La soberanía no es opcional: cómo deben enfocar el control los gobiernos y las empresas
Los gobiernos y las empresas necesitan evaluaciones rigurosas de la soberanía para gestionar los aspectos jurídicos, operativos, criptográficos y de control de la cadena de suministro.
2 de julio de 2026
·Blog
·Jay Goodman
%3Aquality(100)&w=3840&q=75)
La soberanía se ha convertido en uno de los términos más manidos en el ámbito de la tecnología empresarial. Se utiliza para referirse a la residencia de los datos, la titularidad de una entidad local, el cifrado en reposo, la ciudadanía local de los directivos o el cumplimiento de una normativa u otra. A menudo, el término significa lo que el hablante quiere que signifique. Una organización lo utiliza para referirse a la residencia de los datos, otra lo emplea para describir la propiedad, y un proveedor puede utilizarlo para referirse a algo completamente distinto. Como resultado, los debates sobre la soberanía suelen degenerar en discusiones sobre definiciones en lugar de sobre el fondo de la cuestión.
Esa flexibilidad es cada vez más difícil de mantener. En múltiples jurisdicciones, durante los años 2025 y 2026, los gobiernos trasladaron la soberanía del ámbito del marketing a los marcos de contratación pública, los requisitos normativos y los programas de evaluación formales. Los gobiernos, los reguladores sectoriales y las autoridades de contratación pública están publicando marcos estructurados, regímenes de evaluación obligatorios y umbrales mínimos de contratación que vinculan tanto a proveedores como a compradores. Los marcos difieren en los detalles, pero convergen en las mismas cuestiones fundamentales sobre quién controla qué.
Para las organizaciones que gestionan datos sensibles, operaciones críticas o cargas de trabajo reguladas, la soberanía ya no es una opción. El reto ahora consiste en comprender qué marcos normativos son de aplicación y desarrollar la capacidad interna necesaria para adaptarse a medida que surgen otros nuevos.
Los marcos que han llegado
A continuación se ofrece un resumen de los principales marcos normativos que ya están en vigor o cuya aplicación está a punto de entrar en vigor.
Marco de soberanía en la nube de la UE (SEAL)
La Comisión Europea publicó la versión 1.2.1 en octubre de 2025 y la puso en práctica en abril de 2026 para adjudicar contratos de nube soberana por valor de 180 millones de euros. El marco evalúa a los proveedores en función de ocho objetivos de soberanía repartidos en cinco niveles de garantía de la eficacia de la soberanía (SEAL-0 a SEAL-4). El nivel SEAL-2 actúa como umbral mínimo de contratación, y una puntuación ponderada determina la prioridad de adjudicación entre los proveedores que cumplen los requisitos. La Comisión ha declarado que está aplicando los mismos criterios a otros servicios digitales que presta a las instituciones de la UE, y se espera que la próxima Ley de Desarrollo de la Nube y la IA plasme los principios del marco en legislación de la UE de carácter vinculante.
Marco de evaluación cibernética del Reino Unido y GovAssure
El Marco de Evaluación Cibernética (CAF) del Centro Nacional de Ciberseguridad del Reino Unido ofrece una evaluación estructurada y basada en resultados de la resiliencia cibernética en las infraestructuras nacionales críticas y los sistemas gubernamentales. El Plan de Acción Cibernética del Gobierno, publicado en enero de 2026, consolida el CAF como mecanismo de evaluación estándar y utiliza GovAssure para aplicarlo a los sistemas gubernamentales. A partir del ciclo 2026-27, las auditorías realizadas por terceros sustituyen a la autoevaluación, y los auditores exigen pruebas técnicas documentadas en lugar de declaraciones de política. Se espera que el proyecto de ley de ciberseguridad y resiliencia del Reino Unido amplíe las obligaciones relacionadas a los operadores del sector privado de servicios esenciales.
DORA (Ley de Resiliencia Operativa Digital)
DORA, un reglamento directo de la UE en vigor desde enero de 2025, se aplica a unas 22 000 entidades financieras de toda la UE, así como a sus proveedores externos de TIC de importancia crítica. Exige la creación de registros de proveedores externos de TIC, disposiciones contractuales sobre derechos de auditoría y rescisión, y la notificación de incidentes graves en un plazo de cuatro horas desde su clasificación. Para las entidades financieras, DORA constituye el marco operativo en materia de riesgos relacionados con terceros proveedores de TIC, en el que las autoridades supervisoras europeas que ejercen una supervisión directa sobre los proveedores críticos.
Directiva NIS2
En sustitución de la Directiva NIS original, la NIS2 amplía el ámbito de aplicación de unas 20 000 a unas 160 000 organizaciones en sectores esenciales e importantes, entre los que se incluyen la energía, el transporte, la sanidad, el agua, las infraestructuras digitales, la industria manufacturera y la administración pública. Los Estados miembros tenían hasta octubre de 2024 para transponer la NIS2 a la legislación nacional (algunos aún no han completado la transposición), y el cumplimiento total debe alcanzarse en octubre de 2026. La NIS2 impone obligaciones en materia de gestión de riesgos de ciberseguridad, requisitos de seguridad de la cadena de suministro y plazos para la notificación de incidentes que, en cuanto al concepto, se asemejan a los de la DORA.
Marco de Certificación de Alojamiento Web de Australia
En funcionamiento desde 2022 y actualmente en proceso de reforma, anunciada en noviembre de 2025, la HCF exige que todos los datos sensibles del Gobierno australiano, los sistemas de todo el Gobierno y los sistemas clasificados como «PROTECTED» estén alojados en proveedores certificados por la HCF. La certificación exige demostrar que las estructuras de propiedad y control están en consonancia con los intereses de la Commonwealth, así como la resiliencia de la cadena de suministro y los controles de soberanía de los datos.
