‘Cloud and AI Development Act’: Bruselas quiere construir la nube soberana de la IA europea

El 3 de junio de 2026, la Comisión Europea presentó el Cloud and AI Development Act, una propuesta que puede alterar la base material de la economía digital europea. Hasta ahora, Bruselas había ordenado el uso de la inteligencia artificial, los datos, la ciberseguridad y los mercados digitales. Con el CADA, el centro de gravedad se desplaza: ya no se trata solo de regular cómo se usa la tecnología, sino de decidir dónde se aloja, quién la controla, bajo qué jurisdicción opera y con qué grado de dependencia estratégica puede contratarla el sector público.

G

Agrega

como fuente preferida en Google

De la regulación de la IA a la infraestructura de poder

La propuesta nace dentro del Paquete Europeo de Soberanía Tecnológica y se acompaña de la futura Chips Act 2.0, de la Estrategia Europea de Código Abierto y de una hoja de ruta para la digitalización e IA en energía. La lectura política es evidente: la Unión Europea quiere pasar de ser un regulador sofisticado a ser también un constructor de capacidad. El AI Act fija reglas de confianza; el Data Act ordena acceso y portabilidad; el Cyber Resilience Act refuerza seguridad. El CADA apunta al subsuelo de todo ello: centros de datos, nube, capacidad de cómputo, software crítico y cadenas de suministro.

La Comisión identifica un problema estructural. La demanda de computación crece por el despliegue de IA generativa, industrial, científica y pública, mientras Europa afronta permisos lentos, acceso limitado a energía, suelo, agua y financiación, y una dependencia elevada de proveedores no europeos. Por eso el objetivo político es tan ambicioso: facilitar el despliegue de infraestructuras sostenibles y, al mismo tiempo, reforzar la autonomía digital sin cerrar el mercado europeo a socios fiables.

(Imagen: Pablo Sáez)

Suscríbete a nuestra
NEWSLETTER

⚠ Por favor, introduce un correo válido.

Los tres pilares del CADA

El primer pilar es investigación, desarrollo e innovación. La propuesta pretende apoyar tecnologías cloud e IA de nueva generación, impulsar grandes desafíos tecnológicos y conectar estrategias nacionales con centros de experiencia y aceleración. No se trata solo de financiar proyectos, sino de orientar la adopción hacia sectores industriales y públicos estratégicos. La nube deja de concebirse como un servicio horizontal y pasa a entenderse como infraestructura habilitante de soberanía.

El segundo pilar es capacidad. Bruselas quiere, al menos, triplicar la capacidad de centros de datos de la Unión en un horizonte de cinco a siete años. Para lograrlo, plantea simplificar permisos, acelerar despliegues, mejorar el acceso a recursos críticos y priorizar instalaciones que refuercen funciones esenciales del sector público. Este punto será decisivo para España, donde la disponibilidad energética, la ubicación geográfica y los proyectos de centros de datos pueden convertir determinadas regiones en nodos relevantes de la nueva infraestructura europea.

El tercer pilar es autonomía. Aquí está la innovación jurídica más sensible. El CADA introduce un marco único europeo de soberanía cloud e IA, con cuatro niveles de garantía que las administraciones públicas deberán usar según evaluaciones de riesgo. El mensaje es claro: no todas las cargas de trabajo públicas exigen el mismo blindaje, pero las cargas críticas no podrán contratarse como si fueran servicios ordinarios.

(Imagen: Pablo Sáez)

Cuatro niveles de soberanía tecnológica

El Nivel 1 exige que los datos se procesen y almacenen en infraestructuras ubicadas en la Unión. Es la capa mínima de residencia europea. El Nivel 2 añade independencia frente a terceros países y transparencia sobre la cadena de suministro de software. El Nivel 3 exige propiedad y control desde la Unión, junto con criterios adicionales como la ciudadanía del personal clave, aunque la Comisión podrá reconocer proveedores de terceros países. El Nivel 4 representa el umbral máximo: transparencia y control completos sobre la cadena de suministro y ausencia de interferencia de terceros países.

Esta gradación puede reconfigurar la contratación pública. Las administraciones ya no solo preguntarán por precio, disponibilidad, certificaciones o nivel de servicio. Tendrán que evaluar jurisdicción, control corporativo, cadena de software, dependencia, interoperabilidad y exposición a interferencias externas. La soberanía se convierte así en criterio de adjudicación, de diseño contractual y de gestión del riesgo.

El efecto será mucho más amplio que el sector público. Los operadores que presten servicios a administraciones, infraestructuras críticas, sanidad, energía, defensa, justicia, educación o servicios esenciales tendrán que revisar su arquitectura cloud. La pregunta dejará de ser qué proveedor ofrece más capacidad y pasará a ser qué proveedor permite justificar, ante auditoría, autoridad contratante o supervisor, el nivel de soberanía exigible para cada caso de uso.

