Hay una ley federal americana llamada la CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) que le da a las autoridades de EE.UU. la capacidad de exigir a cualquier empresa con sede en territorio americano que entregue datos almacenados en sus servidores, independientemente de dónde estén ubicados físicamente esos servidores y de las leyes de protección de datos del país donde operen. Ese mecanismo legal, que durante años ha sido una preocupación teórica para los gobiernos europeos, acaba de convertirse en la razón concreta por la que el gobierno de los Países Bajos ha bloqueado una adquisición empresarial.
El 26 de mayo de 2026, Willemijn Aerdts, secretaria de estado de Economía Digital de los Países Bajos, anunció en una carta al parlamento una «prohibición completa» de la compra de Solvinity por parte de Kyndryl. Lo cuenta The Next Web en un análisis detallado publicado hoy mismo.
Quiénes son Solvinity y Kyndryl y por qué importaba la adquisición
Solvinity es una empresa holandesa de servicios cloud que opera la infraestructura que sustenta DigiD, el sistema de identidad digital del gobierno neerlandés. DigiD es el servicio que millones de ciudadanos holandeses usan para acceder a servicios públicos: la agencia tributaria, proveedores de seguros de salud, pensiones, consejos municipales. Es, en términos prácticos, la llave de acceso de cada ciudadano a la administración pública digital.
Kyndryl es una empresa de infraestructura de TI con sede en EE.UU., escindida de IBM en 2021. En noviembre de 2025 anunció que había llegado a un acuerdo para comprar Solvinity por una cantidad no revelada, estimada por fuentes en torno a 100 millones de euros. La justificación de Kyndryl era expandir su capacidad de cloud soberana para clientes europeos regulados.
La ACM (Autoridad de Consumidores y Mercados de los Países Bajos) dio el visto bueno antimonopolio en febrero de 2026. Todo parecía en orden. El problema era un proceso diferente: el escrutinio de inversiones extranjeras del BTI (Bureau Toetsing Investeringen), el organismo holandés que evalúa los riesgos de seguridad nacional en fusiones y adquisiciones. El BTI concluyó que la adquisición «puede representar un riesgo para el interés público». Aerdts aplicó esa recomendación. Es la primera prohibición de este tipo que emite el BTI desde su creación.
La US CLOUD Act como argumento definitivo
El razonamiento es tan claro como preocupante para cualquier empresa europea con datos públicos sensibles: si Kyndryl compraba Solvinity y operaba DigiD, los datos de identidad de todos los ciudadanos holandeses quedarían dentro del alcance legal de la CLOUD Act. Eso significaría que las autoridades de EE.UU. —el FBI, la DEA, cualquier agencia con autorización judicial— podrían exigir a Kyndryl que entregara información sobre ciudadanos holandeses sin que el gobierno neerlandés pudiera impedirlo bajo la ley americana.
Kyndryl manifestó estar «extremadamente decepcionada» con la decisión. La empresa argumentaba que su cloud soberana para Europa seguiría siendo gestionada con personal y servidores europeos. Pero el problema legal no es dónde están los servidores; es dónde tiene su sede la empresa propietaria.
Esta decisión se enmarca en un movimiento europeo más amplio de reducción de la dependencia tecnológica de proveedores americanos. El GDPR lleva siete años siendo el marco de protección de datos europeo, pero sus principios de protección de datos de ciudadanos europeos son difíciles de hacer cumplir cuando la infraestructura que los almacena está bajo jurisdicción legal americana. El caso Kyndryl-Solvinity hace visible esa tensión de forma muy concreta.
Francia anunció a principios de 2026 que migrará 2,5 millones de equipos gubernamentales a Linux para reducir la dependencia de software americano, con una inversión de 1.200 millones de euros en cinco años. El argumento fue el mismo que el de Países Bajos: «Ya no podemos aceptar que nuestros datos dependan de soluciones cuyas reglas no controlamos.» Antes de tomar la decisión sobre DigiD, el gobierno holandés había ya firmado un acuerdo con StackIT —proveedor cloud alemán del Grupo Schwarz, propietario de Lidl— como primer proveedor cloud europeo, con datos obligatoriamente almacenados dentro del Espacio Económico Europeo.
Saber qué pasa con los datos que generas en internet es una preocupación legítima en el nivel individual; cuando hablamos de datos de identidad nacional de millones de ciudadanos en manos de una empresa bajo jurisdicción extranjera, el riesgo se convierte en una cuestión de soberanía.
Mi valoración
Lo que acaba de hacer el gobierno holandés es histórico en el contexto europeo: es la primera vez que un estado miembro de la UE usa su mecanismo de escrutinio de inversiones para bloquear una adquisición por motivos de soberanía de datos. No por razones de competencia —la ACM lo había aprobado—, sino porque un sistema de identidad digital nacional no puede quedar bajo jurisdicción extranjera.
Lo que más me convence de la decisión es su coherencia lógica. Si aceptas que la identidad digital nacional es infraestructura crítica —y lo es—, la conclusión de que no puede estar bajo la CLOUD Act es inevitable. El matiz de que los servidores estén en Europa no basta: la jurisdicción legal sigue siendo americana.
Lo que me preocupa es el efecto pendiente. Si los gobiernos europeos empiezan a excluir a empresas americanas de contratos de infraestructura crítica digital, la fragmentación del mercado tecnológico entre bloques geopolíticos acelera. Para Kyndryl, perder Solvinity es perder un contrato. Para el ecosistema tecnológico global, es un síntoma de que la confianza entre EE.UU. y Europa como partners tecnológicos sigue erosionándose.
Preguntas frecuentes
¿Qué es la US CLOUD Act y por qué preocupa a los gobiernos europeos?
La CLOUD Act (2018) permite a las autoridades de EE.UU. exigir a empresas americanas que entreguen datos almacenados en sus servidores, incluso si esos servidores están en otros países. No requiere notificar al gobierno del país donde están los datos ni respetar sus leyes de protección de datos. Para gobiernos europeos que almacenan datos públicos en infraestructura de empresas americanas, eso significa que esos datos quedan expuestos a la jurisdicción legal de EE.UU.
¿Qué es DigiD y por qué es tan sensible?
DigiD es el sistema de identidad digital del gobierno holandés. Millones de ciudadanos neerlandeses lo usan para autenticarse frente a la Agencia Tributaria, aseguradoras de salud, proveedores de pensiones y administraciones locales. Contiene datos de identificación personal de prácticamente toda la población en edad adulta de los Países Bajos. Que esos datos queden bajo control de una empresa sujeta a la jurisdicción americana fue considerado un riesgo inaceptable para el interés público.
¿Es la primera vez que un gobierno europeo bloquea una adquisición así?
Es la primera prohibición de este tipo emitida por el BTI holandés (Bureau Toetsing Investeringen) desde su creación. En un contexto más amplio, es parte de un movimiento europeo creciente de revisar las adquisiciones extranjeras de infraestructura digital crítica desde una perspectiva de soberanía, más allá del análisis antimonopolio que ya realizan autoridades como la ACM o la Comisión Europea.