La incertidumbre regulatoria en transferencia de datos a EEUU pone el foco en la seguridad de la nube europea

La incertidumbre regulatoria actual relacionada con la transferencia de datos entre la Unión Europea (UE) y Estados Unidos (EEUU) plantea la necesidad de establecer estrategias eficaces que garanticen la privacidad y el cumplimiento normativo de la nube europea, dadas las consecuencias legales que puede implicar para las empresas esta fragilidad del actual marco legal, con el acuerdo Transatlantic Data Privacy Framework (TADPF).

Así lo ha recogido el evento tecnológico Cloud Summit 2025, que se ha celebrado este jueves en el Campus de San Francisco de Sales de la Universidad de Nebrija y que ha reunido a expertos en ciberseguridad, privacidad y normativa cloud para analizar el futuro de la nube europea, sobre todo, en relación a la protección de los datos y la privacidad.

Organizado por la Asociación Española de Proveedores de Cloud y Data Centers (Apecdata), junto con la Asociación de Proveedores de Telecomunicaciones Empresariales (Asotem) y la Universidad Nebrija, el encuentro ha contado con diversas ponencias en las que se han detallado algunos de los principales retos y oportunidades que presenta la protección de datos, enmarcado en un entorno digital cada vez más regulado.

Uno de los focos se ha puesto en la incertidumbre regulatoria que existe actualmente respecto a la transmisión de datos entre la Unión Europea y Estados Unidos (EEUU), especialmente con la nueva administración de Donald Trump.

Para ello ha intervenido el abogado y activista especializado en privacidad y protección de datos, Maximilian Schrems, quien ha manifestado la necesidad de establecer estrategias eficaces para garantizar la privacidad de los usuarios a nivel global, así como el cumplimiento normativo.

INCERTIDUMBRE REGULATORIA

El también fundador de la organización de defensa de los derechos digitales en Europa NOYB, ha analizado el panorama regulatorio actual y la evolución de la legislación sobre privacidad, respecto a lo que ha advertido sobre cómo la legalidad de las transferencias de datos entra la UE y EEUU «vuelve a tambalearse».

Así, ha hecho referencia al acuerdo Transatlantic Data Privacy Framework que, firmado en 2023 tanto por la Comisión Europea como por el lobby empresarial, es un marco que pauta la legalidad de transferencia de datos entre la UE y EEUU.

Cabe resaltar que este acuerdo depende de órdenes ejecutivas de Estados Unidos y no de una legislación formal, es decir, con cada orden ejecutiva emitida por el Gobierno estadounidense, las leyes referentes a este tratado pueden cambiar.

En palabras de Schrems, esto lo convierte en una base jurídica débil, y ha afeado que la Comisión Europea y las empresas lo hayan apoyado, dadas las posibles consecuencias negativas que engloba. Según ha dicho, en lugar de apostar por «limitaciones legales estables», Europa ha confiado en «promesas ejecutivas que pueden desaparecer en segundos».

Como consecuencia, con la presidencia de Trump en Estados Unidos, Schreams ha manifestado que muchas empresas europeas han entrado en un «limbo legal». Esto se debe a que el actual presidente de EEUU ha iniciado maniobras que amenazan con desajustar los pilares del TADPF.

Según ha apuntado, una de estas maniobras es la destitución de miembros clave del organismo de supervisión independiente considerado en el acuerdo, el Privacy and Civil Liberties Oversight Board (PCLOB). Siguiendo esta línea, Trump también ha firmado una orden ejecutiva que obliga a revisar todas las decisiones de la administración Biden en 45 días, lo que plantea nuevos cambios que afectan a Europa.

Teniendo todo ello en cuenta, las empresas europeas se enfrentan a nuevos riesgos legales, como que los contratos que impliquen transferencias de datos a Estados Unidos se vuelvan ilegales en cuestión de días por ir en contra del Reglamento General de Protección de Datos (RGPD). Por ejemplo, contratos relacionados con servicios en la nube de compañías como Microsoft, Amazon, Google y Apple.