Iniciativas nacionales sobre la nube soberana
«Cloud de Confiance» de Francia, la «Souveräner Cloud» alemanay otros programas nacionales similares en los Estados miembros de la Unión Europea establecen requisitos específicos para cada jurisdicción que se aplican junto con los marcos normativos a nivel de la UE. Una categoría estructuralmente distinta, pero con la que a menudo se confunde, es el modelo de fideicomisario de tecnología bajo licencia: acuerdos como «Bleu» (Orange y Capgemini gestionan tecnología de Microsoft en Francia) y «Delos» (SAP gestiona tecnología de Microsoft en Alemania), en los que entidades europeas gestionan tecnología estadounidense bajo licencia en el marco de estructuras de soberanía contractual. Que dichas estructuras de fideicomiso cumplan los requisitos mínimos legales de un marco determinado depende de si la jurisdicción del licenciante subyacente genera una exposición extraterritorial que se transmite a través de la relación de licencia. Ese análisis es objeto de un debate activo entre las autoridades de contratación públicas europeas y sigue siendo una de las cuestiones pendientes más importantes en la política actual de soberanía. Más allá de Europa, se han publicado o propuesto requisitos similares en Japón, Malasia, Corea del Sur (CSAP), Sudáfrica, Nigeria, Pakistán, Bolivia, Colombia, Panamá y otros países. El Informe Nacional de Estimaciones Comerciales de EE. UU. de 2026 sobre barreras al comercio exterior hace referencia a los requisitos de soberanía en la nube en aproximadamente un 50 % más de países que el informe de 2025. El hecho de que se consideren estos requisitos como una política pública acertada o como barreras comerciales es irrelevante a efectos de la contratación pública: existen, se aplican y hay que sortearlos.
Regímenes de garantía específicos para cada sector
Las directrices de los organismos reguladores financieros, como la FCA, la PRA, la OCC y otras autoridades equivalentes. Los requisitos de resiliencia en el sector sanitario establecidos por la HIPAA y los regímenes nacionales equivalentes. Y los requisitos de resiliencia en materia de energía e infraestructuras críticas establecidos por el CER y sus equivalentes. Cada uno de ellos conlleva sus propias obligaciones, relacionadas con la soberanía, en materia de residencia de datos, gestión de riesgos de terceros y resiliencia operativa.
Esta lista no es exhaustiva y es probable que vaya ampliándose. Lo importante es la tendencia: están surgiendo requisitos de soberanía en distintas jurisdicciones, sectores y regímenes de contratación pública. La soberanía es ahora una disciplina que abarca múltiples marcos normativos, y las organizaciones que la aborden como un mero ejercicio de cumplimiento de un único marco se quedarán siempre rezagadas.
Lo que tienen en común los marcos de trabajo
Si comparamos estos marcos entre sí, se aprecia un patrón común. Tanto en SEAL, CAF, DORA, NIS2 y HCF como en los programas nacionales, las mismas cuestiones fundamentales aparecen expresadas con un vocabulario diferente.
¿Quién tiene la facultad legal para exigir la divulgación de información? ¿Dónde se encuentran físicamente los datos y bajo qué jurisdicción? ¿Quién se encarga de las operaciones y podría el cliente seguir adelante si el proveedor dejara de estar disponible? ¿Cómo es la cadena de suministro y cuáles son sus dependencias? ¿Qué pruebas hay de que el sistema funcione tal y como se afirma? ¿Cómo se notifican los incidentes y a quién? ¿Puede el cliente rescindir el contrato y en qué condiciones?
Los marcos difieren en cuanto a la ponderación, los umbrales de contratación y las obligaciones de información, pero, en última instancia, todos tratan de responder a las mismas preguntas fundamentales. Una organización que haya desarrollado una disciplina interna en torno a estas preguntas podrá desenvolverse en cualquier marco específico con una confianza razonable. Una organización que haya basado su cumplimiento normativo únicamente en un marco tendrá que ir adaptándose continuamente a medida que surjan nuevos marcos.
Por eso las organizaciones deberían desarrollar capacidades de soberanía en lugar de centrarse en cumplir una única normativa. Los marcos normativos cambiarán. Las cuestiones fundamentales son mucho más duraderas.
La soberanía no es una propiedad de un proveedor
Una vez establecido el contexto, hay un enfoque conceptual que facilita el resto del debate: la soberanía no es una propiedad de un proveedor.
Los proveedores no tienen soberanía. Los clientes tienen soberanía, y la relación con un proveedor puede preservarla o mermarla.
Puede parecer una distinción sutil, pero cambia por completo la valoración. Una vez que se analiza la soberanía desde la perspectiva del cliente, el debate pasa de centrarse en las afirmaciones del proveedor a centrarse en el control real.
Cuando un cliente firma un contrato con un proveedor, se transfiere cierto grado de control sobre los datos, la infraestructura o las operaciones. La evaluación de la soberanía analiza cuánto control se ha transferido, qué tipo de control se ha transferido y quién lo ejerce en última instancia.
Imaginemos un proveedor con sede en una jurisdicción que cuenta con un régimen de coacción jurídica extraterritorial y que presta un servicio SaaS desde centros de datos locales, con personal de asistencia residente en el país y claves de cifrado almacenadas localmente. Dicho proveedor ha creado una fachada operativa parcial sin transferir la soberanía al cliente. La autoridad sigue recayendo en la empresa matriz, en la jurisdicción de esta y en su régimen de coacción. La soberanía del cliente depende de esa realidad, no de la fachada visible.
En última instancia, la soberanía se reduce al control: quién la ejerce, dónde reside y qué autoridad la rige. Los marcos conceptuales recientes abordan el problema de forma diferente, pero convergen cada vez más en ese mismo principio.
Cinco dimensiones que toda evaluación de la soberanía debe abordar
Si dejamos de lado las etiquetas, la mayoría de los análisis sobre la soberanía se reducen a cinco preguntas. Los distintos marcos de referencia las abordan de forma ligeramente diferente, pero las preguntas fundamentales son las mismas.
1. Fundamento jurídico
¿Quién tiene la facultad legal para obligar al proveedor a revelar, modificar o entregar datos y operaciones, y es esa autoridad ajena a la jurisdicción del cliente? El término «ajena» siempre es relativo a la organización que lleva a cabo la evaluación, ya sea una oficina de contratación pública, un organismo regulador o un órgano de gobierno. La jurisdicción de origen de un proveedor no es problemática en sí misma; la cuestión es si dicha jurisdicción puede ejercer su autoridad de formas que entren en conflicto con los requisitos de soberanía del cliente. En la contratación pública de la UE se pregunta si el proveedor está expuesto a medidas coercitivas de países no pertenecientes a la UE. En la contratación pública federal de EE. UU. se pregunta si está expuesto a medidas coercitivas de países no pertenecientes a EE. UU. Los gobiernos aliados se preguntan si está expuesto a medidas coercitivas por parte de jurisdicciones ajenas a la alianza. Cada marco define su propio umbral legal en esos términos. Esta es también la razón por la que la jurisdicción de la empresa matriz es más importante que la de la filial operativa: la matriz conserva la autoridad legal para obligar a la filial, independientemente del lugar en el que esta esté constituida. Los regímenes de coacción extraterritorial —leyes que autorizan a un Estado a obligar a sus empresas a facilitar datos, independientemente de dónde se encuentren físicamente dichos datos— constituyen la principal preocupación y son el centro de atención para la autoridad evaluadora. La declaración jurada de 2025 ante el Senado francés por parte de la filial local de un importante hiperescalador, en la que se confirmaba que no se podía garantizar la seguridad de los datos locales frente a la coacción de la jurisdicción de la empresa matriz, es el ejemplo canónico de dominio público para la evaluación de la soberanía de la UE en concreto. Esa misma declaración tendría un impacto diferente en el contexto de la contratación pública federal de EE. UU., donde el cumplimiento de la legislación estadounidense constituye una soberanía aceptable, y no una violación de la misma. El principio es coherente; el resultado depende de la jurisdicción que lleve a cabo la evaluación.
