Esta cobertura ha explorado quién regula la inteligencia artificial y quién controla el dinero digital. Falta una pregunta más básica, casi física, que sostiene a las otras dos: ¿dónde viven, literalmente, los datos de los latinoamericanos? La respuesta importa más de lo que parece, porque de ella depende qué leyes los protegen, quién puede acceder a ellos y qué tan real es la soberanía que los Estados dicen ejercer sobre la información de sus ciudadanos. Y la respuesta, hoy, incomoda: la mayor parte de esos datos vive en infraestructura que no controla la región.
El punto de partida es una transformación silenciosa pero casi total. La región vive una explosión digital —trámites públicos, banca, comercio electrónico, salud, educación— y casi toda esa actividad corre sobre servicios en la nube. Según estimaciones del sector, alrededor del 94% de las empresas ya operan en la nube. El problema no es la nube en sí, sino quién es su dueño: una porción dominante del mercado global está concentrada en tres corporaciones estadounidenses —Amazon Web Services, Microsoft Azure y Google Cloud—. Cuando un gobierno o una empresa latinoamericana sube sus datos a la nube, en la inmensa mayoría de los casos los está confiando a una infraestructura extranjera.
La trampa de la ubicación física
Aquí está el dato técnico-jurídico que cambia toda la conversación, y conviene explicarlo con precisión porque suele malinterpretarse. Durante años se asumió que el problema se resolvía con la “residencia de datos”: si los datos de un país se almacenaban en un centro de datos ubicado físicamente en ese país, estarían bajo su jurisdicción. Los grandes proveedores, de hecho, abrieron centros de datos regionales en lugares como Brasil y Chile, en parte respondiendo a esa lógica.
El CLOUD Act estadounidense desmontó esa premisa. Esta ley, promulgada por Estados Unidos en 2018, obliga a las empresas tecnológicas con sede en EE. UU. a entregar a las autoridades estadounidenses los datos que custodian, mediante orden judicial, sin importar en qué país del mundo estén almacenados físicamente. La consecuencia es contraintuitiva pero precisa: aunque una empresa latinoamericana aloje su información en un centro de datos de un proveedor estadounidense ubicado en su propio país, esa información podría quedar legalmente disponible para autoridades extranjeras sin una orden judicial local. Lo que determina la jurisdicción aplicable no es dónde vive el dato, sino la nacionalidad de la empresa que lo controla.
El origen de esta ley es ilustrativo. Nació de un caso —Microsoft contra Estados Unidos— en el que la empresa se negó a entregar correos almacenados en servidores en Irlanda, alegando que la ley estadounidense no tenía alcance fuera de su territorio. El CLOUD Act zanjó la disputa a favor del alcance extraterritorial. A esto se suma lo que el Instituto de las Naciones Unidas para la Investigación sobre el Desarme describe como “dispersión jurisdiccional”: la arquitectura técnica de la nube fragmenta y replica los datos automáticamente en múltiples ubicaciones, lo que complica cualquier intento de ejercer un control soberano real sobre ellos.
Las dos lecturas, con peso comparable
El asunto admite, como casi todo en esta serie, dos interpretaciones legítimas que conviene presentar sin inclinar la balanza, porque ambas describen una parte real del problema.
La lectura crítica, sostenida por analistas de soberanía digital y por algunos gobiernos, plantea que la dependencia genera una vulnerabilidad estructural. Si los datos estratégicos de un país —los de sus ciudadanos, sus empresas, sus instituciones— están bajo control de compañías extranjeras, el país cede una porción de su autonomía: las leyes que protegen esos datos no son necesariamente las nacionales, y la información queda sujeta a jurisdicciones externas. Algunos van más allá y hablan de “colonialismo digital”, señalando que la región importa más tecnología de la que produce, que el valor económico se captura fuera y que se tributa poco localmente. El temor concreto, recogido por especialistas, es un escenario en que datos de una empresa o un organismo público queden bloqueados o expuestos por una decisión legal extranjera —una hipótesis que el endurecimiento de las tensiones geopolíticas vuelve menos abstracta.
