4 Min. de lectura
Gastkommentar von Andreas Knols, Director enthus cloud
Microsofts Ankündigung, M365 Copilot-Daten künftig auf deutschen Servern zu verarbeiten, verdient weder reflexartige Skepsis noch unkritischen Applaus. Sie verdient Präzision.
Lo más importante en resumen
- Microsoft asegura la residencia física de los datos: Las solicitudes de M365 Copilot y los datos de contexto se procesan en centros de datos alemanes, no más en Estados Unidos ni en Irlanda.
- El CLOUD Act permanece: Microsoft es y sigue siendo una empresa estadounidense. La dirección de los servidores no cambia la jurisdicción legal aplicable en caso de acceso.
- El catálogo de criterios BSI C3A hace posible verificar la soberanía: Residencia, portabilidad, subcontratistas, derechos de acceso y jurisdicción legal como un marco operativo antes del despliegue.
Relacionado:Google Gemini en la empresa: ¿qué exige el AI Act? / SAP Sovereign Cloud France: Consecuencias para los responsables de TI
Lo que Microsoft promete específicamente: residencia física de los datos para los procesos de inferencia dentro de Alemania. Quienes usan Copilot en Word, Teams o Outlook verán sus solicitudes y datos de contexto procesados en servidores ubicados en centros de datos alemanes – no en Estados Unidos, ni en Irlanda. Para muchas empresas que acompañamos en su camino hacia la nube, esta es una mejora sustancial respecto a la situación actual.
Y aun así: este paso responde a una pregunta importante. No a la decisiva.
Lo que la residencia física no regula
La jurisdicción. Microsoft es y sigue siendo una empresa estadounidense. El CLOUD Act de 2018 obliga a las empresas estadounidenses, bajo ciertas condiciones, a entregar datos a petición de las autoridades – independientemente de en qué país estén físicamente almacenados esos datos. Un centro de datos alemán no cambia la estructura societaria del proveedor; solo modifica la dirección de los servidores.
Este no es un reproche oculto. Es una constatación de la situación legal – y una realidad que Microsoft misma no puede resolver, porque está ligada a su estructura corporativa, no a su infraestructura.
Quien interpreta el compromiso soberano de Microsoft como la respuesta completa a la cuestión de la soberanía ha olvidado una dimensión: donde se encuentra un servidor y qué jurisdicción legal rige en caso de duda sobre el contenido alojado en él son dos afirmaciones distintas. La primera fue precisada por Microsoft con su anuncio; la segunda permanece abierta.
Lo que el catálogo del BSI ofrece ahora
Precisamente para esta distinción, el catálogo de criterios C3A del BSI, publicado el 27 de abril de 2026, constituye la herramienta adecuada. Permite evaluar las pretensiones de soberanía no como un manifiesto político, sino como una pauta operativa: residencia, portabilidad, transparencia respecto a subproveedores, derechos de acceso y, de manera explícita, la ordenación jurídica aplicable en caso de acceso.
La declaración de Microsoft cumple, según este marco, una parte relevante de los requisitos. Sin embargo, no los satisface todos. Esto no es una debilidad del proveedor; es el resultado de un análisis honesto. Y precisamente ahí radica el valor del catálogo: obliga a la precisión allí donde antes bastaba con una mera afirmación.
| Dimensión de la soberanía | Lo que Microsoft asegura ahora | Lo que queda pendiente |
|---|---|---|
| Residencia física | Datos de inferencia en centros de datos alemanes | Cuestión de la dirección resuelta |
| Jurisdicción / Ley CLOUD Act | Sin cambios: estructura corporativa estadounidense | Ordenación jurídica en caso de acceso aún abierta |
| Marco C3A del BSI | Parte relevante cumplida | No se cubren todos los criterios |
Qué deberían aclarar los responsables antes de la implantación
No: evitar M365 Copilot. No: tomar la declaración al pie de la letra y firmar el contrato sin leerlo.
Sino: plantear tres preguntas -preferiblemente antes de tomar la decisión sobre el despliegue-. Primero: ¿qué garantiza contractualmente Microsoft y qué solo figura en la presentación del producto? Segundo: ¿cuáles son las obligaciones de información de Microsoft ante las autoridades estatales y bajo qué ordenamiento jurídico? Tercero: si las respuestas a las preguntas uno y dos cambian, ¿podré migrar sin costos prohibitivos?
Planteamos estas cuestiones en cada proyecto de arquitectura cloud. Las respuestas determinan qué datos pertenecen a qué entorno y cuáles no. Esto no es una mera tarea de cumplimiento normativo; es un oficio de arquitectura.
El paso dado por Microsoft constituye una buena señal: que el líder del mercado responda a las exigencias de soberanía resulta relevante para nosotros, como profesionales de la nube. Pero una señal no equivale a un contrato. Quien hoy plantea correctamente la cuestión arquitectónica no tendrá que responder bajo presión mañana.
Sobre el autor: Andreas Knols dirige enthus cloud, la oferta de nube privada gestionada de enthus, y acompaña a empresas medianas en la construcción de arquitecturas cloud soberanas y resilientes.
Preguntas frecuentes
¿Qué garantiza Microsoft concretamente con el procesamiento soberano de datos?
Residencia física de los datos para procesos de inferencia dentro de Alemania. Las consultas y los datos de contexto de M365 Copilot se procesan en servidores de centros de datos alemanes, no en EE. UU. ni en Irlanda.
¿Por qué la residencia física de los datos no basta para la soberanía?
Porque no regula la jurisdicción. Microsoft sigue siendo una empresa estadounidense, y la CLOUD Act de 2018 obliga a los proveedores estadounidenses a entregar datos bajo ciertas condiciones, independientemente de su ubicación física. La dirección del servidor y el ordenamiento jurídico aplicable son dos cuestiones distintas.
¿Qué aporta el catálogo de criterios C3A de la BSI?
Hace verificables las reivindicaciones de soberanía. El marco operativo abarca la residencia, la portabilidad, la transparencia sobre los subcontratistas, los derechos de acceso y, explícitamente, el ordenamiento jurídico aplicable en caso de acceso. Publicado el 27 de abril de 2026.
¿Qué tres preguntas deben aclarar los responsables antes del despliegue?
Primero: ¿qué garantiza Microsoft contractualmente y qué figura solo en el anuncio del producto? Segundo: ¿qué obligaciones de información tiene Microsoft ante las autoridades estatales y bajo qué ordenamiento jurídico? Tercero: si las respuestas cambian, ¿puedo cambiar sin incurrir en costes de migración prohibitivos?
¿Significa esto que hay que evitar M365 Copilot?
No. Pero la cuestión arquitectónica debe resolverse antes de decidir el despliegue, no después. Las respuestas determinan qué datos pertenecen a qué entorno y cuáles no. No es un ejercicio de cumplimiento normativo, sino artesanía arquitectónica.
Más de la red MBF Media
Salir de la nube estadounidense: lo que deben verificar las pymes
Fuente de la imagen de cabecera: panumas nikhomkhai / Pexels