2. Autoridad operativa
¿Quién gestiona el sistema en el día a día y podría el cliente seguir utilizándolo si el proveedor no estuviera disponible? A veces se denomina «autonomía operativa» o «coste de salida», pero, en esencia, lo que se pregunta es si el cliente tiene acceso técnico y contractual a los elementos operativos fundamentales del servicio: código fuente, procesos de compilación, infraestructura de implementación y vías de escalación de incidencias. Un servicio SaaS sin opción local ofrece, por su propia estructura, menos soberanía operativa que un servicio que el cliente pueda implementar y ejecutar dentro de su propia infraestructura, independientemente de lo sólidas que sean las operaciones del proveedor. La transición que llevará a cabo la Corte Penal Internacional en 2025, al abandonar un gran proveedor de hiperescala para pasar a alternativas de código abierto —impulsada por las sanciones estadounidenses que afectan al personal de la CPI—, es un ejemplo real de cómo la soberanía operativa se convierte en una preocupación inmediata.
3. Autoridad en criptografía e inteligencia artificial
¿Quién tiene las claves y por dónde discurren las rutas de inferencia de la IA? Las claves de cifrado que obran en poder del proveedor, incluso cuando este se ha comprometido contractualmente a no utilizarlas, son estructuralmente diferentes de las claves que obran en poder del cliente. Un proveedor que posea las claves puede verse obligado legalmente a revelarlas o sufrir una brecha técnica de formas que el cliente no puede impedir. La misma lógica se aplica a las funciones de IA: si los datos del cliente fluyen a través de un modelo alojado en una infraestructura no controlada por el cliente, este ha perdido el control sobre ese flujo de datos, incluso si el proveedor se compromete a no conservarlos ni utilizarlos para el entrenamiento del modelo. A medida que las capacidades de IA se integran en todas las categorías de servicios digitales, esta dimensión se está convirtiendo en la fuente de erosión involuntaria de la soberanía que crece más rápidamente.
4. Autoridad en la cadena de suministro
¿Dónde se desarrolla el software y a través de qué cadena de suministro llega al cliente? Esta es la cuestión que presenta la cadena causal más larga y, a menudo, la menor visibilidad. El software rara vez se desarrolla de principio a fin en un solo lugar. Se compone de dependencias, bibliotecas, herramientas de compilación e infraestructura operativa que pueden proceder de todo el mundo. La soberanía, en este contexto, se refiere a la resiliencia de esa cadena de suministro ante interrupciones, sanciones o vulneraciones, y no solo a la ubicación de la sede central del proveedor en cuestión. El Marco de Soberanía en la Nube de la UE sopesatla cadena de suministro con un 20 %, el porcentaje más alto de todas las dimensiones, lo que refleja una valoración política según la cual el origen de la cadena de suministro es la dimensión de soberanía más duradera y menos susceptible de ser adaptada a posteriori.
5. Seguridad e integridad operativa demostradas
¿Qué pruebas hay de que el sistema cumpla lo que promete? La soberanía, en abstracto, carece de sentido si el sistema se ha visto comprometido en repetidas ocasiones. Las certificaciones son importantes en este contexto, pero como prueba de madurez operativa, no como distinciones de marketing. Las certificaciones relevantes son aquellas que validan el sistema en su entorno de implementación, como la acreditación «NATO Restricted», las «NSA Commercial Solutions for Classified», las certificaciones federales de la BSI y las evaluaciones de la CAF con los perfiles adecuados, y no aquellas que validan los procesos del proveedor en abstracto.
Estas cinco dimensiones no son exhaustivas. La sostenibilidad, la apertura tecnológica y la estabilidad estratégica también son importantes, y los marcos rigurosos las incluyen. Sin embargo, estas cinco constituyen el núcleo del debate sobre la soberanía, y cualquier evaluación de proveedores que no aborde las cinco ofrece una respuesta parcial.
El problema del suelo
Uno de los errores más comunes en la evaluación de la soberanía es considerar cada dimensión como una disyuntiva. La media ponderada de las cinco dimensiones da como resultado una puntuación, pero esta resulta engañosa si alguna de las dimensiones tiene un valor de cero.
Un proveedor con una sólida arquitectura criptográfica, operaciones maduras, una cadena de suministro transparente y numerosas certificaciones de seguridad, pero que esté expuesto a la obligación legal extranjera, presenta una brecha de soberanía que las otras cuatro dimensiones no pueden subsanar. La brecha no se encuentra en la parte visible de la arquitectura, sino en la autoridad legal subyacente que se sitúa por encima de ella. La criptografía no protege frente a la entrega de claves en virtud de una orden judicial. La madurez operativa no protege frente al acceso forzado. La transparencia de la cadena de suministro no altera la jurisdicción de la empresa matriz.
Por eso, los marcos sofisticados tratan ciertas dimensiones (siendo la autoridad jurídica el ejemplo canónico) como condiciones mínimas: umbrales mínimos que deben cumplirse de forma independiente, en lugar de promediarse con otras dimensiones. La evaluación en dos fases del Marco de Soberanía en la Nube de la UE —un umbral mínimo de contratación en cada dimensión seguido de una puntuación ponderada entre los proveedores que cumplen los requisitos— es una expresión de esta disciplina. Los principios basados en resultados del CAF, evaluados en función de umbrales específicos para cada perfil, son otra. Este patrón se repite porque refleja cómo funciona la soberanía en situaciones de presión.
