Las relaciones entre Estados Unidos y la Unión Europea atraviesan su peor momento desde 1945. La Estrategia de Seguridad Nacional estadounidense publicada en diciembre de 2025 describe a Europa como una amenaza que “socava la libertad política y la soberanía”. El presidente Trump califica al continente de “débil” y “en decadencia”. Su vicepresidente considera la censura europea como “el mayor peligro” para el continente.
Esto no es diplomacia tensa. Es hostilidad abierta.
Durante décadas, los europeos hemos asumido que la Internet occidental era un espacio compartido, un territorio digital común entre aliados.
Esa asunción ya no es segura.
Una dependencia que dábamos por sentada
Europa depende de países no europeos para más del 80% de sus productos y servicios digitales. Cuando una pyme o un autónomo españoles guardan sus facturas en Google Drive, cuando una pequeña empresa alemana usa Microsoft 365 para su correo corporativo, cuando una familia francesa sube las fotos de sus hijos a iCloud, todos esos datos residen en servidores controlados por empresas estadounidenses. Empresas que, por mucho que tengan centros de datos en Dublín o Ámsterdam, están sometidas a la ley estadounidense.
Amazon, Microsoft y Google controlan conjuntamente el 70% del mercado de la nube europeo. Los proveedores europeos apenas alcanzan el 15%, una cifra que ha caído desde el 29% que tenían en 2017. La calidad, aceleración, inercia, comodidad y la integración de estos servicios en nuestra vida cotidiana han creado una dependencia que la mayoría ni siquiera percibe como tal.
El problema no es técnico. El problema es jurisdiccional.
Una vulnerabilidad autoinfligida
Sería cómodo culpar únicamente a Estados Unidos de esta situación. Pero la honestidad exige reconocer que Europa ha contribuido activamente a su propia vulnerabilidad. La dependencia digital no es sólo resultado de la superioridad tecnológica estadounidense; es también consecuencia de décadas de decisiones europeas que han asfixiado la innovación local mientras regulaban gigantes que no teníamos.
Los datos son los que son: tan sólo 4 de las 50 mayores empresas tecnológicas del mundo son europeas. Ninguna empresa creada en la UE en los últimos 50 años ha alcanzado una capitalización superior a 100.000 millones de euros manteniéndose en suelo europeo. En inteligencia artificial, la brecha es aún más tremenda: Estados Unidos produjo 40 modelos de IA notables en 2024; Europa, apenas 3.
¿Cómo llegamos aquí?
El tsunami regulatorio. En los últimos doce años, el número de leyes europeas relacionadas con digitalización se ha cuadruplicado —de aproximadamente 20 a 88 regulaciones—. El Reglamento General de Protección de Datos (RGPD), orgullo de la política digital europea, redujo la inversión de capital riesgo en tecnología en la UE un 26% en comparación con Estados Unidos. Y aquí viene la paradoja más dolorosa: un análisis encontró que las nuevas apps en Google Play se redujeron a la mitad tras la implementación del RGPD, mientras que el mercado se concentró más, beneficiando precisamente a Google y Facebook. Las regulaciones diseñadas para frenar a las Big Tech estadounidenses terminaron eliminando a sus competidores más pequeños.
Europa regula antes de innovar. Como señaló un exministro de Finanzas francés: “Antes de regular, debemos innovar”. Pero Bruselas ha seguido el camino inverso.
La fragmentación que impide escalar. Se le llama así, pero en la práctica Europa no es un mercado único: son 27 mercados fragmentados con diferentes idiomas, sistemas legales, regímenes fiscales y culturas empresariales. El FMI estima que las barreras internas del Mercado Único equivalen a un arancel del 45% sobre bienes y del 110% sobre servicios. Una startup que quiere expandirse de Alemania a Francia debe lidiar con nuevas reglas de impuestos, empleo, derecho societario y stock options. No sorprende que las startups europeas recauden de media 18 millones de dólares frente a 32 millones en Estados Unidos.
