Cuando se habla de soberanía europea, siempre sale a colación la CLOUD AI Act. Para aclarar cualquier malentendido, aquí tienes un análisis más detallado.
La «CLOUD AI Act» ronda el debate sobre la soberanía digital europea. Pero, ¿qué hay realmente detrás de ella? Un proyecto de ley estadounidense fallido contra el acceso chino a los chips de IA en la nube, y una ley real que genera conflictos de todo otro tipo.
Cuando en Bruselas o Berlín se habla de la «CLOUD AI Act», a menudo resuenan los temores a las intromisiones estadounidenses. Pero la realidad es más complicada: no solo hay confusiones entre dos leyes estadounidenses totalmente diferentes, sino también un proyecto fallido que entretanto ha sido sustituido por un sucesor más contundente. Es hora de aclarar las cosas y de echar un vistazo a cómo reacciona Europa ante ello.
No solo hay dos leyes estadounidenses diferentes con siglas similares, sino también un proyecto fallido que entretanto ha resurgido en una nueva forma. Es hora de aclarar los hechos.
En primer lugar, la buena noticia para todos aquellos que esperaban sentencias judiciales dramáticas o demandas de la UE: la Ley CLOUD AI (H.R. 4683) de 2023 nunca se aprobó. Se quedó estancada en la comisión y murió discretamente con el fin del 118.º Congreso en enero de 2025. Sin multas, sin demandas, sin efectos jurídicos. El proyecto, presentado de forma bipartidista por demócratas y republicanos en torno a los congresistas Jeff Jackson y Mike Lawler, apuntaba a una brecha de seguridad concreta: los actores chinos eludían los controles de exportación estadounidenses para chips de IA avanzados accediendo a ellos de forma remota a través de servicios en la nube.
El proyecto de ley pretendía prohibir precisamente eso: que las personas estadounidenses y sus filiales extranjeras dejaran de prestar apoyo a entidades chinas o de Macao para el acceso remoto a determinados chips de alto rendimiento (números de clasificación de control de exportaciones 3A090 y 4A090). El Departamento de Comercio debía promulgar normas estrictas. En su lugar, la Administración Biden simplemente cerró la laguna en 2023 mediante un reglamento de la Oficina de Industria y Seguridad (BIS).
La propia Ley CLOUD de 2018, por el contrario, es una ley federal vigente. Surgió a raíz del famoso caso Microsoft-Irlanda y aclara que las autoridades policiales estadounidenses pueden exigir datos a las empresas tecnológicas estadounidenses incluso cuando estos se encuentren en servidores en el extranjero. En primer lugar, deja claro que las autoridades policiales estadounidenses pueden obligar a las empresas tecnológicas a facilitar datos en virtud de una resolución judicial estadounidense, incluso si dichos datos están almacenados fuera de EE. UU. En segundo lugar, establece un marco para que las autoridades policiales fuera de EE. UU. soliciten datos directamente a las empresas tecnológicas estadounidenses a través de acuerdos ejecutivos bilaterales.
Además, abre la posibilidad de acuerdos bilaterales a través de los cuales las autoridades extranjeras puedan solicitar datos directamente. Hasta ahora, existen acuerdos de este tipo con el Reino Unido y Australia.
Aquí radica el verdadero punto de fricción con Europa: la Ley CLOUD choca frontalmente con el RGPD. Los defensores europeos de la protección de datos consideran que los proveedores de servicios en la nube estadounidenses suponen un riesgo sistémico, ya que las autoridades estadounidenses podrían, en teoría, exigir el acceso en cualquier momento, independientemente de dónde se almacenen físicamente los datos. La sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE) de 2020, impulsada por el activista austriaco en materia de protección de datos Max Schrems, convirtió precisamente este conflicto en el argumento central contra el Escudo de Privacidad.
