Soberanía & Datos

«Alojado en Europa» no significa soberano

Q: ¿Un servicio alojado en Europa es forzosamente soberano?

No. Un proveedor estadounidense como AWS, Microsoft Azure o Cloudflare sigue sometido al CLOUD Act aunque sus servidores estén en París o Fráncfort. La soberanía depende de la propiedad y el control de la empresa, no solo de la ubicación de los servidores.

Q: ¿«Adecuado» en el sentido del RGPD significa «soberano»?

No, son dos ejes distintos. La adecuación (artículo 45 del RGPD) autoriza una transferencia de datos hacia un país o un marco considerado suficientemente protector, como el Data Privacy Framework UE-EE. UU. La soberanía atañe al control: un servicio puede ser adecuado para la transferencia y seguir sometido a un derecho extranjero como el CLOUD Act.

Se ha convertido en la etiqueta tranquilizadora por defecto: «datos alojados en Europa». La marcas, respiras y pasas a otra cosa. El problema es que responde a la pregunta equivocada. Lo que decide la soberanía de tus datos no es la dirección de tus servidores — es la nacionalidad de la empresa que los controla.

Fred Gaveau26 de junio de 2026~9 min de lectura

Digámoslo con franqueza, porque ese es el espíritu de este blog: un servidor en París operado por una empresa estadounidense no es un servidor soberano. No porque el proveedor mienta sobre la ubicación — dice la verdad. Sino porque la ubicación no es el criterio correcto. El criterio es: ¿a quién se puede obligar legalmente a entregar el dato, y bajo qué derecho?

La etiqueta tranquilizadora que responde al lado

«Región Europa», «centro de datos en Fráncfort», «almacenamiento en Francia»: estas menciones están por todas partes, y no son falsas. AWS, Microsoft Azure, Google Cloud, Cloudflare — todos ofrecen regiones europeas, y realmente almacenan ahí tus datos.

Pero la soberanía digital no se mide en kilómetros. Se mide en jurisdicción: ¿bajo qué ley cae la entidad que posee y opera el servicio? Y ahí, la ubicación del servidor no cambia nada en cuanto a la nacionalidad de la empresa.

El CLOUD Act, en una frase

En 2018, Estados Unidos adoptó el CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Su lógica cabe en una línea: una empresa sometida al derecho estadounidense debe entregar a las autoridades de EE. UU. los datos que controla, estén almacenados donde estén en el mundo.

2018 el CLOUD Act consagra el alcance extraterritorial: la ubicación de los servidores ya no protege del acceso estadounidense.

El texto nació precisamente de un litigio sobre este punto: en el caso Microsoft v. United States, el gobierno estadounidense reclamaba correos electrónicos almacenados por Microsoft… en un centro de datos en Irlanda. El CLOUD Act zanjó el debate a favor del acceso, con independencia del lugar de almacenamiento. Conclusión práctica: para un proveedor estadounidense, «alojado en Dublín» o «alojado en Fráncfort» no crea ninguna barrera jurídica frente al derecho de EE. UU.

Y no es solo una disputa de abogados. En 2020, el Tribunal de Justicia de la Unión Europea, en la sentencia Schrems II (C-311/18), invalidó el Privacy Shield señalando exactamente ese riesgo: el acceso de las autoridades estadounidenses a los datos de los europeos, sin un recurso equivalente. El dato puede estar en París; el riesgo jurídico, en cambio, cruza el Atlántico.

«Adecuado» no es «soberano» — dos ejes diferentes

Aquí mucha gente confunde dos nociones que no tienen nada que ver. Desenredémoslas, porque en eso está toda la trampa.

La adecuación (artículo 45 del RGPD) es una cuestión de transferencia legal: la UE reconoce que tal país — o tal marco, como el Data Privacy Framework UE-EE. UU. de julio de 2023 — ofrece una protección considerada suficiente para enviar ahí datos. Es una autorización de transferencia.
La soberanía es una cuestión de control: ¿escapa el dato, por naturaleza, a una potencia externa a la UE? Un proveedor puede ser perfectamente «adecuado» en el sentido legal y totalmente no soberano.

