- Las autoridades suizas alertan del riesgo de usar Microsoft 365, AWS y Google Cloud para datos altamente sensibles.
- El US Cloud Act permite a EE. UU. reclamar datos aunque estén almacenados en Europa o Suiza.
- Privatim solo ve aceptable la nube de hiperescaladores si el cliente cifra y controla sus propias claves.
- Crece el interés por alternativas europeas con cifrado extremo y mayor soberanía digital.
La discusión sobre si es seguro o no usar Microsoft 365, AWS o Google Cloud para datos sensibles ha dado un giro importante a raíz de las últimas advertencias en Europa. Las autoridades de protección de datos suizas han lanzado un mensaje muy claro a los organismos públicos: mucho cuidado con subir información crítica a los grandes proveedores estadounidenses de nube.
Este toque de atención llega en un contexto en el que la soberanía digital y el control sobre los datos se han convertido en prioridad para gobiernos y entidades públicas europeas. El foco no está solo en la ciberseguridad técnica, sino también en el marco jurídico que rodea a estos servicios, especialmente la influencia del US Cloud Act sobre cualquier dato que pase por manos de empresas de Estados Unidos.
La advertencia suiza: no usar Microsoft 365, AWS o Google Cloud para datos muy sensibles
La conferencia suiza de responsables de protección de datos, conocida como Privatim, ha sido especialmente contundente con los hiperescaladores de la industria. En sus directrices, pide a las administraciones y empresas públicas que eviten recurrir a Microsoft 365, AWS o Google Cloud para tratar información altamente confidencial cuando no exista un cifrado real de extremo a extremo que controlen ellas mismas.
El mensaje no prohíbe de forma absoluta estos servicios, pero sí deja claro que, sin medidas adicionales, no son adecuados para datos de máxima sensibilidad. En la práctica, esto afecta a expedientes de ciudadanos, historiales médicos, datos policiales, información fiscal o cualquier otro tipo de dato que pueda suponer un grave impacto sobre los derechos fundamentales si se ve comprometido.
Según Privatim, la raíz del problema está en que el modelo de software como servicio (SaaS) que ofrecen estos gigantes implica una pérdida considerable de control por parte de las entidades públicas. Al externalizar el servicio a proveedores sometidos a otra jurisdicción, resulta mucho más difícil evaluar y gestionar los riesgos reales para la privacidad.
Las autoridades suizas subrayan, además, que esta advertencia no es un mero ejercicio teórico: los hiperescaladores estadounidenses concentran aproximadamente dos tercios del mercado mundial de la nube, lo que ha generado una dependencia tecnológica notable que ahora se está revisando con lupa desde la óptica de la protección de datos.
El papel del US Cloud Act y el choque legal con Europa
Uno de los ejes de la preocupación europea es el US Cloud Act, una ley estadounidense que permite a las autoridades de EE. UU. requerir datos a empresas bajo su jurisdicción, incluso si esos datos se encuentran físicamente almacenados en terceros países como Suiza o en la Unión Europea.
Este marco legal choca frontalmente con los estándares suizos y europeos de privacidad y soberanía. Aunque un proveedor prometa almacenar la información en centros de datos situados en Europa o en una región suiza, la realidad es que, al tratarse de compañías estadounidenses, siguen estando obligadas a colaborar con las solicitudes de acceso procedentes de sus autoridades nacionales.
La consecuencia es que, desde la perspectiva de las autoridades de protección de datos, no existe una garantía plena de que la información sensible de ciudadanos europeos quede fuera del alcance de la jurisdicción estadounidense. Y eso se percibe como un riesgo inasumible cuando hablamos de expedientes administrativos, información sanitaria, datos judiciales o comunicaciones internas de la administración.
En Suiza, esta tensión se ha hecho aún más visible tras la última revisión de su Ley Federal de Protección de Datos, en vigor desde septiembre de 2023. La norma reformada introduce requisitos más estrictos para las transferencias internacionales y exige mayor transparencia sobre quién puede acceder a los datos y en qué condiciones.
Este contexto regulatorio endurecido encaja con el debate que también se vive en la Unión Europea, donde el Reglamento General de Protección de Datos (RGPD) y las decisiones del Tribunal de Justicia de la UE sobre transferencia internacional de datos han puesto el foco en los riesgos derivados de almacenar información en servicios sujetos a leyes extranjeras.
Cifrado de extremo a extremo: condición para usar la nube de hiperescaladores
Ante este panorama, Privatim no cierra del todo la puerta a Microsoft, Amazon Web Services o Google Cloud, pero introduce una condición clara: solo serían aceptables si el cliente cifra por sí mismo los datos sensibles y mantiene el control exclusivo de las claves.
