En la primavera europea de 2025, el fiscal jefe de la Corte Penal Internacional (CPI), Karim Khan, perdió el acceso a su cuenta de Microsoft. El hecho ocurrió poco después de que el presidente Donald Trump firmara, el 6 de febrero de 2025, la Orden Ejecutiva 14203, que imponía sanciones de Estados Unidos contra Khan por tramitar órdenes de arresto contra líderes israelíes por presuntos crímenes de guerra en Gaza. Khan, con sede en La Haya, trasladó sus comunicaciones a Proton Mail, un proveedor suizo, y sus cuentas bancarias en el Reino Unido quedaron congeladas. Aunque Microsoft niega haberlo desconectado y el mecanismo exacto del corte sigue en disputa, para los funcionarios de toda Europa la lección fue clara: una decisión tomada en Washington, canalizada a través de una empresa de software estadounidense, afectó el trabajo diario de una corte internacional independiente. Si le podía pasar al fiscal de La Haya, le podía pasar a un ministerio en París, a un hospital en Berlín o a una municipalidad en Ámsterdam.

Esa toma de conciencia desató el esfuerzo europeo más serio hasta la fecha por reducir su dependencia de la tecnología estadounidense. El trasfondo no son los programas de oficina, sino el poder. Durante 20 años, el dominio de las empresas tecnológicas de Estados Unidos se vivió como comodidad. Ahora, los gobiernos europeos lo leen como una debilidad estratégica, porque la infraestructura sobre la que funciona el Estado moderno —la nube, esas enormes redes de centros de datos remotos donde los gobiernos y las empresas guardan su información y ejecutan sus programas— pertenece de manera abrumadora a compañías con sede en un país cuya política exterior Europa no controla. Las firmas estadounidenses concentran entre el 70% y el 80% del mercado europeo de la nube. La pregunta que los líderes europeos se hacen en voz alta es qué pasa con ese arreglo el día en que Washington decida usarlo.

El corazón legal del problema es una ley estadounidense de 2018 llamada Ley CLOUD. Esta permite a las autoridades de Estados Unidos obligar a las empresas tecnológicas con sede en ese país a entregar los datos que tengan bajo su custodia, sin importar en qué país estén guardados físicamente. Una empresa puede construir un centro de datos en París, contratar personal francés y prometer que la información nunca sale de Francia, pero la ley igual la alcanza, porque la ley sigue a la empresa, no al servidor. Esto es lo que los especialistas llaman alcance 'extraterritorial': una ley nacional que se aplica más allá de las fronteras del país.

Los europeos llevaban años preocupados por esto, pero la preocupación era abstracta. El episodio de la CPI la volvió concreta, y un segundo hecho de ese mismo verano eliminó cualquier duda que quedara. El 10 de junio de 2025, Anton Carniaux, director de asuntos públicos y jurídicos de Microsoft Francia, fue interrogado bajo juramento por una comisión del Senado francés. Cuando le preguntaron si podía garantizar que los datos de los ciudadanos franceses en poder de Microsoft jamás serían transmitidos al gobierno estadounidense, respondió sin rodeos que no podía darla, aunque agregó que nunca había ocurrido. La admisión no fue una filtración ni un rumor. Fue el propio abogado de la empresa, bajo juramento, confirmando justo lo que los funcionarios europeos temían.

La misma exposición alcanza a los tres grandes proveedores estadounidenses, conocidos en la industria como hyperscalers: Microsoft Azure, Amazon Web Services y Google Cloud. Las tres tienen su sede en Estados Unidos y están sujetas a la Ley CLOUD. Microsoft se ha llevado la mayor parte de las críticas públicas porque el caso de la CPI y la declaración en el Senado la involucraron de manera directa, pero los reguladores europeos no hacen una distinción real entre las tres. El problema no es la conducta de una empresa, sino la jurisdicción que todas comparten.

Lo que convirtió un argumento legal en una emergencia política fue la magnitud de la campaña de sanciones de Estados Unidos contra la CPI. El decreto de Trump, la Orden Ejecutiva 14203, no se detuvo en el fiscal. A lo largo de los 10 meses siguientes, Estados Unidos sancionó a 11 funcionarios de la CPI en total: el fiscal jefe, dos fiscales adjuntos y ocho jueces, entre ellos jueces de Eslovenia, Benín, Uganda, Francia, Canadá y el Perú. Las medidas no fueron simbólicas. Según reportó la agencia Associated Press, el personal sancionado quedó cortado de los bancos y de servicios de consumo corrientes. Una jueza de la CPI contó que perdió el acceso a su cuenta de Amazon. A los empleados estadounidenses de la corte se les advirtió que podían ser detenidos si regresaban a Estados Unidos.

