Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cómo la Ley de Datos de la UE y el GDPR entran en conflicto con las demandas de acceso a datos de la Ley CLOUD de EE. UU. — y qué significa esto para la soberanía

Cómo la Ley de Datos de la UE y el GDPR entran en conflicto con las demandas de acceso a datos de la Ley CLOUD de EE. UU. — y qué significa esto para la soberanía

by Robert Dougherty updated marzo 9, 2026 Cumplimiento de GDPR
Reading Time: 10 minutes

Busca «EU Cloud Act» y encontrarás cientos de resultados: artículos, guías de cumplimiento y explicaciones de proveedores que hacen referencia a una ley que, en realidad, no existe. La Unión Europea no tiene ninguna norma con ese nombre. Lo que sí tiene es una arquitectura legal que entra en conflicto directa y deliberadamente con la Ley CLOUD de EE. UU. respecto a quién controla el acceso a los datos almacenados en Europa: la Ley de Datos de la UE (en vigor desde enero de 2024, aplicable a partir de septiembre de 2025), que incluye disposiciones explícitas para bloquear el acceso ilegal de gobiernos de terceros países a datos no personales; y el GDPR, que regula la misma cuestión para los datos personales desde 2018.

La confusión terminológica importa porque oculta una verdad más relevante: el conflicto legal entre los marcos de acceso a datos europeos y estadounidenses es real, estructural y no resuelto, con consecuencias directas para cualquier organización que almacene o procese datos en Europa usando infraestructura controlada por EE. UU. Comprender los instrumentos legales reales es el primer paso para entender lo que exige el cumplimiento genuino de la soberanía de datos.

Resumen Ejecutivo

Idea principal: La Ley CLOUD de EE. UU. (2018) exige que las empresas estadounidenses entreguen los datos que controlan cuando reciben una solicitud válida del gobierno de EE. UU., sin importar dónde estén almacenados esos datos. La Ley de Datos de la UE (aplicable desde septiembre de 2025) exige que los proveedores de nube que operan en la UE implementen medidas técnicas y organizativas para impedir el acceso ilegal de gobiernos no pertenecientes a la UE a datos no personales almacenados en Europa, y que impugnen las solicitudes de acceso que entren en conflicto con la legislación de la UE. El Capítulo V del GDPR y los requisitos posteriores a Schrems II aplican la misma lógica para los datos personales. Estos marcos no solo generan tensión de cumplimiento: imponen obligaciones legales directamente opuestas a los proveedores de nube estadounidenses que operan en Europa. La solución es arquitectónica: el cifrado controlado por el cliente con llaves fuera de la infraestructura estadounidense hace que el proveedor sea técnicamente incapaz de cumplir con una orden de descifrado, satisfaciendo ambos sistemas legales a la vez.

Por qué te debe importar: La Ley de Datos de la UE aplica a cualquier empresa que ofrezca servicios de nube o procesamiento de datos en la UE, sin importar dónde tenga su sede, y comenzó a aplicarse en septiembre de 2025. Los proveedores de nube estadounidenses con clientes en la UE ahora están legalmente obligados a implementar medidas que impidan el acceso ilegal del gobierno de EE. UU. a datos almacenados en la UE. Las organizaciones que dependen de infraestructura de nube con sede en EE. UU. para datos de la UE, sin controles de soberanía arquitectónica, incumplen simultáneamente la ley estadounidense (si bloquean solicitudes válidas de la Ley CLOUD) o la ley de la UE (si las cumplen). Solo la arquitectura resuelve este dilema.

