Las empresas noruegas y las agencias gubernamentales que utilizan los servicios en la nube de Microsoft deberían revisar nuevamente su configuración de privacidad. Un cambio controvertido que la empresa ha implementado puede hacer que los datos procesados por inteligencia artificial salgan de Europa y terminen en EE. UU. u otros países fuera del EEE — según Digi.no, que fue el primero en informar sobre el asunto.
¿Qué es «Flex Routing»?
Los servicios Copilot de Microsoft utilizan un mecanismo llamado «Flex Routing». Esto permite que las solicitudes de clientes europeos puedan ser redirigidas temporalmente a centros de datos en EE. UU., Canadá o Australia en períodos de alta carga. Según el material de origen disponible, la función está desactivada por defecto para los inquilinos de la UE, pero los expertos enfatizan que las empresas deben confirmar que esto se aplica realmente a su propia configuración, y no darlo por sentado.
Una complicación adicional es que Anthropic, que desde enero de 2026 es un subcontratista de Copilot, mantiene actualmente sus modelos fuera del límite de datos de la UE de Microsoft. Esto significa que los clientes de la UE que utilizan los modelos de Anthropic en Copilot y que tienen requisitos estrictos de residencia de datos, deberían desactivar esta integración.
Las empresas noruegas ya no pueden asumir que la «nube europea» es lo mismo que «datos en Europa» — la configuración lo decide todo.

¿Cuál es la promesa oficial de Microsoft a los clientes europeos?
Microsoft ha realizado inversiones significativas para cumplir con los requisitos de la UE. La empresa lanzó su iniciativa «EU Data Boundary», que tiene como objetivo brindar a los clientes comerciales y gubernamentales la capacidad de almacenar y procesar datos centrales exclusivamente dentro de la región de la UE y la AELC. Servicios como Microsoft 365, Dynamics 365, Power Platform y la mayoría de los servicios de Azure están, en principio, cubiertos.
Además, Microsoft ha anunciado un aumento del 40 por ciento en la capacidad de los centros de datos europeos durante un período de dos años, con el objetivo de tener más de 200 centros de datos distribuidos en 16 países europeos para 2027.
Para el sector público, también existe «Microsoft Cloud for Sovereignty», diseñado específicamente para cumplir con estrictos requisitos de soberanía y cumplimiento.
US CLOUD Act — el problema subyacente que nadie resuelve
Aunque Microsoft ubica los datos en centros de datos europeos, la empresa, como entidad estadounidense, está sujeta a la US CLOUD Act. Esto significa que las autoridades estadounidenses, en principio, pueden exigir acceso a los datos almacenados en Europa, independientemente de dónde se encuentren físicamente los servidores.
Microsoft afirma que impugnará tales solicitudes y solo las cumplirá si es legalmente requerido por la legislación de la UE, y que notificará a los clientes afectados cuando esté permitido. Sin embargo, los expertos en soberanía digital señalan que ningún proveedor de la nube con sede en EE. UU. puede ofrecer plena soberanía en el sentido legal, precisamente debido a este alcance extraterritorial.
¿Qué significa esto para las empresas noruegas?
Para las empresas noruegas con estrictas obligaciones de privacidad de datos — ya sea que operen en el sector de la salud, la administración pública o manejen datos comerciales sensibles — esto no es una cuestión de detalle técnico. Es una cuestión de cumplimiento.
La Ley de IA de la UE, que entró en vigor en agosto de 2024 y que a partir de agosto de 2026 establece requisitos para los sistemas de alto riesgo, eleva la residencia de datos de una preferencia legal a un requisito técnico. Ya no basta con seleccionar la región correcta en un menú desplegable en línea; las empresas deben poder documentar la ruta geográfica que han tomado los datos a lo largo de toda la ejecución del agente de IA.
Según los expertos, las empresas noruegas deberían, concretamente:
- Confirmar que Flex Routing está desactivado en sus propios inquilinos de Microsoft
- Evaluar si la integración de Anthropic en Copilot es compatible con sus propios requisitos de GDPR
- Utilizar configuraciones específicas de Azure AI con Data Zone SKU si se requiere una residencia estricta en la UE
- Mantener un seguimiento continuo de la lista de subcontratistas de Microsoft, que puede cambiar
La fuente Digi.no subraya que el cambio de Microsoft ya se ha implementado y que la responsabilidad de garantizar la configuración correcta recae en gran medida en los propios clientes.