El déficit de capital que estrangula. Europa captura apenas el 5% del capital riesgo global frente al 52% de Estados Unidos. Los fondos de pensiones estadounidenses asignan el 1,9% de sus activos a capital riesgo; los europeos, un 0,018% —más de cien veces menos—. Las startups europeas tienen la misma probabilidad que las estadounidenses de empezar con fuerza, pero tienen la mitad de probabilidades de levantar rondas superiores a 15 millones de dólares.
El éxodo del talento. Los mejores se van. En roles tecnológicos, los empleados estadounidenses ganan casi un 40% más que sus homólogos europeos. Un investigador top de IA puede ganar cerca de un millón de dólares al año incluyendo acciones —un paquete que las startups europeas no pueden igualar—. Entre 2008 y 2021, 40 de 147 unicornios europeos trasladaron sus sedes al extranjero, principalmente a Estados Unidos. DeepMind, fundada en Reino Unido, fue adquirida por Google tras luchar por conseguir financiación de capitalistas de riesgo europeos más aversos al riesgo. Hoy produce el 12% de los papers de IA más citados a escala global —bajo propiedad estadounidense.
El fracaso de las alternativas propias. La iniciativa Gaia-X, lanzada como “el Airbus de la nube” por Francia y Alemania, ha resultado ser lo que uno de sus miembros fundadores describió como “un monstruo de papel que existirá pero no tendrá ningún impacto en el mercado”. Mientras tanto, los tres hyperscalers estadounidenses invirtieron 37.000 millones de dólares en Europa solo en los primeros siete meses de 2024.
El Informe Draghi de 2024 calificó la situación como un “desafío existencial” y estimó que Europa necesita entre 750.000 y 800.000 millones de euros anuales de inversión adicional para cerrar la brecha. Un año después, solo el 11% de sus recomendaciones habían sido implementadas. El propio Draghi declaró que “cada desafío que señalé ha empeorado”.
Así que sí, la administración Trump ha cambiado las reglas del juego de forma brusca y hostil. Pero Europa llegó a esta partida habiendo tirado sus propias cartas durante décadas.
Señalemos una obviedad
La Constitución de Estados Unidos protege a sus ciudadanos contra registros e incautaciones sin orden judicial. Es la famosa Cuarta Enmienda, piedra angular de la privacidad estadounidense. Pero hay un detalle que la mayoría de europeos desconoce: esa protección no se nos aplica.
Un tribunal estadounidense estableció en 1990 que los extranjeros fuera del territorio de Estados Unidos no forman parte de “el pueblo” protegido constitucionalmente. Esto significa que mientras un ciudadano estadounidense tiene derecho a que un juez autorice la vigilancia de sus comunicaciones, un ciudadano europeo puede ser vigilado sistemáticamente sin ninguna supervisión judicial.
La ley de vigilancia estadounidense (la sección 702 de FISA, renovada y ampliada en abril de 2024) autoriza a las agencias de inteligencia a recopilar comunicaciones de personas no estadounidenses ubicadas fuera de Estados Unidos sin órdenes judiciales individuales. Los analistas sólo necesitan tener un 51% de confianza de que el objetivo es extranjero para iniciar la vigilancia. En 2024 hubo aproximadamente 292.000 objetivos bajo este programa.
A esto se suma otra ley (el CLOUD Act de 2018) que permite a las autoridades estadounidenses exigir datos a sus empresas tecnológicas independientemente de dónde estén almacenados físicamente. Tus documentos pueden estar en un servidor de Frankfurt, pero si el proveedor es estadounidense, Washington puede acceder a ellos. La propia Microsoft reconoció en una audiencia oficial en Francia que no puede impedir el acceso de las autoridades estadounidenses a datos almacenados en sus servidores europeos.
Algo no tan obvio
Pero hay algo peor que ser vigilado: ser desconectado.
