El crecimiento de los centros de datos en España se ha acelerado de forma notable en los últimos años, consolidando al país como uno de los principales hubs de infraestructura digital en el sur de Europa.
Diversos análisis del sector apuntan a previsiones de crecimiento anual cercanas al 20%, impulsadas por factores como la disponibilidad de suelo a precios competitivos y una conectividad internacional de alta calidad -con múltiples cables submarinos y nodos de interconexión-.
Este contexto ha favorecido la llegada de grandes operadores e inversores internacionales. Sin embargo, la operación de centros de datos no se limita a un desafío técnico o energético: se desarrolla en un entorno altamente regulado en el que los operadores deben cumplir múltiples obligaciones legales.
«La operación de centros de datos no se limita a un desafío técnico o energético: se desarrolla en un entorno altamente regulado en el que los operadores deben cumplir múltiples obligaciones legales»
Entre las cuestiones que ganan protagonismo destacan la protección de datos y la regulación de la inteligencia artificial.
Índice de temas
¿Los operadores de centros de datos realmente tratan datos personales?
Una de las primeras cuestiones que surge al analizar la actividad de los centros de datos desde la perspectiva de la protección de datos es la determinación de su papel en el tratamiento de datos personales. En particular, resulta debatido si los operadores de centros de datos deben considerarse encargados del tratamiento de los datos de sus clientes, es decir, entidades que tratan datos personales por cuenta y siguiendo sus instrucciones.
Existen argumentos sólidos para sostener que, en muchos casos, estos operadores no realizan tratamiento alguno por cuenta de sus clientes, sino que se limitan a proporcionar espacio físico y condiciones técnicas adecuadas -como energía, conectividad y seguridad- donde se alojan los equipos que sí llevan a cabo dicho tratamiento. Desde esta perspectiva, el centro de datos prestaría esencialmente un servicio de infraestructura, sin acceder ni intervenir en los datos personales que puedan tratar los sistemas de sus clientes.
En cambio, algunas resoluciones -ya relativamente antiguas- de la Agencia Española de Protección de Datos (‘AEPD’) parecen apuntar en sentido contrario, al considerar que los proveedores de estos servicios pueden actuar como encargados del tratamiento, especialmente cuando ofrecen servicios adicionales como conectividad o mantenimiento de sistemas.
Algunas resoluciones parecen considerar que los proveedores de los servicios de infraestructura pueden actuar como encargados del tratamiento de datos personales
En el plano operativo, se trata de una cuestión que debe analizarse caso por caso, en función del grado de acceso o exposición que, en su caso, tenga el operador del centro de datos a los datos personales. Cuando ese acceso exista o no pueda descartarse, es habitual estructurar la relación como un encargo del tratamiento, lo que supone una carga adicional de cumplimiento para el operador.
Ello no se limita a la firma de un contrato, sino que implica, entre otras cuestiones, facilitar información sobre subcontratistas o medidas de seguridad y colaborar con el cliente en el cumplimiento de sus obligaciones en materia de protección de datos.
¿Qué límites impone la protección de datos a la seguridad de un centro de datos?
A diferencia de otros entornos empresariales, los centros de datos son instalaciones altamente automatizadas, con presencia limitada de personal, donde la protección física del recinto y de los equipos resulta un elemento esencial.
En este tipo de infraestructuras -en muchos casos grandes naves industriales que albergan sistemas críticos- la seguridad no es un aspecto accesorio, sino un requisito básico para garantizar la integridad de los sistemas y la continuidad del servicio.
La seguridad de los centros de datos es un elemento esencial para proteger información sensible, garantizar la continuidad del negocio y asegurar el cumplimiento normativo.
Entre las medidas de seguridad física más comunes, en un contexto de crecientes exigencias en materia de ciberseguridad (incluida la normativa NIS2 y la Directiva CER, que pueden resultar de aplicación a determinados centros de datos), se encuentran los sistemas de control de acceso y monitorización del recinto, que -por su propia naturaleza- implican el tratamiento de datos personales, en particular de empleados, proveedores y otras personas que acceden a las instalaciones, desde la videovigilancia hasta mecanismos biométricos como la huella dactilar o el reconocimiento facial.