La lectura de la industria matiza el alarmismo y aporta un punto válido. Desde Amazon Web Services, por ejemplo, sostienen que la soberanía “no implica residencia de datos” y que “la nube es soberana por diseño”: según esta postura, el control efectivo recae en el cliente, que es el propietario de sus datos y dispone de herramientas —cifrado, gestión de claves, controles de acceso— para protegerlos con independencia de dónde se alojen. Conviene además registrar un dato de honestidad intelectual que los propios analistas reconocen: no abundan los casos públicos documentados de accesos extraterritoriales efectivos a datos latinoamericanos. El riesgo, en buena medida, es estructural y potencial más que un historial probado de abusos; pero la existencia de la norma basta para que la soberanía pase de concepto abstracto a factor concreto en la evaluación de riesgo.
No corresponde a este medio dictaminar cuál lectura pesa más. Sí señalar que ambas conviven: el control técnico que ofrece el proveedor es real, y la exposición jurídica que crea el CLOUD Act también lo es. Una no anula a la otra.
Las alternativas que empiezan a surgir
Un rasgo propio de la región, y que da matices al panorama, es la aparición de alternativas. Algunos Estados han impulsado infraestructura de “nube soberana” propia: en Uruguay, la estatal Antel es citada como ejemplo de nube soberana para clientes locales; en Argentina, ARSAT representa un intento de pasar de mero consumidor de servicios globales a tener capacidad nacional, al menos para organismos y cargas sensibles. La Unión Europea, que enfrenta el mismo dilema frente al CLOUD Act, ha avanzado más en esta dirección, financiando centros de datos locales y promoviendo software libre.
Conviene, eso sí, no idealizar estas alternativas. Construir y mantener infraestructura de nube competitiva es enormemente costoso, requiere escala y talento especializado, y la mayoría de los países de la región no puede replicar por su cuenta lo que ofrecen los gigantes globales. Por eso varios especialistas sugieren que 2026 no marcará el abandono de la nube comercial, sino una redefinición: qué nube usar para qué datos, alojar las cargas más sensibles —las del Estado, las de seguridad— en infraestructura soberana o con garantías reforzadas, y dejar el resto en la nube comercial. La soberanía total es inviable; la soberanía selectiva, sobre lo que de verdad importa, es la apuesta realista.
Lo que esta infraestructura revela
El caso de la soberanía de datos ilumina la capa más profunda y menos visible de los debates que esta serie ha recorrido. Discutimos quién regula la IA, quién controla el dinero digital; pero por debajo de todo eso está la infraestructura física —los centros de datos, los cables, la nube— sobre la que todo se sostiene, y esa infraestructura está mayoritariamente en manos de unas pocas corporaciones de un puñado de países. Quien controla la infraestructura tiene una palanca sobre todo lo que corre encima.
Es la misma lógica que vimos en la regulación de la IA y en el dinero digital: la mayoría de los países son tomadores de una infraestructura que no diseñaron ni controlan, y la pregunta no es si pueden independizarse del todo —no pueden—, sino cómo gestionan esa dependencia para que no se convierta en vulnerabilidad. La soberanía digital, entendida de forma madura, no es autarquía tecnológica; es la capacidad de decidir, con información y con alternativas, qué se cede y qué se protege.
El dato verificable, aquí, es que la inmensa mayoría de la actividad digital latinoamericana corre sobre nubes extranjeras, que una ley estadounidense puede alcanzar esos datos sin importar dónde estén alojados, y que la región apenas empieza a construir alternativas parciales. Si eso derivará en una dependencia que erosione la autonomía o en una relación gestionada con inteligencia dependerá de decisiones que aún no se han tomado: de cuánto inviertan los Estados en infraestructura propia para sus datos críticos, de qué marcos legales construyan, y de si la región actúa de forma fragmentada o coordinada. Como en toda esta serie, lo decisivo no es el dato que hoy preocupa —la dependencia—, sino qué se decida hacer con él antes de que la infraestructura termine de definir quién manda sobre la información.