Reemplazar AWS SES por un proveedor europeo pasó de ser un “estaría bien” a un requisito de procurement durante 2024-2026 para empresas españolas y mid-market hispanohablante con cliente final europeo. Las razones se apilan: la tensión CLOUD Act que Schrems II hizo aflorar, los aproximadamente €264.000 millones que las empresas europeas gastan al año en hyperscalers estadounidenses (vulnerabilidad que el legislador europeo trata ahora como estratégica), las deficiencias específicas de las ofertas “EU sovereign cloud” de proveedores estadounidenses, y la necesidad operativa concreta de sub-procesadores que pasen revisiones de procurement europeo sin gastar horas de abogado.
Este es el artículo que ojalá hubiéramos podido leer hace tres años cuando empezamos a construir infraestructura europea de email para clientes hispanohablantes. Cubre qué exige el panorama regulatorio en realidad, qué alternativas “europeas” lo son de verdad en sentido jurisdiccional con peso, y cómo evaluar las concesiones honestamente.
Por qué AWS SES funciona técnicamente y falla en cumplimiento
AWS SES es un servicio bueno, no hay nada que objetar a la ingeniería. Corre a hyperscala, la API está madura, la documentación es completa, y el precio de $0,10 por 1.000 emails es difícil de batir en coste bruto. El problema es estructural y legal, no técnico.
El problema estructural es la CLOUD Act, la ley federal estadounidense de 2018 que obliga a las empresas estadounidenses a entregar datos a las autoridades estadounidenses bajo demanda, independientemente de dónde estén físicamente almacenados esos datos. Amazon Web Services, Inc. está incorporada en Delaware. AWS Europe SARL (la entidad que contrata con clientes europeos) es una filial luxemburguesa, pero su matriz sigue sometida a ley estadounidense. Cuando una autoridad europea (la AEPD en España, la CNIL francesa, el Garante italiano) revisa tu lista de sub-procesadores bajo el Artículo 28 del RGPD, la conclusión es la misma sin importar qué región AWS hayas elegido: el acceso a datos llega a las autoridades estadounidenses a través de la estructura corporativa.
AWS lanzó la European Sovereign Cloud en 2024 precisamente para responder a esta preocupación. La arquitectura tiene operaciones independientes solo en UE, una entidad corporativa separada (AWS European Sovereign Cloud GmbH, incorporada en Alemania), y personal solo europeo manejando las operaciones. Es un esfuerzo serio. Pero no incluye SES en este momento — la Sovereign Cloud está desplegándose servicio por servicio, y SES no entra en el alcance para Q2 2026.
Las cuatro categorías reales de “alternativa europea”
El mercado tiene más opciones de las que la gente cree, pero se agrupan en cuatro categorías según qué tipo de posición de cumplimiento entregan en realidad.
Categoría 1: Sociedades europeas con operaciones solo UE
Son proveedores incorporados en un Estado miembro de la UE/EEE con todas las operaciones y sub-procesadores en la UE/EEE. Sin matriz estadounidense. Sin sub-procesador estadounidense. La CLOUD Act no alcanza. Es la posición más limpia para procurement.
Para email transaccional, las opciones reales para senders hispanohablantes son:
- Scaleway TEM (Francia) — proveedor cloud francés, servicio email transaccional lanzado en 2023.
- Mailjet (Francia) — actor consolidado, propiedad de Pathwire (Sinch) pero opera con entidad francesa contratante y datacenter franceses/europeos. La matriz Sinch añade complejidad para procurement ultra estricto pero la entidad contratante sigue siendo francesa.
- Brevo / Sendinblue (Francia) — orientada a marketing pero ofrece API transaccional. Muy adoptada en mercado hispanohablante por interfaz traducida y soporte en español.
- Mailrelay (España) — proveedor español con servidores en España. Foco en mercado hispano.
- Acumbamail (España) — proveedor español con datacenters en Madrid. Cobertura específica para empresas españolas con necesidad de residencia local.
- OS Domains (Austria) — nuestro propio servicio. Disclosure: este es nuestro blog. Aparece porque encaja en los criterios.
Categoría 2: Sociedades europeas con cadena mixta de sub-procesadores
Son proveedores incorporados en UE cuya infraestructura propia está en la UE pero usan uno o más sub-procesadores con sede en EE.UU. para funciones específicas (CDN, monitoreo o analítica). Cumplen el requisito frontal del RGPD pero requieren análisis Schrems II sobre la cadena de sub-procesadores.
Ejemplos: la mayoría del SaaS “europeo” que usa Cloudflare como CDN o Datadog para monitoreo encaja aquí. El sender necesita hacer el análisis Schrems II sobre esos sub-procesadores, lo cual es trabajable pero añade fricción de procurement.