Puntos Clave

  1. No existe un «EU Cloud Act»: los instrumentos correctos son la Ley de Datos de la UE y el GDPR. El Capítulo VII de la Ley de Datos de la UE aborda el acceso ilegal de gobiernos de terceros países a datos no personales almacenados en la UE. El Capítulo V del GDPR y las directrices posteriores a Schrems II cubren los datos personales. Juntos constituyen la respuesta legal de la UE al alcance de la Ley CLOUD de EE. UU., pero son instrumentos distintos, con diferentes alcances, categorías de datos y mecanismos de aplicación.
  2. La Ley CLOUD de EE. UU. y la Ley de Datos de la UE imponen obligaciones directamente opuestas a los proveedores estadounidenses. La Ley CLOUD exige cumplir con las solicitudes de datos del gobierno de EE. UU. sin importar la ubicación de los datos. La Ley de Datos de la UE exige que esos mismos proveedores impidan tal acceso cuando sería ilegal según la legislación de la UE y que impugnen activamente esas solicitudes. Un proveedor no puede cumplir ambas cuando la ley estadounidense obliga a revelar datos que la ley de la UE prohíbe divulgar.
  3. El conflicto abarca diferentes categorías de datos bajo distintos instrumentos. El Capítulo VII de la Ley de Datos de la UE cubre los datos no personales. El Capítulo V del GDPR y Schrems II cubren los datos personales. Para cualquier empresa con ambos tipos de datos en infraestructura de la UE —lo que describe prácticamente a toda organización— ambos instrumentos aplican simultáneamente en todo el entorno de datos.
  4. El cifrado controlado por el cliente es la solución arquitectónica a ambos conflictos. Cuando un proveedor estadounidense no puede acceder a las llaves de cifrado de los datos almacenados en la UE, no puede entregar contenido legible ante una solicitud de la Ley CLOUD, cumpliendo así con el estándar de imposibilidad técnica y satisfaciendo el requisito de la Ley de Datos de la UE de implementar medidas técnicas que impidan el acceso efectivo de gobiernos extranjeros.
  5. Las disposiciones de cambio de proveedor de la Ley de Datos de la UE reducen el coste de migrar hacia la soberanía. Al exigir que los proveedores faciliten el cambio de cliente con un preaviso de dos meses y eliminar las tarifas de cambio antes de enero de 2027, la Ley de Datos de la UE ha reducido deliberadamente la barrera comercial para migrar de infraestructura de nube controlada por EE. UU. a alternativas soberanas europeas.

Qué exige realmente la Ley CLOUD de EE. UU.

La Ley de Clarificación del Uso Legal de Datos en el Extranjero (2018) estableció que las empresas estadounidenses deben preservar y divulgar datos almacenados en cualquier parte del mundo en respuesta a un proceso legal válido de EE. UU., incluidos los datos alojados en centros de datos europeos. Su alcance sigue el control corporativo, no la geografía. Una solicitud dirigida a la sede estadounidense de un proveedor obliga a entregar datos de sus servidores en Frankfurt, Ámsterdam o Dublín. La ubicación del almacenamiento es irrelevante; lo que importa es que el proveedor sea una entidad estadounidense sujeta a la ley de EE. UU.

La Ley CLOUD incluye un mecanismo de impugnación para los proveedores: estos pueden solicitar modificar o anular una solicitud cuando el cliente no es una persona estadounidense y el cumplimiento podría implicar violar las leyes de un gobierno extranjero calificado. En la práctica, este mecanismo es limitado: se aplica de forma restrictiva, requiere acción legal afirmativa por parte del proveedor y no suspende el cumplimiento durante el proceso de impugnación. No ofrece una protección significativa para la soberanía de datos de la UE. Cambiar la dirección del centro de datos europeo solo modifica la geografía, no la jurisdicción.

Qué exige la Ley de Datos de la UE — y dónde entra en conflicto

La Ley de Datos de la UE (Reglamento (UE) 2023/2854), que entró en vigor en enero de 2024 y comenzó a aplicarse en septiembre de 2025, es principalmente una regulación sobre intercambio de datos y cambio de proveedor en la nube, pero el Capítulo VII contiene las disposiciones más relevantes para la soberanía. Este capítulo exige que los proveedores de nube y servicios de procesamiento de datos que operan en la UE implementen «medidas técnicas, legales y organizativas» para impedir el acceso de gobiernos no pertenecientes a la UE a datos no personales almacenados en la UE cuando dicho acceso sea ilegal según la legislación de la UE o de los Estados miembros.

Cuando un proveedor recibe una solicitud de acceso de un gobierno de un tercer país —incluida una solicitud bajo la Ley CLOUD de EE. UU.— debe evaluar si la solicitud es motivada, específica y proporcionada, y si entra en conflicto con la legislación de la UE o acuerdos internacionales aplicables. Si existe conflicto, el proveedor debe impugnar o solicitar la modificación de la orden. Si la divulgación es inevitable, solo debe proporcionar los datos mínimos necesarios aplicando medidas de protección. Los proveedores también deben divulgar públicamente las medidas técnicas que han implementado para impedir el acceso ilegal de gobiernos y las ubicaciones de su infraestructura TIC, generando así responsabilidad: los clientes y reguladores de la UE pueden evaluar si la arquitectura de soberanía del proveedor es genuina o solo una afirmación.

