Cuando pensamos en los controles a la exportación, solemos imaginarnos bienes materiales: armas, ordenadores o maquinaria industrial. Sin embargo, en la economía digital actual, algunas de las transferencias más reguladas se realizan sin ningún contenedor ni envío físico: basta con un simple archivo adjunto enviado por correo electrónico o una subida a la nube.
¿Qué es un «bien inmaterial»?
Las normativas en materia de control de exportaciones regulan la transferencia de bienes, tecnologías e información más allá de las fronteras nacionales, incluido el software. Desde el punto de vista jurídico, los bienes inmateriales sujetos a control incluyen, entre otros, el software, el código fuente, los datos técnicos, los algoritmos y, cada vez más, los pesos de los modelos de inteligencia artificial («AI model weights»). El factor determinante no es la forma física del bien, sino su carácter estratégico.
En el Derecho de la Unión Europea, los «productos de doble uso» se definen como productos que pueden utilizarse tanto con fines civiles como militares, incluidos los programas informáticos y las tecnologías. Por lo tanto, el envío de un programa informático sujeto a control por correo electrónico o su intercambio a través de un servicio de almacenamiento en la nube con una persona situada en el extranjero puede constituir una exportación regulada.
Los marcos normativos estadounidense y europeo
En Estados Unidos se aplican dos regímenes principales. Las Normas de Administración de Exportaciones (EAR), gestionadas por la Oficina de Industria y Seguridad (BIS), y las Normas sobre el Tráfico Internacional de Armas (ITAR) regulan tanto los datos técnicos como el software. El software con potencial de uso militar, en particular las herramientas criptográficas, suele estar incluido en las categorías de productos de doble uso.
Por parte de la Unión Europea, el Reglamento (UE) 2021/821, conocido como «Reglamento refundido sobre productos de doble uso», que entró en vigor en septiembre de 2021, ha sustituido al marco normativo de 2009. Abarca los productos, servicios, programas informáticos y tecnologías sensibles que pueden utilizarse tanto con fines civiles como militares. Los controles europeos de exportación se aplican tanto a las exportaciones materiales como a las exportaciones inmateriales de productos controlados.
El reto del seguimiento de las transferencias digitales
Como ya sabemos, las transferencias inmateriales son especialmente difíciles de supervisar. Los equipos de cumplimiento normativo deben ahora integrar el control de estas transferencias en sus procedimientos internos, especialmente en lo que respecta al acceso remoto, las herramientas de ingeniería alojadas en la nube o la colaboración en investigación y desarrollo. Se trata de ámbitos que, tradicionalmente, no se tenían en cuenta, o muy poco, en los programas de cumplimiento normativo en materia de exportación.
El concepto mismo de «exportación» se concibió en una época dominada por los envíos físicos, y no para un mundo en el que un ingeniero con sede en Shanghái puede acceder a distancia a un centro de datos ubicado en Alemania. Es precisamente en este punto donde el marco normativo se enfrenta hoy en día a sus mayores dificultades de adaptación.
La Ley de Seguridad del Acceso Remoto y la «brecha de seguridad en la nube»
Si Estados Unidos prohíbe la exportación de un chip a China, pero una empresa china puede acceder a ese mismo chip a través de un servicio en la nube, aunque esté físicamente instalado en un centro de datos en los Países Bajos, la eficacia del control de las exportaciones se ve considerablemente reducida. En este contexto se elaboró en Washington la Ley de Seguridad del Acceso Remoto (RASA).
Presentado en diciembre de 2025 y aprobado por la Cámara de Representantes el 12 de enero, el texto está ahora a la espera de ser examinado por la Comisión Bancaria del Senado. El proyecto de ley modificala Ley de Reforma del Control de las Exportaciones de 2018 con el fin de ampliar los controles de exportación existentes al acceso remoto a tecnologías estadounidenses sujetas a control a través de infraestructuras en la nube. El acceso remoto se define en el texto como el acceso, por parte de una persona extranjera de interés (foreign person of concern), a bienes controlados que figuran en la Lista de Control Comercial (Commerce Control List ) mediante servicios en la nube, tales como servidores, procesadores o espacios de almacenamiento.
De aprobarse, la RASA obligaría a los exportadores a obtener una licencia de exportación expedida por la BIS antes de autorizar el acceso remoto a tecnologías controladas en beneficio de entidades extranjeras. Las empresas que operan centros de datos, plataformas en la nube o infraestructuras de inteligencia artificial con una clientela internacional tendrían entonces que controlar no solo los envíos físicos, sino también los accesos procedentes de países sujetos a restricciones.
Perspectivas: los controles a la exportación en la era digital
Los controles a la exportación solían ser una preocupación reservada principalmente a los fabricantes del sector de la defensa. En la era de la inteligencia artificial, la computación en la nube y el software sin fronteras, ahora afectan a un público mucho más amplio. Ya se trate de un desarrollador que comparte código con un colega extranjero o de una empresa que concede acceso a la nube a un cliente no estadounidense, pueden activarse obligaciones en materia de control de exportaciones sin que los actores implicados sean siquiera conscientes de ello.
De aprobarse, la RASA supondría un avance significativo en la legislación estadounidense sobre controles a la exportación en la era digital y confirmaría que un programa interno de cumplimiento sólido, junto con un seguimiento normativo continuo, ya no es una opción, sino una necesidad.
Redactado por: Zilene PESSÔA, jefa de proyectos de cumplimiento comercial, MyTower
¿Busca la solución adecuada para su empresa?
