La Comisión Europea ha anunciado un ambicioso plan para liberarse de su dependencia casi total de la tecnología extranjera.

En lo que ha calificado como «un momento decisivo para afirmar su soberanía tecnológica», la Comisión ha presentado un Paquete de Soberanía Tecnológica Europea: una propuesta integral para(ventana nueva) reforzar la capacidad de Europa en semiconductores, IA, la nube y el código abierto.

Su objetivo es claro: reducir la dependencia de la infraestructura europea de la tecnología extranjera. El comunicado oficial de la Comisión afirma que «la UE sigue dependiendo estructuralmente de proveedores no pertenecientes a la UE para más del 80 % de sus productos digitales(ventana nueva), servicios, infraestructuras y propiedad intelectual».

El plan es, en esencia, un llamamiento a la acción para que las empresas europeas examinen sus propias dependencias tecnológicas de EE. UU. Este artículo ofrece una visión general de cada uno de los cuatro componentes del paquete:

  • Ley de Chips 2.0
  • La Ley de Desarrollo de la Nube y la IA (CADA)
  • La Estrategia de código abierto de la UE
  • Una hoja de ruta estratégica para la digitalización y la IA en la energía

Por qué Europa prioriza ahora la independencia de su infraestructura

El bloque reconoce ahora lo que muchos expertos tecnológicos llevan tiempo advirtiendo: Europa debe dejar de considerar la dependencia estructural como un precio aceptable a pagar por la comodidad.

Como señaló la presidenta de la Comisión, Ursula von der Leyen: “No podemos permitirnos depender de otros para las tecnologías que mantienen en funcionamiento nuestros hospitales, estables nuestras redes de energía y seguros nuestros servicios. Se trata de proteger a nuestros ciudadanos, defender nuestros intereses y tomar nuestras propias decisiones”.

La dependencia de las infraestructuras expone a todas las naciones de la UE a los riesgos de:

  • Kill Switches. Un gobierno extranjero puede desactivar o interrumpir los servicios de los que dependen tus hospitales, redes de energía e instituciones públicas. La jefa de tecnología de la UE, Henna Virkkunen, lo mencionó explícitamente(ventana nueva): “Queremos estar seguros de que en los campos críticos siempre seamos capaces de controlar los servicios y controlar los datos en Europa”.
  • Puertas traseras legales. Las leyes estadounidenses obligan a los proveedores en la nube con sede en EE. UU. a entregar los datos a las autoridades de ese país, incluso cuando están almacenados en Europa(ventana nueva). Los datos europeos en infraestructuras de EE. UU. no están protegidos por la jurisdicción europea. El cumplimiento del GDPR no cambia esta situación.
  • Contratación pública excluida. Los contratos públicos críticos (sanidad, energía, defensa) los ejecutan actualmente proveedores que no están bajo control europeo(ventana nueva). La solución propuesta por la Comisión, que exige software y hardware fabricados en la UE para las licitaciones públicas más sensibles, es un reconocimiento de que la situación actual es insostenible.
  • Influencia política. Cuando las empresas que gestionan tu infraestructura tienen vínculos estrechos con un gobierno hostil a tus intereses, la dependencia se convierte en una debilidad en las negociaciones(ventana nueva). La ICC no eligió dejar Microsoft: en la práctica, se vio empujada a ello. Eso es un Kill Switch por otros medios, y ya ha ocurrido.

Lee más: Informe sobre los riesgos de la tecnología de EE. UU.

Qué propone el Paquete de Soberanía Tecnológica Europea

El paquete tiene cuatro componentes. Para las empresas europeas, los dos más importantes son la Ley de Desarrollo de la Nube y la IA y la Estrategia de código abierto.

Ley de Chips 2.0

Europa produce solo alrededor del 10 % de los semiconductores mundiales y sigue dependiendo en gran medida de EE. UU. y el este de Asia tanto para los chips convencionales como para los avanzados. La ley Ley de Chips 2.0(ventana nueva) se propone reforzar la industria de los semiconductores y la cadena de suministro de Europa.

Para las empresas europeas: Atento a que la divulgación de información sobre la cadena de suministro de semiconductores sea cada vez más común. Se exigiría durante una “crisis declarada”, sería condicional para las empresas que soliciten financiación de la UE y se fomentaría en la contratación pública. Si tus proveedores no pueden decirte de dónde proceden sus chips, espera que esto se considere una falta de confianza.

La Ley de Desarrollo de la Nube y la IA (CADA)

Más del 70 % del mercado de la nube en Europa está controlado por tres proveedores estadounidenses, mientras que la propia cuota de la UE cayó del 29 % en 2017 al 15 % en 2022.

