La promesa de “soberanía de datos” de Microsoft para Europa viene con un asterisco. A partir del 17 de abril de 2026, la empresa comenzará a enviar datos de Copilot a servidores extranjeros para su procesamiento.

Con la introducción del enrutamiento flexible para Microsoft 365 Copilot, la inferencia del modelo de lenguaje grande (LLM), el paso en el que se procesan realmente sus datos, puede llevarse a cabo en EE. UU., Canadá o Australia cuando se agota la capacidad de los centros de datos europeos.

Estos cambios se están aplicando por defecto. Para las cuentas de clientes nuevas creadas después del 25 de marzo de 2026, el enrutamiento flexible ya está activado. Para todos los demás, se activará automáticamente a menos que usted opte por no participar. (Las instrucciones sobre cómo hacerlo se encuentran a continuación).

Si su empresa tiene su sede en la Unión Europea o en la Asociación Europea de Libre Comercio (AELC), esta no es una pequeña actualización técnica. El enrutamiento flexible cambia si sus flujos de trabajo de IA permanecen dentro de la UE o la abandonan sin su conocimiento. Y destaca lo que realmente significa para Europa la versión de soberanía digital de las grandes empresas tecnológicas: ellas siguen teniendo el control.

¿Qué es el enrutamiento flexible?

La inferencia es el momento en que un modelo de IA procesa su solicitud para generar una respuesta, ya sea resumiendo un documento, respondiendo a una pregunta o redactando contenido. Para cuando esto sucede, sus datos ya se han ensamblado. Incluso si sus datos están almacenados en Europa, es posible que ahora se procesen en otro lugar, de manera automática, bajo una jurisdicción no perteneciente a la UE.

Alojado en la UE no significa procesado en la UE

Microsoft deja en claro que los datos permanecerán cifrados(nueva ventana) en tránsito y en reposo. Eso podría tranquilizar a algunos clientes. Pero si usted opera bajo marcos como el Reglamento General de Protección de Datos(nueva ventana) (GDPR), la Directiva de Seguridad de las Redes y de la Información (NIS2) o la Ley de Resiliencia Operativa Digital (DORA), proteger los datos en almacenamiento y transmisión no es suficiente.

El procesamiento (o inferencia) es donde puede ocurrir la exposición. Y bajo el enrutamiento flexible, ese punto ahora puede moverse.

Para que un modelo de IA realice una inferencia, los datos deben ser accesibles para el cálculo. Sus solicitudes, correos electrónicos, archivos y metadatos se recopilan y se envían al modelo. Con el enrutamiento flexible, ese paquete se puede procesar fuera de la UE.

Importa dónde se procesan sus datos, incluso si están cifrados en la entrada y la salida.

La carga del cumplimiento es suya

La decisión de Microsoft de convertir el enrutamiento flexible en una función por defecto es una señal de alerta. Las investigaciones muestran que la mayoría de las personas no se molestan en revisar sus opciones por defecto o en actualizarlas. Si la soberanía de los datos fuera algo que le importara a la empresa para sus clientes europeos, no habría implementado el enrutamiento flexible automáticamente.

También pone sobre aviso a su departamento de cumplimiento de que los proveedores pueden decidir repentinamente cambiar una política importante. Usted ahora es responsable de monitorear las actualizaciones de los proveedores, interpretar sus implicaciones y ajustar los ajustes para seguir cumpliendo. Esto puede parecer injusto si seleccionó un proveedor con sede en EE. UU. con la impresión de que la soberanía de sus datos era importante para ellos.

Qué pueden hacer ahora las empresas de la UE

  1. Desactive el enrutamiento flexible. Si sus políticas requieren procesamiento exclusivo en la UE, no confíe en las opciones por defecto.
    • Inicie sesión en el centro de administración de Microsoft 365 como un administrador al que se le haya asignado el rol de Administrador de IA(nueva ventana).
    • Vaya a Copilot -> Ajustes -> Inferencia flexible durante períodos de carga máxima.
    • Seleccione No permitir el enrutamiento flexible
  2. Comprenda las implicaciones transfronterizas. Es posible que su configuración actual no cumpa con los requisitos de su empresa. Considere:
    • Obligaciones de transferencia de datos según el GDPR y normas específicas del sector
    • Políticas internas de residencia de datos y compromisos contractuales
    • Acceso legal y supervisión en jurisdicciones fuera de la UE
  3. Audite de cerca los flujos de datos específicos de IA. La mayoría de las empresas saben dónde se almacenan los datos. Menos saben dónde se procesan. Empiece a cuestionar:
    • Dónde se procesan sus datos
    • Si existen leyes que puedan obligar a la divulgación de datos a terceros
    • Quién puede acceder a los datos durante el procesamiento y si eso puede cambiar
  4. Elija proveedores que sean transparentes sobre cómo procesan sus datos. El asistente de IA(nueva ventana) de Proton procesa datos exclusivamente en servidores europeos y publica una descripción detallada de su modelo de seguridad.

El enrutamiento flexible revela algo más profundo sobre la gobernanza de datos

Si sus proveedores tienen su sede en EE. UU., usted está dependiendo de sistemas creados para una realidad regulatoria diferente; una que usted no controla, pero a la que aún debe responder.

Las actualizaciones de software, el soporte, las políticas legales y las decisiones de precios se toman en Silicon Valley o Seattle. Las reglas que sigue su proveedor se establecen en Washington. Pero su empresa está sujeta a los estándares europeos.

Es por eso que más empresas están empezando a buscar alternativas europeas a las grandes empresas tecnológicas(nueva ventana). Cuando su infraestructura, políticas y marco legal están alineados con la región en la que opera, la soberanía de los datos se vuelve exigible, no condicional.