La frase que hizo el trabajo fue de Henna Virkkunen. En la rueda de prensa en Bruselas del martes 3 de junio de 2026, la Vicepresidenta Ejecutiva de Soberanía Tecnológica, Seguridad y Democracia dijo a los periodistas para qué era el Paquete de Soberanía Tecnológica: «Queremos asegurarnos de que nadie tenga un kill switch.» Ursula von der Leyen envolvió la política a su alrededor: «No podemos permitirnos depender de otros para las tecnologías que mantienen nuestros hospitales funcionando, nuestras redes energéticas estables y nuestros servicios seguros.»

Los instrumentos tras la frase fueron cuatro. Una propuesta legislativa para la Cloud and AI Development Act (CADA) con un marco de evaluación de soberanía y restricciones a los proveedores no-UE para datos sensibles del gobierno. Una propuesta legislativa para Chips Act 2.0 elevando la cuota objetivo de la UE en la producción mundial de chips. Una Estrategia Open Source formalizando el open source como elemento estructural de la política digital de la UE. Y una Hoja de Ruta Estratégica para la Digitalización y la IA en Energía. El Comisario Dan Jørgensen, responsable de energía, acompañó a Virkkunen en el estrado.

La Comisión ha hecho ahora lo que la Comisión puede hacer. Las decisiones consecuentes están aguas abajo de este anuncio, no aguas arriba.

Lo que CADA propone realmente

El componente de nube es el más sustantivo. CADA propone una evaluación de soberanía de cuatro niveles en orden creciente de separación estructural del control no-UE. El nivel más alto, por su propia lógica jurídica, no es alcanzable por proveedores con sede en EE. UU. porque la CLOUD Act crea un conflicto estructural.

CADA propone que los datos financieros, judiciales y de salud de los gobiernos y organizaciones del sector público sean obligados a operar en infraestructura del nivel más alto de soberanía. Esto no es una recomendación. Es una obligación vinculante escrita en la propuesta, con autoridades nacionales designadas para hacerla cumplir.

La base legal es el Artículo 114 TFUE — armonización del mercado interior. Esto importa: el Artículo 114 produce reglamento directamente aplicable con efecto sobre el mercado interior, no directiva que los Estados miembros transponen. Si CADA se aprueba, los Estados miembros no son libres de debilitar su aplicación individualmente.

Lo que el paquete acierta

El paquete escribe una prueba de soberanía no superable por EE. UU. en regulación vinculante. Los instrumentos europeos previos de soberanía o bien carecían de dientes (etiquetado Gaia-X), eran aspiracionales (esquema de ciberseguridad de ENISA), o eran específicos de un sector. CADA propone una medida regulatoria horizontal que explícitamente no puede ser satisfecha por proveedores estadounidenses sin reestructuración arquitectónica. Eso es estructuralmente diferente.

Combina la restricción de soberanía con el desarrollo de capacidad. Virkkunen, preguntada por los periodistas si el paquete trataba de excluir a los proveedores estadounidenses, fue específica: «Europa quiere estar en la posición de tomar sus propias decisiones, evitando dependencias arriesgadas de proveedores dominantes únicos, una empresa o un tercer país.» Chips Act 2.0 y la Estrategia Open Source proporcionan la respuesta del lado de la oferta a la restricción. Una restricción pura sin capacidad alternativa es inviable; la Comisión lo ha evitado.

Trata el open source como infraestructura en lugar de como teatro político. La Estrategia Open Source, construyendo sobre la consulta pública de enero–febrero de 2026, encuadra el OSS como elemento estructural a largo plazo en lugar de como preocupación de aficionados. Ese lenguaje no estaba en comunicaciones previas de la Comisión. Abre espacio para instrumentos de contratación pública y financiación alineados con la infraestructura OSS.

Lo que el paquete no aborda

CADA aborda la infraestructura de nube y ciertas categorías de datos gubernamentales. No aborda, en la propuesta actual, las capas por debajo de la nube.

Infraestructura de alojamiento de código: las soluciones de soberanía de la UE están alojadas predominantemente en GitHub, propiedad de Microsoft. Esta es la brecha de soberanía más profunda y la menos abordada. Cadenas de confianza criptográfica: las autoridades de certificación y las operaciones de los servidores raíz del DNS siguen dominadas por EE. UU. Los niveles de soberanía de CADA no enumeran explícitamente criterios para la cadena de confianza. Pipelines CI/CD: GitHub Actions, npm, PyPI, Docker Hub — la infraestructura de compilación, empaquetado y distribución de la que todo depende sigue estando predominantemente alojada en EE. UU.

