La promesa de «soberanía de datos» de Microsoft para Europa viene con un asterisco. A partir del 17 de abril de 2026, la empresa empezará a enviar los datos de Copilot a servidores extranjeros para su procesamiento.

Con la introducción del enrutamiento flexible para Microsoft 365 Copilot, la inferencia de Large Language Model (LLM) —el paso en el que realmente se procesan tus datos— puede tener lugar en EE. UU., Canadá o Australia cuando la capacidad de los centros de datos europeos se quede corta.

Estos cambios se aplican por defecto. Para las nuevas cuentas de clientes creadas después del 25 de marzo de 2026, el enrutamiento flexible ya está activado. Para todos los demás, se activará automáticamente a menos que decidas excluirte. (Tienes las instrucciones sobre cómo hacerlo a continuación).

Si tu empresa tiene su sede en la Unión Europea o en la Asociación Europea de Libre Comercio (AELC), esta no es una pequeña actualización técnica. El enrutamiento flexible cambia si tus flujos de trabajo de IA se quedan dentro de la UE o la abandonan sin tu conocimiento. Y destaca lo que realmente significa para Europa la versión de soberanía digital de las grandes tecnológicas: ellas siguen teniendo el control.

¿Qué es el enrutamiento flexible?

La inferencia es el momento en que un modelo de IA procesa tu petición para generar una respuesta, ya sea resumiendo un documento, respondiendo a una pregunta o redactando un borrador de contenido. Para cuando esto ocurre, tus datos ya han sido reunidos. Incluso si tus datos están almacenados en Europa, ahora pueden ser procesados en otro lugar, automáticamente, bajo una jurisdicción no comunitaria.

Alojado en la UE no significa procesado en la UE

Microsoft deja claro que los datos permanecerán cifrados(ventana nueva) en tránsito y en reposo. Eso podría tranquilizar a algunos clientes. Pero si operas bajo marcos normativos como el Reglamento General de Protección de Datos(ventana nueva) (GDPR), la Directiva sobre redes y sistemas de información (NIS2) o el Reglamento de Resiliencia Operativa Digital (DORA), proteger los datos en almacenamiento y transmisión no es suficiente.

El procesamiento (o inferencia) es donde puede ocurrir la exposición. Y bajo el enrutamiento flexible, ese punto ahora puede moverse.

Para que un modelo de IA realice inferencias, los datos deben estar accesibles para su cálculo. Tus peticiones, correos electrónicos, archivos y metadatos se recopilan y se envían al modelo. Con el enrutamiento flexible, ese paquete puede procesarse fuera de la UE.

Dónde se procesan tus datos importa, incluso si se cifran al entrar y salir.

La carga del cumplimiento normativo es tuya

La decisión de Microsoft de hacer del enrutamiento flexible una función por defecto es una señal de alarma. Las investigaciones muestran que la mayoría de las personas no se molestan en revisar sus opciones por defecto ni en actualizarlas. Si la soberanía de los datos fuera algo que le importara a la empresa para sus clientes europeos, no habría implementado el enrutamiento flexible de forma automática.

También avisa a tu departamento de cumplimiento normativo de que los proveedores pueden decidir cambiar de repente una política importante. Ahora eres responsable de la monitorización de las actualizaciones de los proveedores, de interpretar sus implicaciones y de modificar los ajustes para mantener el cumplimiento. Esto puede parecer injusto si seleccionaste a un proveedor con sede en EE. UU. con la impresión de que tu soberanía de datos era importante para ellos.

Qué pueden hacer ahora las empresas de la UE

  1. Desactiva el enrutamiento flexible. Si tus políticas requieren procesamiento exclusivo en la UE, no te fíes de las opciones por defecto.
    • Inicia sesión en el centro de administración de Microsoft 365 como administrador con el rol de administrador de IA(ventana nueva) asignado.
    • Ve a Copilot -> Ajustes -> Inferencia flexible durante períodos de carga máxima.
    • Selecciona No permitir el enrutamiento flexible
  2. Comprende las implicaciones transfronterizas. Puede que tu configuración actual no cumpla con los requisitos de tu negocio. Considera lo siguiente:
    • Obligaciones de transferencia de datos bajo el GDPR y reglas específicas del sector
    • Políticas internas de residencia de datos y compromisos contractuales
    • Acceso legal y supervisión en jurisdicciones no comunitarias
  3. Audita de cerca los flujos de datos específicos de IA. La mayoría de las empresas saben dónde están almacenados sus datos. Menos saben dónde se procesan. Empieza a preguntarte:
    • Dónde se procesan tus datos
    • Si existen leyes que puedan obligar a la divulgación de datos a terceras partes
    • Quién puede acceder a los datos durante el procesamiento y si eso puede cambiar
  4. Elige proveedores que sean transparentes sobre cómo procesan tus datos. El asistente de IA(ventana nueva) de Proton procesa datos de forma exclusiva en servidores europeos y publica una descripción con detalles sobre su modelo de seguridad.

El enrutamiento flexible revela algo más profundo sobre la gobernanza de datos

Si tus proveedores tienen su sede en EE. UU., dependes de sistemas creados para una realidad regulatoria diferente; una que no controlas, pero a la que aun así tienes que responder.

Las actualizaciones de software, el soporte, las políticas legales y las decisiones de precios se toman en Silicon Valley o Seattle. Las reglas que sigue tu proveedor se establecen en Washington. Pero tu empresa está sujeta a los estándares europeos.

Es por eso que cada vez más empresas están empezando a buscar alternativas europeas a las grandes tecnológicas(ventana nueva). Cuando tu infraestructura, políticas y marco legal están alineados con la región en la que operas, la soberanía de los datos se vuelve exigible, no condicional.