El conflicto con la Ley CLOUD es directo. Una solicitud de la Ley CLOUD de EE. UU. para datos no personales almacenados en la UE puede ser exactamente el escenario que el Capítulo VII exige que el proveedor impugne. El proveedor no puede cumplir ambas: cumplir con la solicitud de la Ley CLOUD puede violar la Ley de Datos de la UE; impugnarla para cumplir con la Ley de Datos de la UE puede exponer al proveedor a consecuencias legales en EE. UU.

El papel del GDPR: la dimensión de los datos personales

Mientras que el Capítulo VII de la Ley de Datos de la UE cubre los datos no personales, el Capítulo V del GDPR regula el conflicto equivalente para los datos personales desde 2018. El fallo Schrems II (2020) intensificó esa regulación en un enfrentamiento directo con la ley de vigilancia estadounidense: las SCC para transferencias de proveedores estadounidenses solo son válidas si los datos están realmente protegidos contra el acceso del gobierno de EE. UU., lo que exige Evaluaciones de Impacto de Transferencia que evalúen honestamente la exposición a la Ley CLOUD y FISA 702, y medidas técnicas suplementarias cuando se identifique riesgo activo. Las Recomendaciones 01/2020 del EDPB nombran el cifrado controlado por el cliente con llaves fuera de la infraestructura del proveedor como la principal medida técnica adecuada. Las autoridades de protección de datos de Austria, Francia e Italia han emitido decisiones de cumplimiento concluyendo que ciertos acuerdos de nube estadounidenses violan el GDPR, determinando que la exposición a la Ley CLOUD sin mitigación técnica adecuada constituye una violación de transferencia bajo el GDPR.

El efecto combinado es integral: los datos personales en infraestructura de la UE están protegidos por el GDPR y Schrems II; los datos no personales, por el Capítulo VII de la Ley de Datos de la UE. Para cualquier empresa con ambos tipos de datos —prácticamente todas— ambos instrumentos aplican simultáneamente en todo el entorno de datos.

Por qué el conflicto no se resuelve arquitectónicamente solo con contratos

La respuesta habitual a este conflicto ha sido contractual: los proveedores estadounidenses firman acuerdos de procesamiento de datos prometiendo no divulgar datos de la UE sin obligación legal, se comprometen a impugnar solicitudes excesivas y ofrecen procedimientos de notificación cuando es posible. Estos compromisos no son irrelevantes: crean obligaciones legales y riesgos reputacionales. Pero no resuelven el conflicto de fondo, porque los contratos vinculan a las partes entre sí; no anulan las obligaciones legales que cada parte tiene ante los gobiernos soberanos.

Cuando llega una solicitud válida bajo la Ley CLOUD, el compromiso contractual del proveedor estadounidense con el cliente de la UE no cambia su obligación legal frente al gobierno de EE. UU. El proveedor debe cumplir o enfrentarse a consecuencias legales en EE. UU. El DPA del cliente de la UE puede entonces concluir que las protecciones contractuales fueron insuficientes según Schrems II o la Ley de Datos de la UE. El problema no es contractual, es jurisdiccional.

El mecanismo de impugnación de la Ley de Datos de la UE mejora la situación al exigir que los proveedores contesten activamente solicitudes ilegales, pero no elimina la tensión. Las impugnaciones llevan tiempo, tienen resultados inciertos y no suspenden la obligación de divulgar durante el proceso. La solución estructural es arquitectónica: cifrado controlado por el cliente, donde este mantiene las llaves en su propia infraestructura europea y el proveedor estadounidense nunca tiene capacidad de descifrado. Una solicitud de la Ley CLOUD solo produce texto cifrado: datos que el proveedor entrega legalmente pero que no puede revelar de forma significativa. Se cumple el requisito de medidas técnicas de la Ley de Datos de la UE. Se cumple el requisito de medidas suplementarias de Schrems II del GDPR. Se cumple la solicitud de la Ley CLOUD. Todo a la vez, gracias a la arquitectura.

Qué significa esto para la soberanía de datos en la práctica

El conflicto Ley de Datos de la UE/GDPR versus Ley CLOUD transforma la soberanía de datos de un simple requisito de cumplimiento a una propiedad arquitectónica. La soberanía no se logra eligiendo un proveedor que prometa proteger los datos, sino implementando una arquitectura en la que el proveedor sea técnicamente incapaz de traicionar esa promesa, porque nunca tuvo el acceso necesario para hacerlo.

