Microsoft 365 en el sector público: cuando los datos cruzan más de 100 fronteras

Cada vez más administraciones públicas integran Microsoft 365 en sus entornos de sistemas, impulsadas por la presión de ser más eficientes, por los objetivos de digitalización y por la expectativa de ofrecer servicios modernos. Sin embargo, precisamente allí donde los datos son especialmente sensibles, la base técnica se ve superada por la carga legal.

La migración de la policía escocesa a Microsoft 365 lo ha dejado claro: procesamiento de datos más allá de las fronteras nacionales, sin un control transparente —un sistema que elude estructuralmente los requisitos de soberanía de los datos, limitación de acceso y cumplimiento legal.

Microsoft 365 y la gestión de datos: un riesgo para las administraciones

Como informó ComputerWeekly, en el marco del proyecto de migración de M365 de la policía escocesa, se reveló que Microsoft puede procesar datos potencialmente en más de 100 países, incluidos estados considerados críticos desde el punto de vista de la seguridad o la protección de datos. El problema radica en el diseño de la nube hyperscale: los mecanismos de replicación y failover distribuyen automáticamente los datos entre regiones, sin que los usuarios puedan controlar realmente dónde se almacenan sus datos. Esta arquitectura técnica plantea una cuestión central de gobernanza: ¿quién controla qué datos se replican y dónde? ¿Y cómo puede garantizarse esto jurídicamente?

Para administraciones con requisitos legales de localización de datos —como en el caso escocés— esto supone un grave problema de gobernanza. La legislación local exige que ciertos datos solo se procesen dentro de las fronteras nacionales. En este contexto, Microsoft se negó a dar información concreta sobre los flujos de datos y su evaluación interna de riesgos en relación con datos sensibles procesados en terceros países.

En Suiza también crece el escepticismo hacia el uso de M365 en las administraciones cantonales, como en Zúrich, Berna, Basilea-Ciudad y Lucerna. El punto de fricción sigue siendo el mismo: la falta de transparencia en el tratamiento de datos y la posible dependencia de un proveedor extracomunitario con sede en EE. UU.

Arquitectura cloud de Microsoft 365 y control

La infraestructura cloud de Microsoft 365 ofrece una amplia automatización, administración centralizada y una estrecha integración con los servicios de Azure. Pero precisamente esta complejidad técnica dificulta a las administraciones la implementación de los requisitos regulatorios. Los flujos de datos, los niveles de acceso y los registros de actividad permanecen en gran medida bajo la responsabilidad del proveedor —no del usuario.

Microsoft hace referencia a su iniciativa EU Data Boundary, que tiene como objetivo limitar el procesamiento de datos a centros de datos dentro de la UE. Sin embargo, los metadatos, procesos de soporte y datos de telemetría quedan excluidos. Por lo tanto, el acceso por parte de terceros sigue siendo técnicamente y legalmente posible.

Para infraestructuras críticas y entidades del sector público, esto significa: operar en una nube pública puede ser tecnológicamente sensato, pero insuficiente desde el punto de vista normativo —especialmente en lo que respecta a la soberanía de los datos, el control de acceso y la capacidad de auditoría. Y aquí comienza el verdadero debate sobre la soberanía digital. La pregunta no es si se deben usar servicios en la nube, sino si pueden diseñarse de forma que garanticen el control y el cumplimiento desde un punto de vista técnico.

Soberanía digital en el sector público

El debate sobre Microsoft 365 ilustra perfectamente una cuestión central de la gobernanza IT moderna: la soberanía digital nace del diseño técnico, de arquitecturas de datos transparentes y de infraestructuras controlables.

Especialmente en el sector público y en sectores regulados como la sanidad, la energía o los servicios financieros, los requisitos de compliance son esenciales, al igual que la capacidad de controlar los flujos de datos desde un punto de vista técnico y organizativo.

Solo los sistemas modulares, basados en API y con una responsabilidad de datos claramente definida pueden diseñarse para cumplir con las exigencias regulatorias. Las arquitecturas modernas, cloud-native, con residencia de datos configurable, cifrado multicliente (BYOK/HYOK) y controles de acceso granulares permiten cumplir con las normativas legales sin renunciar a escalabilidad ni automatización. Pero la implementación técnica solo produce efecto dentro de un marco legal adecuado.

Microsoft 365 y protección de datos

Las preocupaciones sobre protección de datos y la falta de mecanismos de control han tenido ya consecuencias políticas. En varios países europeos —como Francia, Alemania y Suiza— los proyectos de M365 han sido objeto de críticas públicas.

Microsoft alude a certificaciones y estándares como ISO 27001, SOC 2 o las cláusulas contractuales tipo de la UE. Pero estos no bastan si los datos estatales pueden estar teóricamente sujetos al acceso por parte de gobiernos extranjeros. El problema no radica en la tecnología, sino en el modelo de gobernanza:

Quién controla dónde se procesan los datos, quién tiene acceso, cómo se gestionan las claves y si los registros pueden ser auditados por terceros —todo esto determina la soberanía digital.

Las organizaciones del sector público se enfrentan así a una paradoja: por un lado, la presión de utilizar plataformas colaborativas y eficientes; por otro, un marco regulador que no permite flujos de datos opacos. Estas tensiones legales no se resuelven con decisiones políticas, sino con gobernanza técnica. Solo cuando la localización de datos, el control de acceso y la gestión de claves se aplican técnicamente, se alcanza una verdadera soberanía.

Gobernanza técnica en Microsoft 365

Microsoft 365 no exige desconfianza, pero sí gobernanza técnica. Sin medidas arquitectónicas complementarias, cuestiones clave sobre localización de datos, acceso y cifrado siguen sin respuesta. Solo un control específico sobre la gestión de claves, el registro de actividades y los permisos convierte una plataforma cloud en una infraestructura legalmente segura.

En la práctica, la gobernanza técnica puede implementarse mediante políticas de restricción de inquilinos (Tenant Restriction Policies), acceso condicional y conectores soberanos —mecanismos que permiten anclar el control y la trazabilidad a nivel de infraestructura.

Aspectos clave:

• Aplicabilidad de la localización de datos
• Auditoría completa de flujos de datos
• Gestión de claves independiente
• Control de acceso hasta nivel root

Solo así puede garantizarse una infraestructura digital jurídicamente segura en el sector público.

Recomendaciones para el sector público

Microsoft 365 solo puede utilizarse de forma legal en el sector público si la gobernanza técnica está incorporada desde el principio —no como añadido posterior. Lo esencial es definir claramente las responsabilidades y los mecanismos de control, independientemente de si se opera en una nube pública, privada o híbrida.

Se recomienda un modelo de seguridad y gobernanza en capas que:

• Establezca la gestión de claves y los procedimientos criptográficos dentro del propio dominio organizativo,
• Habilite la clasificación de datos y el control de acceso de forma automatizada,
• Implemente la supervisión y la auditoría como una capa funcional independiente, y
• Gestione las integraciones vía API bajo criterios estrictos de compliance.

Así se crea la base técnica para que Microsoft 365 no se perciba como un riesgo, sino como una infraestructura regulable —con responsabilidad verificable y trazabilidad total de los flujos de datos.