El sucesor directo: Remote Access Security Act (2026)
Sin embargo, el espíritu de la CLOUD AI Act no ha muerto en absoluto. La Cámara de Representantes aprobó la Remote Access Security Act en enero de 2026 con una abrumadora mayoría bipartidista de 369 votos a favor y 22 en contra. Se trata del sucesor legislativo directo de la CLOUD AI Act.
La ley moderniza la Ley de Reforma del Control de las Exportaciones al ampliar la competencia federal para restringir el acceso remoto de adversarios extranjeros a tecnologías —incluidos los chips de IA— a través de servicios de computación en la nube. Deja claro que la computación en la nube está sujeta a la legislación estadounidense de control de exportaciones al igual que los chips físicos. El principal patrocinador fue el congresista Mike Lawler (R-NY), el mismo que ya había presentado la Ley CLOUD AI original en 2023.
¿Por qué tanta presión ahora?
El contexto político se había endurecido drásticamente con respecto a 2023: Las empresas chinas, que se enfrentaban a controles de exportación para las GPU de alto rendimiento de Nvidia, han obtenido acceso desde al menos 2023 a través de plataformas como Amazon Web Services. Se cree que proveedores de nube chinos como Alibaba y Tencent han facilitado a clientes en China el acceso a GPU sujetas a controles de exportación mediante el alquiler de hardware en la nube alojado fuera de China.
La evolución paralela a nivel ejecutivo (BIS)
Mientras el Congreso actuaba, el poder ejecutivo también tomó medidas, aunque de forma contradictoria: una nueva norma del BIS supone un cambio significativo con respecto a la práctica anterior, según la cual el acceso remoto a servicios en la nube no se consideraba una «exportación» si no concurrían otros factores, lo que podría ser un indicio de una revisión fundamental de esta política ante las críticas del Congreso.
Al mismo tiempo, la Administración Trump relajó los controles en otros ámbitos: en agosto de 2025, el presidente Trump anunció que concedería a Nvidia licencias de exportación para la venta de chips H20 a China, con la condición de que la empresa entregara al Gobierno de EE. UU. el 15 % de los ingresos obtenidos por dichas ventas. En diciembre de 2025, el modelo se amplió a los chips H200 con un 25 %.
Otras iniciativas legislativas en curso (119.º Congreso)
Hay varios proyectos de ley más pendientes en el 119.º Congreso: la Ley GAIN AI otorgaría a las empresas estadounidenses prioridad en la adquisición de chips avanzados de IA antes de su exportación a China. La Ley STRIDE obligaría al Departamento de Estado a colaborar con los países socios para reforzar sus controles de exportación de semiconductores. La Ley AI Overwatch exigiría una revisión parlamentaria de las licencias de exportación de chips avanzados de IA a China.
Mayor capacidad de aplicación
El Congreso aprobó recientemente un aumento del 23 % en el presupuesto del BIS para el año fiscal 2026, en el que varios miembros manifestaron expresamente su apoyo bipartidista a una mayor aplicación de los controles de exportación y se destinaron varios millones de dólares específicamente a medidas de aplicación relacionadas con los semiconductores.
La reacción de Europa: soberanía en entredicho
En Europa, la legislación estadounidense no se responde tanto con notas de protesta como con políticas industriales y regulatorias propias. Sin embargo, el conflicto con la Ley CLOUD de 2018 persiste y se hace patente en cada evaluación de impacto sobre la protección de datos.
Recepción europea de la CLOUD AI Act y la Remote Access Security Act
La reacción europea ante esta legislación estadounidense no puede considerarse de forma aislada: forma parte de una profunda reevaluación geopolítica de la dependencia digital de Europa respecto a los consorcios tecnológicos estadounidenses, acelerada por Trump, la oferta china de código abierto DeepSeek y el creciente nacionalismo en materia de semiconductores.
