El objetivo de la Comisión Europea de triplicar en entre cinco y siete años el mercado de centros de datos de la UE sería imposible sin una fuerte intervención en el mercado, y eso es precisamente lo que hace CADA.
La Comisión Europea ha presentado recientemente su propuesta de Ley de Desarrollo de la Nube y la IA (CADA), que pretende impulsar la industria local de la nube y la inteligencia artificial reconfigurando las infraestructuras, el mercado europeo de servicios en la nube y la forma en que podrán operar en el futuro los organismos del sector público.
PUBLICIDAD
PUBLICIDAD
La CADA se articula en tres grandes pilares: inversión en investigación, desarrollo e innovación; refuerzo de capacidades, con el objetivo de triplicar el mercado europeo de centros de datos en un plazo de entre cinco y siete años; y un marco integral de autonomía que establece cuatro niveles de soberanía y seguridad y nuevas obligaciones para los Estados miembros de la UE.
La CADA recibe una acogida desigual
Por ahora, la propuesta ha obtenido valoraciones dispares. Asociaciones del sector como CCIA Europe han calificado el texto de discriminatorio, dado que la CADA obligaría a los Estados miembros a determinar qué casos de uso requieren niveles específicos de soberanía que los proveedores no comunitarios «no podrían cumplir por defecto».
El abogado tecnológico polaco Mikolaj Barcenciewicz ha señalado en el pasado que la CADA debería basarse en el riesgo y no en categorías rígidas, y que debe preservarse el enfoque individual de los Estados miembros y el principio de subsidiariedad en lugar de generalizarlo.
El eurodiputado sueco Jörgen Warborn ha compartido recientemente su opinión sobre la propuesta de la CADA en LinkedIn, y sostiene que los objetivos de soberanía digital europea deben acompañarse de una mayor simplificación y de mejores condiciones para las empresas, con una perspectiva reforzada de retorno de la inversión.
También afirmó que, si bien los objetivos de soberanía de la UE deben reforzarse en las aplicaciones nacionales relacionadas con la seguridad nacional, las áreas menos sensibles deberían abrirse a la inversión extranjera directa, ya que «una inmensa mayoría de la riqueza mundial se encuentra fuera de la UE» y la UE debería trabajar para atraer esas inversiones, y no al contrario.
La eurodiputada finlandesa Aura Salla, en cambio, ha reclamado un enfoque aún más centralizado para someter a pruebas de resistencia las dependencias tecnológicas y evaluar los riesgos a escala de cada Estado miembro.
Por último, algunas partes interesadas, como el proveedor de software alemán Nextcloud, consideran que la propuesta actual no es lo bastante ambiciosa y que debería ampliarse también al sector privado.
Un límite de 12 meses para las licencias, pero con más requisitos
El título III de la CADA establece dos mecanismos principales para ampliar con rapidez la capacidad de centros de datos en la UE: las Zonas de Aceleración de Centros de Datos y los Proyectos Estratégicos de Centros de Datos.
En un plazo de seis meses desde la entrada en vigor del reglamento, cada Estado miembro deberá designar al menos una zona de aceleración, integrada en los planes urbanísticos locales y de distrito, teniendo en cuenta la disponibilidad de la red eléctrica, la capacidad de la red de comunicaciones y una clara preferencia por áreas industriales ya existentes.
Tanto si un proyecto se ubica en estas zonas previamente aprobadas como si recibe la designación individual de proyecto estratégico, se beneficiará de un «corredor verde» con un procedimiento de concesión de licencias limitado a un máximo de 12 meses.
Sin embargo, la lista de verificación para cumplir la CADA es muy exigente, los operadores de infraestructuras deberán adoptar indicadores clave de sostenibilidad comunes a escala europea y la asignación de recursos locales estará estrechamente vigilada para evitar el acaparamiento especulativo o los bloqueos anticompetencia.
En la práctica, esto deja a los Estados miembros un estrecho margen de seis meses para establecer zonas conformes dentro de complejos marcos de planificación local, seguido de otro plazo igualmente ajustado de 12 meses para la aprobación de licencias individuales.
La propia construcción de centros de datos ya se ve fuertemente limitada por la realidad física, solo unas pocas constructoras especializadas cuentan con las certificaciones necesarias, cada fase de desarrollo está sometida a auditorías rigurosas y, incluso en el caso de instalaciones modestas, las obras pueden prolongarse durante años.
Si se añaden amplias cargas adicionales de cumplimiento tanto para los Estados miembros como para los proveedores de infraestructuras, los responsables políticos de la UE corren el riesgo de que su techo máximo de 12 meses para las licencias se convierta en un objetivo menor y poco significativo dentro de una cadena de proyectos estructuralmente compleja.
Cambios de calado en la contratación pública
El título IV de la CADA y sus anexos establecen un nuevo marco rígido que determina con precisión qué tipos de programas y servicios de computación en la nube pueden contratar los Estados miembros de la UE.
La demanda del sector público se alineará de forma estricta con los cuatro niveles de garantía definidos en el anexo II de la CADA.
El nivel uno abarca la soberanía y la seguridad básicas, y se permite la propiedad societaria por parte de empresas de terceros países.
El nivel dos se refiere a una soberanía digital sustancial, y la propiedad societaria de terceros países sigue estando permitida siempre que todas las operaciones, infraestructuras, personal y servicios de apoyo permanezcan estrictamente dentro de la UE, cuenten con una certificación de ciberseguridad «sustancial» y los datos de los clientes no puedan utilizarse para entrenar sistemas de IA en terceros países.
El nivel tres implica una alta soberanía y está vinculado a la seguridad nacional, el control societario por parte de empresas de terceros países queda prohibido por defecto, sujeto solo a excepciones puntuales concedidas por la Comisión Europea, mientras que el nivel cuatro representa la autonomía máxima y la seguridad crítica, con el control societario de terceros países completamente vetado.
¿Cómo deben aplicar los Estados miembros de la UE el nuevo marco de la CADA? En primer lugar, nombrando una o varias autoridades nacionales competentes para hacer cumplir las normas, auditar a los proveedores y tramitar las solicitudes de reconocimiento de los proveedores de servicios en la nube.
En el plazo de un año, los Estados miembros deberán realizar evaluaciones de riesgos, que se repetirán cada dos años, para identificar qué actividades del sector público dependen de servicios en la nube y determinar el nivel adecuado de garantía de seguridad.
La propuesta actual de la CADA supondría una ruptura total con la forma en que ha funcionado hasta ahora la contratación pública de servicios en la nube.
Hasta ahora, los organismos públicos de los Estados miembros podían elegir libremente a los proveedores de servicios en la nube en función del precio, la calidad del servicio, las necesidades organizativas y la legislación sobre gestión de datos basada en el riesgo soberano.
Si antes los criterios de adjudicación de los contratos públicos se basaban principalmente en el precio y en especificaciones técnicas estándar, ahora los Estados miembros también tendrían que evaluar criterios no relacionados con el precio, como la medida en que un proveedor contribuye al ecosistema digital europeo.
Este artículo se publicó por primera vez en EU Tech Loop (fuente en inglés) y se ha compartido en Euronews en el marco de un acuerdo.