Ejemplo claro: un servicio estadounidense certificado Data Privacy Framework está cubierto para la transferencia (eje legal), pero sigue sometido al CLOUD Act (eje soberanía). El Reino Unido goza de una decisión de adecuación — y no por ello deja de formar parte de los «Five Eyes», la alianza de inteligencia (Estados Unidos, Reino Unido, Canadá, Australia, Nueva Zelanda). «Legalmente transferible» y «fuera del alcance de un Estado tercero» son dos cosas distintas.

Para recordar

Soberanía = propiedad y control (¿depende la empresa del EEE?). Adecuación = derecho de transferencia (¿se puede enviar ahí el dato legalmente?). Un servicio puede marcar la segunda casilla sin marcar la primera. En esa brecha se juega todo lo demás.

El verdadero punto ciego: las dependencias que no ves

Supongamos que has elegido un alojamiento soberano para tu sitio. Muy bien. Pero tu página no es solo un servidor: es una constelación de servicios de terceros que se cargan en el navegador de tus visitantes — y cada uno recibe, como mínimo, su dirección IP.

94 % de las páginas cargan al menos un servicio de terceros, y con diferencia el más extendido es estadounidense (HTTP Archive, Web Almanac).

Fuentes de Google, Google Analytics, Tag Manager, reCAPTCHA, YouTube incrustado, píxel de Meta, CDN de Cloudflare o AWS CloudFront, chat, A/B testing, mapas… El sitio medio alinea decenas. Y los más presentes en la web son casi todos estadounidenses.

Los servicios de terceros más extendidos son estadounidenses

Google Analytics

~55 % 🇺🇸

Cloudflare

~21 % 🇺🇸

Cuota de sitios web que usan estos servicios, órdenes de magnitud según W3Techs (consultado en 2026). Dos servicios de los más desplegados del mundo, ambos sometidos al CLOUD Act — sea cual sea la región de alojamiento elegida. Y son solo los más visibles.

Peor aún: algunos rastreadores se disfrazan. Con el CNAME cloaking, un subdominio de apariencia first-party (metrics.tusitio.es) apunta en realidad, a través de un registro DNS, a la infraestructura de un rastreador de terceros. A simple vista parece «de tu casa». En realidad, el dato se va a otra parte — a menudo fuera de la UE. Es exactamente el tipo de dependencia que una auditoría honesta debe desenmascarar, en lugar de dejarla pasar.

Alojado en la UE ≠ soberano: la prueba en la práctica

El método correcto para juzgar una dependencia no consiste en leer la página «dónde están tus datos». Consiste en hacerse, servicio por servicio, tres preguntas:

¿Quién posee la empresa? ¿Sociedad matriz en el EEE, o en Estados Unidos / Reino Unido / Canadá / Australia? Es el criterio decisivo.
¿Sale el dato del navegador del visitante? Una llamada de red hacia un dominio de terceros transmite la IP, y a menudo bastante más.
¿Está disfrazada la dependencia? Un subdominio first-party puede ocultar una transferencia fuera de la UE mediante CNAME.

Nadie hace esto a mano sobre 40 peticiones. Es precisamente lo que automatiza un escáner de soberanía: lista cada servicio de terceros realmente cargado, lo clasifica por jurisdicción (🇪🇺 soberano / 🔴 no soberano / 🟠 a verificar), desenmascara el CNAME cloaking y propone para cada dependencia una alternativa europea.

¿Tienes curiosidad por tu propio sitio? Nuestro verificador de soberanía lista tus dependencias fuera de la UE en 90 segundos, gratis y sin registro — puntuación EE. UU./UE, rastreadores desenmascarados y alternativas europeas.

Verificar la soberanía de mi sitio →

La buena noticia: las alternativas existen

La soberanía no es un buen deseo ni un sacrificio funcional. Para casi todos los ladrillos de un sitio, existe una opción establecida en la UE:

Alojamiento / cloud: OVHcloud, Scaleway, Clever Cloud, Hetzner.
Analítica: Snorklee, Matomo, Plausible, Piwik PRO.
CDN: Bunny CDN, Scaleway.
Fuentes: autoalojadas, o Bunny Fonts.
Email / marketing: Brevo, Mailjet, MailerLite.
Pago: Mollie, Adyen; anti-bot: DataDome, Friendly Captcha; chat: Crisp.