- La CLOUD AI Act (2023): escasa repercusión directa
La fallida CLOUD AI Act de 2023 apenas tuvo repercusión por sí misma en Europa. Su tema —el control de las exportaciones de chips de IA específico para China— solo afectaba indirectamente a las empresas europeas como posibles proveedores de servicios en la nube que venden tiempo de computación a clientes chinos. El debate europeo más amplio en aquel momento aún giraba en torno a la Ley CLOUD de 2018 y sus conflictos con el RGPD.
- La Ley de Seguridad del Acceso Remoto (2026): consecuencias directas en materia de cumplimiento para las empresas de la UE
La Ley de Seguridad del Acceso Remoto ampliaría la regulación del acceso remoto a productos controlados —incluidos los chips de IA avanzados— a través de conexiones de red, como los servicios de computación en la nube. En concreto, los proveedores de nube y los intermediarios de «alquiler de GPU» tendrían que cumplir con obligaciones de cumplimiento normativo más estrictas en materia de verificación de clientes, solicitar licencias y restringir el acceso remoto a los aceleradores controlados
Para los centros de datos y los proveedores de servicios en la nube europeos, esto significa que quienes utilicen chips de IA estadounidenses (Nvidia H100, H200, etc.) y concedan acceso a la nube a clientes chinos —incluso de forma indirecta— quedarán sujetos en el futuro a la legislación estadounidense de control de exportaciones. En enero de 2026, el BIS ya acordó un acuerdo extrajudicial de 1,5 millones de dólares con una empresa europea por la transferencia ilegal de productos de fabricación de semiconductores a una fábrica incluida en la Lista de Entidades a través de una filial china.
- El dilema estructural de la Ley CLOUD: el RGPD frente a la legislación estadounidense
Paralelamente, la Ley CLOUD de 2018 sigue siendo el tema de mayor fricción entre Europa y EE. UU.:
El núcleo del problema radica en un conflicto jurídico directo e irresoluble: la Ley CLOUD de EE. UU. permite a las autoridades estadounidenses obligar a las empresas tecnológicas estadounidenses a entregar datos, independientemente de dónde estén almacenados, lo que choca directamente con el RGPD europeo.
El conflicto entre la Ley CLOUD y la legislación europea en materia de protección de datos se convierte, en la práctica, en un obstáculo debido al artículo 35 del RGPD, que exige una evaluación de impacto relativa a la protección de datos antes de utilizar tecnologías que supongan un alto riesgo para las personas físicas. En el caso de los servicios de hiperescaladores estadounidenses, estas evaluaciones identifican regularmente la Ley CLOUD como un riesgo significativo, a menudo inaceptable.
Un caso concreto ilustra la gravedad de la situación: en noviembre de 2025, el grupo estadounidense de TI Kyndryl anunció la adquisición del proveedor de servicios en la nube neerlandés Solvinity. Esto supuso una «sorpresa desagradable» para varios clientes públicos, entre ellos el Ayuntamiento de Ámsterdam y el Ministerio de Justicia neerlandés, que habían elegido expresamente a Solvinity para reducir su dependencia de las empresas estadounidenses y los riesgos derivados de la Ley CLOUD.
- La respuesta estratégica de Europa: el movimiento por la soberanía digital
La UE no reacciona principalmente con protestas diplomáticas, sino con una estrategia contraria integral en materia legislativa y de política industrial.
La Ley de Desarrollo de la Nube y la IA (CADA): la contrapropuesta directa de Europa
La propuesta de Ley de Desarrollo de la Nube y la IA de la UE tiene como objetivo reforzar el liderazgo de Europa en el ámbito del cloud computing y la IA mediante la creación de un marco regulatorio sólido para los recursos de computación de alto rendimiento y la infraestructura digital, con el fin de garantizar la soberanía tecnológica de Europa.
La CADA intentará reducir el retraso de Europa en el ámbito de la nube y la IA mediante el fomento de nuevos centros de datos y tiene por objeto introducir requisitos de autorización a escala de la UE para los proveedores de servicios en la nube, así como procedimientos de contratación armonizados, de una manera que podría limitar la participación de empresas no europeas.
