Telefonica Tech y el soberanismo cloud: analisis de tendencia

La geopolitica llega al data center

El concepto de cloud soberano ha pasado de ser un tema de nicho regulatorio a una tendencia de negocio concreta en menos de dos anos. Y Espana se esta posicionando como uno de los mercados europeos donde mas traccion tiene.

Los movimientos recientes lo confirman. Telefonica Tech lanzo su oferta de cloud soberano construida sobre infraestructura propia con certificaciones ENS (Esquema Nacional de Seguridad) de nivel alto. Minsait (Indra) cerro su alianza con Google Cloud para ofrecer Distributed Cloud Hosted, una version de GCP que se ejecuta integramente en centros de datos espanoles bajo control operativo de Minsait. Y AWS anuncio la apertura de su region en Aragon para 2025, sumandose a la region existente de eu-south-2.

La pregunta relevante no es si la soberania cloud es real. Lo es. La pregunta es: quien la necesita, que problema resuelve, y cuanto cuesta respecto a las alternativas.

Que impulsa la tendencia

Tres fuerzas convergentes explican por que las empresas espanolas estan prestando atencion a la soberania cloud ahora y no hace cinco anos.

Regulacion. El GDPR ya exigia que los datos personales de ciudadanos europeos se tratasen bajo jurisdiccion europea. Pero la sentencia Schrems II (2020) y las posteriores guias del EDPB complicaron los mecanismos de transferencia a terceros paises. La consecuencia practica: las empresas que gestionan datos sensibles (salud, finanzas, administracion publica) prefieren evitar el debate juridico de las transferencias transatlanticas manteniendo los datos fisicamente en la UE, operados por entidades europeas.

El ENS anade una capa adicional en Espana. Para contratar con la Administracion General del Estado, los proveedores cloud deben tener certificacion ENS. Nivel alto para datos sensibles. Esto excluye automaticamente a proveedores que no tienen presencia certificada en Espana.

FISA 702 y Cloud Act. Las leyes estadounidenses de vigilancia permiten al gobierno de EE.UU. solicitar acceso a datos almacenados por empresas americanas, incluso si los datos estan fisicamente en servidores europeos. AWS, Azure y GCP son empresas estadounidenses. Esto no es teoria conspirativa. Es el marco legal vigente. Para sectores como defensa, administracion publica y sanidad, este riesgo juridico es suficiente para preferir un proveedor cloud europeo.

Cadena de suministro. La pandemia y las tensiones geopoliticas han demostrado que depender de un unico proveedor para infraestructura critica es un riesgo. El cloud soberano es, en parte, una estrategia de diversificacion: tener la capacidad de operar servicios criticos en infraestructura controlada por entidades locales, sin depender de decisiones corporativas tomadas en Seattle o Redmond.

Que ofrece el mercado espanol

El panorama de cloud soberano en Espana tiene tres capas:

Hyperscalers con presencia local. AWS (region en Aragon), Azure (region en Madrid), GCP (a traves de Minsait y Telefonica). Ofrecen las mismas APIs y servicios que sus regiones globales, pero con datos fisicamente en Espana. Resuelven el problema de residencia de datos, pero no el de soberania operativa: la gestion y el acceso siguen siendo de la empresa americana.

Partnerships soberanos. Minsait+Google Cloud y Telefonica Tech+AWS. Estos acuerdos crean una capa de soberania operativa: la infraestructura esta en Espana, la operacion la hace una empresa espanola, y (en algunos modelos) las claves de cifrado estan exclusivamente en manos del cliente o del partner europeo. Es un compromiso entre la funcionalidad del hyperscaler y las garantias de soberania.

Proveedores puramente espanoles. Empresas como Gigas, Arsys, o Stackscale (ahora parte de Telefonica Tech) ofrecen infraestructura cloud integramente espanola. Menor catalogo de servicios que un hyperscaler, pero sin ninguna duda sobre jurisdiccion. Para cargas de trabajo que no necesitan servicios gestionados avanzados (ML, analytics a escala), son una alternativa viable y a menudo mas economica.

La pregunta que importa: quien necesita esto realmente

No todas las empresas necesitan cloud soberano. La gran mayoria no lo necesitan.

Lo necesitan las empresas que cumplen al menos uno de estos criterios:

• Contratan con la Administracion publica y requieren ENS nivel alto
• Manejan datos de salud protegidos por la LOPD-GDD y el RGPD con requisitos adicionales de AEPD
• Operan en sectores regulados (banca, seguros, energia) con requisitos de la CNMV, Banco de Espana, o CNMC sobre residencia de datos
• Tienen datos clasificados o de defensa

Para una empresa de comercio electronico, una SaaS B2B, o una startup de logistica, la region eu-west-1 de AWS en Irlanda es perfectamente valida. Los datos estan en la UE. El GDPR se cumple. Y el coste es un 15-30% menor que las opciones soberanas espanolas, porque los hyperscalers son mas eficientes a escala.

El error que estamos viendo es empresas que adoptan cloud soberano “por precaucion” sin un requisito regulatorio real. El resultado: pagan mas, tienen menos servicios disponibles, y no obtienen ningun beneficio legal tangible. La soberania cloud es una herramienta para un problema especifico, no una mejora generica.

Implicaciones para la estrategia cloud

Para empresas que si necesitan soberania cloud, la recomendacion practica es:

Multi-cloud con proposito. Cargas reguladas en el cloud soberano. Cargas no reguladas en el hyperscaler de mejor relacion calidad-precio. No mezclar todo en un solo proveedor “para simplificar”. La simplicidad aparente de un solo proveedor se convierte en dependencia real.

Abstraer la infraestructura. Kubernetes (EKS, AKS, GKE, o autoalojado) como capa de abstraccion permite mover cargas entre proveedores con friccion razonable. Si tu aplicacion esta acoplada a servicios especificos de AWS (Lambda, DynamoDB, SQS), migrar a un cloud soberano es un proyecto de reescritura. Si esta en contenedores orquestados por Kubernetes con bases de datos gestionadas estandar, la migracion es un cambio de configuracion.

Evaluar el coste total. El cloud soberano tipicamente cuesta un 20-40% mas que el hyperscaler equivalente para las mismas cargas. Ese sobrecoste es aceptable si evita un riesgo legal o regulatorio real. Es inaceptable si es solo una prima de tranquilidad sin fundamento regulatorio.

La soberania cloud es una tendencia real que responde a necesidades reales de un segmento especifico del mercado. No es la siguiente gran cosa para todas las empresas. Es la solucion correcta para las empresas correctas. Y saber si tu empresa es una de ellas requiere un analisis de riesgos, no un folleto comercial.

Para empresas que necesiten evaluar su estrategia cloud, empezamos por el analisis de requisitos regulatorios y de negocio. La tecnologia viene despues.