Guerra abierta por el control de los datos ciudadanos en la Unión Europea. En una decisión histórica que marca un antes y un después en las relaciones tecnológicas transatlánticas, el Gobierno de los Países Bajos ha prohibido la venta de la empresa que gestiona el soporte de DigiD, la aplicación de identidad digital clave para sus 17 millones de ciudadanos. La adquisición, valorada en 100 millones de euros por parte de la estadounidense Kyndryl, ha sido vetada por completo por el riesgo de que la polémica legislación de Washington, como la CLOUD Act, obligue a entregar historiales médicos, fiscales y pensiones al servicio secreto de EE. UU.
La soberanía digital de la Unión Europea ha dejado de ser un debate teórico en los despachos de Bruselas para convertirse en una doctrina de intervención directa en los mercados. El Gobierno de los Países Bajos ha dictado una prohibición total a la adquisición de la tecnológica local Solvinity por parte del gigante estadounidense Kyndryl (una corporación surgida como escisión de IBM). La operación, que se había pactado el pasado noviembre por una cifra cercana a los 100 millones de euros, implicaba ceder el control de la infraestructura en la nube sobre la que opera DigiD, la herramienta informática con la que la práctica totalidad de la población neerlandesa accede a sus servicios públicos esenciales.
La decisión del Ejecutivo, ejecutada a través de la secretaria de Estado para la Economía Digital y Soberanía, Willemijn Aerdts, se fundamenta en un informe vinculante de la Oficina de Revisión de Inversiones (BTI). Las autoridades holandesas determinaron de manera concluyente que la operación suponía «un riesgo potencial para el interés público». La urgencia de la resolución fue tal que el Ministerio envió una notificación directa al Parlamento al detectar «indicios serios» de que ambas compañías pretendían cerrar la transacción de forma inminente, lo que obligó a activar un veto exprés bajo la Ley Vifo de seguridad nacional.
El peligro de la ‘CLOUD Act’ y el espionaje de Washington
La raíz del conflicto no radica en una simple disputa comercial, sino en una incompatibilidad manifiesta de legislaciones en materia de privacidad. Los expertos legales europeos llevaban meses advirtiendo de que si una empresa con sede central en Nueva York, como Kyndryl, tomaba el control de los servidores del Estado holandés, quedaría sujeta de inmediato a las leyes de inteligencia de los Estados Unidos, como la CLOUD Act y la normativa FISA. Estas herramientas jurídicas permiten a las agencias federales de Washington obligar a las firmas tecnológicas norteamericanas a entregar los datos almacenados en sus sistemas, incluso si los servidores físicos se encuentran ubicados en suelo europeo.
La mera posibilidad de que historiales médicos confidenciales, declaraciones de la renta, datos de pensiones y registros de conducción de millones de ciudadanos europeos pudieran ser reclamados legalmente por agencias de inteligencia extranjeras desató una tormenta política en el país. Aunque una coalición de activistas, periodistas y la ONG Privacy First llegó a demandar al Estado para forzar la ruptura de contratos con Solvinity, la justicia desestimó inicialmente sus pretensiones al considerar que apagar el sistema DigiD causaría un caos social. Sin embargo, la intervención final del organismo de control de inversiones ha dejado ese litigio en un plano secundario.
«Politización»: El malestar de las corporaciones estadounidenses
La multinacional estadounidense no ha ocultado su indignación ante lo que califica como un proteccionismo encubierto. En un comunicado oficial, los representantes de Kyndryl se declararon «extremadamente decepcionados» con la resolución de La Haya, argumentando que han operado durante décadas infraestructuras críticas en territorio neerlandés sin incidentes y denunciando que «la politización de este proceso ha eclipsado los beneficios técnicos» que la fusión iba a reportar a la eficiencia de los servicios digitales del país.
Por el contrario, la secretaria de Estado defendió que la medida es estrictamente «neutral» y que el marco legal se aplica con el único fin de proteger la seguridad del Estado, independientemente del país de procedencia del comprador. Este veto coincide de manera milimétrica con la presentación en Bruselas del nuevo Paquete de Soberanía Tecnológica de la Comisión Europea, diseñado expresamente para que los gobiernos de los Veintisiete reduzcan de manera drástica su dependencia de los proveedores tecnológicos de Silicon Valley. Los Países Bajos han enviado un mensaje nítido a los mercados globales: en la Europa contemporánea, los datos de los ciudadanos no están a la venta.
