permanezcan bajo control nacional y europeo es una preocupación constante que involucra tecnología, regulación y una clara voluntad política.

«Las Administraciones Públicas son las auténticas responsables de garantizar que los datos de los ciudadanos se custodian en cada momento con las máximas garantías posibles,» explica Alfredo García, responsable de Ventas para el Sector Público en NetApp Iberia. «No se trata únicamente de almacenamiento físico en territorio nacional; más bien, se trata de gobernanza, trazabilidad y disponibilidad frente a cualquier contingencia».

José Luis López Rodríguez, senior director OCI de Oracle España, coincide e incide en que la administración debe establecer marcos regulatorios claros y exigir a los proveedores estándares estrictos en protección y trazabilidad para los datos críticos. «La Administración Pública debe desempeñar un papel clave en garantizar que los datos públicos se gestionen con soberanía y dentro de nuestras fronteras». Desde Microsoft, fuentes responsables afirman que sus centros de datos europeas y su plataforma Microsoft Cloud for Sovereignty responden directamente a esta necesidad, permitiendo a las entidades públicas almacenar y procesar datos con altos estándares de seguridad bajo control local y europeo.

Esta demanda de soberanía no solo es un imperativo tecnológico, sino también de confianza social. No en vano, la información digital es la base de muchos de los servicios que ya consideramos esenciales, por lo que la percepción ciudadana respecto al control y protección de sus datos se transforma en un activo intangible pero fundamental para la gobernabilidad y la legitimidad digital.

La dependencia externa, un escollo complejo

A pesar de esta prioridad, España y la Unión Europea mantienen relaciones complejas con grandes proveedores internacionales de tecnología y servicios en nube.

Históricamente, la dependencia de plataformas cloud estadounidenses ha generado inquietudes respecto a la exposición a normativas extraterritoriales, como el Cloud Act, que permiten a Estados Unidos acceder a datos almacenados incluso en Europa, bajo condiciones que pueden vulnerar la legislación europea. Este conflicto significativo entre el Reglamento General de Protección de Datos (RGPD) y la Ley Cloud Act ha impulsado la búsqueda de alternativas soberanas y de infraestructuras cloud que garanticen control efectivo y respeto a la normativa europea.[

Oracle ha abordado esta tensión mediante la creación de una entidad jurídica europea que aloja datos dentro del territorio nacional y de la Unión, garantizando la soberanía sin renunciar a la innovación global. «Combinamos la innovación global con el cumplimiento normativo local,» aclara José Luis López Rodríguez, explicando que esta aproximación permite equilibrar los beneficios tecnológicos con la garantía legal y operativa requerida.

Las arquitecturas híbridas, que combinan infraestructuras locales con nubes públicas, aparecen como el modelo predominante para afrontar este desafío. Alfredo García destaca que «cada vez más organizaciones adoptan arquitecturas híbridas que combinan infraestructuras locales con nube pública, garantizando flexibilidad sin renunciar al control». Este enfoque permite funcionar con eficiencia y escalabilidad, al tiempo que se asegura que los datos más sensibles permanezcan bajo jurisdicción europea y control directo.

Las regulaciones europeas marcan el ritmo en la soberanía del dato

Resulta obvio decir que la creciente complejidad normativa europea, que, más allá del RGPD, incluye regulaciones determinantes para la soberanía de datos, establece el marco no solo normativo, sino también tecnológicos, que todas las partes deben seguir.

El Reglamento de Gobernanza Europea de Datos (Data Governance Act), vigente desde septiembre de 2024, busca establecer un marco común para facilitar la reutilización de datos públicos protegiendo derechos y la confianza. Prevé, además, sanciones específicas para incumplimientos y regula el proceso administrativo para solicitar la reutilización, apuntando a procedimientos ágiles y transparentes.

Mientras, la Ley de Datos Europea (Data Act), que entró en vigor en 2025, redefine la titularidad funcional del dato, otorgando a usuarios derechos exclusivos de acceso y uso, y estableciendo mecanismos para que las autoridades públicas puedan acceder a datos bajo condiciones estrictas en emergencias o situaciones de interés público. Esto fomenta un acceso responsable y equitativo en el sector público, pero requiere que las infraestructuras y proveedores cumplan con altos estándares de privacidad y control.