La seguridad de los centros de datos es un elemento esencial para proteger información sensible, garantizar la continuidad del negocio y asegurar el cumplimiento normativo
En este contexto, los operadores de centros de datos pueden asumir obligaciones en materia de protección de datos como responsables del tratamiento -es decir, como las entidades que deciden para qué y cómo se utilizan determinados datos personales-, lo que implica la aplicación de las obligaciones previstas en el RGPD con un alcance significativamente mayor que el de un encargado del tratamiento.
La videovigilancia con fines de seguridad es una práctica ampliamente extendida en el sector y relativamente pacífica desde el punto de vista regulatorio, siempre que se implemente de forma proporcional y conforme a los criterios establecidos por las autoridades de control. En la práctica, los principales riesgos -y donde se ha concentrado buena parte de la actividad sancionadora- suelen estar relacionados con un uso desproporcionado de las cámaras (por ejemplo, en zonas de descanso de los trabajadores) o con la conservación de las imágenes más allá del plazo máximo legal de 30 días.
Más compleja resulta la implantación de sistemas biométricos para el control de acceso a las instalaciones. La AEPD ha adoptado tradicionalmente una posición especialmente restrictiva en este ámbito, subrayando que los datos biométricos se consideran una categoría especial de datos personales según el RGPD, lo que implica que están sujetos a un nivel de protección reforzado.
Desde un punto de vista operativo, esta interpretación ha limitado considerablemente -cuando no prácticamente impedido- el uso de estas tecnologías en España.
En los últimos años la autoridad de control ha impuesto sanciones relevantes a empresas que implementaron sistemas biométricos de acceso sin cumplir (según su interpretación) con las exigencias del RGPD, por ejemplo al no acreditar la necesidad y proporcionalidad de la medida o al no evaluar adecuadamente los riesgos asociados a este tipo de tratamiento.
Estas actuaciones sancionadoras han reforzado la percepción de que el uso de la biometría para el control de acceso debe analizarse con especial cautela.
No obstante, en los últimos meses la AEPD parece estar abriendo parcialmente la puerta a su utilización en determinados contextos, especialmente cuando concurren requisitos de seguridad reforzada. En particular, se ha apuntado a su posible encaje en organizaciones sujetas al Esquema Nacional de Seguridad -como administraciones públicas o entidades que prestan servicios al sector público- donde la protección de las instalaciones puede justificar medidas de control de acceso más robustas.
En esta misma línea, la AEPD ha reconocido recientemente la posible legitimidad de sistemas biométricos en entornos específicos, como el sector alimentario, cuando concurren exigencias estrictas de seguridad e higiene y no existen alternativas menos intrusivas equivalentes. Esta evolución interpretativa podría facilitar su adopción en determinados centros de datos, especialmente en aquellos que prestan servicios a Administraciones Públicas.
No obstante, su implantación sigue requiriendo un análisis jurídico muy cuidadoso, incluyendo la valoración de alternativas menos intrusivas y la realización de evaluaciones específicas de los riesgos en materia de protección de datos, siendo en todo caso clave poder justificar adecuadamente la necesidad y proporcionalidad de la medida.
¿Cómo afecta el Reglamento de IA a los sistemas que operan los centros de datos?
Una segunda cuestión relevante surge en relación con los sistemas tecnológicos utilizados para supervisar y gestionar el funcionamiento del propio centro de datos. Estas instalaciones dependen de herramientas avanzadas para monitorizar parámetros críticos como la temperatura, la humedad, el consumo energético o la conectividad. En muchos casos, estas soluciones incorporan sistemas basados en inteligencia artificial (‘IA’) para optimizar la gestión de la infraestructura y anticipar incidencias.
