¿Se aplica realmente la CLOUD Act a una nube de Microsoft alojada en Fráncfort?

Sí. La Clarifying Lawful Overseas Use of Data Act de 2018 apunta a los proveedores de servicios de comunicación electrónica bajo jurisdicción estadounidense, independientemente del lugar físico de almacenamiento. Microsoft Corporation, sociedad matriz estadounidense, es legalmente exigible mediante una orden federal de EE. UU. y debe entregar los datos de sus clientes europeos alojados en Fráncfort, Ámsterdam o Dublín. La filial europea no crea una pared estanca: el control efectivo asciende hasta la sede en Redmond.

¿No protege el RGPD frente a esta extraterritorialidad?

El RGPD prohíbe en principio la transferencia de datos personales hacia un tercer país sin garantías equivalentes (artículo 44). El fallo Schrems II (TJUE, 16 de julio de 2020) invalidó el Privacy Shield precisamente porque el derecho estadounidense permite accesos de inteligencia (FISA 702, EO 12333) incompatibles con el RGPD. Pero en la práctica, las empresas siguen utilizando AWS y Microsoft 365 amparándose en Cláusulas Contractuales Tipo (CCT) y compromisos adicionales — una zona gris no zanjada por el TJUE desde 2020.

¿El Data Privacy Framework (2023) resuelve el problema?

Parcialmente y de forma provisional. El DPF reemplazó al Privacy Shield en julio de 2023 con salvaguardas reforzadas (Civil Liberties Protection Officer, Data Protection Review Court). Max Schrems y NOYB interpusieron recurso ante el TJUE en septiembre de 2023, considerando el DPF inadecuado. Se espera Schrems III para 2026-2027; en caso de invalidación, las transferencias UE-EE. UU. se desploman jurídicamente de nuevo. En 2026, el DPF aguanta, pero las empresas informadas ya no apuestan por él como plan a largo plazo.

Concretamente, ¿mi empresa arriesga una multa RGPD si me quedo en AWS?

El riesgo depende del tipo de datos tratados y de la autoridad de control competente. La CNIL francesa y la DPC irlandesa han impuesto multas RGPD a empresas europeas por usar Google Analytics (CNIL 2022, varios cientos de miles de euros) o Meta (DPC 2023, 1 200 millones de euros). Para la nube empresarial, la jurisprudencia es más escasa pero existe: utilizar una nube estadounidense para datos sanitarios, de RR. HH. o de clientes sensibles expone a multas de hasta el 4 % del volumen de negocio global. Para datos operativos no sensibles, el riesgo es bajo pero no nulo.

¿Cuáles son las alternativas creíbles a AWS / Azure / Google Cloud en 2026?

Tres familias de alternativas: (1) Nube de infraestructura europea — OVHcloud (Francia), Scaleway (Francia), Hetzner (Alemania), IONOS (Alemania). Estos actores están sometidos al RGPD sin CLOUD Act, pero alojados en zona 9 o 14 Eyes. (2) Nube suiza — Infomaniak, Exoscale, Proton Business — fuera de la UE y fuera de los 14 Eyes, jurisdicción LRens protectora. (3) Nube privacy especializada para colaboración y almacenamiento — Tresorit Business, Proton Drive Business, pCloud Business — zero-knowledge por construcción. La elección depende del caso de uso: cómputo pesado = OVH o Hetzner; colaboración de documentos sensibles = Tresorit o Proton.

¿Y el proyecto Gaia-X / EUCS? ¿Cambia algo?

Gaia-X es una iniciativa de federación de nubes europeas lanzada en 2020 con ambición soberana. En 2026, su adopción industrial sigue siendo limitada y la etiqueta EUCS (European Cybersecurity Certification Scheme) aún no ha zanjado la cuestión de la inmunidad a leyes extraeuropeas — Francia y Alemania chocan desde 2023 sobre este punto, mientras la industria cloud estadounidense presiona para que los hiperescaladores americanos sigan siendo elegibles al nivel más alto. Mientras esta cuestión permanezca abierta, Gaia-X no aporta ninguna garantía jurisdiccional nueva. Mientras tanto, mejor elegir directamente un actor cuya jurisdicción sea clara (suiza, alemana, francesa según tu caso).