Por su parte, el Reglamento DORA (Digital Operational Resilience Act), especialmente relevante para el sector financiero, impone medidas estrictas para gestión de riesgos TIC, gestión y notificación de incidentes, pruebas periódicas de resiliencia y supervisión de proveedores críticos, buscando robustecer la resiliencia operativa de sistemas críticos con impacto sistémico. La normativa NIS2 amplía el alcance al sector público y sectores críticos, con obligaciones de gestión de riesgos, planes de continuidad y notificación rápida de incidentes, incluyendo sanciones que pueden superar los 10 millones de euros para entidades esenciales.

Estas normativas elevan el listón regulador y obligan a las AAPP a adoptar nuevas políticas, tecnologías y procesos, generando un marco que demanda altos niveles de gobernanza, auditoría y control que deben acompañarse de capacidades tecnológicas adecuadas.

¿Es la tecnología un pilar fundamental para la soberanía?

Aunque es cierto que muchas veces los proveedores tecnológicos, especialmente norteamericanos, han expresado sus quejas por esta complejidad normativa del marco europeo, no es menos cierto que estas mismas voces se erigen en muchas ocasiones como las herramientas que pueden garantizar el cumplimiento de las leyes.

Las soluciones tecnológicas específicas son mostradas como herramientas indispensables para materializar la soberanía. La combinación de cifrado avanzado, inmutabilidad de datos, recuperación ante incidentes, y replicación en múltiples ubicaciones controladas es cada vez más habitual. NetApp, por ejemplo, promueve su plataforma ONTAP como motor para asegurar que las infraestructuras híbridas y multicloud mantengan la soberanía sin perder elasticidad ni capacidad de innovación: «Garantizamos que la protección y gestión se mantenga bajo control local,» dice Alfredo García.

Oracle enfatiza el valor de las nubes soberanas, cifrado extremo a extremo y gestión avanzada de identidades como elementos inseparables para cumplir con los requisitos regulatorios y asegurar la trazabilidad e integridad del dato. Su estrategia contempla integración fluida con aplicaciones cloud para impulsar la innovación dentro del marco soberano.

Microsoft alude a tecnologías como Azure Confidential Computing, que permiten el análisis y explotación de datos sensibles sin exponer su contenido, ofreciendo así un equilibrio entre explotación de inteligencia artificial y protección de privacidad. Su enfoque híbrido es destacado por fuentes de Microsoft como la mejor opción para equilibrar innovación y cumplimiento normativo en la administración pública española.

La inteligencia artificial añade un valor fundamental reforzando la defensa frente a ciberamenazas mediante detección avanzada y automatización en la aplicación de políticas de seguridad, especialmente en entornos híbridos y multicloud complejos.

Espacio para la innovación dentro del cumplimiento

De igual manera, y aunque muchas veces se han tildado estas normativas como constringentes de la innovación, lo cierto es que estas leyes marcan cómo deben (también los organismos públicos) ser innovadores y útiles, pero respetando la legalidad.

En este sentido, ñas administraciones públicas deben desarrollar capacidades que les permitan innovar sin abandonar el cumplimiento exigido por nuevas regulaciones. El reto está en gestionar la complejidad de arquitecturas integradas que unen sistemas legados con modernas soluciones cloud, en un entorno normativo robusto pero evolutivo.

Alfredo García señala que esta integración es complicada: «La coexistencia de sistemas heredados con nuevos multiplica costes y dificulta la operación» y la importancia de la formación y capacitación en competencias digitales para estos entornos.

Desde Oracle y Microsoft se impulsan marcos de políticas públicas claros que definan estándares sobre clasificación, cifrado, gestión de identidades y auditoría, junto al desarrollo conjunto de herramientas y certificaciones que aportan confianza continua al sector público, facilitando la innovación segura y controlada.

Una característica común en las respuestas es la necesidad de construir una alianza efectiva entre administraciones y sector privado. José Luis López Rodríguez sostiene que «el modelo debe combinar la necesidad regulatoria de la administración con la agilidad y experiencia del sector tecnológico». Alfredo García añade que la colaboración debe ir más allá del suministro de tecnología, implicando cocreación en arquitecturas, estándares y adaptación normativa.[1][2]

Microsoft resalta que esta relación se debe basar en transparencia, formación continua y responsabilidad compartida para maximizar la autonomía del sector público sin generar dependencias prolongadas. Esta cooperación es vital para equilibrar innovación, cumplimiento y soberanía, creando ecosistemas abiertos y plurales capaces de dar respuesta a las crecientes demandas del sector público y la sociedad.

