Caso práctico: cómo sería una pyme 100% soberana con Nextcloud
Una gestoría de 12 personas, Google Workspace y un auditor incómodo. ¿Qué pasaría si migrase a infraestructura europea? Analizamos el caso paso a paso.
Una gestoría, doce personas y un auditor que hace la pregunta incómoda
Imaginemos una gestoría en A Coruña. Doce personas. Contabilidades de más de doscientos clientes. Nóminas, declaraciones de IVA, cierres fiscales, documentos con datos personales y financieros en cada carpeta.
Llevan años trabajando con Google Workspace. Funciona bien. Nadie se queja. Hasta que un auditor externo, durante una revisión de cumplimiento normativo, hace una pregunta sencilla: "¿Dónde están almacenados los datos fiscales de vuestros clientes?"
La respuesta es Google Drive. Y alguien del equipo dice: "Pero tenemos los datos en Europa, ¿no? Google ofrece eso."
Es cierto a medias. Google Workspace incluye una funcionalidad llamada Data Regions que permite configurar que los datos primarios en reposo se almacenen en centros de datos europeos. Pero hay dos matices importantes. Primero, esta opción solo está disponible en los planes Enterprise Plus y similares — los planes Business que usa la inmensa mayoría de pymes ni siquiera la incluyen. Segundo, y más relevante: aunque los datos estén físicamente en la UE, Google sigue siendo una empresa estadounidense sujeta al CLOUD Act. Esa ley otorga a las autoridades de EE.UU. potestad legal para exigir acceso a datos controlados por empresas estadounidenses, independientemente de dónde estén almacenados.
La propia EDPB concluyó en su evaluación conjunta con el EDPS que, en ausencia de un acuerdo internacional, los proveedores bajo legislación europea no pueden transferir lícitamente datos personales a agencias estadounidenses bajo una orden del CLOUD Act — lo que entra en conflicto directo con el artículo 48 del RGPD. Ni las cláusulas contractuales, ni el acuerdo de procesamiento de datos, ni la residencia geográfica resuelven este conflicto jurisdiccional.
El auditor no dice que sea ilegal hoy. Dice que es un riesgo documentable, y que si algún cliente o regulador lo pregunta, la respuesta no va a ser cómoda.
Este escenario no es inventado. Es la situación real de miles de gestorías, asesorías y despachos profesionales en España. Veamos qué pasaría si esta gestoría decidiera actuar.
El punto de partida: qué pagan y qué riesgos asumen
La configuración es bastante típica. Google Workspace para correo, calendario y documentos. ChatGPT Teams para cinco personas del equipo que han empezado a usarlo para resumir documentos, redactar informes y analizar balances. Y almacenamiento extra en Google Drive porque los gigas incluidos se quedan cortos con el volumen de documentación fiscal que manejan.
El coste mensual ronda los 300-350 euros. Más de 4.000 euros al año. No es una barbaridad para una empresa de doce personas, pero tampoco es poco. Y el problema no es solo el precio.
El problema real es triple. Primero, los datos fiscales de más de doscientos clientes están en servidores estadounidenses, expuestos a la CLOUD Act y FISA 702. Segundo, cinco empleados están usando ChatGPT con datos financieros de clientes, algo que como vimos en el artículo sobre IA y privacidad tiene implicaciones serias bajo el RGPD. Tercero, toda la operativa depende de un único proveedor: si Google cambia precios, condiciones o formato, la gestoría no tiene alternativa inmediata.
La migración: qué cambiaría
La idea sería sustituir cada pieza del stack por una alternativa europea, siguiendo las opciones que describimos en el artículo sobre alternativas europeas a Google Workspace.
| Función | Antes | Después |
|---|---|---|
| Correo + Calendario + Contactos | Gmail + Google Calendar | Nextcloud (autoalojado en OVH) |
| Almacenamiento y sincronización | Google Drive | Nextcloud Files |
| Suite ofimática | Google Docs / Sheets / Slides | Collabora Online (integrado en Nextcloud) |
| Videollamadas | Google Meet | Nextcloud Talk |
| Asistente de IA | ChatGPT Teams | IA soberana (modelos abiertos en servidor europeo) |
| Chat interno | WhatsApp Business (informal) | Nextcloud Talk |
La lógica es simple: un único sistema (Nextcloud) sobre infraestructura europea (OVH), con todas las funciones integradas. Nada de pegar seis herramientas distintas. Un solo punto de acceso, una sola gestión, una sola jurisdicción.
