Europa y la nueva soberanía digital: una agenda de ejecución

Por último, entre los aspectos clave de esta agenda destacan el desarrollo de una infraestructura de nube soberana europea, la promoción de las competencias digitales y la aplicación de las normas de gobernanza de datos y la ética de la IA.

¿Por qué hablar de soberanía digital ahora?

Europa ha avanzado en regulación e inversión digital, pero la concentración de poder tecnológico y las dependencias estructurales (hiperescaladores, stacks cerrados, cadenas de suministro, talento) exigen una respuesta más operativa. En el sector público, esto se traduce en tres tensiones:

• Control vs. eficiencia: cómo garantizar residencia y jurisdicción de datos sin frenar innovación y escalabilidad.
• Cumplimiento vs. velocidad: cómo cumplir con marcos como GDPR, NIS2, Data Act o el futuro despliegue completo del AI Act sin ralentizar servicios públicos digitales.
• Autonomía vs. ecosistema: hasta dónde construir capacidades europeas sin perder acceso a la innovación global.

En definitiva, el sector público se enfrenta a factores “push” y “pull” que también observamos en el mercado europeo. Desde el lado push se fomenta la inversión pública estratégica, los espacios de datos comunes, el refuerzo de capacidades e infraestructura y se producen reformas de compra pública. Por su parte en el lado pull nos enfrentamos a una complejidad contractual y de integración, brechas de talento y madurez desigual entre los diferentes Estados miembros.

El terreno de juego normativo y de inversión

En paralelo, la Unión Europea ha desplegado un andamiaje normativo y de programas que, en conjunto, orientan hacia la consecución de la soberanía digital:

• Ciberseguridad e infraestructuras: Cybersecurity Act, Cyber Resilience Act, NIS2 y Gigabit Infrastructure Act.
• Datos y gobernanza de los mismos: GDPR, Data Governance Act, Data Act y Interoperable Europe Act.
• Mercados y plataformas: Ley de Servicios Difitales (DSA)y Ley de Mercados Digitales (DMA).
• Tecnologías emergentes y estratégicas: AI Act, EU Chips Act, EuroQCI.
• Dirección estratégica: Digital Decade Policy Programme con hojas de ruta nacionales y objetivos 2030.

Asimismo, existe una oportunidad de financiación relevante: el programa Europa DIGITAL, Horizon Europe, CEF, iniciativas del Digital Decade y presupuestos nacionales dedicados a transformación digital y, en algunos casos, incluso a soberanía per se. Para el sector público, esto significa apalancar fondos para acelerar capacidades críticas, pero se deben conseguir métricas de impacto reales, a ser posible en corto periodo de tiempo y con trazabilidad regulatoria desde el diseño.

Qué significa “soberanía” en términos operativos

Con todo ello, podemos determinar que la soberanía digital no es un absoluto: es un conjunto de grados de control y aseguramiento sobre infraestructura, tecnología, datos y gobernanza:

• Infraestructura: cloud, semiconductores, redes, centros de datos, energía.
• Tecnología: ciberseguridad, stack de aplicaciones, portabilidad y patching.
• Datos: localización y jurisdicción, gobierno y acceso, clasificación, ciclo de vida y flujos transfronterizos.
• Gobernanza: marcos regulatorios, estándares, cooperación y assurance.

En base a estas dimensiones, es clave desarrollar un marco de trabajo que permita identificar el diagnóstico, la madurez y el nivel de criticidad en cada organización:

Cómo priorizar en la Administración: del catálogo de servicios al roadmap

El objetivo es evolucionar desde un catálogo de servicios hacia un roadmap de transformación y aseguramiento, que conecte criticidad, madurez y objetivos de control. Este enfoque se articula en cuatro pasos:

Paso 1. Clasificar activos y servicios por sensibilidad y misión

No todo requiere el máximo grado de soberanía. Clasificar datos, cargas y procesos (por ejemplo, servicios críticos de hacienda, sanidad, justicia, seguridad vs. portales transaccionales estándar) permite asignar niveles objetivo por cada dominio.

Paso 2. Evaluar madurez

Aplicar un marco de madurez común que cubra las dimensiones de computación/infraestructura, tecnología, datos y gobernanza. Para cada subdimensión, definir controles, evidencias y métricas que distingan entre estados Expuesto → Vulnerable → Resiliente → Endurecido → Soberano & Asegurado. Esto hace visible el gap y orienta las estrategias e inversiones.

Paso 3. Diseñar el target state y la ruta de transición

Con los gaps identificados, se deben priorizar iniciativas: residencia y cifrado de datos críticos, despliegue de claves externas (HYOK/BYOK), segmentación de cargas, adopción de estándares y certificaciones, acuerdos marco con cláusulas de salida (exit) y trazabilidad de cadena de suministro.

Paso 4. Gobernanza viva y assurance

Finalmente, resulta fundamental definir métricas y auditorías continuas para verificar la eficacia de los controles.

Soberanía es elegir con datos, no desconectarse del mundo

En definitiva, la soberanía digital no implica aislamiento. Implica capacidad de decidir y demostrar control sobre lo que es crítico, con portabilidad real y assurance continuo. Para el sector público, es la base de servicios confiables, resilientes y alineados con valores europeos.