Ir al contenido principal

La soberanía recibe una puntuación: qué es SEAL y por qué es importante más allá de la nube

El nuevo marco de la UE convierte la independencia digital en un criterio cuantificable a la hora de tomar decisiones sobre la adquisición de tecnología.

23 de junio de 2026

·

Blog

·

Jay Goodman

En los últimos 18 meses han surgido varios marcos de soberanía, pero el Marco de Soberanía en la Nube de la UE (SEAL) merece una atención especial. Se trata del intento más riguroso hasta la fecha, desde el punto de vista estructural, de poner en práctica la evaluación de la soberanía. Su diseño muestra cómo una autoridad de contratación pública sofisticada desglosa la soberanía en componentes cuantificables. Estudiar el SEAL en profundidad equivale a estudiar el modelo estructural que probablemente adoptarán otras jurisdicciones.

En octubre de 2025, la Comisión Europea publicó la versión 1.2.1 del Marco de Soberanía en la Nube. En abril de 2026, el marco pasó de ser un documento normativo a convertirse en una realidad operativa cuando la Comisión lo utilizó para adjudicar contratos de nube soberana por valor de 180 millones de euros. Los proveedores tenían que superar un umbral de soberanía definido en cada dimensión antes incluso de que se evaluaran sus ofertas. El marco funcionó tal y como se había previsto: la mayoría de los adjudicatarios alcanzaron el nivel SEAL-3 (Resiliencia Digital), y los criterios de rechazo se encargaron de la mayor parte de la selección antes de que nadie consultara la columna de puntuación ponderada.

Esa estructura de dos fases es lo que se les pasó por alto a la mayoría de los observadores cuando se presentó el marco por primera vez. El SEAL no es una cifra única, sino un umbral mínimo de contratación combinado con una puntuación ponderada de adjudicación, y es ese umbral el que desempeña el papel más importante.

¿Qué es SEAL?

SEAL son las siglas de «Sovereignty Effective Assurance Levels» (Niveles de garantía efectiva de soberanía). Se trata de una metodología de puntuación del 0 al 4 integrada en un marco más amplio que plantea ocho preguntas estructurales sobre el servicio de un proveedor:

  • SOV-1 Estratégico. ¿Dónde se encuentran los órganos con autoridad decisiva sobre el servicio y qué grado de estabilidad tiene esa estructura?

  • SOV-2 Legal. ¿Puede un gobierno extranjero obligar al proveedor a revelar datos?

  • Datos y IA de SOV-3. ¿Quién tiene las claves criptográficas? ¿Por dónde discurren las rutas de inferencia de la IA?

  • SOV-4 está operativo. ¿Pueden los clientes de la UE gestionar, dar soporte y desarrollar el servicio de forma independiente de los recursos no pertenecientes a la UE?

  • Cadena de suministro de SOV-5. ¿Desde dónde se diseña, programa, empaqueta y distribuye el software?

  • Tecnología SOV-6. ¿Las interfaces son abiertas y auditables, o existe una dependencia de tecnología propietaria?

  • Seguridad SOV-7. ¿Se cuenta con certificaciones reconocidas por la UE? ¿Validan tanto las operaciones como la arquitectura?

  • SOV-8 Medio ambiente. ¿Es medible y se alcanza realmente el rendimiento en materia de sostenibilidad, o se trata simplemente de una aspiración?

Cada objetivo se puntúa en una escala que va de SEAL-0 (sin soberanía significativa) a SEAL-4 (soberanía digital plena, sin dependencias críticas fuera de la UE). A continuación, la entidad adjudicadora establece dos umbrales: un nivel mínimo de SEAL para cada objetivo (el umbral mínimo) y un mínimo en la puntuación ponderada de soberanía (el umbral de adjudicación).

Por qué la actuación en la cancha es más importante que el marcador

La evaluación en dos fases es la decisión de diseño más trascendental del marco. Un proveedor que cuente con sólidas certificaciones de seguridad, operaciones consolidadas y un amplio ecosistema de socios puede, aun así, quedar directamente descartado si un solo «Objetivo de soberanía» obtiene la calificación SEAL-0, lo que supone un rechazo rotundo.