Los gobiernos del viejo continente están migrando a servicios europeos, buscando asegurar la soberanía digital. Foto: Composición LR.

La reacción de la Corte Penal Internacional (CPI) fue inmediata y contundente. El 31 de octubre de 2025, la institución confirmó que migraba sus programas de oficina de Microsoft a openDesk, un paquete de código abierto desarrollado por una entidad estatal alemana. El secretario general de la corte justificó la decisión con una franqueza inusual: dijo que la institución debía reducir sus dependencias y fortalecer su autonomía tecnológica, aunque eso resultara caro, ineficiente e incómodo en el corto plazo. Fue una admisión notable: una institución eligiendo el camino más difícil y costoso porque el fácil se había vuelto un riesgo. Para los gobiernos europeos, aquello fue una demostración en vivo de hasta qué punto una persona o una institución podía quedar bloqueada de los sistemas de la vida moderna por una decisión tomada en otro país.

Un continente que se reorganiza

Esa misma lógica se replica en presupuestos y contratos en toda Europa. Francia ha sido el país que más ha empujado desde el aparato del Estado. En abril de 2026, el gobierno anunció que migraría el Health Data Hub —la plataforma nacional que guarda las historias clínicas de decenas de millones de ciudadanos— de Microsoft Azure a Scaleway, un proveedor francés. Una ley francesa de 2024 exige ahora que ciertos datos sensibles estén alojados solo en infraestructura fuera del alcance de órdenes legales de fuera de Europa. Los ministros franceses han advertido en público contra lo que uno de ellos llamó “lavado de soberanía”: la práctica de las firmas estadounidenses de rebautizar servicios que ya existían como europeos y soberanos, sin cambiar quién los controla de verdad.

Alemania ha avanzado a través de sus estados e instituciones, más que desde el gobierno central. El estado norteño de Schleswig-Holstein terminó de migrar más de 44.000 cuentas de correo estatales fuera de los sistemas de Microsoft en octubre de 2025. Para diciembre, había pasado cerca del 80% de sus puestos de trabajo a LibreOffice —una alternativa gratuita y de código abierto a Microsoft Office— y al sistema operativo Linux. El estado calcula que ahorrará más de 15 millones de euros al año en licencias, frente a un costo único de migración de unos 9 millones. El ejército alemán y el principal instituto de salud pública del país han firmado contratos por el mismo paquete de oficina de código abierto que eligió la CPI.

Los Países Bajos, sede de la CPI, reaccionaron con especial dureza. En marzo de 2025, su parlamento aprobó ocho mociones distintas instando al gobierno a salir de los servicios de nube estadounidenses. Un legislador preguntó sin rodeos si los holandeses estaban cómodos con que figuras como Trump, Mark Zuckerberg y Elon Musk mandaran sobre sus datos. En mayo de 2026, el gobierno holandés bloqueó la compra de Solvinity —el proveedor local que opera el sistema nacional de identidad digital— por parte de la firma estadounidense Kyndryl. Fue la primera vez que el organismo holandés de revisión de inversiones prohibía una adquisición. Desde entonces, el gobierno firmó un contrato marco con un proveedor europeo que incluye una cláusula para rescindirlo si la empresa llegara a pasar a manos no europeas.

Los Estados más pequeños han tomado la misma decisión a su manera. El ministerio digital de Dinamarca empezó a reemplazar Microsoft Office por herramientas de código abierto, y su ministra advirtió que un país nunca debe volverse tan dependiente de tan pocos que ya no pueda actuar con libertad. Las fuerzas armadas de Austria sacaron unas 16.000 computadoras militares de Microsoft Office. El consejo asesor federal de Suiza declaró que el software de código abierto era un pilar central de la soberanía digital, y la cancillería federal armó un sistema de respaldo de emergencia para correr las herramientas de oficina del gobierno sobre plataformas de código abierto, por si Microsoft 365 algún día falla o queda cortado. La operadora postal de Luxemburgo lanzó una nube soberana en sociedad con un proveedor francés.

No solo los gobiernos

El caso suizo muestra cuánto se ha alejado esta conversación del ministerio de defensa. En noviembre de 2025, el organismo que agrupa a los encargados cantonales de protección de datos de Suiza declaró que los servicios internacionales de nube de uso masivo no eran adecuados para datos personales sensibles, y el cantón de Zúrich restringió los servicios de nube estadounidenses para parte del sector público. La preocupación se ha trasladado en cascada a la economía privada. Entre las pequeñas y medianas empresas, sobre todo en sectores regulados como las finanzas y la salud, se ha vuelto común hacerle a un proveedor de software una pregunta que hace tres años habría sido rara: ¿existe una versión de este servicio alojada enteramente en Suiza? La demanda de productos de software como servicio —programas que se contratan por suscripción a través de internet, como herramientas de contabilidad o de gestión de clientes— con una instancia local garantizada ha subido en consecuencia. Microsoft ha respondido abriendo regiones de centros de datos en Suiza y ofreciendo contratos de residencia de datos que mantienen la información del cliente dentro de las fronteras del país, pero los funcionarios suizos replican que la residencia no resuelve la exposición legal de una matriz estadounidense. Los datos pueden estar en Zúrich; la empresa le sigue respondiendo a Washington.

