Paquete de Soberanía Tecnológica y Década Digital: medir las dependencias para gestionar los riesgos

Vista aérea de un centro de datos en Winschoten, con varios edificios y zonas pavimentadas junto a áreas verdes.
Vista aérea de un centro de datos en Países Bajos. Foto: Hugo Kurk / Getty Images.

Mensajes clave

  • A través del Paquete de Soberanía Tecnológica, la Comisión Europea define la soberanía como reducción de riesgos (de coerción, de interrupción de acceso y de vigilancia extranjera), pero no incluye el aparato de medición necesario para saber si esa soberanía avanza o retrocede. La revisión de la Década Digital, cuyo plazo vence a finales de junio de 2026, es la oportunidad para corregirlo.
  • Europa depende en más de un 70% de tres hiperescalares estadounidenses para su infraestructura en la nube, sus chips de inteligencia artificial (IA) están sujetos a controles de exportación de Washington y gasta 264.000 millones de euros anuales en tecnología mayoritariamente no europea. Los indicadores del Índice de Economía y Sociedad Digitales (DESI), actual herramienta de medición de la Década Digital, miden adopción, pero no dependencia.
  • Medir la exposición por capa tecnológica (concentración de proveedores, redundancia operativa y sujeción a legislación extraterritorial como el Cloud Act o las leyes chinas de inteligencia) proporcionaría una referencia común para los 27 Estados miembros y reduciría la fragmentación en decisiones de compra pública y política industrial.
  • El Paquete incluye una Estrategia de Código Abierto. Es necesario medir la salud de las comunidades que mantienen el código abierto del que depende la infraestructura crítica europea. Un componente mantenido por pocos desarrolladores, con actualizaciones irregulares, es difícilmente compatible con las exigencias de la Ley de Ciberresiliencia (CRA).
  • La Ley de Chips 2.0 faculta a la Comisión para emitir órdenes prioritarias en caso de escasez. El análisis sugiere incorporar indicadores prospectivos que permitan anticipar dichas tendencias de escasez.

Análisis

La Década Digital: hoja de ruta y diagnóstico

El programa de la Década Digital, adoptado en 2022, dotó por primera vez a la Unión Europea (UE) de un marco de gobernanza estratégico y jurídicamente vinculante diseñado para guiar y acelerar su transformación digital hasta el año 2030. A través de este instrumento, la UE establece y supervisa una serie de objetivos estructurados en torno a los cuatro puntos cardinales de la Brújula Digital: capacidades, infraestructuras, empresas y servicios públicos. Posteriormente, la Comisión Europea evalúa el progreso de los Estados miembros en una revisión anual, que incorpora recomendaciones para futuras actuaciones.

La revisión del programa de la Década Digital supondrá la definición de una nueva política y estrategia tecnológica para la Unión. La Comisión Europea abrió una consulta pública en el último trimestre de 2025 y recogió aportaciones para poder adaptar el programa para lo que queda de década. El Ejecutivo de la UE ha de presentar una propuesta de revisión del programa de la Década Digital a fin de adaptarlo a los nuevos avances técnicos, económicos o sociales a más tardar el 30 de junio de 2026.

En el último informe de progreso sobre el Estado de la Década Digital 2025, vemos un crecimiento constante en la adopción de tecnologías digitales por parte de las empresas en la UE, pero que sigue sin ser suficiente para poder cumplir las metas fijadas para 2030. Comparado con el objetivo de alcanzar niveles de adopción del 75% en IA y en servicios en la nube en el año 2030, Europa está situada, respectivamente, en un uso del 13,5% y el 38,9%. El lastre central en la transformación digital de la actividad económica de Europa es la adopción de las nuevas tecnologías por las pymes, que sólo en un 72,9% alcanzan un nivel básico de digitalización. Los datos demuestran que la brecha digital entre grandes y pequeñas empresas se ha convertido en un problema estructural.

