Se habla de soberanía como si fuera una cuestión de territorio. Mis máquinas, mi territorio, mi bandera. Se trata de una interpretación incompleta. El derecho internacional practica desde hace tiempo otra forma de soberanía, que no tiene que ver ni con el territorio ni con la propiedad de los muros, sino con un perímetro legal definido y hermético. Tiene un nombre en la práctica diplomática, cuenta con textos normativos y funciona. Es útil comprenderla antes de hablar de la nube, porque demuestra que un espacio puede estar sujeto a un ordenamiento jurídico sin estar situado en el territorio de dicho ordenamiento.
Lo que el derecho ya hace fuera del territorio nacional
Una embajada no es una parte del territorio del Estado que la ocupa. Es una creencia muy extendida, pero falsa. La Convención de Viena sobre Relaciones Diplomáticas de 1961 no establece que los locales de una misión sean territorio del Estado acreditante. Establece, en su artículo 22, que son inviolables: los agentes del Estado receptor no pueden entrar en ellos sin el consentimiento del jefe de misión. El territorio sigue siendo el del país receptor. Lo que cambia es quién puede ejercer la coacción en él. El Estado receptor renuncia voluntariamente a su poder policial sobre un perímetro del que sigue siendo propietario.
El maletín diplomático se rige por la misma lógica. El artículo 27 establece que no puede ser abierto ni retenido. Puede atravesar varios países, transitar por aeropuertos sujetos a legislaciones diferentes, sin que ninguna de estas legislaciones pueda inspeccionarla. El contenedor se desplaza, el régimen jurídico lo sigue. No se trata de un lugar protegido, sino de un estatuto que viaja con el objeto.
Los vehículos con matrícula diplomática funcionan de la misma manera. La matrícula no traslada el vehículo a otro territorio. Indica que está sujeto a un régimen especial de inmunidad, reconocido por el Estado anfitrión. Los acuerdos sobre el estatuto de las fuerzas, los SOFA, van aún más lejos: establecen por tratado qué legislación se aplica a los militares de un Estado estacionados en el territorio de otro. Una base estadounidense en Alemania sigue estando en territorio alemán. El SOFA determina, caso por caso, qué jurisdicción se aplica al personal, a las infracciones y a los bienes.
Ninguno de estos mecanismos idealiza nada. Se trata de acuerdos negociados, limitados, a veces controvertidos y siempre revocables. Pero establecen un hecho sencillo: un Estado puede ejercer su derecho en un espacio que no es su territorio, siempre que un marco jurídico lo defina y que la otra parte lo respete. La soberanía jurídica no supone la propiedad del suelo. Supone un perímetro delimitado, un derecho aplicable y el compromiso de no traspasarlo.
Trasladar el perímetro, no la metáfora
Lo digital plantea exactamente la misma cuestión, despojada de la geografía. Cuando una organización busca una nube soberana, no busca en primer lugar un lugar. Busca un espacio cuyo derecho aplicable sea conocido y al que ninguna ley extranjera pueda llegar. Esa es la definición de la inviolabilidad diplomática, aplicada a los datos en lugar de a los locales.
El paralelismo es preciso en un aspecto. Al igual que la embajada no depende del territorio sino del estatuto, un servicio soberano no depende de la ubicación de los servidores, sino de la vinculación jurídica del operador y de la hermeticidad del perímetro. Los datos alojados en Francia siguen siendo accesibles en virtud de una ley extraterritorial si el operador está sujeto a una jurisdicción extranjera. La ley estadounidense CLOUD Act, aprobada en 2018, permite a las autoridades de Estados Unidos exigir los datos que obran en poder de una empresa sujeta a su jurisdicción, independientemente de dónde estén almacenados. La ubicación no protege. El perímetro legal, sí, siempre que esté diseñado para resistir.
Esto es precisamente lo que pretende establecer la certificación SecNumCloud de la ANSSI: un perímetro impermeable a las leyes extraterritoriales. El equivalente funcional del artículo 22. Un espacio en el que el derecho extranjero no puede penetrar, no porque se encuentre en otro lugar, sino porque su estatuto lo prohíbe.
Lo que explica el modelo y lo que deja de lado
El modelo diplomático aclara bien una categoría de ofertas. S3NS, una empresa conjunta de Thales y Google, y Bleu, impulsada por Capgemini, Orange y Microsoft, encapsulan la tecnología de un hiperescalador estadounidense en un perímetro aislado y certificado como SecNumCloud. El marco es francés, la legislación aplicable es francesa y la ley extranjera no alcanza ese perímetro. Se trata de soberanía jurídica en sentido estricto. Al igual que la embajada aplica la legislación del Estado acreditante dentro de unos muros construidos por el país anfitrión, estas ofertas aplican la legislación francesa a una pila tecnológica diseñada en otro lugar. La soberanía jurídica no exige la soberanía industrial.
La analogía se detiene ahí, y hay que detenerla. Una embajada no atiende a millones de usuarios ni depende de una cadena de suministro tecnológica mundial. El modelo diplomático no explica la continuidad operativa. Si Microsoft o Google interrumpen la tecnología subyacente, ponen fin a la colaboración o modifican sus condiciones, el ámbito legal permanece intacto, pero el servicio puede dejar de funcionar. Tampoco explica la reversibilidad: la capacidad de salir, de recuperar los datos y la configuración en otro lugar sin tener que reescribirlo todo. Una embajada puede cerrar de la noche a la mañana. Un sistema de información no se traslada así.
Dos soberanías, dos riesgos distintos
Por lo tanto, hay que mantener separados ambos conceptos, ya que responden a dos riesgos que no tienen nada que ver entre sí. La soberanía jurídica aborda la exposición jurídica: quién puede obligar al operador, en virtud de qué derecho y con qué alcance fuera de las fronteras. La soberanía industrial aborda la dependencia tecnológica: quién controla la pila tecnológica y qué ocurre el día en que el proveedor desaparece, corta el acceso o cambia las reglas.
Ambas son reales. Ambas tienen límites diferentes. Se puede mantener la primera sin la segunda; este es el caso de las ofertas encapsuladas. Se puede mantener la segunda sin la primera; este es el caso de un actor tecnológicamente autónomo pero vinculado a una jurisdicción expuesta. Un contrato adecuado reduce la exposición jurídica, pero no dice nada sobre la reversibilidad. Una pila controlada garantiza la continuidad, pero no dice nada sobre la legislación aplicable.
La decisión no consiste en elegir la bandera adecuada. Consiste en saber cuál de las dos soberanías se adquiere, cuál queda por construir y cuál de los dos riesgos se ha decidido cubrir. El derecho diplomático lo recuerda desde 1961: un perímetro puede ser soberano sin ser un territorio. Pero un perímetro soberano en derecho no es, por ello, un sistema que se controle.
Fuentes
- Convención de Viena sobre Relaciones Diplomáticas, 1961, artículos 22 y 27
- Acuerdos sobre el estatuto de las fuerzas (SOFA), práctica de la OTAN
- CLOUD Act (Estados Unidos, 2018); Ley SREN, artículo 31
- ANSSI, certificación SecNumCloud y doctrina «Cloud au centre», cyber.gouv.fr
- S3NS (Thales, Google) y Bleu (Capgemini, Orange, Microsoft), documentación de las ofertas certificadas