Blog
Microsoft 365 vs HubSecure: Lo que los CTOs Españoles Necesitan Saber sobre Soberanía de Datos
Tras el caso Schrems II, la AEPD ha señalado las transferencias a proveedores de nube estadounidenses como un problema de cumplimiento. Las empresas españolas que dependen de Microsoft 365 para operaciones reguladas asumen más riesgo del que creen.
Microsoft 365 es la suite de productividad empresarial predeterminada para miles de empresas españolas. Funciona. La integración entre correo electrónico, calendario, almacenamiento de documentos y videollamadas es genuinamente útil. Y para una gran parte de lo que hacen la mayoría de las organizaciones —comunicación interna, colaboración en documentos, seguimiento de proyectos— es una opción razonable.
El problema no es Microsoft 365 como herramienta de productividad. El problema es usarlo como plano de control de cumplimiento para operaciones reguladas en España —específicamente para el tratamiento de datos personales sujetos al RGPD, las regulaciones sectoriales españolas y la orientación cada vez más detallada de la AEPD sobre las transferencias internacionales de datos.
Este artículo no pretende demoler a Microsoft. Es una evaluación honesta de dónde Microsoft 365 crea riesgo de cumplimiento estructural para las organizaciones españolas, y de cómo se ve un enfoque diferente.
El problema de Schrems II no ha desaparecido
En julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el marco del Escudo de Privacidad UE-EE.UU. en la sentencia Schrems II. La sentencia consideró que las leyes de vigilancia estadounidenses —específicamente la CLOUD Act y la Sección 702 de la FISA— crean un riesgo estructural para los datos personales almacenados con proveedores de nube estadounidenses, porque dichos proveedores están obligados legalmente a proporcionar acceso a las agencias gubernamentales estadounidenses independientemente de dónde estén físicamente almacenados los datos.
Desde Schrems II, el Marco de Privacidad de Datos UE-EE.UU. (DPF) fue adoptado en julio de 2023 como mecanismo sucesor. Microsoft y otros grandes proveedores estadounidenses se han certificado bajo el DPF. En apariencia, esto resuelve el problema de Schrems II para las transferencias de datos de la UE a proveedores estadounidenses certificados bajo el DPF.
En apariencia.
En la práctica, el DPF se enfrenta a múltiples desafíos legales ante el TJUE, presentados por defensores de la privacidad como Max Schrems. Tanto el Comité Europeo de Protección de Datos como la Comisión de Protección de Datos irlandesa han indicado que depender únicamente del DPF conlleva un riesgo prospectivo si es invalidado por una tercera sentencia Schrems. Los asesores jurídicos españoles señalan cada vez más las transferencias basadas en el DPF como un riesgo que debe gestionarse activamente en lugar de darse por resuelto.
Lo que ha dicho la AEPD
La AEPD publicó orientación sobre transferencias internacionales de datos tras Schrems II que es más prescriptiva que las recomendaciones de referencia del CEPD. Se aconsejó a los responsables de tratamiento españoles que realizaran una evaluación documentada de las transferencias a EE.UU., considerando si los datos transferidos estarían sujetos al acceso por parte de los programas de vigilancia estadounidenses.
Para las categorías de datos personales que la AEPD considera de alta sensibilidad —registros de salud, datos financieros, datos relativos a menores, categorías especiales según el Artículo 9 del RGPD— la AEPD ha señalado que depender únicamente de las Cláusulas Contractuales Tipo o del DPF, sin una evaluación de impacto de la transferencia que demuestre la adecuación, es insuficiente.
La consecuencia práctica: las empresas españolas que tratan datos personales de alta sensibilidad en Microsoft 365 sin haber realizado y documentado una evaluación de impacto de la transferencia se encuentran en una posición de cumplimiento que un inspector competente de la AEPD podría cuestionar.
Las cinco brechas específicas de Microsoft 365 para empresas reguladas españolas
Brecha 1: Documentación de la evaluación de impacto de la transferencia. Microsoft 365 proporciona documentación del DPA y publica sus prácticas de privacidad. No produce una Evaluación de Impacto de la Transferencia personalizada a tus actividades de tratamiento, tus categorías de datos y la orientación específica de la AEPD aplicable a tu sector. Esa evaluación es tu responsabilidad.
Brecha 2: Requisitos específicos de la LOPDGDD. La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales complementa el RGPD con obligaciones adicionales —incluyendo restricciones a la monitorización de empleados, obligaciones hacia los interesados en contextos específicos y requisitos mejorados para determinados sectores. Microsoft 365 no se configura solo para cumplir los requisitos específicos de la LOPDGDD. Tus administradores deben implementar esas configuraciones, y la mayoría no lo ha hecho de forma sistemática.