En lo referente a la evaluación del desarrollo tecnológico, el informe de progreso presenta un progreso muy desigual. Si bien se ha ganado cierto impulso, persisten profundas vulnerabilidades estructurales y un exceso de dependencias que amenazan la autonomía económica y la seguridad de la Unión. La Comisión apunta, entre otras, hacia las dependencias de EEUU en los modelos e infraestructuras que soportan la IA, una industria de semiconductores con escasa cuota del mercado mundial, escasez de talento digital y retraso en el despliegue de las redes 5G.

La infraestructura de la nube en que se apoya el desarrollo digital europeo depende en más de un 70% de tres hiperescalares estadounidenses; los chips de IA que componen los centros de datos son suministrados por empresas sujetas a controles de exportación de Washington; el equipamiento de telecomunicaciones más avanzado proviene en gran parte de empresas chinas sometidas a un marco legal que obliga a la cooperación con los servicios de inteligencia del Estado. El sector público y privado europeo gasta 264.000 millones de euros anuales en productos y servicios informáticos mayoritariamente propietarios y no europeos.

Existe un cierto consenso entre las instituciones europeas en la necesidad de un giro estratégico hacia la soberanía digital. Tanto el Consejo como el Parlamento Europeo han definido sendas hojas de ruta y listas de prioridades. Si bien las aproximaciones difieren en el foco, con el Consejo subrayando la necesidad de alcanzar una actuación autónoma en el mercado global y un Parlamento más volcado en reducir las dependencias externas en infraestructuras críticas, son visiones complementarias que proporcionan un marco político para la revisión ambiciosa de la estrategia tecnológica orientada a la soberanía digital. Ambas instituciones coinciden en su voluntad de priorizar la inversión estratégica a largo plazo en infraestructuras (redes de conectividad y computación en la nube) y tecnologías críticas (IA, semiconductores y tecnologías cuánticas), coincidiendo en los ámbitos señalados en los Informes Draghi y Letta. Convergen también en la necesidad de movilizar capital privado y fondos públicos, hacer un uso estratégico de la contratación pública, cerrar brechas de competencias digitales y reforzar la ciberseguridad para proteger las infraestructuras críticas.

Soberanía tecnológica: definiendo el mantra como gestión de riesgos

Si bien hay líneas de consenso, no existe una definición consensuada de soberanía tecnológica y esa ambigüedad lastra la política europea a la hora de conseguir sus objetivos en ese plano. Hay quien la entiende desde una perspectiva proteccionista. Hay voces que la entienden desde el tecno-nacionalismo, es decir, asociando la producción indígena de tecnología con factores identitarios propios de los nacionalismos. Otras voces hablan de replicar a las grandes potencias y tratar de equiparar sus capacidades. Estos enfoques ni son realistas ni son productivos. También ha existido una cierta confusión entre soberanía tecnológica y soberanía digital. La primera, con mayor foco en la política industrial; la segunda, con más acento en los aspectos regulatorios. La soberanía tecnológica se ha convertido en un mantra de la UE.

Con el Paquete de Soberanía Tecnológica, la Comisión Europea nos ofrece una definición de soberanía tecnológica como estrategia de reducción de riesgos:

  • el riesgo de coerción económica o militar derivado de dependencias críticas;
  • el riesgo de interrupción del acceso a tecnologías esenciales en caso de deterioro de relaciones con terceros países;
  • el riesgo de vigilancia extranjera sobre datos e infraestructuras europeas.

Esta idea de instrumentalización de las interdependencias la formularon Farrell y Newman en 2019, pero 2026 es un año fácil para comprender este fenómeno. Las amenazas de la Administración Trump han generado bastante consenso europeo sobre estos riesgos y han hecho que la Comisión ligue explícitamente su estrategia de soberanía tecnológica a este marco conceptual. Eso sí, es curioso que la misma semana en que se anunció el paquete se anunciara también la cancelación del Futuro Sistema Aéreo de Combate (FCAS), el proyecto de colaboración del caza europeo de sexta generación.

La propuesta de Paquete de Soberanía Tecnológica incluye cuatro elementos:  la Ley de Chips 2.0 (o Chips Act 2.0), la Ley de Desarrollo de la Nube y la IA (CADA), la Estrategia de Código Abierto y la Hoja de Ruta para la Digitalización y la IA en el Sector Energético. Este bloque de propuestas sirve para clarificar dónde ha de estar el foco de la soberanía tecnológica: en proyectos con una base industrial europea.