La CADA introduce cuatro niveles de garantía de la Unión que llevan la soberanía de la nube más allá de la residencia de datos, hacia cuestiones más complejas de control, jurisdicción, propiedad, transparencia de la cadena de suministro de software e interferencias de terceros países.

  • Nivel 1: Los datos se procesan y se almacenan en infraestructuras ubicadas en la UE.
  • Nivel 2: Los proveedores deben demostrar su independencia de terceros países y transparencia en su cadena de suministro de software.
  • Nivel 3: Los proveedores deben ser propiedad de entidades de la UE y estar controlados en ella, además de cumplir otros criterios, dejando espacio para proveedores reconocidos de confianza de terceros países.
  • Nivel 4: Los proveedores deben tener total transparencia y control sobre su cadena de suministro de software y no sufrir interferencias de terceros países.

Para las empresas europeas: La residencia de datos no es lo mismo que la soberanía. Ten cuidado con los proveedores que cambian la imagen de la infraestructura existente controlada por EE. UU. para presentarla como “europea” sin cumplir los requisitos de propiedad y control que realmente exigen los niveles de garantía. El nivel 3 requiere propiedad y control de la UE. Una apariencia de marca europea sobre AWS no es un nivel 3.

La Estrategia de código abierto de la UE

La UE gasta actualmente 264.000 millones de euros al año, principalmente en productos y servicios informáticos patentados de EE. UU. La respuesta de la estrategia es un software que se pueda inspeccionar, reutilizar, adaptar y mantener en Europa, respaldado por un Instrumento de mantenimiento de código abierto para financiar la seguridad y el mantenimiento de componentes esenciales, además de funciones de mapeo de dependencias y réplica para garantizar un acceso continuo a las infraestructuras más críticas.

Se dirige específicamente a las infraestructuras en la nube, las aplicaciones para el entorno de trabajo digital, las herramientas de colaboración y productividad, la mensajería instantánea y el correo electrónico seguro, con el objetivo de alcanzar los 30 millones de usuarios activos de alternativas de código abierto para 2030.

El principio de “dinero público, código público” compromete a las administraciones públicas a optar por el código abierto por defecto siempre que sea posible.

Para las empresas europeas: Los criterios de contratación pública se están desplazando hacia la auditabilidad, la interoperabilidad y un software que puedas inspeccionar. Si tus herramientas actuales son cerradas, patentadas y están bajo control de EE. UU., cuenta con recibir presiones (tanto regulatorias como de la competencia) para justificar esa elección.

Una hoja de ruta estratégica para la digitalización y la IA en la energía

Un nuevo Reglamento Delegado introducirá clasificaciones de sostenibilidad en toda la UE para los centros de datos, aportando transparencia al rendimiento medioambiental y acabando con el lavado de imagen ecológico (greenwashing). Si el software que gestiona infraestructuras energéticas críticas queda fuera de la jurisdicción europea, la soberanía energética será tan teórica como la soberanía de los datos.

Para las empresas europeas: Atento a que las calificaciones de sostenibilidad se conviertan en un factor clave de contratación, y a que la capacidad de los centros de datos locales impulse a una nueva generación de proveedores europeos que antes no eran competitivos solo por su infraestructura.

Qué significará este paquete para Europa

El paquete de la Comisión Europea es importante, pero todavía no constituye una revolución. Es ambicioso, pero las obligaciones son limitadas. Mucho dependerá de cómo se desarrollen, negocien, apliquen, auditen y hagan cumplir estas propuestas.

Si Europa quiere que la soberanía tecnológica signifique algo, debe ir más allá del diagnóstico. Las normas de contratación, la financiación pública, los marcos de certificación y las evaluaciones de riesgos deben recompensar a los proveedores que reduzcan la dependencia en lugar de reforzarla.

La independencia digital se construye a través de miles de decisiones tecnológicas tomadas por gobiernos, empresas y particulares.

En Proton, ayudamos a facilitar la transición digital hacia alternativas europeas(ventana nueva) soberanas que priorizan la privacidad. Proton ya está fuertemente alineado con el paquete de soberanía tecnológica de la UE: todas nuestras aplicaciones son de código abierto(ventana nueva) y utilizan criptografía fuerte(ventana nueva), que incluye el cifrado de extremo a extremo y el cifrado de acceso cero. Al ser un proveedor con sede en Suiza, los clientes se benefician de una sólida protección de la privacidad.

Para ayudar a más empresas a cambiar a la tecnología europea, recientemente hemos presentado Easy Switch for Business, que permite a los equipos migrar sus correos electrónicos, calendarios y contactos desde Google Workspace a Proton con un esfuerzo mínimo y sin interrupciones del servicio.