Categoría 3: Sociedades estadounidenses con operación regional UE
Son proveedores con sede en EE.UU. ofreciendo hosting regional UE. SendGrid EU, Mailgun EU, Postmark, Twilio. Cumplen el argumento de datos en reposo pero la jurisdicción corporativa matriz implica que la CLOUD Act aplica. Las revisiones de procurement marcarán esto como riesgo residual que requiere justificación documentada.
Categoría 4: Ofertas “sovereign cloud” de hyperscalers
AWS European Sovereign Cloud, Microsoft Cloud for Sovereignty, Google Cloud Sovereign Controls. Diseñadas específicamente para abordar Schrems II. No están todavía completas en features para email. A Q2 2026, ninguna incluye un servicio transaccional completo de email. Estaremos atentos — cuando AWS Sovereign Cloud SES se lance, la cuenta cambia.
Comparativa de las opciones europeas reales
Para senders que de verdad quieren migrar, la elección práctica se estrecha rápido. El precio refleja tarifas publicadas Q2 2026.
| Proveedor | País | Modelo de precio | Fortalezas | Debilidades |
|---|---|---|---|---|
| Scaleway TEM | Francia 🇫🇷 | €0,40 por 1K (tras 300/mes gratis) | Soberanía francesa pura SMTP + REST API simples Integra con stack Scaleway | Servicio joven (2023) Features de plantillas limitadas Sin opción IP dedicada |
| Mailjet | Francia 🇫🇷 | €11/mes (15K) €73/mes (150K) | Plataforma madura desde 2010 Buen sistema de plantillas API + SMTP completos Opción IP dedicada | Matriz Sinch (sueca) añade complejidad UI con aspecto algo anticuado |
| Brevo (Sendinblue) | Francia 🇫🇷 | €19/mes (10K) €55/mes (100K) | Set de features marketing-first Útil para senders mixtos transaccional + marketing Entidad francesa contratante Soporte en español | UI marketing para usuarios transaccionales Rendimiento SMTP puro limitado |
| Mailrelay | España 🇪🇸 | €59/mes (75K) €199/mes (450K) | Datacenter Madrid Soporte en español horario CET Entidad española contratante Fiscalidad IVA española directa | Foco más marketing que transaccional puro API menos avanzada que Mailjet |
| OS Domains Email API EU | Austria 🇦🇹 | €99/mes (500K) €299/mes (1M) €999/mes (5M) | Compat API SendGrid v3 + Mailgun v4 7 PoPs UE + Panamá Schrems II ready by design DMARC gestionado incluido en Pro+ | Más reciente que Mailjet Menor comunidad Disclosure: somos nosotros |
| AWS SES (referencia) | EE.UU. 🇺🇸 | $0,10 por 1K (tras 62K/mes gratis si hosted) | Más barato en precio bruto Maduro, integraciones amplias Integra con todo AWS | Exposición CLOUD Act Fricción procurement Reputación pool IP compartida Sin deliverability incluida |
Opciones Categoría 1 para senders que necesitan cumplimiento Schrems II limpio. Precios aproximados Q2 2026; verifica tarifas actuales con cada proveedor.
El cuento del coste total (no es solo precio por email)
Un error común al comparar AWS SES con alternativas europeas es enfocarse en el precio por email. SES sale a $0,10 por 1.000. Las opciones europeas suelen estar en €0,40 por 1.000 o más. En la superficie SES gana por 4×.
El coste real incluye las piezas operativas que SES no incluye:
Gestión de reputación de IP. SES usa pools de IPs compartidas por defecto. Tu reputación depende del peor sender que comparta el pool ese día. Las IPs dedicadas están disponibles a $24,95/mes cada una — lo que evapora la ventaja de precio en cualquier volumen relevante.
Monitoreo de deliverability. No incluido con SES. Añadir GlockApps o similar cuesta $79-$199/mes mínimo.
Categorización de rebotes más allá del básico. SES da hard/soft bounces. La lógica sofisticada de supresión (bloquear-tras-N-rebotes, reglas por tier de reputación, lógica de reintento por ISP) la construyes tú.
Documentación de cumplimiento. SES da un DPA genérico de AWS. Para revisiones de procurement, posiblemente necesites documentación específica del vendor — procedimientos de respuesta a incidente, lista de sub-procesadores, reportes de auditoría. AWS lo proporciona vía portal de cumplimiento pero el trabajo de leerlo y mapearlo lo haces tú.
Tiempo de procurement. Esto es real y cuantificable. Hemos visto revisiones de procurement europeo de vendors estadounidenses tardar 4-12 semanas de tiempo legal. A €200/hora de coste interno, eso son €30K-€90K de coste blando además del valor del contrato.