Para las organizaciones que establecen sus propios criterios de evaluación, identificar los requisitos mínimos es la decisión inicial más importante. La pregunta que hay que plantearse es: ¿qué aspectos, en caso de fallar, harían insostenible toda la relación con el proveedor, independientemente de los puntos fuertes que la compensaran? En la mayoría de las contrataciones reguladas, la autoridad legal es uno de ellos. La autoridad criptográfica suele ser otro de ellos, ya que ninguna excelencia operativa puede compensar el hecho de que el proveedor tenga tus claves si tu modelo de amenazas incluye el compromiso o la coacción del proveedor. La integridad de la cadena de suministro puede ser un tercer criterio para aquellos sistemas en los que los ataques a la cadena de suministro constituyen una preocupación principal.
El proceso de adjudicación, es decir, la puntuación ponderada entre los proveedores que superan el umbral mínimo, es secundario. Es importante, pero se trata de una cuestión diferente. Se refiere a la preferencia entre las opciones aceptables. Antes de que las organizaciones comparen a los proveedores, deben determinar en primer lugar cuáles de ellos son candidatos aceptables.
Por qué el contenido operativo es más importante que la estructura corporativa
Hay un patrón recurrente en los debates sobre la soberanía: el uso de la estructura corporativa para reivindicar la soberanía sin modificar la esencia operativa. Un proveedor con sede en una jurisdicción establece una filial en una jurisdicción sensible en materia de soberanía, la señala como el punto de anclaje soberano local y reivindica la soberanía. Al analizarlo más detenidamente, la realidad es que la filial no es más que una capa contractual que se superpone a una operación controlada por la matriz. El desarrollo técnico se lleva a cabo en la matriz. La infraestructura de desarrollo se ejecuta en la jurisdicción de la matriz. Los canales de actualización pasan por el control de la matriz. La reivindicación de soberanía carece de fundamento sustancial.
La «sustancia operativa» es la prueba que distingue las operaciones soberanas reales de la fachada que supone una estructura societaria. Pero se trata de una prueba que se aplica dentro del marco legal, no al margen de él. Una entidad operativa con gran sustancia en una jurisdicción sensible a la soberanía no altera la autoridad jurídica que se sitúa por encima de toda la estructura. Si la sociedad matriz está constituida en una jurisdicción cuyo régimen jurídico permite la imposición de medidas por parte de una autoridad ajena a la jurisdicción del cliente, la matriz sigue expuesta a dicha imposición, independientemente del grado de control operativo que ejerza la filial. La sustancia operativa puede hacer que los niveles SOV-4, SOV-5, SOV-6 y SOV-7 se acerquen a la soberanía. No puede hacer que el nivel SOV-2 (jurídico) supere el umbral que impone la posición jurisdiccional de la sociedad matriz con respecto al cliente. Los clientes y los reguladores que evalúen las reivindicaciones de soberanía deben tratar el control funcional y la jurisdicción legal como cuestiones separadas, que deben resolverse por separado, determinando primero el umbral legal y haciéndolo en relación con la propia jurisdicción del cliente.
Una vez establecida claramente esa restricción, la prueba de «sustancia operativa» es lo que distingue las operaciones soberanas reales de la mera fachada corporativa entre los proveedores cuya jurisdicción de la empresa matriz les permite, en primer lugar, cumplir los requisitos legales mínimos. Entre esos proveedores, el patrón corolario —en el que la estructura corporativa se ajusta al control operativo— genera una soberanía duradera. Una entidad operativa que gestiona las implementaciones de variantes locales, aporta ingeniería al código específico para cada lugar, gestiona la infraestructura de compilación en la jurisdicción local y controla los canales de actualización para los clientes locales está garantizando la soberanía en el control operativo. La estructura corporativa refleja la realidad operativa, en lugar de adaptarse a la de la empresa matriz.
Para distinguir entre la sustancia operativa real y la fachada, es necesario ir más allá de los titulares y aplicar la prueba con el nivel adecuado de detalle. Un proveedor con operaciones globales rara vez encaja claramente en uno u otro patrón en todos sus productos y segmentos de clientes. El mismo proveedor puede tener una filial operativa con gran sustancia para una configuración específica del producto —normalmente la variante de implementación diseñada para clientes sensibles a cuestiones de soberanía en una jurisdicción concreta—, mientras que gestiona otras líneas de productos a través de operaciones más convencionales dirigidas por la empresa matriz. Por lo tanto, la prueba de «sustancia rica» frente a «sustancia escasa» resulta más útil a nivel de la configuración de implementación específica que se está adquiriendo, y no a nivel del proveedor como marca global. Preguntar «¿Es este proveedor soberano?» ofrece respuestas menos útiles que plantear dos preguntas más concretas de forma sucesiva: «¿Permite la jurisdicción de la empresa matriz que esta configuración cumpla los requisitos legales mínimos?» y, solo entonces, «¿Está la configuración de implementación específica que estamos adquiriendo, con la entidad operativa concreta que la proporcionará, estructurada para un funcionamiento con «sustancia» en nuestra jurisdicción?»
Empieza por la jurisdicción. A continuación, evalúa las operaciones.
¿Cuál es la jurisdicción de la sociedad matriz? ¿Y esa jurisdicción expone a la sociedad matriz a medidas coercitivas por parte de una autoridad ajena a la jurisdicción del propio cliente?
¿Quién contrata a los ingenieros que escriben el código que se incluye en esta configuración de implementación concreta?
¿Dónde se ejecuta el proceso de compilación de esta configuración y quién tiene acceso a él?
¿De dónde proceden los canales de actualización para esta configuración y quién toma las decisiones sobre los lanzamientos?
Si la empresa matriz no estuviera disponible, ¿podría la entidad operativa local seguir prestando el servicio a los clientes con esta configuración?
Cuando la jurisdicción de la empresa matriz es ajena al cliente, el fundamento jurídico se viene abajo, independientemente de cómo se resuelvan las cuestiones operativas. La sustancia construida sobre una base jurídica no soberana no alcanza la soberanía para ese cliente, sino que es solo una fachada más creíble. Cuando la jurisdicción de la empresa matriz es aceptable para el marco del cliente y las respuestas operativas apuntan a la entidad operativa local como la sustancia operativa, la soberanía es real para esa configuración. Cuando la jurisdicción de la empresa matriz es aceptable, pero las respuestas operativas apuntan de nuevo a la empresa matriz, la reivindicación de soberanía es una capa de marketing, independientemente de cómo se presente la estructura contractual.