Algo que estas cuatro iniciativas tienen en común es que reconocen, de manera implícita, que su éxito depende de una medición de ciertos elementos y que esta medición aún no existe. Teniendo en cuenta que la Década Digital tiene el mandato de reformular sus objetivos e indicadores, se puede aprovechar para alinear las estrategias de soberanía tecnológica con la medición de éxito de la segunda mitad de esta Década Digital. Se puede estructurar este avance en cuatro dimensiones.

Primera dimensión: evitar indicadores de fragmentación y politización

La tecnología genera interdependencias globales. Por lo tanto, no se puede evaluar a Europa mirando únicamente a Europa. Además de medir niveles de adopción y formación en el continente, como hace ya el Índice DESI, hay que cuantificar los riesgos, los niveles de dependencia y de redundancia en cada capa de la pila tecnológica. Cuando se toman decisiones de de-risking, hay que hacerlo con números. ¿Qué se pierde en coste, en acceso, en velocidad de adopción? ¿Qué se gana en resiliencia? ¿Quién dentro de Europa asume el coste y quién captura el beneficio?

Además, el objetivo debería ser que las nuevas métricas y objetivos favorezcan la respuesta cohesionada en los 27 Estados miembros y eviten su uso para fines comparativos, electorales o cortoplacistas.

Por ejemplo, la Comisión introduce en su propuesta para la CADA cuatro niveles de garantía de soberanía para los servicios de nube e IA:

  • Nivel 1: los datos se procesan y almacenan en infraestructuras ubicadas en la Unión.
  • Nivel 2: los proveedores deben demostrar independencia respecto de terceros países y transparencia sobre su cadena de suministro de software.
  • Nivel 3: los proveedores deben estar controlados desde la UE y cumplir criterios adicionales, como la nacionalidad del personal. La Comisión puede reconocer proveedores de terceros países.
  • Nivel 4: transparencia y control totales sobre la cadena de suministro de software, sin interferencia de ningún tercer país.

Sea cual sea la versión final de estos niveles de garantía de soberanía, la decisión en su aplicación efectiva será delegada a los Estados miembros. ¿Cómo decide cada administración qué nivel aplicar a cada caso de uso?  De nuevo, la fragmentación entre los 27 es uno de los principales causantes de que la política industrial europea no esté siendo exitosa (la primera Ley Europea de Chips, la elección de las futuras gigafactorías de IA). Una Década Digital con indicadores de dependencia por capa tecnológica –energía, semiconductores, infraestructura, aplicaciones– y por nivel de exposición geopolítica sería un punto de referencia común y podría ayudar a reducir la fragmentación y el cortoplacismo en esa toma de decisiones.

Existe el riesgo de que la soberanía se convierta en un fin en sí mismo y esto puede dar lugar a una deriva hacia el proteccionismo. Conviene recordar para qué existe la soberanía tecnológica: para garantizar la seguridad de las infraestructuras y las cadenas de suministro digitales. Si sólo se tiene en cuenta el origen europeo, se podría dar un escenario en el que cuando se trate de un proveedor europeo, se descuiden otros criterios como la gestión de vulnerabilidades. Medir el origen únicamente no es óptimo, lo óptimo sería medir el riesgo de que se produzca alguna vulnerabilidad en la soberanía, teniendo en cuenta métricas como: índices de concentración por país de origen del proveedor; tiempo de respuesta estimado ante una interrupción de suministro; grado de redundancia operativa por sector crítico. A estas métricas de exposición estructural habría que añadir métricas de perfil de riesgo del país de origen: incidentes documentados de acceso gubernamental a datos de usuarios europeos por parte del país del proveedor, porcentaje de infraestructura crítica europea sujeta a legislación extraterritorial con capacidad coercitiva (como el Cloud Act estadounidense y las leyes chinas de ciberseguridad, inteligencia y seguridad de datos de 2017 y 2021), número de componentes de infraestructura desplegados sin certificación de ciberseguridad equivalente a la europea.