Esto no es una crítica al alcance redactado de CADA. Es una observación de que CADA no entrega, por sí solo, soberanía en las capas por debajo de la infraestructura de nube. Un lector que celebre CADA como completando el proyecto europeo de soberanía estará leyendo algo que la propuesta no afirma — y que la propia Virkkunen no afirmó en Bruselas.

El trílogo, y quién se está posicionando para él

El análisis cui-bono es directo. Los proveedores europeos de nube soberana se benefician en general — OVHcloud, IONOS, Schwarz Digits/StackIT, Outscale, la división soberana de Atos. Estas empresas han pasado años haciendo lobby por exactamente este marco regulatorio. Mistral, Aleph Alpha y el clúster europeo de infraestructura de IA se benefician de la lógica de adopción obligatoria al estilo KIPITZ escalada a nivel UE. La Comisión, institucionalmente, expande competencia: la regulación bajo el Artículo 114 produce efecto directo en lugar de transposición nacional. La política industrial francesa y alemana se benefician porque ambas tienen clústeres de proveedores fuertes alineados con los criterios de CADA. Los clústeres italiano, español y de Europa del Este tienen menos base industrial para capturar la oportunidad de contratación pública.

Circulan tres objeciones serias, ninguna de las cuales la Comisión puede resolver sola.

La primera es que el Artículo 114 es la base legal equivocada. La armonización del mercado interior es discutible como base para restricciones que son primariamente geopolíticas en lugar de funcionales del mercado. El Tribunal de Justicia de la UE ha sido históricamente protector de la lógica de integración del mercado del Artículo 114. Una impugnación ante el TJUE podría estrechar el alcance vinculante del reglamento tras su adopción.

La segunda es que el trílogo diluirá el nivel más alto de soberanía. La representación en el Consejo incluye Estados miembros con posiciones de inversión más profundas en la industria tecnológica estadounidense — Irlanda, Luxemburgo, los Países Bajos. El trílogo típicamente suaviza las propuestas de la Comisión en los márgenes. El nivel más alto no-superable por EE. UU. es exactamente el tipo de disposición que se suaviza.

La tercera es que la industria sorteará las restricciones a través de filiales europeas. Un hiperescalador estadounidense puede incorporar una filial europea, estructurar la gobernanza y la custodia de claves domésticamente, y solicitar el nivel más alto de soberanía. Si tal estructura supera la prueba sustantiva depende de cuán estrictamente la autoridad de evaluación interprete «control». La propuesta existente de Microsoft Sovereign Cloud es esencialmente una apuesta a que este sorteo es posible.

Lo que este artículo no es

No es una afirmación de que CADA pasará tal como está redactada. El trílogo modificará la propuesta; la pregunta es por cuánto.

No es una afirmación de que la Estrategia Open Source esté vacía. Encuadra el OSS estructuralmente. Si produce financiación es una pregunta separada, decidida en el próximo ciclo del Marco Financiero Plurianual en lugar de en junio de 2026.

No es una afirmación de que la soberanía europea quede resuelta por el paquete. El paquete aborda una capa de dependencia, deja otras intactas y depende de un proceso legislativo que se prolonga hasta 2027 o 2028.

Qué observar primero

La primera señal es la primera lectura del Consejo. Los Estados miembros con posiciones tecnológicas industriales alineadas con EE. UU. indicarán, a través de su enfoque general, cuánto tienen intención de pelear por el nivel más alto de soberanía.

La segunda es el nombramiento del ponente en el Parlamento Europeo — qué comisión, qué grupo político. ITRE, IMCO, LIBE producirán cada una versiones diferentes de CADA, y la elección de la competencia de comisión configurará el énfasis de la propuesta en política industrial, mercado interior o derechos fundamentales respectivamente.

La tercera es si la financiación para la implementación de los componentes de la Estrategia Open Source se materializa en el próximo ciclo presupuestario de la UE. Sin presupuesto, el OSS-como-infraestructura sigue siendo retórica, independientemente de lo persuasivo que fuera el encuadre de Virkkunen en la rueda de prensa.

La Comisión ha establecido los términos políticos y legales. Los próximos dos años de negociación interinstitucional determinarán si los términos se sostienen.

Fuentes

Visión general del tema: Soberanía Digital en Europa Artículos relacionados: Microsoft entrega los nombres NL, La soberanía como ley de contratación