Lecturas relacionadas: La soberanía recibe una puntuación: qué es SEAL y por qué es importante más allá de la nube
La soberanía no es opcional: cómo deben enfocar el control los gobiernos y las empresas
Los gobiernos y las empresas necesitan evaluaciones rigurosas de la soberanía para gestionar los aspectos jurídicos, operativos, criptográficos y de control de la cadena de suministro.
2 de julio de 2026
·Blog
·Jay Goodman
%3Aquality(100)&w=3840&q=75)
La soberanía se ha convertido en uno de los términos más manidos en el ámbito de la tecnología empresarial. Se utiliza para referirse a la residencia de los datos, la titularidad de una entidad local, el cifrado en reposo, la ciudadanía local de los directivos o el cumplimiento de una normativa u otra. A menudo, el término significa lo que el hablante quiere que signifique. Una organización lo utiliza para referirse a la residencia de los datos, otra lo emplea para describir la propiedad, y un proveedor puede utilizarlo para referirse a algo completamente distinto. Como resultado, los debates sobre la soberanía suelen degenerar en discusiones sobre definiciones en lugar de sobre el fondo de la cuestión.
Esa flexibilidad es cada vez más difícil de mantener. En múltiples jurisdicciones, durante los años 2025 y 2026, los gobiernos trasladaron la soberanía del ámbito del marketing a los marcos de contratación pública, los requisitos normativos y los programas de evaluación formales. Los gobiernos, los reguladores sectoriales y las autoridades de contratación pública están publicando marcos estructurados, regímenes de evaluación obligatorios y umbrales mínimos de contratación que vinculan tanto a proveedores como a compradores. Los marcos difieren en los detalles, pero convergen en las mismas cuestiones fundamentales sobre quién controla qué.
Para las organizaciones que gestionan datos sensibles, operaciones críticas o cargas de trabajo reguladas, la soberanía ya no es una opción. El reto ahora consiste en comprender qué marcos normativos son de aplicación y desarrollar la capacidad interna necesaria para adaptarse a medida que surgen otros nuevos.
Los marcos que han llegado
A continuación se ofrece un resumen de los principales marcos normativos que ya están en vigor o cuya aplicación está a punto de entrar en vigor.
Marco de soberanía en la nube de la UE (SEAL)
La Comisión Europea publicó la versión 1.2.1 en octubre de 2025 y la puso en práctica en abril de 2026 para adjudicar contratos de nube soberana por valor de 180 millones de euros. El marco evalúa a los proveedores en función de ocho objetivos de soberanía repartidos en cinco niveles de garantía de la eficacia de la soberanía (SEAL-0 a SEAL-4). El nivel SEAL-2 actúa como umbral mínimo de contratación, y una puntuación ponderada determina la prioridad de adjudicación entre los proveedores que cumplen los requisitos. La Comisión ha declarado que está aplicando los mismos criterios a otros servicios digitales que presta a las instituciones de la UE, y se espera que la próxima Ley de Desarrollo de la Nube y la IA plasme los principios del marco en legislación de la UE de carácter vinculante.
Marco de evaluación cibernética del Reino Unido y GovAssure
El Marco de Evaluación Cibernética (CAF) del Centro Nacional de Ciberseguridad del Reino Unido ofrece una evaluación estructurada y basada en resultados de la resiliencia cibernética en las infraestructuras nacionales críticas y los sistemas gubernamentales. El Plan de Acción Cibernética del Gobierno, publicado en enero de 2026, consolida el CAF como mecanismo de evaluación estándar y utiliza GovAssure para aplicarlo a los sistemas gubernamentales. A partir del ciclo 2026-27, las auditorías realizadas por terceros sustituyen a la autoevaluación, y los auditores exigen pruebas técnicas documentadas en lugar de declaraciones de política. Se espera que el proyecto de ley de ciberseguridad y resiliencia del Reino Unido amplíe las obligaciones relacionadas a los operadores del sector privado de servicios esenciales.
DORA (Ley de Resiliencia Operativa Digital)
DORA, un reglamento directo de la UE en vigor desde enero de 2025, se aplica a unas 22 000 entidades financieras de toda la UE, así como a sus proveedores externos de TIC de importancia crítica. Exige la creación de registros de proveedores externos de TIC, disposiciones contractuales sobre derechos de auditoría y rescisión, y la notificación de incidentes graves en un plazo de cuatro horas desde su clasificación. Para las entidades financieras, DORA constituye el marco operativo en materia de riesgos relacionados con terceros proveedores de TIC, en el que las autoridades supervisoras europeas que ejercen una supervisión directa sobre los proveedores críticos.
Directiva NIS2
En sustitución de la Directiva NIS original, la NIS2 amplía el ámbito de aplicación de unas 20 000 a unas 160 000 organizaciones en sectores esenciales e importantes, entre los que se incluyen la energía, el transporte, la sanidad, el agua, las infraestructuras digitales, la industria manufacturera y la administración pública. Los Estados miembros tenían hasta octubre de 2024 para transponer la NIS2 a la legislación nacional (algunos aún no han completado la transposición), y el cumplimiento total debe alcanzarse en octubre de 2026. La NIS2 impone obligaciones en materia de gestión de riesgos de ciberseguridad, requisitos de seguridad de la cadena de suministro y plazos para la notificación de incidentes que, en cuanto al concepto, se asemejan a los de la DORA.
Marco de Certificación de Alojamiento Web de Australia
En funcionamiento desde 2022 y actualmente en proceso de reforma, anunciada en noviembre de 2025, la HCF exige que todos los datos sensibles del Gobierno australiano, los sistemas de todo el Gobierno y los sistemas clasificados como «PROTECTED» estén alojados en proveedores certificados por la HCF. La certificación exige demostrar que las estructuras de propiedad y control están en consonancia con los intereses de la Commonwealth, así como la resiliencia de la cadena de suministro y los controles de soberanía de los datos.
