La discusión sobre nube soberana ya no pasa por una pregunta simple sobre la ubicación de los servidores. El punto central es más incómodo para los gobiernos, más sensible para los proveedores tecnológicos y más relevante para cualquier ciudadano que depende de servicios públicos digitales.
La cuestión es quién puede operar la infraestructura, quién tiene acceso privilegiado, bajo qué leyes queda alcanzado el proveedor, quién administra las llaves de cifrado y qué capacidad real conserva el Estado para auditar, migrar o recuperar sus sistemas críticos.
En otras palabras, un dato público puede estar alojado en territorio nacional y aun así quedar sometido a controles técnicos, jurídicos u operativos que limitan la autonomía estatal. Esa diferencia explica por qué la soberanía digital pasó de ser un tema de cumplimiento normativo a una decisión estratégica de compra tecnológica. Gartner proyectó que el gasto mundial en sovereign cloud IaaS llegará a US$ 80.000 millones en 2026, con una suba de 35,6% frente a 2025. La consultora también señaló que los gobiernos serán los principales compradores, por delante de industrias reguladas e infraestructura crítica.
El cambio de fondo es claro. La nube soberana ya no se define solo por la residencia de los datos, sino por el control efectivo sobre la operación, la continuidad y la salida. La información adjunta para esta nota sintetiza esa tensión con precisión. El debate pasó de “dónde están los datos” a “quién puede apagarlos”, “quién puede verlos” y “qué margen tiene el Estado si decide cambiar de proveedor”.

Índice de temas
La soberanía ya no se mide en kilómetros, sino en control
Durante años, muchos contratos cloud del sector público resolvieron la discusión con una cláusula de residencia local. Si los datos estaban dentro del país, el requisito parecía cumplido. En 2026, esa respuesta resulta insuficiente. La soberanía real incluye llaves de cifrado, acceso del personal técnico, auditoría, portabilidad, interoperabilidad, recuperación ante fallas y jurisdicción legal.
El caso del CLOUD Act de Estados Unidos ilustra por qué la localización física no agota la discusión. El Departamento de Justicia estadounidense explicó que esa norma busca facilitar el acceso a evidencia electrónica “wherever it happens to be located” mediante acuerdos bilaterales con países que tengan protecciones fuertes de privacidad y libertades civiles. No implica acceso automático a datos gubernamentales de terceros países, pero sí muestra por qué los Estados preguntan qué leyes alcanzan al proveedor y quién puede recibir una orden judicial.
Ese matiz cambió el lenguaje de las contrataciones públicas. Ya no alcanza con pedir data centers locales. Los pliegos más exigentes empiezan a pedir separación lógica y física, operación por personal residente, controles sobre soporte remoto, administración local de llaves, trazabilidad de accesos y planes de salida. Deloitte ubicó la soberanía cloud como un asunto de gobierno y riesgo, con criterios como control sobre datos y procesos, auditabilidad, transparencia de la estructura del proveedor y resiliencia operativa.
El riesgo de dependencia también tomó otra escala. Si un registro civil, un sistema tributario, una plataforma judicial o una base de salud dependen de un único proveedor, la pregunta deja de ser técnica. Pasa a ser institucional. Un corte de servicio, una sanción internacional, un conflicto contractual o un incidente de ciberseguridad pueden afectar prestaciones básicas del Estado.

Europa marcó el camino y los hyperscalers respondieron
La Unión Europea convirtió esta discusión en política pública. En junio de 2026, la Comisión Europea presentó el Cloud and AI Development Act, una iniciativa destinada a fortalecer la soberanía y la competitividad europea en cloud e IA. El plan forma parte de un paquete más amplio de soberanía tecnológica y busca ampliar la capacidad regional de data centers, cómputo e infraestructura digital.
El mensaje europeo fue directo. La autonomía digital requiere capacidad propia, reglas comunes y menor dependencia de proveedores no europeos en cargas sensibles. En paralelo, la Comisión adjudicó en abril de 2026 un contrato de €180 millones por seis años a cuatro proveedores europeos de cloud soberana, entre ellos Post Telecom, StackIT, Scaleway y Proximus. La licitación se vinculó con el Cloud Sovereignty Framework y con la necesidad de limitar el control de entidades no europeas sobre infraestructura y servicios.
El movimiento forzó una respuesta de los gigantes globales. AWS anunció en enero de 2026 la disponibilidad de su AWS European Sovereign Cloud, con primera región en Brandeburgo, Alemania, y una inversión prevista de €7.800 millones. La compañía la presentó como una nube separada de sus regiones globales, con controles de residencia, identidad, metadatos, facturación y operación independiente.
Microsoft también amplió en febrero de 2026 su propuesta Sovereign Cloud con capacidades para entornos públicos, privados y desconectados. La empresa incorporó opciones para ejecutar cargas de productividad e IA en ambientes con mayor control local, incluso sin conexión permanente a la nube pública.
El caso de Telefónica y Google Cloud en España muestra un modelo híbrido que gana terreno. En mayo de 2026, ambas compañías anunciaron una oferta de nube soberana para administraciones públicas y sectores regulados. El esquema combina infraestructura de Google Cloud con Google Cloud Data Boundary y cifrado con llaves generadas y almacenadas por Telefónica en su propia nube soberana.
La lectura de mercado es potente. Incluso los hyperscalers aceptaron que la escala global ya no alcanza como argumento único. Los clientes públicos y regulados piden control verificable, no solo promesas contractuales.