Para las organizaciones que evalúan su infraestructura de datos en la UE, de aquí se derivan cuatro controles prácticos. Implementación europea de tenencia única: infraestructura dedicada en un centro de datos de la UE a través de un proveedor europeo o infraestructura propia del cliente, no en la región europea de un gigante estadounidense, separa los datos de la UE del control corporativo estadounidense. Cifrado controlado por el cliente con llaves en el propio HSM del cliente en la UE cierra la brecha de la Ley CLOUD. Geoperimetraje aplicado por políticas garantiza que la residencia de los datos sea una realidad técnica: los requisitos de transparencia de la Ley de Datos de la UE exponen las afirmaciones de geoperimetraje no aplicables en vez de ocultarlas. Y registros de auditoría inmutables proporcionan la documentación probatoria que exigen tanto la Ley de Datos de la UE como las obligaciones de responsabilidad del GDPR.

Las disposiciones de cambio de proveedor de la Ley de Datos de la UE añaden una dimensión comercial: derechos de terminación con preaviso de dos meses y eliminación de tarifas de cambio antes de enero de 2027 reducen deliberadamente el coste de migrar de infraestructura controlada por EE. UU. a alternativas soberanas, haciendo que la opción de soberanía arquitectónica sea más accesible justo cuando las consecuencias legales se intensifican.

Cómo Kiteworks resuelve el conflicto legal a nivel arquitectónico

El «EU Cloud Act» no existe, pero el conflicto legal que describe es real y ya está plenamente vigente. El Capítulo VII de la Ley de Datos de la UE y el Capítulo V del GDPR establecen que los datos almacenados en la UE —personales y no personales— están protegidos contra el acceso ilegal de gobiernos no pertenecientes a la UE mediante instrumentos que entran en conflicto directo con los requisitos de divulgación de la Ley CLOUD de EE. UU. Los proveedores de nube estadounidenses enfrentan obligaciones legales opuestas que los contratos no pueden conciliar y que los procedimientos de impugnación solo pueden mitigar parcialmente.

La solución es la soberanía arquitectónica: llaves de cifrado controladas por el cliente en infraestructura europea, implementación de tenencia única en la UE fuera del control corporativo estadounidense y geoperimetraje técnico que hace comprobable la residencia de los datos. Kiteworks entrega esa arquitectura: tus datos, tu jurisdicción, tus llaves, haciendo que el conflicto legal sea técnicamente irrelevante para los proveedores y realmente protector para las organizaciones cuyos datos están en juego.

Kiteworks ofrece la resolución arquitectónica que exigen la Ley de Datos de la UE y los requisitos de Schrems II del GDPR, y que el dilema de la Ley CLOUD hace imprescindible.

La Red de Datos Privados de Kiteworks se implementa como una instancia dedicada de tenencia única en la ubicación europea elegida por el cliente de la UE: en las instalaciones, a través de un proveedor de nube europeo o en infraestructura de Kiteworks alojada en la UE. No hay procesamiento de datos de clientes de la UE en EE. UU. El cifrado gestionado por el cliente (BYOK/BYOE) con cifrado validado FIPS 140-3 Nivel 1 y AES-256 en reposo significa que Kiteworks nunca posee las llaves de cifrado del cliente. Una solicitud de la Ley CLOUD dirigida a Kiteworks solo produce texto cifrado: una divulgación técnicamente conforme que no revela nada legible. Se cumple el requisito de medidas técnicas de la Ley de Datos de la UE. Se cumple el requisito de medidas suplementarias de Schrems II del GDPR. Se cumple la obligación de la Ley CLOUD. Todo a la vez, gracias a la arquitectura.

El geoperimetraje aplicado por políticas bloquea el contenido dentro de regiones designadas de la UE a nivel de infraestructura. Los controles de seguridad de confianza cero gobiernan todo el acceso, con cada interacción registrada en una pista de auditoría inmutable a través del Panel de CISO. Los informes de cumplimiento preconfigurados para GDPR, NIS 2, DORA e ISO 27001 proporcionan el paquete de evidencia regulatoria cuando los DPA o los clientes preguntan cómo se ha resuelto el conflicto con la Ley CLOUD. Todos los canales —correo electrónico, uso compartido de archivos, MFT, formularios web, APIs— gestionados en una sola plataforma con controles de soberanía coherentes.