Iniciativas nacionales sobre la nube soberana
«Cloud de Confiance» de Francia, la «Souveräner Cloud» alemanay otros programas nacionales similares en los Estados miembros de la Unión Europea establecen requisitos específicos para cada jurisdicción que se aplican junto con los marcos normativos a nivel de la UE. Una categoría estructuralmente distinta, pero con la que a menudo se confunde, es el modelo de fideicomisario de tecnología bajo licencia: acuerdos como «Bleu» (Orange y Capgemini gestionan tecnología de Microsoft en Francia) y «Delos» (SAP gestiona tecnología de Microsoft en Alemania), en los que entidades europeas gestionan tecnología estadounidense bajo licencia en el marco de estructuras de soberanía contractual. Que dichas estructuras de fideicomiso cumplan los requisitos mínimos legales de un marco determinado depende de si la jurisdicción del licenciante subyacente genera una exposición extraterritorial que se transmite a través de la relación de licencia. Ese análisis es objeto de un debate activo entre las autoridades de contratación públicas europeas y sigue siendo una de las cuestiones pendientes más importantes en la política actual de soberanía. Más allá de Europa, se han publicado o propuesto requisitos similares en Japón, Malasia, Corea del Sur (CSAP), Sudáfrica, Nigeria, Pakistán, Bolivia, Colombia, Panamá y otros países. El Informe Nacional de Estimaciones Comerciales de EE. UU. de 2026 sobre barreras al comercio exterior hace referencia a los requisitos de soberanía en la nube en aproximadamente un 50 % más de países que el informe de 2025. El hecho de que se consideren estos requisitos como una política pública acertada o como barreras comerciales es irrelevante a efectos de la contratación pública: existen, se aplican y hay que sortearlos.
Regímenes de garantía específicos para cada sector
Las directrices de los organismos reguladores financieros, como la FCA, la PRA, la OCC y otras autoridades equivalentes. Los requisitos de resiliencia en el sector sanitario establecidos por la HIPAA y los regímenes nacionales equivalentes. Y los requisitos de resiliencia en materia de energía e infraestructuras críticas establecidos por el CER y sus equivalentes. Cada uno de ellos conlleva sus propias obligaciones, relacionadas con la soberanía, en materia de residencia de datos, gestión de riesgos de terceros y resiliencia operativa.
Esta lista no es exhaustiva y es probable que vaya ampliándose. Lo importante es la tendencia: están surgiendo requisitos de soberanía en distintas jurisdicciones, sectores y regímenes de contratación pública. La soberanía es ahora una disciplina que abarca múltiples marcos normativos, y las organizaciones que la aborden como un mero ejercicio de cumplimiento de un único marco se quedarán siempre rezagadas.
Lo que tienen en común los marcos de trabajo
Si comparamos estos marcos entre sí, se aprecia un patrón común. Tanto en SEAL, CAF, DORA, NIS2 y HCF como en los programas nacionales, las mismas cuestiones fundamentales aparecen expresadas con un vocabulario diferente.
¿Quién tiene la facultad legal para exigir la divulgación de información? ¿Dónde se encuentran físicamente los datos y bajo qué jurisdicción? ¿Quién se encarga de las operaciones y podría el cliente seguir adelante si el proveedor dejara de estar disponible? ¿Cómo es la cadena de suministro y cuáles son sus dependencias? ¿Qué pruebas hay de que el sistema funcione tal y como se afirma? ¿Cómo se notifican los incidentes y a quién? ¿Puede el cliente rescindir el contrato y en qué condiciones?
Los marcos difieren en cuanto a la ponderación, los umbrales de contratación y las obligaciones de información, pero, en última instancia, todos tratan de responder a las mismas preguntas fundamentales. Una organización que haya desarrollado una disciplina interna en torno a estas preguntas podrá desenvolverse en cualquier marco específico con una confianza razonable. Una organización que haya basado su cumplimiento normativo únicamente en un marco tendrá que ir adaptándose continuamente a medida que surjan nuevos marcos.
Por eso las organizaciones deberían desarrollar capacidades de soberanía en lugar de centrarse en cumplir una única normativa. Los marcos normativos cambiarán. Las cuestiones fundamentales son mucho más duraderas.
La soberanía no es una propiedad de un proveedor
Una vez establecido el contexto, hay un enfoque conceptual que facilita el resto del debate: la soberanía no es una propiedad de un proveedor.
Los proveedores no tienen soberanía. Los clientes tienen soberanía, y la relación con un proveedor puede preservarla o mermarla.
Puede parecer una distinción sutil, pero cambia por completo la valoración. Una vez que se analiza la soberanía desde la perspectiva del cliente, el debate pasa de centrarse en las afirmaciones del proveedor a centrarse en el control real.
Cuando un cliente firma un contrato con un proveedor, se transfiere cierto grado de control sobre los datos, la infraestructura o las operaciones. La evaluación de la soberanía analiza cuánto control se ha transferido, qué tipo de control se ha transferido y quién lo ejerce en última instancia.
Imaginemos un proveedor con sede en una jurisdicción que cuenta con un régimen de coacción jurídica extraterritorial y que presta un servicio SaaS desde centros de datos locales, con personal de asistencia residente en el país y claves de cifrado almacenadas localmente. Dicho proveedor ha creado una fachada operativa parcial sin transferir la soberanía al cliente. La autoridad sigue recayendo en la empresa matriz, en la jurisdicción de esta y en su régimen de coacción. La soberanía del cliente depende de esa realidad, no de la fachada visible.
En última instancia, la soberanía se reduce al control: quién la ejerce, dónde reside y qué autoridad la rige. Los marcos conceptuales recientes abordan el problema de forma diferente, pero convergen cada vez más en ese mismo principio.
Cinco dimensiones que toda evaluación de la soberanía debe abordar
Si dejamos de lado las etiquetas, la mayoría de los análisis sobre la soberanía se reducen a cinco preguntas. Los distintos marcos de referencia las abordan de forma ligeramente diferente, pero las preguntas fundamentales son las mismas.
1. Fundamento jurídico
¿Quién tiene la facultad legal para obligar al proveedor a revelar, modificar o entregar datos y operaciones, y es esa autoridad ajena a la jurisdicción del cliente? El término «ajena» siempre es relativo a la organización que lleva a cabo la evaluación, ya sea una oficina de contratación pública, un organismo regulador o un órgano de gobierno. La jurisdicción de origen de un proveedor no es problemática en sí misma; la cuestión es si dicha jurisdicción puede ejercer su autoridad de formas que entren en conflicto con los requisitos de soberanía del cliente. En la contratación pública de la UE se pregunta si el proveedor está expuesto a medidas coercitivas de países no pertenecientes a la UE. En la contratación pública federal de EE. UU. se pregunta si está expuesto a medidas coercitivas de países no pertenecientes a EE. UU. Los gobiernos aliados se preguntan si está expuesto a medidas coercitivas por parte de jurisdicciones ajenas a la alianza. Cada marco define su propio umbral legal en esos términos. Esta es también la razón por la que la jurisdicción de la empresa matriz es más importante que la de la filial operativa: la matriz conserva la autoridad legal para obligar a la filial, independientemente del lugar en el que esta esté constituida. Los regímenes de coacción extraterritorial —leyes que autorizan a un Estado a obligar a sus empresas a facilitar datos, independientemente de dónde se encuentren físicamente dichos datos— constituyen la principal preocupación y son el centro de atención para la autoridad evaluadora. La declaración jurada de 2025 ante el Senado francés por parte de la filial local de un importante hiperescalador, en la que se confirmaba que no se podía garantizar la seguridad de los datos locales frente a la coacción de la jurisdicción de la empresa matriz, es el ejemplo canónico de dominio público para la evaluación de la soberanía de la UE en concreto. Esa misma declaración tendría un impacto diferente en el contexto de la contratación pública federal de EE. UU., donde el cumplimiento de la legislación estadounidense constituye una soberanía aceptable, y no una violación de la misma. El principio es coherente; el resultado depende de la jurisdicción que lleve a cabo la evaluación.
