Durante años, la soberanía digital fue sobre todo un asunto de discursos. Aparecía en declaraciones de la Comisión Europea, en informes sobre dependencia tecnológica, en conferencias donde se repetía que Europa no podía quedar atada a infraestructuras y modelos controlados desde fuera de sus fronteras. Era un objetivo político y un principio regulatorio, pero rara vez se traducía en algo que un responsable de tecnología pudiera comprar, comparar y poner en producción. En SAP Sapphire 2026, celebrado en Madrid del 19 al 21 de mayo, esa abstracción empezó a tomar forma de producto.
El movimiento merece atención precisamente porque cambia la naturaleza de la conversación. Cuando la mayor compañía de software empresarial de Europa dedica un bloque entero de su keynote anual a explicar tres niveles de soberanía, integra dos modelos europeos en su plataforma y fija un calendario de disponibilidad, la soberanía deja de ser una aspiración para convertirse en una categoría con oferta concreta, niveles definidos y clientes que ya la utilizan.
Detrás de ese movimiento hay tres niveles con implicaciones muy distintas, decisiones de arquitectura que conviene entender y puntos abiertos que toda organización europea debería mirar de cerca antes de tomar una decisión.
De principio regulatorio a oferta tecnológica
Vale la pena situar primero por qué este momento llega ahora y no antes. La soberanía digital europea se ha sostenido sobre un equilibrio delicado entre dos hechos. El primero es que buena parte de la infraestructura tecnológica que usan las empresas europeas, desde la nube hasta los modelos de inteligencia artificial más avanzados, está controlada por compañías estadounidenses sujetas a leyes con alcance extraterritorial. El segundo es que Europa ha construido en los últimos años un marco normativo denso que exige a las organizaciones, sobre todo a las de sectores regulados, garantías cada vez más estrictas sobre dónde residen sus datos, quién puede acceder a ellos y bajo qué jurisdicción se procesan.
El Reglamento General de Protección de Datos abrió ese camino, pero la oleada reciente lo ha intensificado. El AI Act introduce obligaciones de trazabilidad y supervisión sobre los sistemas de inteligencia artificial. El Data Act regula el acceso y la portabilidad de los datos generados por productos y servicios conectados. DORA impone a las entidades financieras requisitos de resiliencia operativa que alcanzan a sus proveedores tecnológicos. NIS2 amplía las exigencias de ciberseguridad a sectores considerados esenciales. Cada una de estas piezas, por separado, ya empujaba a las empresas a preguntarse dónde y cómo se ejecutan sus cargas más sensibles. Juntas, han creado una demanda que necesitaba una respuesta tecnológica, y esa demanda es la que un proveedor como SAP ha decidido convertir en oferta estructurada.
La novedad de Madrid no es que SAP descubra la soberanía. La compañía llevaba tiempo trabajando en ello, con ofertas como SAP National Security Services en Estados Unidos o las soluciones Delos y BLEU para entornos gubernamentales europeos. Lo que cambia es que la soberanía pasa de ser un conjunto de productos especializados, dirigidos a nichos como defensa o administración pública, a presentarse como una capa transversal de la propuesta general, con niveles que cualquier cliente puede elegir según su perfil de riesgo. Esa generalización es lo que la convierte en categoría.
Los tres niveles, leídos como un mapa de decisiones
El corazón del anuncio fue la presentación de la soberanía como un modelo de tres niveles, expuesto por Philipp Herzig, director de tecnología de SAP, al cierre de su recorrido por la plataforma. La estructura es sencilla en apariencia, pero cada nivel encierra decisiones de coste, control y operación que vale la pena desgranar.
El primer nivel son los despliegues públicos. Herzig los describió como seguros por diseño, pero sin requisitos específicos de soberanía. Es la nube estándar, con sus garantías habituales de seguridad, dirigida a las cargas de trabajo donde la residencia jurisdiccional del dato no es una preocupación crítica. Para muchas organizaciones, la mayoría de sus procesos cabe perfectamente en este nivel, y tratar todo lo demás como si necesitara máxima protección sería un error de sobrecoste.