El nuevo costo de la autonomía digital
La soberanía digital tiene un precio. Más control puede implicar más complejidad, más proveedores, más integración y mayores costos operativos. IDC proyectó que, hacia 2028, 60% de las multinacionales dividirá sus stacks de IA entre zonas soberanas, lo que podría triplicar los costos de integración. La fragmentación regulatoria y los riesgos de cadena de suministro obligan a diseñar arquitecturas más caras y menos lineales que la nube global tradicional.
BARC detectó una señal similar en su estudio Data Sovereignty 2026. El 51% de los encuestados calificó la soberanía de datos como “muy importante”, frente al 42% de 2025, y 76% espera que su relevancia aumente. Los factores externos que más empujan la agenda son los requisitos legales, con 61%, los desarrollos políticos en Estados Unidos, con 54%, los incidentes de ciberseguridad, con 49%, y la dependencia de proveedores de nube pública, con 46%.
Capgemini también registró el cambio de tono. Según su Research Institute, 60% de las organizaciones cree que la soberanía cloud facilitará compartir datos con socios confiables y 63% considera que dará un entorno seguro y confiable para almacenar información. El dato ayuda a entender que la soberanía no es solo defensa. También puede ser una condición para colaborar, abrir datos bajo reglas claras y escalar servicios digitales con mayor confianza.
La Unión Europea atacó otro problema central. El Data Act, aplicable desde el 12 de septiembre de 2025, busca dar más control a usuarios y empresas sobre sus datos y permite transferir información y cambiar de proveedor cloud con mayor facilidad. Para un Estado, esa portabilidad es clave. No hay soberanía plena si migrar sistemas, recuperar datos o cambiar de proveedor se vuelve prohibitivo.
El reglamento DORA suma otra capa. Aunque fue diseñado para el sector financiero, creó un marco europeo de supervisión sobre proveedores críticos de tecnología. Las autoridades europeas explican que el objetivo es asegurar resiliencia frente a disrupciones tecnológicas y reducir riesgos derivados de la dependencia de terceros críticos. En noviembre de 2025, reguladores de la UE designaron 19 proveedores tecnológicos críticos para finanzas, entre ellos Amazon Web Services, Google Cloud y Microsoft.
La enseñanza para el sector público es evidente. Si bancos y aseguradoras deben mapear concentración tecnológica, los gobiernos deberían aplicar el mismo rigor a padrones, identidad digital, salud, seguridad social, justicia, educación y recaudación.
Argentina ante una brecha estratégica
Argentina tuvo un antecedente formal con la consulta pública “Nube Híbrida en Gobierno”, impulsada en 2021 por la Secretaría de Innovación Pública y la ONTI. El proceso buscó recibir aportes para una nube de gobierno y reconoció a ARSAT como actor relevante en su diseño. Según la información oficial, la consulta tuvo 23 aportes de empresas, organismos públicos, cámaras, sociedad civil y academia.
Ese antecedente cobra otro valor en 2026. La agenda global avanzó rápido, mientras la discusión local parece más fragmentada. Argentina cuenta con activos para participar del debate, como ARSAT, capacidades técnicas públicas, sector privado tecnológico y experiencia en digitalización estatal. Sin embargo, no aparece todavía un marco equivalente al europeo, con niveles claros de soberanía cloud, clasificación de cargas críticas, reglas de portabilidad, requisitos de cifrado, auditoría y continuidad operativa.
El tema también se cruza con la protección de datos personales. La Agencia de Acceso a la Información Pública es la autoridad argentina encargada de garantizar la protección de datos personales y el acceso a la información pública. La discusión sobre una actualización de la Ley 25.326 queda atada a esta agenda porque los sistemas de IA pública, interoperabilidad estatal y servicios digitales necesitan reglas modernas sobre datos, seguridad, trazabilidad y responsabilidad.
La IA aceleró la urgencia. La OCDE informó en 2026 que 35 de 36 países miembros, el 97%, ya utilizaban IA en al menos un área de gobierno. El Banco Mundial, por su parte, planteó que la preparación para IA depende de cuatro bases. Conectividad, cómputo, contexto y competencias. Dentro del cómputo incluyó chips, data centers y cloud computing.
Ese punto es decisivo. No habrá IA pública soberana sin una infraestructura cloud que el Estado pueda gobernar, auditar y recuperar. Un chatbot para trámites, un sistema predictivo en salud o una herramienta de análisis tributario no dependen solo del modelo de IA.
Dependen de dónde se procesan los datos, quién los observa, qué se registra, qué se entrena, quién conserva los logs, qué proveedor administra las llaves y cómo se apaga o migra el sistema si cambia la estrategia pública.
Para Argentina, el debate no consiste en elegir entre nube pública global o infraestructura local cerrada. La decisión más sofisticada pasa por clasificar riesgos. No todas las cargas estatales requieren el mismo nivel de aislamiento. Un portal informativo puede operar bajo reglas distintas a una base biométrica, un sistema de historia clínica o una plataforma fiscal. La nube soberana funciona mejor como una escala de controles que como una etiqueta comercial.
El desafío de fondo es contractual, técnico y político. Los contratos deberían exigir salida ordenada, formatos interoperables, evidencia de auditoría, control de identidades privilegiadas, cifrado con llaves bajo custodia definida, planes de continuidad y métricas de resiliencia. También deberían evitar dependencias que transformen una decisión de eficiencia en una pérdida de capacidad estatal.
La pregunta del título, entonces, no admite una respuesta única. Los datos del Estado los controla quien controla la operación diaria, las llaves, los accesos, la jurisdicción, la arquitectura y la salida. Si esos elementos quedan fuera del alcance público, la soberanía se reduce a una dirección de data center. Si el Estado los gobierna con reglas verificables, la nube puede convertirse en infraestructura estratégica para servicios digitales, IA y resiliencia institucional.