CLOUD Act vs RGPD: ¿puede tu empresa mantener realmente su nube en Europa en 2026?

Lo esencial

Siete años después de su entrada en vigor casi simultánea en 2018, la CLOUD Act estadounidense y el RGPD europeo siguen conviviendo sin ningún procedimiento formal de reconciliación. Para cualquier empresa europea que aloje sus datos en Microsoft, Google, AWS, Oracle, Salesforce o Apple, ambos textos se aplican al mismo tiempo — uno autoriza el acceso estadounidense, el otro lo prohíbe en la práctica. Esta contradicción se conoce desde 2018, está documentada por la CNIL y el EDPB, y sigue sin resolverse en 2026.

Para un directivo o un Data Protection Officer en 2026, la pregunta ya no es "¿están la CLOUD Act y el RGPD en tensión?" (sí, abiertamente), sino: "¿cuál es mi riesgo concreto si sigo utilizando una nube estadounidense para datos personales o sensibles?" La respuesta depende de cuatro variables: la categoría de datos tratada, la autoridad de control competente, la solidez de tus Cláusulas Contractuales Tipo y tu capacidad de demostrar garantías adicionales efectivas.

Este artículo cartografía el conflicto legal en 2026, el historial de los fallos Schrems, el estado real del Data Privacy Framework, y las alternativas cloud creíbles que puedes activar — sin caer en el marketing de "nube soberana" que difumina deliberadamente la cuestión jurisdiccional.

De dónde viene el conflicto CLOUD Act × RGPD

La CLOUD Act entró en vigor el 23 de marzo de 2018, firmada por el presidente Trump. Su objetivo declarado: zanjar el litigio United States v. Microsoft (el famoso caso Dublin Email Warrant), que enfrentaba desde 2013 al Department of Justice con Microsoft, esta última negándose a entregar correos almacenados en Dublín sobre la base de una orden federal estadounidense. El Tribunal Supremo se disponía a juzgar el caso cuando el Congreso legisló de urgencia para aclarar: sí, una orden estadounidense puede alcanzar datos almacenados en el extranjero por un proveedor de servicios estadounidense.

El RGPD entró en aplicación el 25 de mayo de 2018, dos meses después. Su artículo 48 dispone que ninguna decisión judicial o administrativa de un tercer país puede justificar una transferencia de datos personales, salvo que se base en un acuerdo internacional vigente (tipo MLAT). La CLOUD Act no se apoya en ningún acuerdo de este tipo: se autoproclama extraterritorial.

El choque es por tanto cripto: dos leyes fundamentales, dos extraterritorialidades opuestas, cero mecanismo de resolución. Los juristas hablaron desde 2018 de un "conflict of laws" sin resolver — una situación en la que la entidad destinataria de la demanda debe elegir cuál de las dos leyes violar, asumiendo el riesgo penal o administrativo correspondiente.

Lo que la CLOUD Act autoriza técnicamente

La CLOUD Act otorga dos poderes a la autoridad judicial estadounidense:

Subpoena extendida — exigir la comunicación de datos retenidos, controlados o mantenidos por un proveedor de servicios de comunicación electrónica, dondequiera que estén almacenados en el mundo, siempre que el proveedor esté bajo jurisdicción estadounidense (sede, filial significativa, presencia operativa).
Acuerdos ejecutivos bilaterales — permitir a un país extranjero cualificado solicitar directamente a un operador estadounidense los datos de uno de sus nacionales, sin pasar por MLAT, tras un acuerdo intergubernamental. El Reino Unido firmó tal acuerdo en 2019, Australia en 2021. La Unión Europea no ha firmado.

El segundo poder es interesante: en teoría, permitiría a un Estado europeo recuperar sus propios datos mediante acuerdo ejecutivo UE-EE. UU. — pero ese acuerdo nunca se ha cerrado, precisamente porque consagraría la inversión del sentido normal de la soberanía.

