Artículo · 025 · 14 Jul 2026

481 millones para una nube pública soberana: qué tiene que demostrar la Generalitat para que no sea solo marketing institucional

Nube Soberana · ESTRATECSEAL 3 · ENSSector Público

La Generalitat de Catalunya ha licitado una nube pública soberana con una inversión de 481 millones de euros, dentro de su estrategia de autonomía tecnológica ESTRATEC. Alojará los datos más sensibles de la administración catalana — historiales de La Meva Salut, información fiscal, autorizaciones ambientales — con el sello SEAL 3 y operativa prevista para el tercer trimestre de 2027. Es una cifra que obliga a tomarse el proyecto en serio. También es una cifra que puede acabar en dos sitios muy distintos: una plataforma de soberanía operativa real, o un jardín vallado autonómico de 500 millones que ningún otro organismo puede usar.

Qué se ha anunciado exactamente

El plan, enmarcado en ESTRATEC, contempla una inversión de 481 millones de euros con adjudicación prevista para finales de 2026 y entrada en operación en el tercer trimestre de 2027. La infraestructura alojará las cargas de datos más sensibles de la Generalitat: historiales clínicos de La Meva Salut, información fiscal y autorizaciones ambientales, bajo el sello SEAL 3, que acredita operación sin dependencia de terceros países no europeos.

El objetivo declarado no es sustituir todo el ecosistema digital catalán por esta nube soberana, sino reequilibrarlo: la nueva infraestructura absorberá el 40% de los servicios, frente a un 30% que seguirá en nube privada y otro 30% en nube pública convencional. Es, en la práctica, una estrategia multicloud con criterio de clasificación de dato como eje de decisión — el mismo principio que defendemos en cualquier Landing Zone bien diseñada para sectores regulados, aplicado ahora a escala autonómica.

481 M€
Inversión total del proyecto ESTRATEC de nube soberana
T3 2027
Fecha prevista de entrada en operación
40% / 30% / 30%
Reparto objetivo: nube soberana / privada / pública convencional

Soberanía se mide en jurisdicción y acceso, no en código postal

El criterio de fondo del proyecto es el correcto, y conviene decirlo con claridad porque no siempre es así en iniciativas de "cloud soberana" en España: la soberanía digital no se mide por dónde está físicamente el datacenter, sino por bajo qué jurisdicción opera y quién tiene acceso privilegiado a la infraestructura. Un centro de datos en Barcelona operado con soporte técnico, parcheo o acceso administrativo desde fuera de la UE no resuelve el problema que la CLOUD Act plantea; solo lo disfraza. Ya desarrollamos este argumento con detalle en el análisis de la certificación ENS Categoría Alta de Azure: la certificación de residencia y seguridad es condición necesaria, pero no suficiente, para hablar de soberanía operativa real.

El sello SEAL 3 es un buen punto de partida porque exige explícitamente ausencia de dependencia de terceros países no europeos, un estándar más estricto que la simple residencia de datos. Pero un sello certifica un diseño en un momento dado — no sustituye a la auditoría continua de quién opera realmente la plataforma dos, cinco o diez años después de la adjudicación.

Las dos preguntas que decidirán si esto es soberanía real

Pregunta 01
¿Quién opera la plataforma en el día a día?
No basta con que el software o el hardware sean europeos. Si el soporte de nivel 2/3, la gestión de incidentes críticos o la administración de identidades dependen de un proveedor no europeo o de personal fuera de jurisdicción UE, la soberanía declarada en el pliego se degrada en la operación real. El contrato debe fijar dónde reside el equipo operativo, no solo dónde reside el dato.
Pregunta 02
¿Cómo se resuelve la interoperabilidad con el ENS y la nube estatal?
España ya tiene un marco de certificación ENS Categoría Alta consolidado y una estrategia de nube estatal en desarrollo. Si la nube soberana catalana construye su propio esquema de certificación y controles sin interoperar con ese marco nacional, el resultado es fragmentación, no soberanía: cada administración auditando y certificando por separado lo que podría reconocerse una vez.

El riesgo real: el jardín vallado autonómico

481 millones de euros es una inversión que solo se justifica si la infraestructura resultante es reutilizable más allá de la Generalitat. El riesgo concreto es que cada comunidad autónoma con presupuesto suficiente licite su propia nube soberana con su propio sello, su propia certificación y su propia arquitectura de referencia — duplicando coste de forma masiva a escala de país sin ganar soberanía adicional, porque el problema de fondo (dependencia de jurisdicción no europea) ya se resuelve una vez a nivel de proveedor certificado.

ModeloVentajaRiesgo si se generaliza por CC.AA.
Nube soberana propia por CC.AA.Control total sobre diseño y prioridades localesDuplicación de coste y certificación; interoperabilidad reducida entre administraciones
Nube estatal compartida + regiones certificadas ENS AltoEconomía de escala, certificación única reutilizableMenor autonomía de decisión técnica para cada administración
Modelo híbrido (el que declara ESTRATEC)Clasificación de dato como criterio de ubicación; reparto 40/30/30Exige gobierno claro de interoperabilidad; si falla, hereda los riesgos de los dos modelos anteriores

El modelo que describe ESTRATEC —reparto entre nube soberana, privada y pública convencional según sensibilidad del dato— es, sobre el papel, el enfoque correcto. Es el mismo principio que aplicamos en el diseño de modelos de gobierno cloud para administraciones locales de gran escala: no toda carga de trabajo necesita el mismo nivel de aislamiento, y forzar el 100% de los servicios a la infraestructura más restrictiva es tan ineficiente como no proteger nada. La ejecución es lo que falta por ver.

Lo que un arquitecto debería exigir ver en el pliego definitivo

  • Cláusula de portabilidad de datos y cargas con formato y proceso de exportación definidos desde el diseño, no como anexo posterior — el mismo principio que exige el Data Act a escala europea.
  • Ubicación y nacionalidad jurisdiccional del equipo de operación, no solo del centro de datos, incluida la cadena de subcontratistas de soporte técnico.
  • Mecanismo de reconocimiento mutuo con la certificación ENS para evitar que cada organismo público catalán tenga que auditar dos veces el mismo control.
  • Plan de continuidad y exit plan del propio operador de la nube soberana — la pregunta incómoda de qué pasa si el adjudicatario de 2026 no puede continuar el servicio en 2032, y cómo se garantiza que los 481 millones no se conviertan en dependencia de un único proveedor bajo otro nombre.
  • Gobierno de identidad y accesos privilegiados auditable de forma continua, no solo certificado en el momento de la adjudicación.

La pregunta que hay que hacerse en dos años: cuando la plataforma esté operativa en el tercer trimestre de 2027, ¿podrá otra administración pública española reutilizar la certificación, la arquitectura o al menos el criterio de diseño sin empezar de cero? Si la respuesta es no, 481 millones habrán comprado soberanía para Catalunya y fragmentación para España.

¿Diseñando o evaluando una estrategia de nube soberana?

Si tu organización pública o regulada está evaluando qué cargas necesitan aislamiento soberano real frente a las que pueden operar en nube pública certificada ENS, puedo ayudarte a estructurar el criterio de clasificación antes de comprometer presupuesto.

Contactar

Casos de estudio relacionados

Arquitectura de nube soberana para sectores regulados con cumplimiento GDPR, NIS2 y DORA. Ver el caso de estudio: Soberanía Digital en la Nube →

Modelo de gobierno cloud híbrido y catálogo de servicios auditado bajo ENS para una de las mayores administraciones locales de España. Ver el caso de estudio: Cloud Governance para Administración Local de Gran Escala →

← Volver a artículos Ver la noticia original en Noticias →