Brecha 3: Evidencia de auditoría en formato regulatorio. Cuando la AEPD solicita evidencia durante una investigación, solicita documentación específica: registros de consentimiento, plazos de respuesta a derechos, registros de aplicación de retención, acuerdos de encargado con cláusulas específicas. Los registros de auditoría y las exportaciones de administración de Microsoft 365 no fueron diseñados para producir paquetes de evidencia listos para la AEPD. Producirlos requiere un esfuerzo técnico que la mayoría de las organizaciones no puede completar dentro de los plazos de una investigación regulatoria.
Brecha 4: Aplicación de la retención. El RGPD exige que los datos personales se eliminen cuando ya no son necesarios para el propósito de su recogida. Las políticas de retención de Microsoft 365 pueden configurarse para gestionar esto —pero la configuración no es trivial, los valores predeterminados no están optimizados para el RGPD y la evidencia de eliminación que se produce es un registro de administración en lugar de un certificado de eliminación verificable. Muchas empresas españolas que usan Microsoft 365 nunca han configurado políticas de retención en absoluto.
Brecha 5: Cumplimiento del ENS para proveedores del sector público. Las empresas españolas que prestan servicios a la administración pública deben obtener cada vez más la certificación ENS. El propio Microsoft 365 tiene la certificación ENS para su infraestructura. Tu uso de Microsoft 365 no hace que tu organización esté certificada por el ENS. Los controles del ENS que cubren la gestión del acceso, la respuesta a incidentes y el registro de auditoría deben ser implementados por tu organización, independientemente de que Microsoft sea la plataforma subyacente.
Cómo se ve la comparación en la práctica
| Capacidad | Microsoft 365 | HubSecure |
|---|---|---|
| Configuración de residencia de datos | Región UE disponible, los valores predeterminados varían | Control documentado por jurisdicción |
| Apoyo a la evaluación de impacto de la transferencia | El proveedor publica el DPA; la EIT es responsabilidad del cliente | Mapeo de transferencias y documentación integrados |
| Exportación de evidencia lista para la AEPD | Los registros de administración requieren extracción y formateo | Exportaciones de auditoría estructuradas en formato regulatorio |
| Aplicación de la retención | Configurable pero compleja; requiere experiencia de administrador | Basada en políticas con certificados de eliminación |
| Gestión de derechos de interesados | No incluye flujo de trabajo de derechos nativo | Proceso estructurado de solicitud de derechos con registro de auditoría |
| Mapeo de controles ENS | La plataforma tiene la certificación ENS; los controles del cliente son separados | Los controles se mapean a los requisitos del ENS |
| Cifrado post-cuántico | Hoja de ruta; todavía no es el predeterminado | ML-KEM-768 desplegado |
| Gestión del consentimiento | No incluida | Captura de consentimiento nativa y registro |
La arquitectura correcta para las organizaciones españolas
Las organizaciones que gestionan esto bien no han reemplazado Microsoft 365. Han separado su infraestructura por función:
Microsoft 365 para la productividad. Correo electrónico, calendario, colaboración interna de equipos, edición de documentos Office. Comunicaciones internas de baja sensibilidad. Este caso de uso no crea un riesgo regulatorio significativo y Microsoft 365 lo gestiona bien.
HubSecure para operaciones reguladas. Datos de clientes, información personal sensible según el RGPD, expedientes de AML, documentos legales, registros de RRHH, datos de clientes financieros, cualquier dato sujeto al interés de aplicación de la AEPD. Esta capa tiene controles de transferencia explícitos, registros de auditoría estructurados, aplicación de la retención con certificados de eliminación y flujos de trabajo de gestión de derechos.
Esta separación también simplifica tu relación con la AEPD. El plano de control de cumplimiento —el sistema que genera la evidencia— está separado de las herramientas de productividad. Cuando comienza una investigación por reclamación, la evidencia proviene de HubSecure, no de una consola de administración de Microsoft que requiere un ticket de soporte para navegar.
La conclusión honesta
Si tu empresa española usa Microsoft 365 exclusivamente, no eres automáticamente no conforme. El marco permite el uso de proveedores de nube estadounidenses bajo el DPF con salvaguardas apropiadas. Muchas empresas españolas gestionan esto razonablemente bien.
Pero si estás tratando volúmenes significativos de datos personales, operando en un sector regulado, sujeto al interés de aplicación de la AEPD, siendo proveedor de la administración pública española, o tratando categorías de datos que la AEPD trata como de alta sensibilidad —la pregunta no es si Microsoft 365 puede hacerse funcionar. La pregunta es si la postura de cumplimiento que permite es la que tu organización realmente necesita.
Para las operaciones reguladas, la respuesta es casi siempre que una plataforma separada y nativa en cumplimiento no es un lujo. Es la única forma de generar la evidencia que hace que las inspecciones regulatorias sean sencillas en lugar de estresantes.