Cloud Act: qué es y por qué afecta a tu empresa aunque estés en España

El 92% de tus datos están en manos de empresas estadounidenses

Puede que tu empresa esté en Vigo, en A Coruña o en cualquier pueblo de España. Puede que tengas tu contabilidad en la nube, tus correos en Gmail y tus documentos en OneDrive. Todo funciona, todo parece seguro. Pero hay un dato que probablemente nadie te ha contado: el 92% de los datos europeos se almacenan o gestionan bajo el paraguas de corporaciones con sede en Estados Unidos. Y más del 70% del mercado cloud europeo está controlado por tres empresas: Amazon Web Services, Microsoft Azure y Google Cloud.

Esto no es solo una estadística. Tiene consecuencias legales muy reales para tu negocio. En mayo de 2023, la Unión Europea impuso a Meta (la empresa detrás de Facebook, Instagram y WhatsApp) una multa histórica de 1.200 millones de euros por transferir datos de ciudadanos europeos a Estados Unidos, exponiéndolos a los programas de vigilancia del gobierno norteamericano. No fue un error técnico ni una filtración. Fue su arquitectura: el simple hecho de cómo estaban montados sus sistemas ya suponía una infracción.

Y esto te afecta a ti, aunque no seas Meta.

Qué es el Cloud Act (explicado sin jerga legal)

El Cloud Act (Clarifying Lawful Overseas Use of Data Act) es una ley estadounidense aprobada en 2018. Su nombre técnico suena inofensivo, pero lo que hace es bastante directo: obliga a cualquier empresa tecnológica con sede en Estados Unidos a entregar datos al gobierno norteamericano cuando un tribunal se lo ordene, sin importar dónde estén almacenados esos datos.

Lee eso otra vez: sin importar dónde estén almacenados.

Tus archivos pueden estar en un servidor en Frankfurt, en Dublín o en Madrid. Da igual. Si el proveedor que los gestiona es una empresa estadounidense (o una filial de una empresa estadounidense), el gobierno de EEUU puede exigir acceso a esos datos. La ubicación física del servidor es legalmente irrelevante. Lo que importa es quién controla la empresa.

Y aquí viene la parte que más debería preocuparte: estas órdenes suelen ir acompañadas de lo que se llama una "orden de mordaza" (non-disclosure order). Es decir, el proveedor tiene prohibido avisarte de que tus datos han sido entregados. Tu empresa puede estar siendo investigada, tus archivos pueden haber sido copiados, y tú no te enterarás nunca.

No existe, a día de hoy, un acuerdo ejecutivo del Cloud Act entre la Unión Europea y Estados Unidos. EEUU ha firmado acuerdos de este tipo con Reino Unido y Australia, pero con la UE las negociaciones están estancadas por las diferencias en protección de derechos fundamentales. Esto deja a las empresas europeas en un limbo legal sin mecanismo de resolución.

FISA 702: el otro brazo (y el más agresivo)

Si el Cloud Act es la herramienta de la justicia penal estadounidense, la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) es la herramienta de sus agencias de inteligencia: la NSA, el FBI y la CIA.

Y hay una diferencia fundamental: FISA 702 no necesita orden judicial individualizada.

Las agencias de inteligencia operan bajo certificaciones anuales aprobadas a puerta cerrada por un tribunal secreto (el FISC). No necesitan demostrar causa probable ni sospecha razonable. El objetivo declarado es recopilar información de "personas no estadounidenses ubicadas fuera de Estados Unidos". Es decir, tú y yo. Cualquier ciudadano europeo.

En la práctica, esto funciona de dos maneras. La recolección "Upstream" intercepta tráfico directamente en las infraestructuras troncales de telecomunicaciones y cables submarinos. La recolección "Downstream" obtiene datos almacenados en los servidores de los proveedores tecnológicos: correos, documentos, historiales de chat, fotografías y metadatos de comportamiento.

En abril de 2024, la situación empeoró. La ley RISAA reautorizó FISA 702 y amplió drásticamente la definición de quién puede ser obligado a colaborar. Antes, solo afectaba a proveedores directos de comunicaciones (correo, mensajería). Ahora incluye a "cualquier proveedor de servicios que tenga acceso a equipos que se utilicen para transmitir o almacenar comunicaciones". Esto captura a operadores de centros de datos, proveedores de infraestructura como servicio e incluso instalaciones de alojamiento de servidores. El senador Ron Wyden describió esta expansión como "una de las más dramáticas y aterradoras de la autoridad de vigilancia gubernamental en la historia".

Por qué te afecta aunque estés en España

"Pero yo soy una pyme en España, esto es cosa de grandes empresas." No exactamente.

El Artículo 48 del RGPD (el Reglamento General de Protección de Datos europeo) dice algo muy claro: ninguna sentencia de un tribunal extranjero ni decisión de una autoridad administrativa de un tercer país puede obligarte a transferir datos personales, a menos que exista un tratado internacional vigente (un MLAT) entre ese país y la UE.

Como ese acuerdo entre EEUU y la UE no existe, cualquier orden emitida bajo el Cloud Act o FISA 702 carece de validez legal en Europa. Pero eso no impide que se ejecute. La orden va dirigida a la empresa estadounidense (Google, Microsoft, Amazon), no a ti. Ellos cumplen la ley de su país. Y tú, sin saberlo, estás incumpliendo la tuya.

El Comité Europeo de Protección de Datos (CEPD) adoptó en junio de 2025 las Directrices 02/2024, que lo dejan meridianamente claro: el simple hecho de alojar datos en un proveedor sujeto a la jurisdicción del Cloud Act genera un riesgo de "infracción estructural y continua" del RGPD. No hace falta que se produzca una filtración. El riesgo existe por la mera arquitectura que has elegido.