El segundo nivel es donde empieza la soberanía propiamente dicha. SAP lo definió como un conjunto de capacidades soberanas selectas, ejecutadas de extremo a extremo por la propia SAP dentro de la región del cliente y bajo las reglas locales que apliquen. La infraestructura sobre la que se entrega es SAP Cloud Infrastructure. Aquí el dato no solo reside en territorio europeo, sino que toda la operación, el procesamiento y la gestión quedan dentro del perímetro regional y normativo del cliente. Es el nivel pensado para la empresa regulada que necesita garantías firmes de residencia y gobernanza, pero que no maneja información clasificada.
El tercer nivel es la soberanía plena, reservada para las cargas más sensibles, incluida información clasificada de gobiernos. SAP citó como clientes que ya operan en estos entornos a la empresa de defensa alemana Diehl, al grupo industrial Thales y a la agencia tributaria británica, HM Revenue and Customs. Son organizaciones para las que la independencia jurisdiccional constituye una obligación legal o estratégica antes que una preferencia, y para las que el coste y la complejidad adicionales de un entorno plenamente soberano están justificados por la naturaleza de lo que manejan.
Lo relevante para un directivo está menos en memorizar los tres niveles que en entender que SAP los presenta como una decisión modulable. Herzig insistió en que el cliente elige lo que necesita, con flexibilidad plena entre las distintas capacidades y nubes. Eso traslada a la organización una responsabilidad que antes era más difusa: clasificar sus propias cargas según su exposición regulatoria y su tolerancia al riesgo, y asignar cada una al nivel que le corresponde. La soberanía deja de ser un sí o un no para convertirse en una gradación, y acertar en esa gradación es ya una competencia de gobierno tecnológico.
Un stack europeo de inteligencia artificial
Si la estructura de tres niveles ordena el dónde, la otra mitad del anuncio se ocupó del con qué. SAP presentó la incorporación de dos modelos europeos a su entorno soberano, un movimiento que apunta a la pieza más delicada de toda la conversación sobre soberanía: los modelos de inteligencia artificial más capaces han estado, hasta ahora, mayoritariamente en manos estadounidenses.
El primero es Mistral. SAP anunció la disponibilidad general de la plataforma completa de la compañía francesa dentro de su entorno soberano, incluyendo su asistente Le Chat y su estudio de desarrollo de agentes, Lucia, que queda integrado en Joule Studio 2.0. El segundo es Cohere, cuya plataforma North estará disponible de forma general en la SAP Business AI Platform a partir de junio. Ambos modelos se sirven sobre SAP Cloud Infrastructure para las capacidades soberanas del segundo nivel, y la compañía adelantó que la soberanía plena para estos entornos llegará a final de año. Todo ello se apoya en la EU AI Cloud, una infraestructura que SAP anunció el año anterior para servir modelos frontera de extremo a extremo desde centros de datos europeos.
El gesto más significativo del bloque fue, sin embargo, simbólico además de técnico. Christian Klein, consejero delegado de SAP, subió al escenario a Arthur Mensch, fundador y consejero delegado de Mistral, para hablar de lo que ambos llamaron un verdadero stack de inteligencia artificial europeo. Mensch fue preciso al describir qué entiende por soberanía, y su definición vale como mapa de lo que está en juego. Habló de tres fundamentos. El primero es la trazabilidad: poder seguir cómo se toman las decisiones de un agente igual que se sigue cómo las toma un empleado. El segundo es la auditabilidad: poder verificar y explicar el comportamiento de los modelos. El tercero es la soberanía en sentido estricto, que definió como saber dónde se procesan los datos y tener la garantía de escapar a leyes extraterritoriales, con todo bajo gobernanza europea.
Esa última frase, escapar a leyes extraterritoriales, es la que sostiene todo el argumento comercial y merece un examen detenido. La referencia implícita es a normas como la estadounidense CLOUD Act, que puede obligar a empresas sujetas a jurisdicción de Estados Unidos a entregar datos almacenados en cualquier lugar del mundo. La promesa de un stack europeo es que, al estar el modelo, la infraestructura y la gobernanza dentro de Europa y en manos de compañías europeas, esa obligación extraterritorial deja de aplicar. Para una entidad financiera, una administración pública o una empresa de un sector crítico, esa garantía funciona como una condición de cumplimiento y no como un argumento de marketing.