Formación y transferencia de conocimiento

Más allá de entregar tecnología, las empresas tecnológicas asumen un rol en transferir conocimiento y capacitar a los equipos públicos para gestionar con autonomía los datos soberanos.

NetApp desarrolla programas de formación y acompañamiento que buscan ampliar las competencias en la gestión de infraestructuras híbridas y multicloud, clave para mantener la soberanía. José Luis López Rodríguez concluye que «es imprescindible compartir innovación, conocimiento y herramientas abiertas para que las administraciones gestionen sus datos sin perder autonomía».

Microsoft resalta la apuesta por estándares abiertos e interoperabilidad como condición para mantener la evolución tecnológica sin quedar atadas a un único proveedor. La sostenibilidad de la soberanía digital requiere un equilibrio dinámico entre capacidades internas, apoyo externo y soluciones que promueven la independencia y seguridad.

Medidas técnicas y organizativas

Evidentemente, para poder hacer un buen compliance de la soberanía del dato, hay que tener en cuenta varias medidas técnicas y organizativas.

En el caso de las administraciones públicas, estas medias se centran en garantizar que los datos se gestionan y almacenan con control absoluto dentro de las fronteras nacionales o bajo marcos legales estrictos. Según José Luis López Rodríguez, senior director de OCI Oracle España, la administración pública debe establecer marcos regulatorios claros e impulsar infraestructuras cloud seguras que exijan a los proveedores altos estándares en protección, disponibilidad y trazabilidad de la información crítica.

En el plano tecnológico, las plataformas que combinan seguridad avanzada, cifrado de datos de extremo a extremo, gestión de identidades, automatización de cumplimiento y herramientas de observabilidad son vitales. Oracle integra estas capacidades para garantizar protección sin sacrificar innovación, apoyándose en nubes soberanas y soluciones híbridas que permiten flexibilidad y control.

La soberanía del dato es importante porque afecta directamente a la protección del derecho a la privacidad, la seguridad nacional y la confianza ciudadana en los servicios digitales

NetApp destaca el uso de tecnologías con cifrado avanzado e inmutabilidad nativa, como su plataforma ONTAP, para asegurar que los datos públicos estén siempre disponibles, protegidos y bajo control de la administración. Además, soluciones con inteligencia artificial ayudan a detectar anomalías en tiempo real, fortaleciendo la defensa contra amenazas como ransomware. La automatización y orquestación garantizan que las políticas de protección se apliquen de forma homogénea en todos los entornos, incluso en arquitecturas híbridas y multicloud. Por ejemplo, NetApp ofrece capacidades como Autonomous Ransomware Protection y SnapMirror para replicación y recuperación inmediata de datos en entornos soberanos.

Microsoft subraya la importancia de contar con centros de datos locales que cumplen con el Esquema Nacional de Seguridad y garantizan almacenamiento y procesamiento de datos dentro del territorio nacional y europeo mediante soluciones como Microsoft Cloud for Sovereignty. Aquí, la clave está en definir políticas públicas claras con estándares para clasificación, cifrado y control de accesos, junto a contratos con garantías, auditorías independientes y certificaciones nacionales e internacionales. Esta combinación técnica y organizativa permite aprovechar la innovación de la nube y la inteligencia artificial sin perder el control de los datos.

Las barreras señaladas por los responsables tecnológicos coinciden en que la coexistencia de sistemas heredados y modernos, junto al déficit de talento especializado, complican la integración y aumentan costes operativos. También se destaca la necesidad de una colaboración público-privada sólida, inversión sostenida y desarrollo de infraestructuras diseñadas específicamente para soberanía. A nivel normativo, regulaciones como DORA y NIS2 elevan las exigencias en gobernanza y ciberseguridad, lo que refuerza la necesidad de soluciones que simplifiquen la gestión, aseguren trazabilidad y garanticen el cumplimiento.


Comparte la noticia
Otras noticias
  • Artículos relacionados
  • Más del mismo redactor

Ya puedes descargar totalmente gratis el Nº8 de nuestra revista

Revista número 8 de ByTIC: ¿Qué aporta la tecnología 5G a la Administración Pública?