Piénsalo así: si usas Google Workspace para el correo de tu empresa, tus facturas en Google Drive y tu CRM en un servicio estadounidense, toda esa información está técnica y legalmente accesible para las agencias de inteligencia de EEUU. Y tú, como responsable del tratamiento de datos de tus clientes, eres quien responde ante la ley europea.

Casos reales: las multas ya están cayendo

Esto no es teoría. Las autoridades europeas de protección de datos están actuando con una agresividad sin precedentes.

Meta: 1.200 millones de euros (mayo 2023). La Comisión de Protección de Datos de Irlanda, bajo la dirección del CEPD, impuso la mayor multa de la historia del RGPD. El motivo: Meta continuaba transfiriendo datos de ciudadanos europeos a EEUU, exponiéndolos al acceso del gobierno estadounidense bajo FISA 702. La sanción dejó claro que las autoridades europeas tienen la voluntad y las herramientas para penalizar las arquitecturas de transferencia afectadas por leyes de vigilancia incompatibles.

Free y Free Mobile: 42 millones de euros (enero 2026). La autoridad francesa CNIL sancionó a estos operadores de telecomunicaciones (15 millones a Free y 27 millones a Free Mobile) por brechas que expusieron datos de 24 millones de abonados. La sanción se vinculó directamente a fallos en la seguridad de acceso, incluyendo VPN comprometidas. El mensaje: tolerancia cero hacia infraestructuras con seguridad deficiente frente a accesos externos.

Clearview AI: 30,5 millones de euros (2024). La autoridad de Países Bajos sancionó a esta empresa estadounidense por recopilación ilegal y reconocimiento facial, demostrando que las corporaciones extranjeras no están a salvo del brazo regulador europeo.

Y hay más. Un proveedor de streaming fue multado con 4,75 millones de euros por la autoridad neerlandesa, simplemente por no explicar con suficiente transparencia qué medidas de seguridad aplicaba al transferir datos fuera de Europa. Las promesas vagas ya no valen.

Y Microsoft lo admitió bajo juramento

Si todo esto te suena abstracto, hay un momento que lo resume todo. En junio de 2025, ante una comisión de investigación del Senado de Francia, el Director de Asuntos Públicos y Jurídicos de Microsoft Francia fue preguntado directamente: "¿Puede garantizar que los datos confiados a Microsoft por el sector público francés nunca serán transferidos a las autoridades estadounidenses sin autorización judicial francesa?"

Su respuesta, bajo juramento: "Non. Je ne peux pas le garantir." (No. No puedo garantizarlo.)

No importa cuánto inviertan estos proveedores en centros de datos europeos, en capas de custodia o en entidades particionadas. Son corporaciones estadounidenses, y la ley federal estadounidense prevalece sobre cualquier arquitectura técnica que monten en Europa.

Qué puedes hacer (opciones reales para una pyme)

No se trata de entrar en pánico ni de dejar de usar la tecnología. Se trata de tomar decisiones informadas. Aquí van cuatro opciones concretas, de menor a mayor esfuerzo:

1. Identifica qué datos críticos tienes en proveedores estadounidenses. Haz un inventario. Correo, almacenamiento de archivos, CRM, facturación, bases de datos de clientes. No todos los datos tienen el mismo nivel de riesgo. Los datos personales de clientes y empleados son los más sensibles desde el punto de vista del RGPD.

2. Segmenta tu infraestructura. No tienes que migrar todo de golpe. La estrategia que están adoptando las grandes empresas europeas es usar proveedores estadounidenses para tareas genéricas (cómputo, herramientas de desarrollo) y migrar el almacenamiento de datos personales, propiedad intelectual y documentación sensible a proveedores europeos que no estén sujetos a la jurisdicción estadounidense.

3. Evalúa proveedores europeos de verdad. No basta con que el servidor esté en Europa. Lo que importa es que la empresa propietaria del servicio sea europea y no dependa corporativamente de una matriz estadounidense. Proveedores como OVHcloud, Hetzner, Scaleway o Infomaniak cumplen este criterio. Un "AWS European Sovereign Cloud" con servidores en Alemania sigue siendo Amazon, y sigue sujeto al Cloud Act.

4. Documenta tus decisiones. Si mañana un regulador te pregunta por qué usas un proveedor concreto, necesitas poder justificarlo. El CEPD exige que las empresas realicen evaluaciones de impacto de transferencia (TIA) antes de enviar datos fuera de la UE. Documentar tu análisis de riesgos y las medidas que has tomado no es burocracia: es tu defensa legal.

Esto no va a mejorar solo

El panorama legal no se está relajando, se está endureciendo. El Marco de Privacidad de Datos UE-EEUU (DPF), que supuestamente resolvía el problema de las transferencias, está siendo impugnado ante el Tribunal de Justicia de la Unión Europea. Si el tribunal lo invalida (como ya hizo con sus dos predecesores, Safe Harbor en 2015 y Privacy Shield en 2020), miles de empresas se quedarán de la noche a la mañana sin base legal para seguir usando servicios cloud estadounidenses con datos europeos.

No se trata de ser alarmista. Se trata de que la soberanía de tus datos es un riesgo de negocio real, no una cuestión abstracta de política europea. Cada día que pasa sin evaluar tu exposición es un día en el que estás asumiendo un riesgo que probablemente ni siquiera habías considerado.

En próximos artículos hablaremos de dónde duermen realmente tus datos, de alternativas europeas viables a Google y Microsoft, y de cómo la inteligencia artificial soberana puede ser una ventaja competitiva para las pymes que se adelanten al cambio. Si quieres estar al tanto, suscríbete a la newsletter.