Schrems II y el desplome del Privacy Shield

El 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea dicta la sentencia C-311/18 (Schrems II) — sin duda la decisión más estructurante del derecho digital europeo de los últimos diez años. Tres enseñanzas clave:

El Privacy Shield (mecanismo negociado en 2016 para permitir las transferencias UE-EE. UU. tras la invalidación de Safe Harbor en 2015) queda invalidado porque no protege lo suficiente contra los programas de vigilancia estadounidenses (en particular FISA 702 y Executive Order 12333).
Las Cláusulas Contractuales Tipo (CCT) siguen siendo válidas en principio, pero no bastan por sí solas para las transferencias hacia EE. UU.: el exportador debe evaluar caso por caso si el derecho del país destinatario ofrece una protección esencialmente equivalente, y completar con medidas adicionales (cifrado, seudonimización, garantías contractuales reforzadas).
Las autoridades de control nacionales (CNIL, DPC, ICO post-Brexit) están obligadas a intervenir si constatan que una transferencia no respeta el RGPD — no pueden refugiarse en la decisión de adecuación de la Comisión.

Esta sentencia obligó a toda la industria a revisar sus acuerdos contractuales con las nubes estadounidenses. En la práctica, la mayoría de las empresas continuó utilizando AWS, Microsoft 365 y Google Workspace apoyándose en las nuevas CCT de junio de 2021 y en compromisos unilaterales de los hiperescaladores ("transparency reports", cifrado del lado servidor, derecho de supervisión sobre las solicitudes). Pero la CNIL considera explícitamente, en su deliberación del 10 de febrero de 2022 sobre Google Analytics, que estas garantías son insuficientes para los datos personales europeos.

Las multas RGPD post-Schrems II

Algunos ejemplos concretos para medir el riesgo real:

2022, CNIL vs gestor de sitio francés que usaba Google Analytics: transferencia de datos hacia Google LLC (EE. UU.) sin garantías suficientes, requerimiento público, obligación de cesar el uso.
2022, autoridad austríaca (DSB): decisión similar, Google Analytics juzgado incompatible con el RGPD para las transferencias hacia EE. UU.
2023, DPC irlandesa vs Meta: multa récord de 1 200 millones de euros por transferencia masiva de datos de usuarios a Meta EE. UU. sin base legal suficiente.
2024, CNIL vs varias pymes francesas: multas de 50 000 a 200 000 € por uso de Zoom y Microsoft Teams no configurados en modo solo-UE sobre datos sensibles.

La regla es clara en 2026: cuanto más sensible es el dato (salud, RR. HH., identificadores, comunicaciones privadas), más concreto es el riesgo RGPD de utilizar una nube estadounidense. Para datos operativos no personales (registros técnicos, métricas agregadas), el riesgo sigue siendo teórico.

El Data Privacy Framework de julio de 2023: promesa frágil

El Data Privacy Framework (DPF) reemplazó al Privacy Shield en julio de 2023, tras tres años de negociación entre Bruselas y Washington. Introduce dos nuevas salvaguardas:

Un Civil Liberties Protection Officer dentro de la Office of the Director of National Intelligence, encargado de examinar la proporcionalidad de los programas de inteligencia que apuntan a ciudadanos de la UE.
Una Data Protection Review Court independiente en teoría, que cualquier ciudadano de la UE puede activar si considera que es objetivo de un programa de vigilancia estadounidense, con poder de remediación.

Sobre el papel, es un progreso. En la práctica, Max Schrems y su ONG noyb interpusieron recurso ante el TJUE en septiembre de 2023, considerando que la "Data Protection Review Court" no es un verdadero tribunal independiente en el sentido europeo (jueces nombrados por el ejecutivo, audiencias no públicas, decisiones no motivadas públicamente, sin derecho de recurso). Se espera el fallo Schrems III para finales de 2026 o 2027.

Si el TJUE anula el DPF — pronóstico mayoritario entre los juristas especializados — las transferencias UE-EE. UU. se desploman jurídicamente de nuevo, y todas las empresas que hoy se apoyan en el DPF se encuentran en situación de violación retroactiva del RGPD. El riesgo de continuidad legal sobre las nubes estadounidenses no es por tanto solo regulatorio; es también temporal.