El objetivo no es plantar una bandera. Es reducir la exposición: menos datos que salen de la UE, menos terceros sometidos a un derecho extranjero, menos zonas grises que documentar. Cada dependencia no soberana que reemplazas es una dependencia menos que justificar en tu registro de actividades de tratamiento.

En claro

«Alojado en Europa» es una mención útil, pero solo es media respuesta. La mitad que de verdad cuenta — quién controla la empresa, a qué derecho responde — sigue bajo la superficie. Al CLOUD Act no le interesa la dirección de tus servidores; le interesa la nacionalidad de tu proveedor.

La soberanía no es, pues, una etiqueta que se exhibe. Es una cadena de dependencias que se mira de frente: tu alojamiento, pero también tus fuentes, tu analítica, tu CDN, tus scripts de terceros, y hasta los rastreadores disfrazados de first-party. Snorklee nació de esa constatación — una medición de audiencia 100 % soberana, alojada en Francia, sin dependencia estadounidense, sin cookie ni banner. Y el verificador que la acompaña está ahí para una cosa: mostrarte, sin complacencia, lo que tu sitio lleva realmente dentro.

No te fíes de la etiqueta. Mira la cadena.

FAQ

¿Un servicio alojado en Europa es forzosamente soberano?
No. Ese es el punto clave: un proveedor estadounidense como AWS, Microsoft Azure o Cloudflare sigue sometido al CLOUD Act aunque sus servidores estén en París o Fráncfort. La soberanía depende de la propiedad y el control de la empresa, no solo de la ubicación de los servidores.

El CLOUD Act, ¿qué es exactamente?
Una ley estadounidense de 2018 que obliga a las empresas sometidas al derecho de EE. UU. a entregar a las autoridades los datos que controlan, estén almacenados donde estén en el mundo. Nació del caso Microsoft v. United States, que versaba sobre datos alojados en Irlanda. La ubicación de los servidores, por tanto, no crea una barrera jurídica frente al derecho estadounidense.

¿«Adecuado» en el sentido del RGPD significa «soberano»?
No, son dos ejes distintos. La adecuación (art. 45 del RGPD) autoriza una transferencia de datos hacia un país o un marco considerado suficientemente protector (por ejemplo, el Data Privacy Framework UE-EE. UU.). La soberanía atañe al control: un servicio puede ser adecuado para la transferencia y seguir sometido a un derecho extranjero como el CLOUD Act.

¿Cómo saber si mi sitio depende de servicios no soberanos?
Listando cada servicio de terceros realmente cargado por la página y clasificándolo por jurisdicción. Es lo que automatiza un verificador de soberanía: identifica las dependencias fuera de la UE, desenmascara los rastreadores en CNAME cloaking y propone alternativas europeas — gratis y en unos segundos.

¿Existen alternativas europeas creíbles?
Sí, para casi todos los ladrillos de un sitio: OVHcloud o Scaleway para el alojamiento, Matomo, Plausible o Snorklee para la analítica, Bunny CDN para el CDN, Brevo para el email, Mollie para el pago, etc. Reducir la exposición rara vez es una cuestión de disponibilidad — más a menudo es una cuestión de costumbre.

Publicado en junio de 2026. Fuentes principales: CLOUD Act — Clarifying Lawful Overseas Use of Data Act, H.R. 4943 (2018); caso Microsoft Corp. v. United States (litigio sobre datos alojados en Irlanda, en el origen del texto); TJUE, sentencia Schrems II, C-311/18 (16 de julio de 2020, invalidación del Privacy Shield); decisión de adecuación UE-EE. UU. Data Privacy Framework (10 de julio de 2023); alianza de inteligencia «Five Eyes». Prevalencia de los servicios de terceros: HTTP Archive, Web Almanac (capítulo Third Parties) y W3Techs (cuotas de uso, órdenes de magnitud, consultados en 2026). Información general, no asesoramiento jurídico individualizado — para un caso concreto, consulta a un DPO o a un jurista cualificado.