Una incidència registrada el 20 d'octubre de 2025 en un proveïdor global de serveis al núvol amb base en Estados Unidos va provocar la interrupció d'aplicacions i serveis en centres de dades europeus, afectant usuaris i entitats en Barcelona, Girona, Tarragona i altres ciutats de la Unión Europea. La fallada tècnica es va originar en la regió de Virginia i va tenir conseqüències immediates en infraestructures crítiques de Madrid, París, Frankfurt i Dublín.
Impacte en la gestió de dades personals i serveis essencials
L'incident va evidenciar que, tot i que l'emmagatzematge de dades pugui estar localitzat a Europa, la gestió de recursos depèn en molts casos de serveis centralitzats fora de l'Espai Econòmic Europeu. La caiguda de sistemes clau com la gestió d'identitats (IAM) o el DNS global en origen va impedir l'accés i tractament de dades personals a la regió, cosa que va suposar una bretxa de disponibilitat amb possibles repercussions en els drets dels ciutadans.
El Reglament General de Protecció de Dades, en el seu Article 32, exigeix als responsables del tractament l'adopció de mesures tècniques i organitzatives per garantir la confidencialitat, integritat, disponibilitat i resiliència dels sistemes. Tanmateix, la dependència d'infraestructures de tercers països planteja riscos addicionals per a la sobirania operativa i la continuïtat dels serveis.
Obligacions legals i recomanacions de seguretat
La normativa europea estableix que el responsable del tractament ha de demostrar diligència en la gestió del risc derivat de la dependència d'un proveïdor no substituïble. La interrupció de serveis per causes alienes a l'entorn europeu pot afectar directament la protecció de dades personals i la capacitat de resposta davant d'emergències tecnològiques.
- Identificar i analitzar el risc en l'avaluació d'impacte
- Exigir transparència al proveïdor sobre la seva resiliència
- Dissenyar i implementar mesures de mitigació en un pla de contingència
Aquestes accions han de permetre mantenir operacions essencials fins i tot en cas de fallada del proveïdor, evitant la paralització total dels tractaments de dades personals.
Context i materials de referència
La situació s'emmarca en els treballs de la División de Innovación y Tecnología de la Agencia Española de Protección de Datos, que ha publicat materials recents sobre la seguretat i la gestió de riscos en tractaments recolzats en intel·ligència artificial i serveis al núvol. Entre ells destaquen "Transcipció de veu amb IA implicacions per a la protecció de dades" (gener de 2026), "Abordant conceptes erronis de la Intel·ligència Artificial" (març de 2025) i "Brexes de dades personals seguretat enfocada als tractaments" (març de 2024).
La sobirania operativa i la resiliència tecnològica es mantenen com a reptes prioritaris per a les organitzacions que gestionen dades personals a Catalunya i la resta de la Unió Europea.