Para ver cómo Kiteworks resuelve el conflicto entre la Ley de Datos de la UE y el GDPR con las demandas de la Ley CLOUD de EE. UU., solicita una demo personalizada hoy.

Preguntas frecuentes

No existe ninguna norma en la UE llamada «Cloud Act». El término se usa ampliamente de manera informal, pero en realidad se refiere a dos instrumentos distintos: la Ley de Datos de la UE (aplicable desde septiembre de 2025), cuyo Capítulo VII exige que los proveedores de nube en la UE impidan el acceso ilegal de gobiernos no pertenecientes a la UE a datos no personales y que impugnen las solicitudes de acceso que entren en conflicto con la ley de la UE; y el Capítulo V del GDPR con su marco de Evaluación de Impacto de Transferencia posterior a Schrems II, que regula lo mismo para los datos personales. Juntos constituyen la respuesta legal de la UE a la Ley CLOUD de EE. UU., pero cada uno tiene diferente alcance, mecanismos de aplicación y categorías de datos, por lo que la distinción es relevante para el cumplimiento.

La Ley CLOUD de EE. UU. exige que las empresas estadounidenses entreguen los datos que controlan en respuesta a solicitudes válidas del gobierno de EE. UU., sin importar dónde estén almacenados. El Capítulo VII de la Ley de Datos de la UE exige que los proveedores de nube en la UE impidan el acceso de gobiernos no pertenecientes a la UE a datos no personales almacenados en la UE cuando tal acceso sea ilegal, y que impugnen esas solicitudes en vez de cumplirlas. Una solicitud válida de la Ley CLOUD para datos no personales de la UE puede ser exactamente el escenario que el Capítulo VII exige impugnar. El proveedor no puede cumplir ambas a la vez: cumplir con la Ley CLOUD puede violar la Ley de Datos de la UE; impugnarla para cumplir con la Ley de Datos de la UE puede exponer al proveedor a consecuencias legales en EE. UU.

No, el Capítulo VII cubre explícitamente solo los datos no personales. Los datos personales están regulados por el GDPR, cuyas implicaciones tras Schrems II son funcionalmente equivalentes: restricciones de transferencia del Capítulo V, Evaluaciones de Impacto de Transferencia y las Recomendaciones 01/2020 del EDPB aplican a las transferencias de datos personales a infraestructura controlada por EE. UU., exigiendo el cifrado controlado por el cliente como la principal medida técnica adecuada. Para las organizaciones con datos personales y no personales en infraestructura de la UE —prácticamente todas las empresas— tanto la Ley de Datos de la UE como el GDPR aplican simultáneamente, cubriendo todo el entorno de datos.

Bajo el Capítulo VII, el proveedor debe evaluar si la solicitud es motivada, específica y proporcionada, y si entra en conflicto con la legislación de la UE o acuerdos internacionales aplicables, como los tratados de asistencia legal mutua. Si existe conflicto, debe impugnar o solicitar la modificación de la orden. Si la divulgación es inevitable, solo debe proporcionar los datos mínimos necesarios aplicando medidas de protección, e informar a los clientes afectados salvo prohibición legal. Los proveedores también deben implementar medidas técnicas —incluido el cifrado y controles de acceso— para impedir el acceso ilegal, y divulgar públicamente estas medidas y las ubicaciones de su infraestructura TIC.

Cuando el cliente de la UE mantiene las llaves de cifrado en su propia infraestructura europea y el proveedor estadounidense nunca las posee, el conflicto legal se vuelve técnicamente irrelevante. Una solicitud de la Ley CLOUD de EE. UU. solo produce texto cifrado: cumplimiento técnico (el proveedor divulga lo que tiene) mientras se satisface el requisito de medidas técnicas de la Ley de Datos de la UE (los datos son ilegibles sin llaves que el proveedor no posee) y el estándar de medidas suplementarias de Schrems II del GDPR. El cifrado gestionado por el cliente de Kiteworks, con cifrado validado FIPS 140-3 Nivel 1, proporciona esta arquitectura en todos los canales de comunicación de contenido confidencial: la solución técnica a un conflicto legal que ningún contrato puede resolver.

Recursos adicionales

Artículo del Blog

  • eBook
    Soberanía de datos y GDPR
  • Artículo del Blog
    Evita estos errores comunes sobre soberanía de datos
  • Artículo del Blog
    Mejores prácticas para la soberanía de datos
  • Artículo del Blog
    Soberanía de datos y GDPR [Entendiendo la seguridad de los datos]

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks