Futuros Mediterráneos · Infraestructura Digital · Mayo 2026
Tus datos están en América y no deberían estar ahí
En 2023, más del 30% de las empresas que migraron a la nube pública empezaron a salir. El problema no fue tecnológico. Fue la factura — y lo que venía detrás de ella.
El colapso de la era Cloud First
Alberto Jiménez Gómez · Desarrollo de Negocio, Arsys Málaga
Alberto Jiménez lleva años dando Cloud Workshops para empresas en toda España — Madrid, Barcelona, Bilbao, Sevilla, ahora Málaga. Grupos pequeños, diez personas máximo, sin escenarios de cincuenta asistentes donde nadie habla. La idea, dice, es que la gente pregunte. Que participe. Que salga con algo útil.
Alberto es responsable de Desarrollo de Negocio en Arsys, el mayor proveedor cloud de España, con 270.000 clientes. Arsys pertenece a Ionos Group, holding europeo con más de 7 millones de clientes en el continente. Lleva suficientes años en esto como para haber visto el ciclo completo: la fiebre de la nube pública, el entusiasmo, los errores, y ahora el regreso.
Lo primero que hace en cada sesión es una pregunta sencilla: ¿qué cuota de mercado creéis que tiene AWS sobre el total del mercado cloud mundial? Las respuestas en la sala rondan siempre el 40%, el 50%. La respuesta real es el 72%. Un solo proveedor americano controla casi tres cuartas partes de toda la infraestructura cloud del planeta. Más que todos sus competidores juntos.
Desde ahí, todo lo que sigue en el taller cobra un sentido diferente.
En 2020, el argumento era irresistible: el que no estuviera en la nube pública no sería competitivo. Los CEOs presionaban a sus equipos técnicos. Todos empujaban en la misma dirección. Se tomaron decisiones rápidas — demasiado rápidas.
Y en 2023 llegaron las facturas.
Las empresas descubrieron que la nube pública no es más barata. Es más flexible para picos de demanda, sí. Pero si tienes cargas estables — un sistema de gestión empresarial que funciona igual en enero que en agosto, una base de datos de clientes que crece de forma predecible — estás pagando por flexibilidad que no usas. Y además, hay un concepto que aparece en letra pequeña en todos los contratos de los grandes proveedores americanos: el tráfico saliente.
Los datos que salen de la nube hacia tu empresa o hacia tus clientes tienen precio. Un precio que aparece como "cero coma cero cero algo" por gigabyte, que parece irrelevante, y que puede convertirse en entre el 20 y el 25% de tu factura total cuando el sistema crece.
"Me enseñó una empresa sevillana su contrato con uno de los grandes. Tenían un margen de rentabilidad en su software del 20% y el coste variable del tráfico podía comerse ese margen entero en los meses de más actividad. Su contrato con clientes finales era una locura de cláusulas intentando trasladar esa incertidumbre. Era, en sus propias palabras, un acto de fe." Alberto Jiménez — Desarrollo de Negocio, Arsys Málaga
Y luego está el coste de salir. Un cliente pagó 40.000 euros solo en conceptos de tráfico variable para extraer su infraestructura entera de un proveedor americano. Sin contar la migración técnica. Sin contar los meses de trabajo del equipo. Las APIs exclusivas de cada proveedor hacen que migrar no sea solo mover datos — es reescribir código, rediseñar arquitecturas y asumir costes de salida que nadie te explicó al entrar. Cuanto más tiempo llevas dentro y más crece el sistema, mayor es ese coste. No hace falta contrato de permanencia cuando la propia tecnología hace de cadena.
Las tres nubes que necesitas entender
Hay que romper un malentendido antes de seguir: "la nube" no existe. Hay tres modelos completamente distintos, con propósitos distintos, precios distintos y riesgos distintos. Mezclarlos sin estrategia es el error de partida de casi todas las decisiones tecnológicas equivocadas de los últimos cinco años.
Abre el ordenador de tu empresa. Tienes Office 365 — eso es la nube de Microsoft. El CRM (sistema de gestión de clientes) quizás en Salesforce — la nube de Salesforce. El ERP (sistema de gestión empresarial) en algún servidor propio o alquilado. Y alguna máquina en AWS o Google Cloud para desarrollos. El 73% de las empresas están en este escenario hoy mismo: múltiples proveedores, múltiples jurisdicciones legales, ninguna estrategia clara de qué va dónde. Solo el 2% opera en una única nube privada. Solo el 9% en una única nube pública. El resto vive en el mundo híbrido — a menudo sin haberlo decidido conscientemente.
Nube pública: escalabilidad sin límite, con letra pequeña
AWS (Amazon Web Services), Azure (Microsoft) y Google Cloud. Alquilas capacidad computacional por horas. Necesitas más para un Black Friday, la tienes; cuando termina, la devuelves y dejas de pagar. La innovación más avanzada — inteligencia artificial, Kubernetes (gestión de contenedores), DBaaS (bases de datos como servicio), serverless (código sin servidor fijo) — vive aquí. El primer error es pensar que todo debería estar en nube pública si no tienes picos de demanda. El segundo es no leer bien la letra pequeña.
Alberto lo explica con el caso de una empresa de ropa conocida. ¿Cuánta gente se conecta a las doce de la noche de un Black Friday? Millones. ¿Tiene sentido tener infraestructura propia para aguantar eso el resto del año? Ninguno. La nube pública es la respuesta correcta exactamente para ese problema — escalar en minutos, pagar por lo usado, apagar todo cuando termina el pico. Pero esa misma empresa tiene su ERP, su gestión de proveedores y los datos de sus clientes. Esos no deberían estar en el mismo sitio.
Nube privada: control total, precio fijo, dato tuyo
Infraestructura dedicada exclusivamente a tu empresa, en un Centro de Procesamiento de Datos (CPD) que opera bajo legislación española. Coste fijo mensual, sin sorpresas, sin costes variables por tráfico de salida. Sin "ruido de vecino" — ese fenómeno por el que en la nube pública tu servidor físico lo comparten cien clientes más y el rendimiento cae en los momentos de más demanda colectiva. Los datos de producción están en un entorno que controlas tú. Nadie más.
Los clientes que eligen nube privada lo hacen por seis razones concretas: cargas predecibles (ERP y bases de datos sin picos imprevisibles); optimización de costes (las arquitecturas que más pagan en nube pública por IOPS — operaciones de entrada/salida por segundo — y transferencia); cumplimiento normativo (sectores regulados que necesitan auditoría completa); recuperación ante desastres (réplica de producción en segundo CPD); ancla del ecosistema híbrido (para no depender en exclusiva de un hiperscalador americano); y aplicaciones legacy (sistemas que no pueden migrarse a contenedores o entornos sin servidor).
Nube híbrida: la realidad de casi todas las empresas
No es un tercer producto que se compra. Es la consecuencia natural de tener necesidades distintas: parte en nube privada, parte en nube pública, con servicios SaaS (software como servicio) encima. El reto no es elegir una — es diseñar qué va en cada sitio, cómo se conecta todo de forma segura, y bajo qué ley están cada parte de esos datos.
| Criterio | Nube pública | Nube privada |
|---|---|---|
| Coste | ✗ Variable. Crece con el uso | ✓ Fijo mensual, sin sorpresas |
| Soberanía del dato | ✗ Bajo jurisdicción del proveedor | ✓ 100% bajo legislación española |
| Rendimiento | ✗ Variable. "Ruido de vecino" | ✓ IOPS y latencia garantizadas |
| Escalabilidad | ✓ Instantánea, ideal para picos | Controlada, sin picos imprevistos |
| Salida del proveedor | ✗ APIs exclusivas, coste alto | ✓ Estándares abiertos |
| Cumplimiento RGPD / ENS / DORA | ✗ Vacíos legales con CLOUD Act | ✓ Certificable y auditable |
01 — El argumento económico
Comparativa Arsys: 138.000€ en nube pública (3 años) vs 78.000€ en nube privada gestionada (mismo entorno). Sin contar costes variables de tráfico. Fuente: análisis interno Arsys 2025 / Flexera State of the Cloud Report 2024.
El mundo bipolar: tus datos bajo dos leyes incompatibles
Aquí está el asunto que los grandes proveedores americanos prefieren que no conozcas en detalle.
Existe una ley americana llamada CLOUD Act (siglas en inglés de Clarifying Lawful Overseas Use of Data Act, Ley de Clarificación del Uso Legal de Datos en el Extranjero), aprobada en 2018. Obliga a Microsoft, AWS y Google a entregar datos a las autoridades de Estados Unidos cuando se les solicita — incluso si esos datos están físicamente almacenados en servidores ubicados en Europa, e incluso sin necesidad de notificar al titular de los datos.
Eso es incompatible con el RGPD (Reglamento General de Protección de Datos de la Unión Europea). El RGPD dice que los datos del ciudadano europeo son suyos, que tú como empresa eres su fiduciario — su guardián legal — y que no puedes cederlos a terceros sin su consentimiento. La CLOUD Act dice exactamente lo contrario cuando el gobierno americano lo requiere. No hay manera de cumplir las dos a la vez.
Francia no esperó más. La Agencia de Protección de Datos francesa llevó a Microsoft a los tribunales. Microsoft tuvo que reconocer ante el juez que no es el único que accede a los datos de sus clientes europeos. La consecuencia fue directa: 3.000 millones de euros para migrar toda la administración pública de Microsoft a Linux antes de 2030. Alemania y Austria llevan camino similar con sus administraciones regionales. En 2023, Microsoft suspendió servicios de inteligencia artificial en Israel por decisión política, sin preaviso razonable. Varias administraciones europeas tomaron nota.
"Las empresas de marketing americanas hicieron muy bien su trabajo confundiendo el concepto de soberanía del dato. Pero la realidad es simple: el dato del ciudadano europeo pertenece al ciudadano. Tú eres fiduciario de ese dato. Tienes que garantizar que nadie más accede a él. Eso dice la ley."Alberto Jiménez — Desarrollo de Negocio, Arsys Málaga
25 años de guerra legal que afectan a tu empresa hoy
Safe Harbour
Primer acuerdo UE-EEUU para transferencias de datos transatlánticas.
Caso Snowden
Se revela vigilancia masiva de la NSA sobre ciudadanos europeos. La confianza en los proveedores americanos se rompe.
Schrems I — El tribunal anula Safe Harbour
El Tribunal de Justicia de la UE declara ilegal el primer acuerdo.
RGPD + CLOUD Act — El año de la contradicción
El mismo año en que Europa estrena su regulación más exigente, EEUU aprueba la CLOUD Act. Los dos marcos son mutuamente excluyentes.
Schrems II — El tribunal anula el Privacy Shield
El TJUE invalida el segundo intento de acuerdo. EEUU no ofrece garantías equivalentes al RGPD.
DORA en vigor — Los bancos tienen que moverse
La DORA obliga a todos los bancos europeos a tener infraestructura de respaldo en proveedores europeos certificados. El 90% operaba sobre AWS.
02 — El marco regulatorio europeo
Tres siglas a conocer: RGPD, ENS (Esquema Nacional de Seguridad, certificación obligatoria para contratos públicos en España), DORA (en vigor desde enero 2025, aplica a banca y finanzas). Las tres exigen que los datos sensibles estén bajo jurisdicción europea y sean auditables.
El día que se cayó todo — y nadie lo notó
Alberto y José Manuel, el arquitecto que le acompañaba en el taller, hicieron una demostración en vivo. En pantalla, ante una sala de empresarios: una máquina virtual de producción que falla. Sin intervención manual. Sin llamadas de urgencia. Sin que nadie tuviera que levantarse de su escritorio.
En menos de dos minutos, una réplica de esa máquina arrancó en un segundo CPD diferente, con la misma dirección de red, totalmente funcional. El resto de la empresa habría seguido trabajando sin saber que había ocurrido un fallo.
El coste de esa protección: 9 euros por máquina al mes. Para una empresa con veinte máquinas críticas, 180 euros mensuales como red de seguridad frente a la pérdida total.
Los datos del mercado explican por qué esto importa más de lo que parece. En España hay aproximadamente 2.000 empresas atacadas cada día. La mayoría lo resuelve en silencio porque no quieren el escándalo. Pero está pasando.
El derrumbe de VMware: cuando el estándar se vuelve contra ti
Durante años, VMware fue el estándar mundial de virtualización empresarial. Todo el mundo lo tenía. No tenía competencia real.
En 2023, Broadcom compró VMware por 61.000 millones de dólares y ejecutó el mismo manual que ya había aplicado con Citrix: comprar el estándar, eliminar opciones y multiplicar el precio. Las 8.000 combinaciones de licencias desaparecieron de golpe. Quedaron cuatro paquetes. El resultado: empresas que pagaban 300 euros al mes pasaron a pagar 2.500. En algunos casos documentados, la subida fue de quince veces el precio original. Broadcom además eliminó el 90% de su red de distribución.
El mercado buscó alternativas: Proxmox VE (código abierto, sin licencia), Microsoft Hyper-V (integrado en Windows Server) y OpenNebula (proyecto europeo, certificable con ENS y RGPD).
"Muchas empresas se están dando cuenta ahora de que la continuidad de negocio no es un gasto. Es el seguro de incendios de tu empresa. Nadie discute si tener seguro de incendios."Alberto Jiménez — Desarrollo de Negocio, Arsys Málaga
03 — Continuidad de negocio: los datos que nadie quiere ver
Y sin embargo: proteger una máquina virtual con réplica automática en un segundo CPD cuesta desde 9€/mes. Tiempo de recuperación: menos de 2 minutos. Fuentes: FEMA, LLCBuddy Disaster Recovery Stats 2025, ITIC 2024, Sophos 2024.
Quién es Arsys y por qué importa que sea europea
Arsys nació en Logroño en los años noventa, dedicada inicialmente a dominios y páginas web. Con el tiempo fue adquirida por Ionos Group — un holding que reunió a las principales empresas de infraestructura digital de cada país europeo. El resultado es el mayor proveedor cloud de España, con 270.000 clientes. A nivel de grupo, Ionos cuenta con más de 7 millones de clientes en Europa y 32 Centros de Procesamiento de Datos entre Europa y Estados Unidos.
Lo que diferencia a Arsys de un proveedor local es que tiene infraestructura propia de nube pública — una alternativa real a AWS y Azure, sin costes variables por tráfico saliente — además de nube privada gestionada y servicios de recuperación ante desastres con Veeam, la herramienta de referencia según el Cuadrante Mágico de Gartner, de la que son partner Platinum en España.
Y operan exclusivamente bajo legislación española y europea. Ningún dato en nube privada bajo jurisdicción americana.
La tendencia que se ve venir — y que el sector bancario y las administraciones públicas de varios países ya están ejecutando — es la fragmentación deliberada de la dependencia en los grandes hyperscalers americanos: mover las cargas críticas a proveedores europeos certificados, mantener en nube pública americana solo lo que tiene sentido allí, y no dejar que el 72% del mercado cloud mundial esté en manos de un solo proveedor con otra ley y otro gobierno detrás.
"Esto ya no es una conversación de informáticos. Es una conversación de consejo de dirección. ¿Bajo qué ley están vuestros datos? ¿Quién más tiene acceso a ellos? ¿Qué pasaría si vuestro proveedor decide mañana que ya no trabaja con empresas de vuestro país?"Alberto Jiménez — Desarrollo de Negocio, Arsys Málaga