2. Autoridad operativa
¿Quién gestiona el sistema en el día a día y podría el cliente seguir utilizándolo si el proveedor no estuviera disponible? A veces se denomina «autonomía operativa» o «coste de salida», pero, en esencia, lo que se pregunta es si el cliente tiene acceso técnico y contractual a los elementos operativos fundamentales del servicio: código fuente, procesos de compilación, infraestructura de implementación y vías de escalación de incidencias. Un servicio SaaS sin opción local ofrece, por su propia estructura, menos soberanía operativa que un servicio que el cliente pueda implementar y ejecutar dentro de su propia infraestructura, independientemente de lo sólidas que sean las operaciones del proveedor. La transición que llevará a cabo la Corte Penal Internacional en 2025, al abandonar un gran proveedor de hiperescala para pasar a alternativas de código abierto —impulsada por las sanciones estadounidenses que afectan al personal de la CPI—, es un ejemplo real de cómo la soberanía operativa se convierte en una preocupación inmediata.
3. Autoridad en criptografía e inteligencia artificial
¿Quién tiene las claves y por dónde discurren las rutas de inferencia de la IA? Las claves de cifrado que obran en poder del proveedor, incluso cuando este se ha comprometido contractualmente a no utilizarlas, son estructuralmente diferentes de las claves que obran en poder del cliente. Un proveedor que posea las claves puede verse obligado legalmente a revelarlas o sufrir una brecha técnica de formas que el cliente no puede impedir. La misma lógica se aplica a las funciones de IA: si los datos del cliente fluyen a través de un modelo alojado en una infraestructura no controlada por el cliente, este ha perdido el control sobre ese flujo de datos, incluso si el proveedor se compromete a no conservarlos ni utilizarlos para el entrenamiento del modelo. A medida que las capacidades de IA se integran en todas las categorías de servicios digitales, esta dimensión se está convirtiendo en la fuente de erosión involuntaria de la soberanía que crece más rápidamente.
4. Autoridad en la cadena de suministro
¿Dónde se desarrolla el software y a través de qué cadena de suministro llega al cliente? Esta es la cuestión que presenta la cadena causal más larga y, a menudo, la menor visibilidad. El software rara vez se desarrolla de principio a fin en un solo lugar. Se compone de dependencias, bibliotecas, herramientas de compilación e infraestructura operativa que pueden proceder de todo el mundo. La soberanía, en este contexto, se refiere a la resiliencia de esa cadena de suministro ante interrupciones, sanciones o vulneraciones, y no solo a la ubicación de la sede central del proveedor en cuestión. El Marco de Soberanía en la Nube de la UE sopesatla cadena de suministro con un 20 %, el porcentaje más alto de todas las dimensiones, lo que refleja una valoración política según la cual el origen de la cadena de suministro es la dimensión de soberanía más duradera y menos susceptible de ser adaptada a posteriori.
5. Seguridad e integridad operativa demostradas
¿Qué pruebas hay de que el sistema cumpla lo que promete? La soberanía, en abstracto, carece de sentido si el sistema se ha visto comprometido en repetidas ocasiones. Las certificaciones son importantes en este contexto, pero como prueba de madurez operativa, no como distinciones de marketing. Las certificaciones relevantes son aquellas que validan el sistema en su entorno de implementación, como la acreditación «NATO Restricted», las «NSA Commercial Solutions for Classified», las certificaciones federales de la BSI y las evaluaciones de la CAF con los perfiles adecuados, y no aquellas que validan los procesos del proveedor en abstracto.
Estas cinco dimensiones no son exhaustivas. La sostenibilidad, la apertura tecnológica y la estabilidad estratégica también son importantes, y los marcos rigurosos las incluyen. Sin embargo, estas cinco constituyen el núcleo del debate sobre la soberanía, y cualquier evaluación de proveedores que no aborde las cinco ofrece una respuesta parcial.
El problema del suelo
Uno de los errores más comunes en la evaluación de la soberanía es considerar cada dimensión como una disyuntiva. La media ponderada de las cinco dimensiones da como resultado una puntuación, pero esta resulta engañosa si alguna de las dimensiones tiene un valor de cero.
Un proveedor con una sólida arquitectura criptográfica, operaciones maduras, una cadena de suministro transparente y numerosas certificaciones de seguridad, pero que esté expuesto a la obligación legal extranjera, presenta una brecha de soberanía que las otras cuatro dimensiones no pueden subsanar. La brecha no se encuentra en la parte visible de la arquitectura, sino en la autoridad legal subyacente que se sitúa por encima de ella. La criptografía no protege frente a la entrega de claves en virtud de una orden judicial. La madurez operativa no protege frente al acceso forzado. La transparencia de la cadena de suministro no altera la jurisdicción de la empresa matriz.
Por eso, los marcos sofisticados tratan ciertas dimensiones (siendo la autoridad jurídica el ejemplo canónico) como condiciones mínimas: umbrales mínimos que deben cumplirse de forma independiente, en lugar de promediarse con otras dimensiones. La evaluación en dos fases del Marco de Soberanía en la Nube de la UE —un umbral mínimo de contratación en cada dimensión seguido de una puntuación ponderada entre los proveedores que cumplen los requisitos— es una expresión de esta disciplina. Los principios basados en resultados del CAF, evaluados en función de umbrales específicos para cada perfil, son otra. Este patrón se repite porque refleja cómo funciona la soberanía en situaciones de presión.