El tratamiento de la soberanía jurídica (SOV-2) es el que tiene mayor peso operativo. SEAL es un marco para la evaluación de la soberanía de la UE, lo que significa que SOV-2 analiza si el proveedor está expuesto a medidas coercitivas por parte de autoridades ajenas a la UE. Los proveedores sujetos a regímenes de coacción extraterritorial que se extienden a las operaciones de la UE desde fuera de esta, sobre todo la Ley CLOUD de EE. UU. y la sección 702 de la FISA, obtienen una puntuación de SEAL-0 en soberanía jurídica, independientemente del nivel de residencia de datos en la UE, cifrado o presencia operativa que incorporen. El marco considera la autoridad jurídica ajena a la UE como el factor determinante: si una jurisdicción no perteneciente a la UE puede obligar a la divulgación, las barreras contractuales o técnicas que se interponen a dicha autoridad no modifican la evaluación de soberanía subyacente a efectos de la contratación pública de la UE.

Esta evaluación depende de la jurisdicción. Un responsable de contratación pública federal de EE. UU. que lea el SEAL reconocería la misma lógica estructural que rige en sus propios marcos normativos. Tanto el FedRAMP como los niveles de impacto del Departamento de Defensa (DoD) y las certificaciones de grado clasificado de EE. UU. se preguntan si el proveedor está expuesto a coacción por parte de autoridades ajenas a Estados Unidos. Cada autoridad de contratación define su umbral de soberanía en relación con su propia jurisdicción. La matemática es simétrica. Las conclusiones de cualquier evaluación específica dependen de cuya soberanía se esté evaluando y de qué jurisdicciones se sitúan por encima del proveedor.

En la licitación de abril de 2026, varios proveedores importantes quedaron descartados antes de que comenzara la puntuación porque su exposición jurídica no se ajustaba a los requisitos de SEAL-2, a pesar de sus sólidas credenciales en materia de tecnología y cumplimiento normativo.

Lo que revela la ponderación sobre las prioridades de la UE

Entre los proveedores que superan el umbral mínimo, el marco calcula una puntuación de soberanía ponderada utilizando las siguientes ponderaciones:

  • SOV-5 Cadena de suministro: 20 por ciento

  • SOV-1 Estratégico, SOV-4 Operativo, SOV-6 Tecnológico: un 15 % cada uno

  • SOV-2: Asuntos jurídicos; SOV-3: Datos e inteligencia artificial; SOV-7: Seguridad: un 10 % cada uno

  • SOV-8 Medio ambiente: 5 por ciento

Hay dos aspectos que destacan. En primer lugar, la cadena de suministro es la dimensión con mayor peso. El enfoque de la Comisión, tal y como se desprende de los factores que lo conforman, deja claro que la UE considera que la soberanía de la cadena de suministro es la más duradera: el estatuto jurídico puede modificarse mediante un tratado y la actividad operativa puede trasladarse, pero el lugar desde donde se diseña, se desarrolla y se distribuye el software es mucho más difícil de modificar a voluntad.

En segundo lugar, la soberanía jurídica solo representa el 10 % de la puntuación, pero se aplica con toda su fuerza como requisito mínimo. Un proveedor que obtenga una puntuación de SEAL-4 en todas las demás dimensiones no puede compensar un SEAL-0 en soberanía jurídica. Se trata de una inversión deliberada de cómo se aborda a veces la evaluación de los proveedores, en la que la fortaleza en un área compensa la debilidad en otra. En el marco de SEAL, la exposición estructural a la coacción jurídica extranjera es motivo de descalificación, no se puede compensar.

Cómo se está ampliando el marco

SEAL se diseñó para los servicios en la nube, y las adjudicaciones de abril de 2026 demostraron que funcionaba tal y como se había previsto en la contratación de servicios en la nube. Sin embargo, el marco no se ha limitado únicamente a la nube.

La Comisión Europea ha declarado públicamente que está aplicando los mismos criterios de soberanía al resto de servicios digitales que presta a las instituciones de la UE; se espera que la futura Ley de Desarrollo de la Nube y la Inteligencia Artificial plasme los principios de este marco en legislación vinculante de la UE. Los analistas del sector han descrito SEAL como la referencia emergente para la evaluación de la soberanía en la contratación pública regulada en general. En informaciones procedentes de fuera de la UE se ha señalado que se trata de un punto de referencia citado en mercados como el de Australia.

La razón estructural de esta ampliación es que los ocho Objetivos de Soberanía son independientes del ámbito de aplicación. Las preguntas que plantean (¿quién ostenta la autoridad?, ¿quién dirige las operaciones?, ¿quién controla las claves?, ¿dónde se origina la cadena de suministro?) no tienen nada de específico en relación con la nube. Se pueden aplicar sin problemas a cualquier categoría de servicios digitales: comunicaciones seguras, gestión de dispositivos móviles, critical event management, software de productividad, análisis de datos y servicios de inteligencia artificial. Siempre que un proveedor ofrezca un servicio que implique datos u operaciones sensibles, se aplican las preguntas estructurales del marco.