Europa lo lleva a la ley

El 3 de junio de 2026, la Comisión Europea dio un paso decisivo al proponer un Paquete de Soberanía Tecnológica, articulado en torno a una nueva Ley de Desarrollo de la Nube y la Inteligencia Artificial. Esta ley, que aún necesita la aprobación del Parlamento Europeo y de los países miembros, no entraría en pleno vigor hasta 2027. Sin embargo, el rumbo es inconfundible. La propuesta clasificaría los servicios de nube en cuatro niveles de soberanía y obligaría a los gobiernos a evaluar la sensibilidad de sus sistemas para comprar en consecuencia. En sus niveles más estrictos, dejaría prácticamente fuera a los hyperscalers estadounidenses del trabajo público más sensible, precisamente porque la Ley CLOUD los obliga a acatar las exigencias de datos de Estados Unidos. La Comisión ha tenido cuidado de aclarar que soberanía no significa aislamiento ni cerrarle el mercado común a las empresas extranjeras.

Este movimiento legislativo no surgió de la nada. Lo que empezó como decisiones nacionales dispersas se está convirtiendo en ley europea. El Parlamento Europeo ya había pedido en dos ocasiones a la Comisión Europea que active un instrumento de 1996, conocido como el Estatuto de Bloqueo, para proteger a la Corte Penal Internacional (CPI) y a las empresas europeas de las sanciones de Estados Unidos. Además, la Comisión construyó un sistema de certificación que clasifica los servicios de nube según su independencia del control extranjero. En abril de 2026, adjudicó su primer contrato de nube soberana, por hasta 180 millones de euros, exclusivamente a proveedores europeos.

Los argumentos en contra

El camino de Europa no es barato ni de victoria asegurada, y gente seria lo dice. Los proveedores de nube europeos siguen siendo mucho más pequeños que los gigantes estadounidenses y están bastante atrás en los servicios de inteligencia artificial, actualmente centrales en la informática. Una migración completa cuesta años y cientos de millones, como muestra la experiencia alemana. Hasta sus defensores reconocen fricciones reales en la compatibilidad de documentos y en la integración de sistemas. Microsoft, por su parte, ha asumido compromisos vinculantes con sus clientes europeos, incluida una promesa legal de impugnar en tribunales cualquier orden gubernamental de suspender sus operaciones de nube en Europa, y ha calificado una orden así de sumamente improbable. El resumen honesto es que Europa se encuentra en una posición difícil, sin salida indolora. Ha decidido que el costo de seguir dependiendo es más alto que el costo de irse y está actuando en consecuencia, a sabiendas de que la transición tomará muchos años.

La peruana en el centro de la escena

Para el lector peruano, la campaña de sanciones no es una preocupación europea lejana. Tiene rostro peruano. Entre los 11 funcionarios de la CPI que Washington ha sancionado está Luz del Carmen Ibáñez Carranza, una jurista trujillana que en 2018 se convirtió en la primera peruana en integrar la corte y que fue su primera vicepresidenta entre 2021 y 2024. Antes de La Haya, pasó décadas como una de las fiscales más reconocidas del Perú, en el sistema especializado que veía terrorismo, graves violaciones de derechos humanos y crímenes de lesa humanidad. Procesó a Abimael Guzmán, fundador de Sendero Luminoso, y a Víctor Polay, del MRTA, y trabajó en el caso de las ejecuciones extrajudiciales de El Frontón.

Estados Unidos la sancionó el 5 de junio de 2025, en la segunda ronda de designaciones, junto a jueces de Uganda, Benín y Eslovenia. Aquí hay una distinción que importa, y que conviene que el lector tenga presente. La campaña de sanciones en su conjunto se desató por las órdenes de arresto de la corte contra líderes israelíes. Pero a Ibáñez Carranza no la sancionaron por esas órdenes. La sancionaron por su papel en la investigación de la corte sobre Afganistán, una pesquisa que podría alcanzar a personal militar y de inteligencia de Estados Unidos. Ella había integrado el panel de apelaciones de 2020 que abrió el camino a esa investigación. El detalle se vuelve más agudo si se recuerda que esa misma investigación, por decisión del propio fiscal en 2021, había sido reorientada para dejar de lado a los ciudadanos estadounidenses.

