La seguridad y la privacidad de los datos han cobrado una relevancia sin precedentes en el contexto actual, especialmente en eventos como el Cloud Summit 2025, celebrado el 24 de abril en Madrid. Este encuentro, que reunió a expertos del sector tecnológico y legal, se centró en los retos y oportunidades que presenta la protección de datos en un entorno digital cada vez más regulado. Organizado con el apoyo de diversas asociaciones y la Universidad Nebrija, el evento se propuso convertirse en un referente en el análisis de los desafíos regulatorios del entorno cloud, integrando derecho, tecnología y seguridad en un debate esencial para Europa.
Uno de los momentos más destacados del evento fue la intervención de Maximilian Schrems, un abogado y activista reconocido por su trabajo en defensa de los derechos digitales. Durante su ponencia, Schrems advirtió sobre la inestabilidad del actual acuerdo de transferencia de datos entre la Unión Europea y Estados Unidos, conocido como el Transatlantic Data Privacy Framework (TADPF). Este acuerdo, firmado en 2023, se basa en órdenes ejecutivas de EE.UU. en lugar de una legislación formal, lo que lo convierte en una base jurídica frágil. La preocupación de Schrems radica en que, con el cambio de administración en EE.UU., las promesas de protección de datos podrían desvanecerse rápidamente, dejando a muchas empresas europeas en un limbo legal.
### Riesgos y Recomendaciones para Empresas Europeas
Schrems destacó varios riesgos que podrían afectar gravemente al tejido económico europeo. En primer lugar, mencionó el riesgo legal inmediato que enfrentan miles de contratos que implican transferencias de datos a EE.UU., especialmente aquellos relacionados con servicios en la nube de grandes empresas como Microsoft, Amazon, Google y Apple. La posibilidad de que estos contratos se vuelvan ilegales en cuestión de días es una preocupación real para muchas organizaciones.
Además, el impacto sectorial de esta situación podría ser devastador. Empresas tecnológicas, entidades financieras, administraciones públicas, hospitales y centros educativos dependen en gran medida de estos servicios en la nube. La dependencia estructural de la UE en relación con los gigantes tecnológicos estadounidenses se convierte en un punto crítico, ya que no se han desarrollado suficientes alternativas soberanas para mitigar este riesgo.
Para ayudar a las empresas a navegar por este complejo panorama, Schrems ofreció varias recomendaciones. En primer lugar, sugirió la elaboración de un plan de contingencia que evalúe opciones de alojamiento de datos dentro del Espacio Económico Europeo. También enfatizó la importancia de revisar los contratos de servicios en la nube para asegurar que incluyan cláusulas de protección y legalidad ante posibles cambios regulatorios. Finalmente, instó a las empresas a monitorizar la evolución política en EE.UU., ya que un cambio en la administración podría invalidar las bases actuales del acuerdo de privacidad.
### Retos Normativos y Ciberseguridad en el Entorno Cloud
El Cloud Summit 2025 también abordó los desafíos normativos y de ciberseguridad que enfrentan las empresas en el ámbito de la nube. En una mesa redonda moderada por Sor Arteaga, doctora en Derecho, se discutieron temas como el impacto de la directiva NIS2 y las mejores prácticas para la protección de datos en el entorno cloud. Expertos en ciberseguridad y protección de datos, como Javier Candau y Esther Muñoz Fuentes, compartieron sus perspectivas sobre la adaptación de la NIS2 en España y las no conformidades más comunes en los procesos de certificación del Esquema Nacional de Seguridad (ENS).
Los participantes coincidieron en que, aunque los hiperescalares cumplen con el nivel alto del ENS, enfrentan dificultades para cumplir con ciertas exigencias del Reglamento General de Protección de Datos (RGPD). Se recomendó el uso de nubes de propiedad nacional para almacenar datos personales sensibles, como los relacionados con la salud, para garantizar una mayor seguridad y cumplimiento normativo.
Francisco Pérez Bes, adjunto a la presidencia de la Agencia Española de Protección de Datos (AEPD), también subrayó la importancia de integrar la protección de datos en la estrategia empresarial, especialmente en servicios cloud. Destacó la necesidad de contar con contratos bien estructurados y de implementar medidas de seguridad eficaces. Además, advirtió sobre los retos que presentan tecnologías emergentes como la inteligencia artificial y la computación cuántica, instando a los órganos de gobierno a asumir un papel activo en la gestión de estos riesgos.
El evento concluyó con un llamado a la acción por parte de Roberto Beitia, presidente de APECDATA, quien enfatizó la necesidad de una evolución tecnológica acompañada de madurez legislativa en protección de datos y ciberseguridad. Beitia instó a reforzar la concienciación en toda la cadena de valor, desde proveedores hasta usuarios, y abogó por la soberanía digital europea, promoviendo infraestructuras propias que reduzcan la dependencia de proveedores globales. Iniciativas como Piwik Pro, que permite análisis de audiencia respetando la privacidad, fueron citadas como ejemplos de innovación tecnológica con sello europeo.
