Los gigantes tecnológicos estadounidenses y otros implicados en la empresa conjunta sólo pueden tener una participación minoritaria, y los empleados que tengan acceso a datos de la UE tendrían que someterse a un control específico y estar ubicados en el bloque de los 27 países, según el documento.

El documento añade que el servicio en la nube debe ser operado y mantenido desde la UE, y todos los datos de los clientes del servicio en la nube almacenados y procesados en la UE, y que las leyes de la UE tienen prioridad sobre las de fuera de la UE en lo que respecta al proveedor del servicio en la nube.

El último borrador de propuesta de la agencia de ciberseguridad de la UE, ENISA, se refiere a un sistema de certificación de la UE (EUCS) que avalaría la ciberseguridad de los servicios en la nube y determinaría el modo en que los gobiernos y las empresas del bloque seleccionan a un proveedor para sus negocios.

Aunque las nuevas disposiciones subrayan la preocupación de la UE por la injerencia de Estados no comunitarios, es probable que desaten las críticas de los gigantes tecnológicos estadounidenses, preocupados por quedar excluidos del mercado europeo.

Las grandes tecnológicas esperan que el mercado gubernamental de la nube impulse su crecimiento en los próximos años, mientras que un posible auge de la IA tras el éxito viral del ChatGPT de OpenAI podría impulsar también la demanda de servicios en la nube.

"Los servicios en la nube certificados son operados únicamente por empresas con sede en la UE, sin que ninguna entidad de fuera de la UE tenga un control efectivo sobre el CSP (proveedor de servicios en la nube), para mitigar el riesgo de que poderes injerencistas de fuera de la UE socaven los reglamentos, normas y valores de la UE", dice el documento.

"Las empresas cuyo domicilio social o sede social no estén establecidos en un Estado miembro de la UE no podrán, directa o indirectamente, de forma única o conjunta, ejercer un control efectivo positivo o negativo sobre el CSP que solicite la certificación de un servicio en nube", decía.

Según el documento, las normas más estrictas se aplicarán a los datos personales y no personales de especial sensibilidad cuando una violación pueda tener un impacto negativo en el orden público, la seguridad pública, la vida o la salud humanas o la protección de la propiedad intelectual.

El último borrador podría fragmentar el mercado único de la UE, ya que cada país tiene plena discreción para imponer los requisitos cuando lo considere oportuno, según una fuente del sector.

La Cámara de Comercio de EE.UU. ha dicho anteriormente que el plan coloca a las empresas estadounidenses en una situación de desigualdad. La UE afirma que las medidas son necesarias para proteger los derechos de los datos y la privacidad del bloque.

Los países de la UE revisarán el borrador a finales de este mes, tras lo cual la Comisión Europea adoptará un plan definitivo.