En la práctica, esto implica desplegar soluciones de cifrado del lado del cliente, en las que toda la información se protege antes de salir de los sistemas de la organización, de manera que el proveedor de la nube nunca pueda acceder al contenido en claro. Sin las claves, aunque recibiera una orden legal para entregar los datos, solo podría facilitar información cifrada e ilegible.
Las autoridades suizas denuncian que, en muchos servicios SaaS estándar, el cifrado existente no cumple con esta premisa de extremo a extremo, ya que el proveedor conserva alguna capacidad de acceso técnico o de gestión sobre las claves. Eso abre la puerta a que, llegado el caso, pueda entregar datos en un formato accesible a un tercero.
Además, los responsables de protección de datos critican que la transparencia sobre las medidas de seguridad de los hiperescaladores es limitada. Verificar de forma independiente cómo se gestionan las claves, qué personal tiene acceso o cómo se supervisan los incidentes se vuelve muy complejo, más aún con las llamadas “largas cadenas de subproveedores” que intervienen en muchos servicios de nube pública.
Para las administraciones, esto se traduce en una dificultad real a la hora de evaluar el riesgo para los derechos fundamentales de los ciudadanos. Si no se puede trazar con claridad qué ocurre con los datos en cada eslabón de la cadena, resulta complicado justificar que se está cumpliendo con los altos estándares que exigen las normativas suiza y europea.
Alternativas locales y europeas centradas en la privacidad
En paralelo al aviso sobre Microsoft 365, AWS y Google Cloud, las autoridades suizas señalan que ya existen alternativas locales que priorizan la privacidad y la soberanía tecnológica. Uno de los nombres que más se repite es el de Proton, empresa suiza que comenzó como servicio de correo seguro y ha ido ampliando su oferta de productos.
La principal particularidad de Proton es que ha construido su plataforma sobre la base del cifrado de extremo a extremo y el cifrado del lado del cliente. La compañía afirma que su arquitectura está diseñada para que ni siquiera ella misma pueda acceder a los contenidos de los usuarios, aun cuando se le exigiera por ley.
Además de apoyarse en infraestructura ubicada en Suiza y otros países europeos, Proton asegura cumplir estrictamente la legislación suiza y publica en código abierto aquellas partes de sus servicios que no requieren protección adicional, lo que facilita auditorías independientes y aumenta la confianza.
Este enfoque encaja con la tendencia, cada vez más extendida en Europa, de buscar proveedores de nube y herramientas digitales que estén bajo jurisdicción europea, con modelos de negocio orientados a la privacidad y sin una dependencia directa de marcos legales como el US Cloud Act.
Aunque la advertencia de las autoridades suizas se centra en su propio contexto nacional, el debate se traslada de forma natural a otros países europeos, incluida España, donde muchas administraciones y empresas estratégicas se están haciendo la misma pregunta: ¿es prudente seguir delegando datos sensibles en plataformas de nube pública estadounidenses sin un cifrado fuerte controlado por el propio cliente?
Dependencia de los hiperescaladores y oportunidad para Europa
Uno de los elementos que complican este cambio de modelo es la enorme cuota de mercado que ostentan los tres grandes hiperescaladores estadounidenses. Se calcula que Microsoft, Amazon y Google reúnen aproximadamente dos tercios del mercado global de la nube, lo que convierte en todo un reto encontrar sustitutivos equivalentes en términos de escala y funcionalidad.
Sin embargo, esta situación también se está viendo como una oportunidad para reforzar el ecosistema tecnológico europeo. A medida que se endurecen los requisitos en materia de privacidad, seguridad y soberanía de datos, surgen nuevas empresas y proyectos que pretenden ofrecer servicios compatibles con el RGPD y con las expectativas de los reguladores locales.
Para muchos expertos, el aviso procedente de Suiza constituye un punto de inflexión en la discusión sobre independencia tecnológica. La cuestión ya no es solo técnica (disponibilidad, rendimiento, coste), sino profundamente política y jurídica: quién controla las infraestructuras críticas y bajo qué leyes se puede acceder a la información que gestionan.
En este contexto, cada vez más administraciones públicas europeas se plantean exigir requisitos como cifrado extremo verificable, transparencia total en la cadena de subproveedores y ubicación clara de los datos. Estos criterios pueden inclinar la balanza hacia soluciones desarrolladas por proveedores regionales o por consorcios públicos-privados europeos.
Para España y el resto de la Unión Europea, las conclusiones que se desprenden de la experiencia suiza apuntan en una dirección muy concreta: cuando se trata de información especialmente delicada, usar sin más Microsoft 365, AWS o Google Cloud puede no ser suficiente desde el punto de vista legal y de protección de datos. La combinación de cifrado fuerte gestionado por el propio cliente, mayor transparencia contractual y una apuesta decidida por opciones tecnológicas bajo jurisdicción europea se perfila como el camino más coherente con las exigencias actuales de privacidad, seguridad y soberanía digital.