La propuesta de CADA es en apariencia ambiciosa, pero cabría preguntarse si no sería preciso poner el foco también en la cadena de suministro del hardware, ausente en los cuatro niveles propuestos por la Comisión Europea. Por ejemplo, en la definición de los niveles de garantía de soberanía de la nube el Ejecutivo de Bruselas ha descartado introducir una etiqueta de “chips UE” como sugería en su Informe Draghi.

Segunda dimensión: datos para fomentar la inversión privada

Hay consenso en que uno de los claros motivos por los cuales Europa no tiene una capacidad tecnológica comparable con la de las principales potencias es su falta de músculo financiero. La cuota europea de los fondos de capital riesgo a nivel global es del 5%, frente al 52% de EEUU y el 40% de China.

La Comisión reconoce la escasez crónica de capital en fases avanzadas (la misma que empuja a las empresas de deep tech de alto crecimiento a deslocalizarse o a ser adquiridas cuando escalan) y propone un mecanismo estratégico de capital tecnológico como ancla de coinversión en equity para atraer capital privado. Conviene fijarse en los verbos: la Comisión “consultará”, estudia la “viabilidad”, sus conclusiones “podrían ir acompañadas” de una propuesta legislativa. Como dice Antonio Vieira, para un paquete cuya teoría del cambio depende de movilizar capital privado a gran escala, el instrumento financiero es el elemento menos comprometido del documento.

Para que el ecosistema innovador europeo pueda ser más atractivo para el capital privado, las instituciones deben facilitar el acceso a datos sobre las necesidades y la preparación de los sectores industriales y tecnológicos europeos. El Paquete y la revisión de la Década Digital han de contribuir en esta dirección.

El sector privado toma decisiones de inversión siguiendo una lógica distinta a la del sector público. Si bien no hace falta igualarlas, la financiación pública en fases avanzadas de la innovación ha de tener en cuenta los criterios cuantitativos del capital privado. Cuando un proyecto los cumple todos menos uno, ese es el punto exacto en el que la financiación pública puede intervenir, dando un “empujón” en esa dimensión concreta para que cumpla las condiciones, más que documentadas, con las que opera el capital privado.

Tercera dimensión: el código abierto y su mantenimiento global

La estrategia de código abierto incluida en el paquete parte de la siguiente premisa: el código abierto reduce dependencias de proveedores con jurisdicciones fuera de la Unión y puede actuar como alternativa a soluciones propietarias en capas críticas de la pila tecnológica. Si bien es una premisa correcta, conviene presentar varios matices.

El primero es la economía del mantenimiento. El código abierto funciona como un bien común: todo el mundo usa el puente, pero nadie es responsable de mantenerlo. Son las fundaciones (como la Fundación Apache, Eclipse, Linux) las que absorben este trabajo, recibiendo financiación de diversas organizaciones para sostener el mantenimiento y la gobernanza de componentes críticos. Europa puede facilitar que las fundaciones que gobiernan sus componentes críticos se instalen en su territorio, bajo su marco regulatorio, y que eso inspire una regulación más alineada con este modelo de gobernanza. Como dice Adriana Groh, directora general de la Sovereign Tech Agency, la agencia pública alemana dedicada a financiar el mantenimiento de infraestructura de código abierto: Europa, sin ser propietaria del código abierto, puede convertirse en su casa.

La estrategia de la Comisión apunta en esta dirección cuando propone crear una Organización Europea de Custodia de Infraestructura Pública Digital, aunque sin articular todavía qué ventajas jurisdiccionales concretas ofrece Europa para atraer a estas fundaciones.

Un obstáculo importante a la hora de medir (y por lo tanto prevenir) ciertas vulnerabilidades geopolíticas del código abierto es que GitHub, donde reside la mayor parte del desarrollo colaborativo, es propiedad de Microsoft desde 2018 y no publica datos de geolocalización de desarrolladores.