Mensch añadió un detalle operativo que ilumina cómo se construye este mercado más allá de la tecnología. Explicó que Mistral y SAP han combinado sus equipos de ingeniería de despliegue avanzado, enviando arquitectos e ingenieros a las instalaciones de los clientes durante meses para diseñar casos de uso concretos. La soberanía, en la práctica, no se entrega solo como una opción en un panel de configuración, sino como un servicio de acompañamiento que las dos compañías prestan de forma conjunta. Citó casos ya en producción: agentes de gestión de licitaciones públicas que ayudan a gobiernos e instituciones a procesar concursos manteniendo el cumplimiento, y agentes de devengo contable en el sector financiero que automatizan procesos de cierre de periodo.
La paradoja del hiperescalador
Aquí aparece el punto que cualquier análisis honesto de la soberanía europea tiene que abordar, porque es donde la promesa se cruza con la realidad del mercado. SAP no construye toda su soberanía sobre infraestructura exclusivamente europea y propia. En su dossier de innovación, fuera del foco de la keynote, la compañía detalló una ampliación de su colaboración con Microsoft para llevar RISE with SAP a SAP Sovereign Cloud sobre Microsoft Azure.
El planteamiento de SAP es que esa alianza, construida sobre ofertas soberanas previas como SAP NS2, Delos y BLEU, ofrece a los clientes más opciones sobre cómo y dónde ejecutar sus cargas críticas sin comprometer la residencia del dato, la seguridad ni la gobernanza. Es una afirmación defendible desde el punto de vista técnico, porque la residencia y el control de acceso pueden configurarse con garantías incluso sobre infraestructura de un proveedor estadounidense. Pero introduce una distinción que el directivo debe tener clara: no toda soberanía es igual, y la soberanía operativa sobre infraestructura de hiperescalador no equivale a la independencia jurisdiccional plena que promete el stack europeo de Mistral o Cohere.
La coexistencia de ambas ofertas dentro del mismo discurso revela la naturaleza del mercado que se está formando. Para una parte de las cargas, sobre todo las de sectores regulados que buscan residencia y gobernanza europeas sin renunciar a la madurez operativa de un gran proveedor de nube, la soberanía sobre Azure puede ser suficiente y más cómoda. Para las cargas donde la independencia jurisdiccional es innegociable, hace falta el stack plenamente europeo. SAP ofrece las dos cosas y deja que el cliente decida, lo que es coherente con su lógica de flexibilidad, pero también significa que el término soberanía abarca realidades distintas según el nivel y el proveedor. Quien compre soberanía sin precisar de cuál habla puede acabar con menos independencia de la que creía.
Qué compra realmente una organización
El valor de leer este movimiento desde una perspectiva de negocio está en traducir la arquitectura a decisiones. Una organización europea que se plantee adoptar estas capacidades se enfrenta a una secuencia de preguntas que el modelo de SAP plantea de forma implícita.
La primera es de clasificación. Antes de elegir nivel de soberanía hay que saber qué se está protegiendo. No todas las cargas tienen el mismo perfil de riesgo, y aplicar soberanía plena a procesos que no la necesitan multiplica el coste sin añadir cumplimiento. El trabajo previo, poco glamuroso pero decisivo, es mapear los datos y procesos según su sensibilidad regulatoria, algo que muchas organizaciones aún no han hecho con el rigor que estas decisiones exigen.
La segunda es de coste y operación. Cada nivel de soberanía añade restricciones que tienen un precio, no solo económico sino operativo. Un entorno plenamente soberano puede implicar menor acceso a las últimas capacidades de la nube pública, ritmos de actualización distintos o limitaciones de integración. El cálculo real está en cuánta soberanía puede asumir cada carga sin penalizar el rendimiento o la innovación.
La tercera es de continuidad y dependencia. Elegir un stack europeo reduce la exposición a leyes extraterritoriales, pero introduce su propia forma de dependencia respecto a los proveedores de ese stack. La soberanía no elimina la dependencia tecnológica, la reorienta. Conviene entender hacia quién, en qué condiciones y con qué capacidad de salida, porque un compromiso de soberanía mal diseñado puede convertirse en un nuevo bloqueo difícil de revertir.