Los servicios en la nube estadounidenses están sujetos a controles de exportación, sanciones y mandatos políticos que pueden anular cualquier contrato comercial. Esto no es teoría. Ya ha ocurrido.
En 2025, el fiscal jefe de la Corte Penal Internacional perdió acceso a su correo electrónico de Microsoft después de ser sancionado por una orden ejecutiva estadounidense. Un día tenía acceso a sus comunicaciones profesionales; al siguiente, no. Este incidente alarmó a Bruselas porque demostró algo que muchos preferían no pensar: Washington tiene un interruptor de apagado sobre la infraestructura digital europea.
El precedente más inquietante llegó con Ucrania. En plena guerra, funcionarios estadounidenses amenazaron con cortar el acceso al servicio satelital Starlink —del que dependían las comunicaciones militares ucranianas— a menos que Kiev firmara un acuerdo de minerales con Washington. La dependencia tecnológica convertida en palanca de negociación.
Tres empresas estadounidenses —Amazon, Microsoft y Google— proporcionan más del 65% de los servicios en la nube globales. Starlink tiene prácticamente el monopolio del internet satelital en Europa. Nvidia domina el mercado de chips para inteligencia artificial. En agosto de 2025, el gobierno alemán reconoció públicamente que Alemania sigue dependiendo de empresas estadounidenses para tecnologías críticas como infraestructura en la nube, sistemas operativos y redes.
Los analistas ya contemplan escenarios específicos: Estados Unidos podría pedir a proveedores de nube que corten el acceso a Dinamarca en una confrontación sobre Groenlandia. O exigir a los Países Bajos que restrinjan completamente las exportaciones de maquinaria de semiconductores a China, bajo amenaza de sanciones financieras. La infraestructura digital como arma de presión geopolítica.
Trump lo ha dejado claro. “Pongo sobre aviso a todos los países con impuestos digitales, legislación, reglas o regulaciones”, escribió en redes sociales. “A menos que estas acciones discriminatorias sean eliminadas, yo, como Presidente de Estados Unidos, impondré aranceles adicionales sustanciales sobre las exportaciones de ese país a EE.UU.”. La administración incluso ha considerado restricciones de visado para funcionarios europeos que apliquen regulaciones digitales.
No se trata solo de que puedan ver nuestros datos. Es que podrían, si quisieran, apagar el interruptor.
Los años 10 sólo fueron el principio
En 2013, las filtraciones de Edward Snowden supusieron una primera advertencia a la industria tecnológica europea. El programa PRISM proporcionaba acceso directo a los servidores de Microsoft, Google, Yahoo, Facebook, Apple y otros gigantes tecnológicos. Los documentos desclasificados revelaron que representaba el 91% de las comunicaciones de internet adquiridas bajo los programas de vigilancia.
Europa se indignó. El Tribunal de Justicia de la Unión Europea invalidó el acuerdo de transferencia de datos con Estados Unidos (conocido como Safe Harbor) en 2015. Se negoció uno nuevo (Privacy Shield). También fue invalidado en 2020, por las mismas razones: las protecciones eran insuficientes.
En julio de 2023 entró en vigor un tercer intento: el Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework). Más de 3.400 empresas se han certificado bajo este acuerdo, que sustenta aproximadamente 7 billones de dólares en actividad comercial transatlántica.
Pero el acuerdo tiene un problema estructural: depende de una orden ejecutiva que cualquier presidente puede revocar.
La orden ejecutiva 14086, firmada por Biden, es la base legal de todo el marco. Estableció límites a la vigilancia y creó un mecanismo de reparación para ciudadanos europeos. Pero una orden ejecutiva no es una ley aprobada por el Congreso. Es una decisión presidencial que el siguiente presidente puede modificar o eliminar con su firma.
Y eso es exactamente lo que amenaza con ocurrir.