Los números: por qué sale más barato
Aquí es donde el caso se vuelve interesante. Porque la soberanía digital no solo no cuesta más, sino que en la mayoría de escenarios sale bastante más barata.
La clave está en entender el modelo de costes. Con Google Workspace o Microsoft 365, pagas por usuario al mes. Cada persona nueva es un coste recurrente adicional. Con Nextcloud sobre infraestructura propia, pagas por el servidor. Da igual que tengas 5 o 50 usuarios: el coste del software es cero (Nextcloud Community es gratuito) y el servidor no cambia de precio por añadir personas.
Para una gestoría de 12 personas, la infraestructura necesaria (un VPS europeo con suficiente RAM y almacenamiento) costaría una fracción de lo que pagan ahora en suscripciones. Los precios concretos varían según el proveedor y la configuración, pero el orden de magnitud es claro: donde antes van más de 300 euros al mes, ahora irían menos de 100.
El ahorro anual estaría por encima de los 2.500 euros. Y ese ahorro crece con cada usuario nuevo: añadir una persona a Google Workspace cuesta 12-16 euros más al mes; añadirla a Nextcloud cuesta cero.
¿Y la IA?
Los cinco empleados que usan ChatGPT para analizar documentos de clientes podrían hacer exactamente lo mismo con un modelo que se ejecuta en infraestructura europea. Como explicamos en el artículo sobre IA soberana, existen modelos de código abierto accesibles a través de endpoints de API europeos. El coste de uso es significativamente menor que una suscripción a ChatGPT Teams, y los datos nunca salen de la UE.
¿Y el servicio gestionado?
Si la gestoría no tiene a nadie interno que se encargue de las actualizaciones, los backups y la resolución de incidencias, necesita a alguien externo que lo haga. Ese es el coste variable más importante. Pero incluso sumando un servicio de gestión, el total queda por debajo de lo que pagaban antes. Y a diferencia de las suscripciones SaaS, este coste no escala por usuario.
Lo que ganarían más allá del ahorro
El dinero convencería a la dirección, pero lo que cambiaría el día a día sería otra cosa.
Cumplimiento RGPD por diseño
Todos los datos estarían en un servidor europeo controlado por la empresa. Sin intermediarios estadounidenses. Sin exposición a la CLOUD Act. Cuando el auditor volviera a preguntar dónde están los datos, la respuesta sería: "En un servidor europeo que controlamos nosotros." Fin de la conversación.
IA sin riesgo legal
Los empleados que usan IA para analizar documentos de clientes lo harían con un modelo que se ejecuta en infraestructura europea. Los datos nunca saldrían de la UE. No alimentarían el entrenamiento de ningún modelo externo. La gestoría podría demostrar ante cualquier regulador que sus flujos de IA cumplen con el RGPD y con el AI Act.
Además, el sistema podría usar RAG (Retrieval Augmented Generation) sobre sus propios documentos internos. La IA consultaría los procedimientos, calendarios fiscales e históricos de la gestoría para dar respuestas contextualizadas. Como tener un asistente que conoce la empresa, pero sin que esos documentos salgan del servidor.
Sin dependencia de proveedor
Nextcloud es software libre. Si mañana quieren cambiar de OVH a Hetzner, o a otro proveedor europeo, migran sus datos y listo. No hay conversión de formatos, no hay lock-in, no hay sorpresas. Los documentos están en formatos abiertos (ODF). El correo es IMAP estándar. Todo es portable.
Control real sobre los datos
La gestoría tendría backups que controla ella. Sabría exactamente en qué servidor está cada archivo, quién tiene acceso y cuándo se modificó por última vez. Si OVH desapareciera mañana (cosa improbable, pero la pregunta es válida), tendrían sus copias de seguridad en un segundo proveedor europeo. Con Google, tu backup es... Google.
Auditoría limpia
Cuando un cliente o un regulador pregunte sobre el tratamiento de datos, la gestoría podría enseñar exactamente dónde está cada byte, bajo qué jurisdicción opera el servidor, quién tiene acceso y qué políticas de retención aplican. No depende de lo que diga un DPA de una empresa estadounidense. Es su infraestructura, sus reglas, su documentación.
Lo que costaría esfuerzo: ser honestos
Si solo contara las ventajas, estaría vendiendo humo. Una migración así tiene sus fricciones, y es importante que las conozcas.