Desde el punto de vista regulatorio, algunos sistemas de IA que operan en centros de datos pueden quedar sujetos al Reglamento de Inteligencia Artificial y, en determinados supuestos, ser calificados como sistemas de IA de alto riesgo.
En particular, la normativa incluye dentro de esta categoría a los sistemas de IA utilizados como componentes de seguridad en infraestructuras digitales críticas.
Desde el punto de vista regulatorio, algunos sistemas de IA que operan en centros de datos pueden quedar sujetos al Reglamento de Inteligencia Artificial y, en determinados supuestos, ser calificados como sistemas de IA de alto riesgo
Entre los ejemplos que menciona el propio Reglamento se encuentran sistemas como los de control de la presión del agua o las alarmas contra incendios, utilizados en centros de computación en la nube (y, por tanto, estrechamente vinculados a la operativa de los centros de datos), donde resultan clave para garantizar la integridad y el correcto funcionamiento de las instalaciones.
El legislador europeo parte de la premisa de que un fallo en este tipo de sistemas podría tener consecuencias significativas. En este contexto, los operadores de centros de datos deberán analizar cuidadosamente qué papel desempeñan respecto de estos sistemas de IA, ya sea como proveedores de la tecnología o como responsables de su despliegue.
Esta distinción no es menor, ya que el Reglamento establece obligaciones extensas para los actores implicados en los sistemas de alto riesgo, que comenzarán a aplicarse plenamente a partir de agosto de 2026 (sin perjuicio de posibles ajustes en los plazos en el marco de las iniciativas regulatorias en curso a nivel europeo).
Tanto los proveedores de estos sistemas como las entidades que los despliegan deberán cumplir con un conjunto amplio de requisitos, que no se limitan únicamente a obligaciones formales de cumplimiento o documentación.
La normativa impone exigencias que afectan directamente al diseño, entrenamiento y despliegue de los sistemas de IA, así como a los procesos internos de las organizaciones que los utilizan, incluyendo mecanismos de gestión de riesgos, supervisión humana, control de calidad de los datos y monitorización continua del funcionamiento del sistema. En la práctica, esto puede tener un impacto directo en la forma en que operan los centros de datos, condicionando tanto sus procesos internos como las tecnologías que utilizan para gestionar sus infraestructuras.
¿Están los centros de datos preparados para el nuevo marco regulatorio de datos e IA?
El crecimiento del sector de los centros de datos en España está transformando al país en una pieza clave de la infraestructura digital europea. Sin embargo, este desarrollo también trae consigo un entorno regulatorio cada vez más complejo que los operadores deben integrar desde el diseño mismo de sus infraestructuras y servicios.
El desarrollo de los centros de datos trae consigo un entorno regulatorio cada vez más complejo que los operadores deben integrar desde el diseño mismo de sus infraestructuras y servicios
Desde la perspectiva de la protección de datos, cuestiones aparentemente estructurales -como la determinación del rol del operador frente a los datos de sus clientes o la implementación de medidas de seguridad física como videovigilancia o controles biométricos- pueden tener implicaciones regulatorias relevantes. A ello se suma el impacto creciente de la normativa sobre inteligencia artificial.
Los sistemas avanzados utilizados para la gestión y monitorización de centros de datos pueden quedar sujetos al régimen de los sistemas de IA de alto riesgo previsto en la normativa, lo que implicará nuevas obligaciones en materia de gobernanza, evaluación de riesgos y supervisión técnica. Pero estas exigencias no son meros formalismos: condicionan directamente cómo se diseñan, operan y evolucionan los propios centros de datos.
A medida que los centros de datos se consolidan como infraestructuras clave para la economía digital, la gestión del cumplimiento normativo en materia de protección de datos e inteligencia artificial pasará a ser un elemento central de su operación. Anticipar estos retos regulatorios y abordarlos desde una perspectiva estratégica será clave para garantizar un desarrollo sostenible del sector en los próximos años.