2025: el año en que todo se aceleró
En enero de 2025, la administración Trump despidió a los tres miembros demócratas del organismo encargado de supervisar las prácticas de vigilancia de las agencias de inteligencia (el Privacy and Civil Liberties Oversight Board). Este organismo era pieza fundamental del acuerdo de privacidad: debía certificar anualmente que las agencias respetaban los límites establecidos. Sin él, no hay verificación independiente. La legitimidad de todo el mecanismo de protección queda en entredicho.
El think tank que diseñó el programa de gobierno de Trump (Project 2025) propone “estudiar inmediatamente” la orden ejecutiva de Biden y “suspender cualquier disposición que grave indebidamente la recopilación de inteligencia”. En otras palabras: eliminar las protecciones que hacen viable el acuerdo con Europa.
Mientras tanto, la administración estadounidense ha calificado las regulaciones digitales europeas como “extorsión extranjera” y “barreras comerciales injustas”, amenazando con aranceles adicionales y restricciones de visado para funcionarios europeos que las apliquen.
El contexto es importante. En julio de 2025, la UE aceptó un acuerdo comercial que impuso aranceles del 15% sobre exportaciones industriales europeas a Estados Unidos y del 50% sobre acero y aluminio. A cambio, Europa se comprometió a invertir 600.000 millones de euros en Estados Unidos durante el mandato de Trump. El desequilibrio es evidente: el acuerdo europeo es significativamente peor que el obtenido por Reino Unido.
Esta no es la relación entre aliados que asumíamos. Es una relación donde una parte tiene poder y la otra, dependencia.
Las consecuencias
Tus correos revelan relaciones y conflictos, tus fotos muestran a tu familia, tus documentos en la nube incluyen contratos e informes médicos, y tu historial de navegación dibuja un mapa de tus miedos y deseos. Todo eso configura un perfil íntimo que ningún europeo consentiría entregar voluntariamente a un gobierno extranjero —y sin embargo, es exactamente lo que ocurre cuando esos datos residen en servidores sujetos a la jurisdicción estadounidense.
Para profesionales sujetos a obligaciones de confidencialidad, las implicaciones son especialmente graves. Un abogado que almacene documentos de clientes en servicios estadounidenses podría estar violando su deber de secreto profesional sin saberlo. Lo mismo ocurre con médicos con historiales clínicos, periodistas con fuentes confidenciales, o asesores fiscales con información financiera de sus clientes. El enmarañamiento de la legislación actual de privacidad europea junto a la fragilidad de los acuerdos con EEUU en este sentido, no ayudan a tener seguridad jurídica.
Lo que viene: escenarios para la próxima década
Los expertos legales consideran muy probable que el actual acuerdo de privacidad EEUU-UE sea invalidado por el Tribunal de Justicia de la UE en los próximos dos a cinco años.
Según los principales analistas, para 2030 más del 75% de las empresas fuera de Estados Unidos tendrán una estrategia de soberanía digital. El 61% de los directores de tecnología europeos ya planean aumentar su dependencia de proveedores de nube locales o regionales por factores geopolíticos.
No es descabellado imaginar escenarios más disruptivos. Las tensiones comerciales podrían escalar. Una crisis geopolítica mayor podría acelerar la fragmentación. La actual administración estadounidense ya ha demostrado disposición a utilizar las dependencias tecnológicas como palanca de presión.
El escenario más probable es lo que se denomina “fragmentación controlada“: los gigantes estadounidenses seguirán operando en Europa, pero bajo restricciones crecientes y con obligaciones de mantener datos europeos bajo control europeo. Los proveedores locales capturarán nichos específicos en sector público, industrias reguladas y datos sensibles.
Pero también existe un escenario de “splinternet profundo“, menos probable pero no descartable, donde la invalidación del acuerdo de privacidad combinada con acciones desafiantes estadounidenses lleve a servicios digitales completamente segmentados por jurisdicción.