A la hora de incorporar un componente de software conviene dar importancia a la salud de las comunidades que mantienen el código del que dependen las infraestructuras críticas. El proyecto CHAOSS, de la Fundación Linux mide indicadores como el número de mantenedores activos, la frecuencia de actualizaciones de seguridad, la diversidad de contribuidores y el tiempo de respuesta ante vulnerabilidades. Pronto, los proveedores de software en el mercado europeo estarán sujetos a la CRA, que obliga a evaluar riesgos en la cadena de suministro de software, mantener un inventario de componentes y responder a vulnerabilidades en un plazo de 24 horas. La CRA no menciona explícitamente la salud comunitaria, pero un componente mantenido por pocos desarrolladores, con actualizaciones irregulares supone un gran riesgo para nuestra cadena de suministro digital. Es recomendable incorporarla como criterio adicional, y que la estrategia europea de open source trabaje activamente para mejorar la salud comunitaria de los componentes críticos de las cadenas de suministro digitales de Europa.

Cuarta dimensión: planificación a largo plazo

Los nuevos objetivos de la Década Digital deberían ayudar a que la UE tenga un enfoque proactivo en la reducción de riesgos y no tanto reactivo.

El cuello de botella actual no es tanto la generación eléctrica sino el acceso a la red: las colas de interconexión se miden ya en años, y Nvidia está vendiendo por adelantado GPU para centros de datos que todavía no se pueden construir precisamente por esa razón. El paquete lo aborda por dos vías. La Hoja de Ruta para la Digitalización y la IA en el Sector Energético actúa sobre el lado de la red: la optimización mediante IA y los mecanismos de flexibilidad de demanda permiten gestionar mejor la carga dentro de la capacidad física existente y planificar con más precisión dónde tiene sentido desplegar nueva infraestructura de cómputo. La CADA actúa sobre el lado del despliegue: las Zonas de Aceleración de Centros de Datos ofrecen a los operadores acceso garantizado a infraestructura energética, tramitación de permisos en un plazo máximo de 12 meses y un proceso rápido de evaluación medioambiental. Una actuación que también debería extenderse en la Ley de Chips 2.0 para las líneas de manufactura de semiconductores dentro del ámbito de las Regiones de Excelencia de Semiconductores.

Si bien las diferentes medidas del Paquete responden a las preocupaciones de hoy, en algunas ocasiones carece de una visión prospectiva. En la parte de hardware open source, sólo se mencionan RISC-V y herramientas de automatización del diseño electrónico aplicadas a semiconductores. No hay nada sobre hardware abierto para robótica o computación edge, que son justamente las capas donde se están formando las próximas dependencias.

La Ley de Chips 2.0 establece que, en caso de escasez declarada, la Comisión podrá emitir órdenes prioritarias que obliguen a los fabricantes a priorizar ciertas producciones. Pero ¿cómo identificar que vamos a encontrarnos en una situación de escasez con la suficiente antelación? Si no contamos con indicadores prospectivos para medir dichas tendencias de escasez, la respuesta seguirá siendo reactiva, aunque sea exitosa la disponibilidad de un gemelo digital de la cadena de suministro propuesta en la Ley de Chips 2.0. La utilidad de ampliar las miras a la hora de medir la política tecnológica de manera empírica es ser los primeros en identificar riesgos o potenciales nuevos nichos, en el momento en el que los datos lo justifiquen.

Conclusiones

La Década Digital nació para coordinar la transformación digital de Europa. El Paquete de Soberanía Tecnológica, que es una propuesta de la Comisión y tendrá que ser negociado con Parlamento y Consejo, proporciona la definición de soberanía tecnológica como reducción de riesgos de coerción, de interrupción de acceso y de vigilancia extranjera. Lo que no proporciona es el aparato de medición necesario para saber si esa soberanía avanza o retrocede. La negociación del Paquete de Soberanía Tecnológica, consecuentemente, deber ser abordada conectada con la negociación de la propuesta de revisión de la Década Digital.

Este análisis propone cuatro dimensiones: una mirada europea y global sobre dependencias globales por capa tecnológica, datos que orienten el capital privado, gobernanza y salud del código abierto que sostiene la infraestructura, y capacidad de anticipación prospectiva. Integrar este tipo de métricas en la revisión de la Década Digital nos permitirá cambiar la pregunta central del programa de ¿cuánta tecnología adoptamos? a ¿de quién dependemos, cuanto riesgo supone y cómo gestionamos esa dependencia?