Cartografía de alternativas creíbles en 2026

Para una empresa europea que quiera salir del conflicto CLOUD Act × RGPD existen tres familias de alternativas. Ninguna es perfecta, pero cada una resuelve al menos la extraterritorialidad estadounidense.

Familia 1: Nube de infraestructura europea

Para cómputo, almacenamiento, serverless, bases de datos gestionadas, los actores europeos creíbles en 2026 son:

Proveedor	País	Estatus SIGINT	Ventaja	Límite
OVHcloud	Francia	9 Eyes	Catálogo completo, muchas certificaciones	Ley de Inteligencia francesa aplicable
Scaleway	Francia	9 Eyes	Excelente relación precio/rendimiento, ecosistema dev	Catálogo más pequeño, mismo marco legal
Hetzner	Alemania	14 Eyes	Tarifas imbatibles, infra sólida	BND-Gesetz alemana aplicable
IONOS	Alemania	14 Eyes	Compatibilidad MS, bueno para pymes	Catálogo limitado fuera de UE clásica
Infomaniak	Suiza	Fuera de 14 Eyes	Jurisdicción LRens protectora	Catálogo limitado, precios altos
Exoscale	Suiza	Fuera de 14 Eyes	Más tech-friendly que Infomaniak	Menos servicios gestionados

En este segmento, Suiza sigue siendo la opción más protectora jurisdiccionalmente, pero el catálogo es estrecho. Para cómputo pesado al mejor precio, Hetzner u OVH siguen siendo competitivos, con un riesgo jurisdiccional controlado (marco 14 Eyes pero RGPD estricto).

Familia 2: Colaboración y productividad

Para reemplazar Microsoft 365 y Google Workspace:

Proton Business (Suiza) — Mail, Drive, Calendar, VPN. Zero-knowledge por construcción. Compatible IMAP/SMTP vía Bridge. El más maduro en 2026.
Tresorit Business (Suiza) — Drive + colaboración + firma electrónica. Auditoría Ernst & Young. Tarifas empresariales más elevadas.
Infomaniak kSuite Pro (Suiza) — Mail, Drive, Meet, Calendar. Buena relación calidad/precio pero menos auditado que Proton.
Nextcloud Hub (Alemania, autoalojado o vía SaaS de partner) — Código abierto, control total posible si se autoaloja, mayor fricción de uso.

Familia 3: Nube privacy especializada para almacenamiento en frío

Para archivado cifrado o almacenamiento sensible a largo plazo, fuera del flujo colaborativo diario:

pCloud Business (Suiza) — Lifetime asequible, complemento Crypto activable para zero-knowledge. Ver nuestra opinión pCloud 2026.
Filen Business (Alemania) — Código abierto, AES-256, precios agresivos. Más joven que Proton/Tresorit.
Icedrive Business (RU) — Práctico pero jurisdicción 5 Eyes — evitar para datos sensibles.

La trampa del marketing "nube soberana"

Desde 2022, varios actores europeos y norteamericanos comercializan ofertas etiquetadas como "soberanas" o "EU-only". Tres casos típicos que conviene leer con atención:

Microsoft Cloud for Sovereignty — anunciado en 2022, desplegado mediante partners en Francia, Alemania, España. No elimina la CLOUD Act: Microsoft Corporation sigue obligada por la ley estadounidense, y un partner operador no tiene capacidad para rechazar una transferencia solicitada por la matriz. El marketing habla de "aislamiento"; la realidad jurídica sigue siendo la de una filial de una sociedad estadounidense.
Bleu (Capgemini × Orange × Microsoft) y S3NS (Thales × Google Cloud) — empresas conjuntas franco-americanas que despliegan tecnologías Microsoft Azure y Google Cloud sobre infraestructura operada por personal francés. Se benefician del sello SecNumCloud otorgado por ANSSI, que incluye un requisito de inmunidad a leyes extraeuropeas. Sobre el papel, la cuestión se resuelve. En la práctica, el código fuente y las actualizaciones siguen viniendo de Redmond y Mountain View — la autonomía operativa completa no está demostrada públicamente.
AWS European Sovereign Cloud — anunciado a finales de 2023, primera región operativa en Alemania a finales de 2025. Personal exclusivamente europeo, soporte técnico europeo, pero AWS Inc. sigue siendo la sociedad propietaria desde el punto de vista jurídico. El DOJ puede teóricamente exigir mediante subpoena a AWS Inc. los datos del European Sovereign Cloud.