Qué significa esto para las organizaciones que evalúan a los proveedores

Para las organizaciones cuyas contrataciones están sujetas a la normativa de la UE, SEAL es ahora un marco de evaluación en vigor. Se está evaluando a los proveedores según este marco, y los equipos de contratación deben tener en cuenta que el umbral mínimo de SEAL-2 servirá para filtrar de forma significativa a los candidatos antes de que comience el proceso de adjudicación.

Para las organizaciones que no están sujetas a la normativa de contratación pública de la UE, este marco sigue siendo valioso como perspectiva estructural. Los ocho objetivos de soberanía ofrecen un desglose más riguroso del debate sobre la soberanía que la mayoría de los criterios internos de contratación. Plantear las mismas preguntas en el contexto del Gobierno federal de EE. UU., de gobiernos aliados, de empresas reguladas o de infraestructuras críticas da lugar a una evaluación de proveedores más fundamentada que basarse únicamente en el número de certificaciones o en las afirmaciones de marketing sobre la soberanía. La jurisdicción de la sede central es un factor fundamental, que se evalúa en relación con la propia jurisdicción del cliente, pero el desglose del modelo SEAL deja claro que la evaluación de la soberanía también requiere responder a preguntas sobre las operaciones, las claves, la cadena de suministro, el coste de salida y la seguridad demostrada. Cada autoridad de contratación establece su propio umbral legal en función de su propia posición jurisdiccional, y las cuestiones operativas se ajustan entonces a dicho umbral.

La idea central que formaliza SEAL es que la soberanía no es un atributo único. Se trata de un sistema de hechos estructurales sobre quién controla qué, distribuidos entre las dimensiones jurídica, operativa, de la cadena de suministro, tecnológica, de seguridad y medioambiental. Algunas de esas dimensiones (la jurídica en particular) son requisitos mínimos: el incumplimiento de cualquiera de ellas descalifica al proveedor, independientemente de su solidez en otros ámbitos. Otras contribuyen a una evaluación ponderada entre los proveedores que cumplen los requisitos. Tratar la soberanía como si fuera una puntuación única, o como si se pudiera negociar añadiendo cláusulas contractuales compensatorias, supone malinterpretar el funcionamiento del marco.

Qué hacer a continuación

Si tu organización contrata servicios digitales en los que la soberanía es un factor importante —lo cual, cada vez más, describe la mayoría de las contrataciones reguladas—, conviene dar tres pasos ahora mismo:

  1. Lee el marco. El marco es un documento público. Los factores que contribuyen a cada objetivo de soberanía contienen los detalles operativos y son más concretos de lo que sugieren las categorías generales de puntuación.

  2. Evalúa a los proveedores actuales en función de los ocho SOV. No de manera formal, ni como una acción de contratación pública, sino como un ejercicio interno. ¿Qué puntuación obtienen los proveedores actuales? ¿Qué puntuación obtendrían en SEAL-0 y qué implicaciones tendría eso para futuras contrataciones?

  3. Considera el «mínimo exigible» como la cuestión estratégica. Un proveedor que obtenga una puntuación de SEAL-0 en cualquier dimensión se enfrentará a negociaciones de contratación cada vez más difíciles. La discusión sobre la puntuación de adjudicación tiene menos importancia que la discusión sobre el «mínimo exigible», y esta última suele girar en torno al riesgo legal, el origen de la cadena de suministro o la autonomía operativa, que son los factores más difíciles de modificar a posteriori.

SEAL es el marco de soberanía más transparente desde el punto de vista estructural que se está desarrollando actualmente. Su valor radica en la disciplina que impone a la hora de determinar qué relaciones con los proveedores pueden garantizar la soberanía y cuáles no. Esa disciplina es transferible y las cuestiones que formaliza perdurarán más allá de cualquier ponderación o umbral concreto que la UE acabe por establecer.

Reciba actualizaciones sobre los últimos avances en materia de comunicaciones seguras.

El nuevo estándar

Ve el seminario web: «La importancia de las comunicaciones críticas para la misión»

Únete a nosotros en un seminario web de 45 minutos en el que nuestros expertos analizarán el marco técnico y operativo necesario para garantizar unas comunicaciones seguras y certificadas para misiones, abordando aspectos como el cifrado, la arquitectura, el control soberano, la validación independiente y la coordinación de misiones.

Ver ahora