Lo que las sanciones significaron en la práctica es la parte que debería hacer pensar a cualquier peruano. Ibáñez Carranza, una de las pocas funcionarias sancionadas que ha hablado en público, ha contado que tiene prohibido el ingreso a Estados Unidos, una prohibición que se extiende a sus hijas, y que no puede mover con normalidad sus propias cuentas en dólares ni hacer trámites bancarios corrientes en una Europa cada vez más sin efectivo. Ha señalado, con cierta ironía, que por venir del Perú y de América Latina no tenía el tipo de cuentas de consumo (los servicios de Amazon y las billeteras digitales) que dejaron más expuestos a algunos de sus colegas, de modo que las restricciones la golpearon sobre todo por el lado bancario y de los viajes, y no por una cuenta de compras desactivada. Ha sido abiertamente desafiante: ha recordado su trayectoria procesando a terroristas y narcotraficantes en el país, y ha pedido a Europa que actúe como la estructura poderosa que es, en lugar de subordinarse a Washington.

La jueza peruana Luz del Carmen Ibáñez Carranza, sancionada pero aún en funciones, presidió el 22 de abril de 2026 la sala de apelaciones que leyó el fallo confirmando la jurisdicción de la Corte Penal Internacional sobre el expresidente filipino Rodrigo Duterte. Por mayoría de cuatro votos contra uno, se rechazaron los cuatro fundamentos de su apelación. Que una magistrada peruana bajo sanción dictara una decisión histórica contra un exjefe de Estado ilustra con claridad la insistencia de la corte en que la presión no doblegaría su trabajo. Ese alcance que sacudió a La Haya no se detuvo en las instituciones: tocó a una ciudadana peruana, con nombre y apellido.

Por qué esto le importa al Perú

La tentación es leer todo esto como un drama europeo, pero no lo es. El mismo régimen legal que sacudió a La Haya alcanza a Lima y, como muestra el caso de la jueza Ibáñez Carranza, puede alcanzar directamente a ciudadanos peruanos. Los ministerios, los bancos, los hospitales y las grandes empresas del Perú funcionan sobre los mismos tres proveedores estadounidenses que Europa intenta manejar, y no existe alternativa peruana ni latinoamericana a una escala siquiera parecida a la que hace falta. El nuevo Reglamento de la Ley de Protección de Datos Personales del Perú, vigente desde marzo de 2025, endurece las reglas para mover datos a través de las fronteras, pero no toca la exposición de fondo: los datos en poder de una empresa estadounidense caen bajo la Ley CLOUD incluso cuando están en servidores ubicados en Brasil o en Chile. La experiencia europea es, por eso, una advertencia y, a la vez, un manual. Demuestra que un gobierno decidido puede recuperar el control de sus sistemas críticos, y muestra exactamente lo lento y lo caro que resulta. La pregunta difícil, que se hace más en privado que en público, es la misma que La Haya tuvo que responder de verdad en 2025: ¿qué haría el Perú si una decisión tomada en Washington, por una sanción o un decreto, buscara dejar a una institución peruana fuera de los sistemas que usa todos los días?

Perspectivas

Las señales a vigilar durante el próximo año son concretas. Que el Parlamento Europeo y los países miembros aprueben la Ley de Desarrollo de la Nube y la Inteligencia Artificial, y qué tan estrictos queden sus niveles finales, definirá hasta dónde se empuja a los hyperscalers estadounidenses fuera del trabajo de los gobiernos europeos. La migración de la plataforma de salud francesa a un proveedor nacional, que se espera terminar entre fines de 2026 y comienzos de 2027, pondrá a prueba si la alternativa soberana puede sostener un sistema que de verdad importa. El pulso entre la campaña de Washington contra las leyes extranjeras de datos y la decisión de Europa de escribirlas no se va a resolver pronto. La pregunta de fondo ya quedó planteada a la vista de todos. La época en que el mundo simplemente confiaba en que la tecnología estadounidense siempre estaría disponible, neutral y sin política de por medio, se acabó. Lo que venga en su lugar, para Europa y para todos los que miran desde afuera, todavía se está decidiendo.

(*) Mark Barwinski nació en Trujillo, la misma ciudad de la jueza Luz del Carmen Ibáñez Carranza, a quien no conoce personalmente. Es director de CyberOps Advisory GmbH, firma suiza de asesoría en ciberseguridad, y profesor de operaciones de seguridad en la Universidad de Ciencias Aplicadas de Lucerna (HSLU). Fue oficial de inteligencia del gobierno de Estados Unidos y ocupó luego cargos de liderazgo en seguridad de la información en el sector financiero e industrial. Su trabajo con empresas medianas europeas le da visibilidad directa sobre el repliegue frente a los proveedores de nube estadounidenses que describe este informe.

google icon

Leer artículo completo en larepublica.pe →