La única forma de escapar realmente de la CLOUD Act es utilizar un operador cuya sociedad matriz no sea estadounidense y no tenga entidad estadounidense significativa. Esta condición la cumplen OVH, Scaleway, Hetzner, Infomaniak, Proton, Tresorit, Mailfence — no las ofertas "soberanas" de los hiperescaladores estadounidenses.

Nuestra matriz de decisión para 2026

Para una pyme o mediana empresa europea en 2026, este es el marco simple a aplicar.

Datos operativos no personales (registros técnicos, métricas, código fuente no sensible): AWS, Azure, GCP siguen siendo defendibles, el riesgo RGPD es bajo. Bonus económico si ya estás comprometido.

Datos personales de clientes y empleados (CRM, RR. HH., comunicaciones, soporte al cliente): salir de los hiperescaladores estadounidenses, elegir nube de infraestructura europea (OVH, Scaleway, Hetzner) + suite colaborativa no estadounidense (Proton, Infomaniak, Tresorit). El coste de migración es real pero el riesgo RGPD también lo es.

Datos sensibles, datos sanitarios, I+D estratégica: jurisdicción suiza obligatoria + cifrado cliente zero-knowledge + clientes nativos (no web app dinámica). Ver E2E vs zero-knowledge cloud storage para la cuadrícula técnica.

Datos periodísticos, denunciantes, activistas: Suiza + Tor + identidad protegida + copias de seguridad redundantes en dos jurisdicciones fuera de los 14 Eyes diferentes. Ver 5/9/14 Eyes y tu cloud privacy para el mapa mundial 2026.

Para profundizar

5/9/14 Eyes y tu cloud privacy — el mapa mundial 2026
E2E vs zero-knowledge cloud storage — la cuadrícula criptográfica
Proton Drive vs Tresorit vs pCloud — comparador suizo 2026
Opinión pCloud 2026 — prueba 8 meses lifetime + Crypto
Metodología Priviy — cómo puntuamos jurisdicción × crypto × auditoría
Wikidata Priviy Q140050544
Fuentes primarias: TJUE sentencia C-311/18 (Schrems II); CLOUD Act 18 U.S.C. § 2713; Reglamento UE 2016/679 (RGPD) art. 44-50; deliberación CNIL 10 de febrero de 2022 Google Analytics

Artículo publicado el 5 de junio de 2026. Metodología: lectura de textos primarios (CLOUD Act, RGPD art. 44-50, sentencias C-362/14 Schrems I y C-311/18 Schrems II), revisión de deliberaciones CNIL y DPC 2020-2025, consulta de las recomendaciones EDPB 01/2020 sobre medidas adicionales post-Schrems II, y cruce con los transparency reports 2024 de hiperescaladores y actores europeos. Sin reclamación de fuentes confidenciales propias.

Choix éditorial

4.5 / 5

Probar pCloud

10 jours satisfait ou remboursé

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre

CLOUD Act vs RGPD: ¿puede tu empresa mantener realmente su nube en Europa en 2026?

Lo esencial

De dónde viene el conflicto CLOUD Act × RGPD

Lo que la CLOUD Act autoriza técnicamente

Schrems II y el desplome del Privacy Shield

Las multas RGPD post-Schrems II

El Data Privacy Framework de julio de 2023: promesa frágil

Cartografía de alternativas creíbles en 2026

Familia 1: Nube de infraestructura europea

Familia 2: Colaboración y productividad

Familia 3: Nube privacy especializada para almacenamiento en frío

La trampa del marketing "nube soberana"

Nuestra matriz de decisión para 2026

Para profundizar

Para profundizar

Mejor nube cifrada 2026: comparativa de 6 soluciones zero-knowledge probadas por nuestro equipo

Proton Drive vs Tresorit vs pCloud Crypto: el duelo suizo del cloud privacy (2026)

E2E vs zero-knowledge cloud storage: lo que oculta el marketing (2026)