Microsoft confirma que las autoridades estadounidenses pueden acceder a datos almacenados en la UE

En una comparecencia ante la comisión del Senado francés el 10 de junio de 2025, Microsoft admitió bajo juramento que las autoridades estadounidenses podían acceder a datos de la UE. A Anton Carniaux, consejero jurídico de Microsoft Francia, se le preguntó directamente si podía garantizar bajo juramento que los datos de ciudadanos franceses almacenados en la nube de Microsoft nunca se transmitirían a las autoridades estadounidenses sin la aprobación de las autoridades francesas. Carniaux respondió claramente: «Non, je ne peux pas le garantir» – «No, no puedo garantizarlo«(senat.fr).

Esta declaración subraya que, a pesar de que los datos se almacenen en centros de datos de la UE, no existe una protección absoluta contra el acceso estadounidense. La cuestión se planteó en el contexto de la Ley CLOUD estadounidense, que permite a las autoridades de ese país exigir datos a empresas estadounidenses, aunque esos datos estén almacenados en servidores de Europa. Durante la audiencia, Carniaux confirmó que si se le presenta una orden estadounidense legalmente justificada, Microsoft está obligada en última instancia a entregar los datos solicitados(senat.fr). Esta apertura marca un punto de inflexión en el debate sobre la soberanía digital de Europa, ya que Microsoft reveló oficialmente los límites de sus compromisos en materia de protección de datos.

Otras fuentes oficiales confirman el acceso de Microsoft a los datos de la UE.

Admisiones similares pueden encontrarse en otras fuentes oficiales. Documentos gubernamentales publicados en el Reino Unido revelan que Microsoft también ha reconocido ante las autoridades que no puede garantizar la plena soberanía de los datos. En una carta dirigida a las autoridades policiales escocesas, se afirmaba: «Microsoft ha comunicado que no puede garantizar la soberanía de los datos para M365″(whatdotheyknow.com).

En la práctica, esto significa que los datos, incluso cuando se alojan localmente, no pueden protegerse completamente del acceso extranjero. Estas admisiones surgieron en respuesta a una solicitud de libertad de información, que reveló correspondencia entre Microsoft y las autoridades públicas. Esto pone de manifiesto que las solicitudes internacionales de acceso a los datos forman parte inherente de la arquitectura de la nube utilizada por los proveedores con sede en Estados Unidos.(computerweekly.com). Así, los representantes legales de Microsoft reconocieron en las conversaciones que, incluso con las salvaguardias contractuales y técnicas en vigor, sigue existiendo un riesgo residual debido a los procesos globales de soporte y copia de seguridad, durante los cuales los datos de la UE pueden procesarse fuera de la región designada(computerweekly.com). Estos documentos oficiales refuerzan la afirmación de Microsoft de que no puede ofrecerse una garantía del 100% contra el acceso extranjero (especialmente estadounidense).

Ley US CLOUD: Base jurídica para el acceso extraterritorial a los datos

En otras fuentes oficiales se pueden encontrar admisiones igualmente claras . Documentos gubernamentales desclasificados en el Reino Unido revelan que la propia Microsoft ha reconocido ante las autoridades que no puede garantizar la plena soberanía de los datos. En una carta a las autoridades policiales escocesas, se confirmaba: «Microsoft ha comunicado que no puede garantizar la soberanía de los datos para M365″.

Según un libro blanco publicado por el Departamento de Justicia de Estados Unidos, la ley establece explícitamente que las empresas bajo jurisdicción estadounidense pueden ser obligadas a presentar datos «independientemente de si dichos datos se encuentran dentro o fuera de Estados Unidos»(justice.gov). Este alcance extraterritorial de la ley estadounidense también se puso de relieve en el Senado francés, donde se afirmó claramente que Microsoft, como empresa estadounidense, está sujeta a la Ley CLOUD, que permite a las autoridades estadounidenses acceder a los datos almacenados en Europa(senat.fr).

Aunque Microsoft subraya que cuenta con sólidos procesos de revisión y rechaza las solicitudes injustificadas, la empresa debe cumplir y facilitar los datos en caso de órdenes estadounidenses legalmente válidas y específicas(senat.fr). Incluso medidas avanzadas como la encriptación de datos y el almacenamiento regional no ofrecen en última instancia una protección absoluta, ya que las leyes estadounidenses prevalecen en caso de conflicto, un hecho que Microsoft ha reconocido ahora públicamente. Esto sirve de claro ejemplo de lo real que es el riesgo de que Estados Unidos acceda a los datos de la UE a través de Microsoft, y de por qué las empresas deberían reconsiderar ya su estrategia en la nube.

Minimizar los riesgos con el socio adecuado

Actualmente no puede garantizarse una protección absoluta frente al acceso desde el extranjero, pero las empresas no están indefensas. Con la arquitectura de nube adecuada y un socio fuerte, los riesgos pueden reducirse significativamente sin sacrificar las ventajas de las modernas plataformas en la nube.

CONVOTIS, como proveedor de servicios informáticos experimentado, ya ha puesto en marcha numerosos proyectos de soluciones en la nube seguras y soberanas. Nuestros centros de datos están ubicados exclusivamente en Suiza, Alemania y dentro de la UE – combinamos los más altos estándares de seguridad con la escalabilidad y el rendimiento que usted espera de los principales hiperescaladores.