La computación cuántica añade otra capa de urgencia. Los expertos advierten sobre la amenaza “harvest now, decrypt later”: adversarios estatales ya están recolectando tráfico cifrado hoy para descifrarlo cuando dispongan de capacidad cuántica suficiente, algo que se estima que ocurrirá con más del 50% de probabilidad antes de 2035. Los datos sensibles que hoy subes a la nube podrían ser perfectamente legibles dentro de una década.
Qué hacer: una estrategia gradual
La buena noticia es que las alternativas europeas existen y son cada vez más viables. Pese a que aún queda camino, el ecosistema de proveedores de nube empresarial europeos ha madurado significativamente en los últimos años, con opciones que ofrecen precios competitivos —en algunos casos un 30-50% inferiores a los gigantes estadounidenses cuando hablamos de Hetzner o OVH respecto a AWS o Azure— y garantías de privacidad muy superiores.
Una migración inmediata o total sería a la vez impracticable y suicida. En cambio, una estrategia sensata distinguiría entre niveles de sensibilidad:
Para lo crítico —documentos profesionales confidenciales, información médica, correspondencia legal, datos financieros de clientes— el uso de proveedores europeos con cifrado robusto o soluciones locales solventes debería ser prioritario. El coste adicional, cuando lo hay, se justifica plenamente por la reducción del riesgo. No se hace suficiente mención al cifrado zero-knowledge: las fugas de datos están a la orden del día. Que lo que se filtre, esté cifrado.
Para lo importante pero menos sensible —correo personal, documentos de trabajo no confidenciales, fotografías familiares— una migración gradual es razonable. Empezar por el correo electrónico, que es relativamente sencillo de cambiar, y continuar desde ahí.
Para lo cotidiano y efímero —búsquedas, navegación casual, contenido de entretenimiento— la preocupación es menor, aunque mantener copias locales de lo que realmente importa nunca está de más.
El objetivo mínimo debería ser reducir la dependencia de un único proveedor estadounidense y garantizar que los datos más sensibles estén bajo jurisdicción europea. También hay alternativas a lo europeo legislativa y geopolíticamente más seguras que la estadounidense, como la canadiense. No se trata de paranoia, sino de gestión prudente del riesgo.
Soberanía digital: de abstracción a necesidad
Durante años, la “soberanía digital” sonaba a concepto abstracto, a preocupación de burócratas de Bruselas y activistas de la privacidad. Pero las grietas en la Internet occidental la han convertido en una cuestión práctica para cualquiera que use servicios en la nube.
No se trata de nacionalismo tecnológico ni de levantar murallas digitales. Se trata de reconocer una realidad incómoda: el marco legal estadounidense está diseñado explícitamente para vigilar a extranjeros, las protecciones actuales dependen de decisiones ejecutivas revocables, y el contexto político transatlántico es el más hostil en décadas.
Por supuesto, no se puede pensar en el futuro y a la vez querer destruir puentes con bombas nucleares sólo por reaccionar al presente. Trump pasará, y nos irá mucho mejor cooperando y comerciando con EUU que estando enfrentados. Es posible que en el futuro las relaciones recuperen parte del camino desandado. Quizá se alcance un cuarto acuerdo que sí resuelva las contradicciones fundamentales entre sistemas legales. Tal vez las tecnologías de cifrado avanzado simplifiquen estas cuestiones.
Pero mientras tanto, la pregunta no es si diversificar nuestra vida digital, sino cuándo empezar. Para quienes manejan información confidencial de terceros —clientes, pacientes, fuentes— la respuesta debería ser ahora. Para el resto, al menos conviene empezar a pensar en ello antes de que la próxima crisis nos encuentre, otra vez, como inquilinos sorprendidos de que el propietario tenía la llave maestra.
Un mundo donde la geografía de nuestros datos vuelva a importar no es la Internet con la que crecimos, pero es hacia la que vamos, y es prudente prepararse.