La cuarta es de auditoría. Los marcos europeos no solo exigen que los datos estén en Europa, sino que las decisiones automatizadas sean trazables y explicables. Aquí la soberanía se cruza con la gobernanza de los agentes de inteligencia artificial, que es otro de los grandes ejes de la propuesta de SAP. Una carga soberana pero opaca no resuelve el problema regulatorio. La trazabilidad y la auditabilidad que mencionaba Mensch funcionan como requisitos que la organización tendrá que poder demostrar ante un regulador, no como adornos del discurso.
La soberanía como argumento competitivo
Hay una lectura más amplia de este movimiento que va más allá de SAP y que interesa a cualquiera que siga la evolución del mercado tecnológico europeo. La soberanía se ha convertido en un terreno de diferenciación competitiva, y los proveedores que pueden ofrecer credibilidad europea genuina han encontrado en ella una ventaja frente a los grandes hiperescaladores estadounidenses.
Para SAP, esa carta es especialmente valiosa. La compañía es el mayor fabricante de software empresarial de Europa y uno de los pocos actores tecnológicos del continente con escala global. Posicionarse como el socio que permite a las empresas europeas adoptar inteligencia artificial avanzada sin renunciar a la soberanía es una forma de convertir su origen geográfico en activo comercial, en un momento en que la mayoría de la conversación sobre IA está dominada por compañías estadounidenses y, en menor medida, chinas. La presencia de Mistral en el escenario de Madrid, una compañía que el propio ecosistema político francés ha promovido como campeón europeo de la inteligencia artificial, refuerza ese posicionamiento con un aliado simbólicamente potente.
Importa, sin embargo, no perder de vista que la soberanía como argumento competitivo y la soberanía como necesidad regulatoria conviven sin ser idénticas. Una responde a la lógica del mercado, donde diferenciarse del competidor estadounidense tiene valor por sí mismo; la otra responde a la lógica del cumplimiento, donde la independencia jurisdiccional es una obligación que se demuestra ante un regulador. Cuando ambas se alinean, como ocurre en buena parte de la oferta que SAP presentó en Madrid, el resultado es sólido. Pero el directivo que evalúe estas capacidades hará bien en distinguir cuándo está comprando una garantía regulatoria real y cuándo está respondiendo a un relato de posicionamiento que, siendo legítimo, no añade cumplimiento por sí mismo.
Lo que Madrid dejó sobre la mesa
SAP Sapphire 2026 confirmó que la soberanía digital ha entrado en una fase nueva. Ya no es solo materia de debate en Bruselas ni un nicho para defensa y administración pública. Es una categoría con niveles definidos, modelos europeos integrados, calendario de disponibilidad y clientes en producción. Que esto ocurra de la mano del mayor fabricante de software empresarial del continente, y con un campeón europeo de la inteligencia artificial sobre el escenario, le da al movimiento un peso que trasciende el anuncio puntual.
La estructura que SAP presentó es coherente y responde a una demanda real creada por el marco regulatorio europeo. La integración de Mistral y Cohere aborda el punto más débil de la soberanía europea, que era la dependencia de modelos extranjeros para las capacidades de inteligencia artificial más avanzadas. Y la gradación en tres niveles ofrece a las organizaciones una flexibilidad que evita el todo o nada.
Quedan, eso sí, las preguntas que ninguna keynote resuelve. La distinción entre la soberanía plenamente europea y la que se apoya en infraestructura de hiperescalador exige una lectura atenta para no comprar una independencia que no es tal. La elección de nivel traslada a cada organización un trabajo de clasificación y gobierno que muchas todavía no han hecho. Y la promesa de escapar a las leyes extraterritoriales, sólida sobre el papel, se medirá en la práctica cuando un caso real ponga a prueba dónde residen de verdad el control y la jurisdicción. La soberanía digital ya tiene oferta. Lo que cada empresa europea tiene por delante es la tarea, menos vistosa pero más decisiva, de entender qué nivel necesita de verdad y qué está dispuesta a pagar por él.