Esto también tiene consecuencias para los servicios que ofrecen las empresas a los usuarios, como entidades financieras, administraciones públicas, hospitales o centros educativos, que dependen del uso de datos y de los contratos con empresas estadounidenses.

Frente a este panorama, Schreams ha detallado algunas recomendaciones para las empresas, comenzando por preparar un plan de contingencia evaluando opciones de alojamiento de datos dentro del Espacio Económico Europeo. Igualmente, también ha animado a las empresas a revisar sus contratos de servicios en la nube y asegurar cláusulas de protección y legalidad ante posibles cambios regulatorios.

Asimismo, ha tildado de esencial monitorizar la evolución política en Estados Unidos, para prever o estar al día de cualquier giro presidencial que pueda invalidar las bases del acuerdo TADPF.

RETOS DE LA PRIVACIDAD Y CIBERSEGURIDAD EN LA UNIÓN EUROPEA

Por otra parte, centrándose en el ámbito europeo, el encuentro también ha puesto sobre la mesa los principales desafíos actuales de la privacidad y ciberseguridad en la nube, subrayando el papel principal que juega la directiva NIS2 y el Esquema Nacional de seguridad (ENS) en el caso de España.

El ENS se basa en un marco normativo de obligado cumplimiento para la Administración Pública en España que establece los principios y requisitos mínimos para garantizar la seguridad de los sistemas de información y servicios electrónicos, según ha explicado el experto adjunto al Centro Criptológico Nacional (CCN), Javier Candau.

Es decir, el ENS garantiza que aquellos proveedores de servicios cloud que deseen operar en España, cumplan los criterios correspondientes de seguridad y, por tanto, mantengan a los usuarios y a sus datos protegidos.

Con la participación de la subdirectora de Ciberseguridad de la Agencia para la Administración Digital de la Comunidad de Madrid, Esther Muñoz Fuentes, este debate ha resaltado como los hiperescalares, cumplen con los estándares del nivel alto del ENS. No obstante, los ponentes también han matizado que estos hiperescalares presentan ciertas dificultades con las exigencias del RGPD.

Otro aspecto tratado ha sido la nueva directiva NIS2 que, en palabras de Candau, se trata de una evolución de la normativa NIS1 con la que la Unión Europea pretende reforzar la cooperación coordinación entre los Estados miembros, incluyendo la creación de la Red de Cooperación de la UE en materia de seguridad cibernética, además de otros cambios como la introducción de sanciones.

En este sentido, ante la importancia de esta nueva directiva, los expertos del CCN han remarcado que, aquellas empresas y organizaciones que ya cumplan con los estándares del ENS, también estarán cumpliendo con la normativa NIS2.

La soberanía de los datos es otro de los retos que se presenta actualmente y, según ha dicho el director de la Agencia de Tecnología Legal y asesor del CCN, Carlos Galán Pascual, se trata de un punto relevante al tratarse del principio de poder de disposición para utilizar los datos de cada usuario, por lo que la soberanía del dato «marca la soberanía de la nación».

Al respecto Candau aboga por tener nubes «no en la Unión Europea, sino en el propio país». En el caso de la administración pública en España, ha asegurado que hay «volumen y fuerza suficiente» como para crear una nube nacional y que los datos residan en España.

RECOMENDACIONES DE LA AEPD

Además de todo ello, el ajunto a la presidencia de la Agencia Española de Protección de Datos (AEPD), Francisco Pérez Bes, también ha participado en el evento destacando la importancia de integrar la protección de datos en la estrategia empresarial.

Concretamente, ha animado a utilizar contratos bien estructurados, cumplir el RGPD e implementar medidas seguras, al tiempo que ha advertido sobre los retos que plantean tecnologías como la Inteligencia Artificial (IA) y la computación cuántica.