El Consejo de la UE ha introducido explícitamente medidas de seguridad para la participación de terceros países: los proveedores de alto riesgo —una alusión implícita a Huawei y ZTE— no podrán participar en proyectos financiados por la UE.
El concepto EuroStack
En 2024, el 52 % de las empresas europeas estarán en la nube; la Comisión Europea quiere aumentar esta proporción al 75 % para 2030. La infraestructura en la nube es un componente fundamental para funciones estatales esenciales, desde la administración electrónica hasta la ejecución de operaciones militares.
En marzo de 2025, las principales empresas tecnológicas y asociaciones industriales europeas instaron a la Comisión Europea a adoptar «medidas radicales» para construir una infraestructura digital soberana. El eje central es el concepto «EuroStack»: una arquitectura tecnológica europea integrada por capas que abarca semiconductores, sistemas en la nube, sistemas operativos e identidad digital. Según un estudio de la Fundación Bertelsmann, la transformación podría durar una década y requerir hasta 300 000 millones de euros para 2035.
La Ley de Ciberseguridad 2 (CSA2)
El 20 de enero de 2026, la Comisión Europea publicó una propuesta para actualizar la Ley de Ciberseguridad. Esta introduciría por primera vez un marco horizontal de la UE para la seguridad de la cadena de suministro de las TIC, lo que podría tener consecuencias significativas para las organizaciones que adquieren componentes de proveedores de jurisdicciones de alto riesgo. Las infracciones pueden sancionarse con multas de hasta el 7 % de la facturación anual mundial.
El dilema entre la reivindicación de soberanía y la realidad
El análisis más honesto lo ofrece la perspectiva interna crítica: Los Estados miembros propagan la «soberanía» y actúan de forma bilateral: Francia aboga por la soberanía europea en la nube, pero al mismo tiempo crea «Bleu» (Microsoft + Orange + Capgemini) y «S3NS» (Google + Thales), empresas conjuntas que integran la tecnología de los hiperescaladores estadounidenses en estructuras jurídicas francesas. Alemania hace lo mismo con «Delos» (Microsoft + SAP).
Conclusión: más que una simple confusión de nombres
La «CLOUD AI Act» es, por tanto, ante todo una lección sobre el riesgo de confusión y la realpolitik geopolítica. El fallido proyecto de 2023 no tiene consecuencias directas para Europa, pero su objetivo principal sí las tiene, a través de la Remote Access Security Act. El tema candente sigue siendo la CLOUD Act de 2018, con sus conflictos con el RGPD.
Europa intenta ponerse al día con regulaciones e inversiones multimillonarias. Queda por ver si eso bastará para alcanzar una verdadera soberanía. La dependencia de la tecnología estadounidense es profunda, el desafío chino es real y la voluntad política es grande, pero aún no está suficientemente respaldada por capital.
Quien quiera participar en el debate debería, por tanto, fijarse bien: ¿a qué ley «CLOUD» se refiere realmente? Y, sobre todo: ¿cuánta soberanía es realmente posible en un mundo interconectado?
El Dr. Jakob Jung es redactor jefe de Security Storage y Channel Germany. Lleva más de 20 años trabajando en el periodismo especializado en TI. A lo largo de su carrera ha colaborado con Computer Reseller News, Heise Resale, Informationweek, Techtarget (almacenamiento y centros de datos) y ChannelBiz. Además, colabora como freelance con numerosas publicaciones del sector de las TI, entre las que se incluyen Computerwoche, Channelpartner, IT-Business, Storage-Insider y ZDnet. Sus temas principales son el canal, el almacenamiento, la seguridad, los centros de datos, los sistemas ERP y CRM.
Contacto – Contacto por correo electrónico: jakob.jung@security-storage-und-channel-germany.de