La curva de aprendizaje
El equipo tardaría entre dos y tres semanas en sentirse cómodo con Collabora en lugar de Google Docs. La interfaz es diferente. Algunas cosas están en sitios distintos. No es difícil, pero tampoco es invisible. La primera semana habría preguntas constantes. La segunda, esporádicas. La tercera, ya casi ninguna. Una sesión de formación de dos horas suele cubrir el 80% de las dudas.
La deuda documental
Si la gestoría tiene hojas de cálculo con macros complejas de Excel (plantillas de conciliación bancaria, cuadros de amortizaciones, generadores de informes), esos archivos necesitarían adaptación. No son muchos — en la mayoría de empresas, los documentos con macros se cuentan con los dedos de una mano — pero los que hay suelen ser críticos. La solución es reescribirlos una vez en formato abierto. Es trabajo puntual, no recurrente.
Conviene ponerlo en perspectiva: de los cientos de documentos que tiene una gestoría típica, solo unos pocos necesitarían adaptación. Y una vez reescritos, funcionan mejor porque ya no dependen de un formato propietario.
La experiencia móvil
La app de Nextcloud para el móvil funciona. Puedes acceder a tus archivos, ver el calendario, leer el correo. Pero no tiene el nivel de pulido de las apps de Google. La sincronización es algo más lenta, la interfaz es más utilitaria. Para la mayoría de usuarios, la diferencia es menor. Pero si alguien espera la experiencia exacta de Google Drive en el móvil, va a notar diferencias.
La resistencia al cambio
Algunos empleados preguntarían, con razón, por qué hay que cambiar algo que funciona. La respuesta del auditor es suficiente para los responsables de la empresa, pero para el equipo operativo lo que funciona es una sesión de formación donde se explica el porqué (riesgo legal, RGPD, datos de clientes) y el cómo (aquí tienes tu nueva bandeja de entrada, así subes un archivo, así compartes un documento). Sin drama. Pero hay que hacerlo.
El ángulo Galicia: ventajas de migrar desde aquí
Si tu empresa está en Galicia, tienes un contexto que facilita este tipo de migración.
La Cidade das TIC ofrece asistencia técnica para la transformación digital de pymes. No es teoría: son personas que te ayudan a evaluar opciones y planificar la transición.
Los programas IA360 del Igape incluyen acompañamiento técnico para la adopción de tecnología. Una migración a infraestructura soberana encaja perfectamente en estos programas.
La AESIA está en A Coruña. Tener la Agencia Española de Supervisión de Inteligencia Artificial en tu ciudad no es solo simbólico. Significa proximidad a los profesionales que definen el marco regulatorio de la IA en España.
La Ley 2/2025 de impulso de la inteligencia artificial en Galicia no es una barrera regulatoria. Es un marco de apoyo que incluye acceso a infraestructura, formación y un ecosistema creciente de talento técnico alrededor del CESGA y la Cidade das TIC.
Migrar a una nube soberana desde Galicia no es nadar contracorriente. Es surfear una ola que ya está formándose.
Lo que viene después: cierre de la serie
Este es el sexto y último artículo de la serie sobre soberanía digital para pymes. Hemos recorrido un camino largo:
- Empezamos entendiendo qué es la CLOUD Act y por qué afecta a tu empresa, aunque no tengas nada que ocultar.
- Analizamos dónde duermen realmente los datos de tu pyme y qué implica que estén en servidores bajo jurisdicción estadounidense.
- Repasamos las alternativas europeas a Google Workspace y Microsoft 365, con nombres y comparativas reales.
- Hablamos de IA y privacidad: qué pasa cuando tus empleados usan ChatGPT con datos de clientes, y por qué las multas ya están cayendo.
- Exploramos qué significa una IA soberana para tu empresa: modelos abiertos, infraestructura europea, datos que nunca salen de tu control.
- Y hoy hemos visto un caso práctico: qué pasaría si una gestoría de doce personas migrase todo su stack a una nube europea. Menos coste recurrente, más control, cumplimiento real del RGPD.
La conclusión no es que todo el mundo deba migrar mañana. La conclusión es que la soberanía digital no es paranoia, es una decisión de negocio. Tiene alternativas maduras. Tiene un coste menor. Y tiene un marco legal europeo que cada vez empuja más en esta dirección.
Si estás considerando una migración similar, o simplemente quieres entender qué opciones tiene tu empresa, me encantará tener esa conversación. Sin discurso comercial. Solo una conversación honesta sobre qué tiene sentido para tu caso concreto.
Si quieres seguir recibiendo contenido como este, suscríbete a la newsletter. Es donde comparto primero lo que después publico aquí.