Código abierto como pieza estratégica

La Estrategia Europea de Código Abierto completa el giro. El open source deja de ser una preferencia técnica o ideológica para convertirse en instrumento de política industrial. La Comisión lo vincula con reducción de dependencias, interoperabilidad, reutilización, transparencia y resiliencia. Su enfoque cubre todo el ciclo de vida: investigación, desarrollo, despliegue, mantenimiento, gobernanza, seguridad, contratación pública y estándares.

Este punto merece atención jurídica. La contratación pública europea podría empezar a favorecer soluciones abiertas cuando aporten soberanía, auditabilidad y menor dependencia de tecnologías propietarias no europeas. Pero ello exigirá madurez: evaluar licencias, responsabilidades, mantenimiento, vulnerabilidades, soporte, comunidades, forks y continuidad. Open source no significa ausencia de riesgo. Significa una forma distinta de distribuir control, coste y responsabilidad.

(Imagen: Pablo Sáez)

La nueva diligencia tecnológica

Para despachos, administraciones y empresas reguladas, el CADA anticipa una nueva due diligence tecnológica. Habrá que revisar contratos cloud, cláusulas de localización, subencargados, acceso gubernamental extranjero, trazabilidad de software, continuidad operativa, reversibilidad, portabilidad, cifrado, gobierno de claves, auditorías, niveles de servicio y dependencia de componentes críticos. También habrá que coordinarlo con el AI Act, el RGPD, NIS2, DORA, el Data Act y las normas de contratación pública.

La oportunidad es evidente. Proveedores europeos, proyectos de código abierto, operadores de centros de datos, energéticas, integradores y consultoras especializadas pueden ganar espacio si ofrecen soberanía verificable. Pero el riesgo también lo es: fragmentación entre Estados miembros, sobrecostes, menor competencia, inseguridad en los niveles 3 y 4 y tensión con proveedores globales que seguirán siendo esenciales en buena parte del mercado.

Conviene, no obstante, mantener precisión jurídica. El CADA es todavía una propuesta legislativa y deberá recorrer el procedimiento ordinario ante Parlamento Europeo y Consejo. Sus conceptos podrán modificarse, especialmente en los niveles de garantía, la participación de proveedores de terceros países y el alcance real de las obligaciones públicas. Precisamente por eso, las empresas no deberían esperar a la aprobación final para mapear exposición. La fase legislativa es también una fase de influencia: patronales, operadores cloud, administraciones, proveedores europeos, universidades y sectores críticos tienen margen para explicar qué requisitos son técnicamente razonables, cuáles elevan la seguridad y cuáles podrían crear barreras innecesarias.

La clave estará en convertir la soberanía en capacidad verificable, no en un cierre defensivo que reduzca competencia, innovación y calidad de servicio para los usuarios europeos. Ese equilibrio será la medida real de su éxito político, jurídico, industrial y europeo común.

(Imagen: Pablo Sáez)

España ante la ventana de oportunidad

España puede leer el CADA como una palanca. Su posición energética, el crecimiento de inversiones en data centers y la existencia de autoridades como la AESIA permiten construir una narrativa propia de nube, IA y cumplimiento. Pero la ventana no se aprovechará con declaraciones. Harán falta planificación eléctrica, permisos ágiles, criterios de sostenibilidad, capacitación pública, compras inteligentes y alianzas industriales.

El CADA no será un reglamento neutro. Si prospera, cambiará cómo se compra tecnología, cómo se estructura el cloud público, cómo se justifican dependencias y cómo se acredita soberanía. La Unión Europea parece haber entendido que la IA no vive en abstracto: vive en chips, servidores, redes, modelos, software, contratos y jurisdicciones.

El debate legislativo apenas comienza. Pero el mensaje ya está escrito: Europa no quiere limitarse a imponer reglas a infraestructuras ajenas. Quiere construir, contratar y gobernar parte de su propia infraestructura crítica. La soberanía tecnológica deja de ser una consigna defensiva para convertirse en una arquitectura jurídica, industrial y contractual. Y ahí empieza, precisamente, la verdadera disputa por la próxima década digital europea.

Fuentes principales verificadas

• Página oficial del Cloud and AI Development Act: https://digital-strategy.ec.europa.eu/en/policies/cloud-and-ai-development-act
• Propuesta oficial del Cloud and AI Development Act (CADA): https://digital-strategy.ec.europa.eu/en/library/proposal-cloud-and-ai-development-act-cada
• Comunicación sobre Soberanía Tecnológica Europea y Estrategia de Código Abierto: https://digital-strategy.ec.europa.eu/en/library/communication-european-tech-sovereignty-accompanied-eu-open-source-strategy
• Política de soberanía tecnológica de la Unión Europea: https://digital-strategy.ec.europa.eu/en/policies/eu-tech-sovereignty
• Estrategia Europea de Código Abierto: https://digital-strategy.ec.europa.eu/en/policies/open-source-strategy