Una incidencia registrada el 20 de octubre de 2025 en un proveedor global de servicios en la nube con base en Estados Unidos provocó la interrupción de aplicaciones y servicios en centros de datos europeos, afectando a usuarios y entidades en Barcelona, Girona, Tarragona y otras ciudades de la Unión Europea. El fallo técnico se originó en la región de Virginia y tuvo consecuencias inmediatas en infraestructuras críticas de Madrid, París, Frankfurt y Dublín.
Impacto en la gestión de datos personales y servicios esenciales
El incidente evidenció que, aunque el almacenamiento de datos pueda estar localizado en Europa, la gestión de recursos depende en muchos casos de servicios centralizados fuera del Espacio Económico Europeo. La caída de sistemas clave como la gestión de identidades (IAM) o el DNS global en origen impidió el acceso y tratamiento de datos personales en la región, lo que supuso una brecha de disponibilidad con posibles repercusiones en los derechos de los ciudadanos.
El Reglamento General de Protección de Datos, en su Artículo 32, exige a los responsables del tratamiento la adopción de medidas técnicas y organizativas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. Sin embargo, la dependencia de infraestructuras de terceros países plantea riesgos adicionales para la soberanía operativa y la continuidad de los servicios.
Obligaciones legales y recomendaciones de seguridad
La normativa europea establece que el responsable del tratamiento debe demostrar diligencia en la gestión del riesgo derivado de la dependencia de un proveedor no sustituible. La interrupción de servicios por causas ajenas al entorno europeo puede afectar directamente a la protección de datos personales y a la capacidad de respuesta ante emergencias tecnológicas.
- Identificar y analizar el riesgo en la evaluación de impacto
- Exigir transparencia al proveedor sobre su resiliencia
- Diseñar e implementar medidas de mitigación en un plan de contingencia
Estas acciones deben permitir mantener operaciones esenciales incluso en caso de fallo del proveedor, evitando la paralización total de los tratamientos de datos personales.
Contexto y materiales de referencia
La situación se enmarca en los trabajos de la División de Innovación y Tecnología de la Agencia Española de Protección de Datos, que ha publicado materiales recientes sobre la seguridad y la gestión de riesgos en tratamientos apoyados en inteligencia artificial y servicios en la nube. Entre ellos destacan "Transcripción de voz con IA implicaciones para la protección de datos" (enero de 2026), "Abordando conceptos erróneos de la Inteligencia Artificial" (marzo de 2025) y "Brechas de datos personales seguridad enfocada a los tratamientos" (marzo de 2024).
La soberanía operativa y la resiliencia tecnológica se mantienen como retos prioritarios para las organizaciones que gestionan datos personales en Cataluña y el resto de la Unión Europea.