Para las organizaciones que establecen sus propios criterios de evaluación, identificar los requisitos mínimos es la decisión inicial más importante. La pregunta que hay que plantearse es: ¿qué aspectos, en caso de fallar, harían insostenible toda la relación con el proveedor, independientemente de los puntos fuertes que la compensaran? En la mayoría de las contrataciones reguladas, la autoridad legal es uno de ellos. La autoridad criptográfica suele ser otro de ellos, ya que ninguna excelencia operativa puede compensar el hecho de que el proveedor tenga tus claves si tu modelo de amenazas incluye el compromiso o la coacción del proveedor. La integridad de la cadena de suministro puede ser un tercer criterio para aquellos sistemas en los que los ataques a la cadena de suministro constituyen una preocupación principal.
El proceso de adjudicación, es decir, la puntuación ponderada entre los proveedores que superan el umbral mínimo, es secundario. Es importante, pero se trata de una cuestión diferente. Se refiere a la preferencia entre las opciones aceptables. Antes de que las organizaciones comparen a los proveedores, deben determinar en primer lugar cuáles de ellos son candidatos aceptables.
Por qué el contenido operativo es más importante que la estructura corporativa
Hay un patrón recurrente en los debates sobre la soberanía: el uso de la estructura corporativa para reivindicar la soberanía sin modificar la esencia operativa. Un proveedor con sede en una jurisdicción establece una filial en una jurisdicción sensible en materia de soberanía, la señala como el punto de anclaje soberano local y reivindica la soberanía. Al analizarlo más detenidamente, la realidad es que la filial no es más que una capa contractual que se superpone a una operación controlada por la matriz. El desarrollo técnico se lleva a cabo en la matriz. La infraestructura de desarrollo se ejecuta en la jurisdicción de la matriz. Los canales de actualización pasan por el control de la matriz. La reivindicación de soberanía carece de fundamento sustancial.
La «sustancia operativa» es la prueba que distingue las operaciones soberanas reales de la fachada que supone una estructura societaria. Pero se trata de una prueba que se aplica dentro del marco legal, no al margen de él. Una entidad operativa con gran sustancia en una jurisdicción sensible a la soberanía no altera la autoridad jurídica que se sitúa por encima de toda la estructura. Si la sociedad matriz está constituida en una jurisdicción cuyo régimen jurídico permite la imposición de medidas por parte de una autoridad ajena a la jurisdicción del cliente, la matriz sigue expuesta a dicha imposición, independientemente del grado de control operativo que ejerza la filial. La sustancia operativa puede hacer que los niveles SOV-4, SOV-5, SOV-6 y SOV-7 se acerquen a la soberanía. No puede hacer que el nivel SOV-2 (jurídico) supere el umbral que impone la posición jurisdiccional de la sociedad matriz con respecto al cliente. Los clientes y los reguladores que evalúen las reivindicaciones de soberanía deben tratar el control funcional y la jurisdicción legal como cuestiones separadas, que deben resolverse por separado, determinando primero el umbral legal y haciéndolo en relación con la propia jurisdicción del cliente.
Una vez establecida claramente esa restricción, la prueba de «sustancia operativa» es lo que distingue las operaciones soberanas reales de la mera fachada corporativa entre los proveedores cuya jurisdicción de la empresa matriz les permite, en primer lugar, cumplir los requisitos legales mínimos. Entre esos proveedores, el patrón corolario —en el que la estructura corporativa se ajusta al control operativo— genera una soberanía duradera. Una entidad operativa que gestiona las implementaciones de variantes locales, aporta ingeniería al código específico para cada lugar, gestiona la infraestructura de compilación en la jurisdicción local y controla los canales de actualización para los clientes locales está garantizando la soberanía en el control operativo. La estructura corporativa refleja la realidad operativa, en lugar de adaptarse a la de la empresa matriz.
Para distinguir entre la sustancia operativa real y la fachada, es necesario ir más allá de los titulares y aplicar la prueba con el nivel adecuado de detalle. Un proveedor con operaciones globales rara vez encaja claramente en uno u otro patrón en todos sus productos y segmentos de clientes. El mismo proveedor puede tener una filial operativa con gran sustancia para una configuración específica del producto —normalmente la variante de implementación diseñada para clientes sensibles a cuestiones de soberanía en una jurisdicción concreta—, mientras que gestiona otras líneas de productos a través de operaciones más convencionales dirigidas por la empresa matriz. Por lo tanto, la prueba de «sustancia rica» frente a «sustancia escasa» resulta más útil a nivel de la configuración de implementación específica que se está adquiriendo, y no a nivel del proveedor como marca global. Preguntar «¿Es este proveedor soberano?» ofrece respuestas menos útiles que plantear dos preguntas más concretas de forma sucesiva: «¿Permite la jurisdicción de la empresa matriz que esta configuración cumpla los requisitos legales mínimos?» y, solo entonces, «¿Está la configuración de implementación específica que estamos adquiriendo, con la entidad operativa concreta que la proporcionará, estructurada para un funcionamiento con «sustancia» en nuestra jurisdicción?»
Empieza por la jurisdicción. A continuación, evalúa las operaciones.
¿Cuál es la jurisdicción de la sociedad matriz? ¿Y esa jurisdicción expone a la sociedad matriz a medidas coercitivas por parte de una autoridad ajena a la jurisdicción del propio cliente?
¿Quién contrata a los ingenieros que escriben el código que se incluye en esta configuración de implementación concreta?
¿Dónde se ejecuta el proceso de compilación de esta configuración y quién tiene acceso a él?
¿De dónde proceden los canales de actualización para esta configuración y quién toma las decisiones sobre los lanzamientos?
Si la empresa matriz no estuviera disponible, ¿podría la entidad operativa local seguir prestando el servicio a los clientes con esta configuración?
Cuando la jurisdicción de la empresa matriz es ajena al cliente, el fundamento jurídico se viene abajo, independientemente de cómo se resuelvan las cuestiones operativas. La sustancia construida sobre una base jurídica no soberana no alcanza la soberanía para ese cliente, sino que es solo una fachada más creíble. Cuando la jurisdicción de la empresa matriz es aceptable para el marco del cliente y las respuestas operativas apuntan a la entidad operativa local como la sustancia operativa, la soberanía es real para esa configuración. Cuando la jurisdicción de la empresa matriz es aceptable, pero las respuestas operativas apuntan de nuevo a la empresa matriz, la reivindicación de soberanía es una capa de marketing, independientemente de cómo se presente la estructura contractual.
Lecturas relacionadas: La soberanía recibe una puntuación: qué es SEAL y por qué es importante más allá de la nube
%3Aquality(100)&w=3840&q=75)