El contexto regulatorio hispanohablante específico
El análisis Schrems II no funciona idéntico en cada jurisdicción hispanohablante. Resumen práctico de los marcos relevantes a Q2 2026:
España: AEPD, RGPD + LOPDGDD
España aplica el RGPD directamente, complementado por la LOPDGDD (Ley Orgánica 3/2018). La AEPD es de las autoridades europeas más activas en sanciones. En su Memoria Anual 2024 destacó las transferencias a proveedores cloud como área prioritaria de inspección. Las multas documentadas por transferencias internacionales deficientes oscilan entre 60.000 € y 6 millones €. La sanción récord reciente fue de 10 millones € a Aena en 2025 por uso indebido de sistemas biométricos. Para email, las áreas de mayor exposición regulatoria son: ausencia de Cláusulas Contractuales Tipo (CCT) actualizadas con sub-procesador estadounidense, ausencia de Análisis de Impacto sobre Transferencia (TIA) documentado, y aviso de privacidad que no menciona transferencias internacionales reales que ocurren.
México: nueva LFPDPPP 2025, Secretaría de Anticorrupción
El 21 de marzo de 2025 entró en vigor la nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares, derogando la ley homónima de 2010. Cambio estructural mayor: el INAI fue disuelto y sus funciones de supervisión transferidas a la Secretaría de Anticorrupción y Buen Gobierno. La nueva ley amplía la definición de “responsable” para incluir a encargados, lo cual eleva el universo de sujetos obligados. Para email transaccional desde México hacia destinatarios en EE.UU., la base legal típica es el cumplimiento del contrato. Para email desde proveedor estadounidense procesando datos de mexicanos, el contrato debe documentar la cadena de transferencia.
Argentina: Ley 25.326, AAIP, Habeas Data constitucional
Argentina mantiene el régimen de la Ley 25.326 con la AAIP como autoridad. La UE concedió decisión de adecuación a Argentina en 2003 (todavía vigente), lo que facilita transferencias UE → Argentina sin CCT adicionales. Para transferencias Argentina → EE.UU., la AAIP requiere garantías equivalentes vía CCT del Mercosur o BCR. La fiscalidad de servicios SaaS importados aplica IVA del 21% bajo régimen de auto-percepción.
Colombia: Ley 1581/2012, SIC, Habeas Data
Colombia opera bajo la Ley 1581 con la Superintendencia de Industria y Comercio (SIC) como autoridad. El registro nacional de bases de datos (RNBD) requiere actualización anual. Las transferencias internacionales a EE.UU. requieren consentimiento o evaluación de adecuación por la SIC. La Comisión Europea no ha emitido decisión de adecuación para Colombia.
Chile: Ley 19.628 actualizada en 2024
Chile aprobó en 2024 la modernización de la Ley 19.628 con creación de la Agencia de Protección de Datos. La nueva ley alinea Chile más cerca del estándar europeo y abre camino a una eventual decisión de adecuación de la UE.
Panamá: Ley 81/2019
Panamá aplica la Ley 81 desde 2019 con la ANTAI como autoridad nominal (cobertura limitada en práctica). Las multas máximas son sustancialmente menores que el RGPD (€100.000 vs €20M). Para empresas operando en Panamá con cliente final europeo, el peso del cumplimiento sigue siendo Schrems II + RGPD del cliente final, no Ley 81 panameña.
Migración: cómo se ejecuta
Hemos liderado más de 30 migraciones AWS SES → proveedor europeo durante 2024-2026 con clientes hispanohablantes. El proceso no es complicado pero los detalles importan.
Fase 1: Inventario (semana 1)
¿Para qué usa tu aplicación AWS SES en realidad? Patrones comunes:
- Propósito único: solo notificaciones transaccionales. Migración fácil.
- Multi-propósito: transaccional + marketing + alertas. Más difícil; quizás distintos proveedores por uso.
- Acoplamiento estrecho: eventos SES alimentan Lambda, S3 y SNS para pipeline analítico. La más difícil; reconstruir el pipeline de eventos en el nuevo proveedor.
Fase 2: Configuración de autenticación (semana 1-2)
DKIM y SPF para el dominio de envío nuevo. Si mantienes la misma dirección From, solo actualizas DNS. Si te mueves a un subdominio de envío (recomendado para reputación dedicada), configuras mail.ejemplo.com como nuevo remitente y actualizas las aplicaciones.
Fase 3: Calentamiento IP si aplica (semanas 2-6)
Para configuraciones con IP dedicada, la IP nueva necesita construir reputación. Empezar con volúmenes pequeños, escalar gradualmente. Es un proceso de 4-6 semanas. Para configuraciones IP compartida, te saltas este paso.
Fase 4: Cutover (semana 6-8)
Cambiar DNS / configuración al nuevo proveedor. Monitorear de cerca durante 7-10 días. Mantener cuenta AWS SES viva (sin borrar) durante 30 días como opción de rollback.
Fase 5: Limpieza AWS (semana 12)
Tras período de confianza, borrar configuration sets de SES, liberar IPs dedicadas, cerrar la cuenta SES. Ahorrar el coste.
El análisis Schrems II (qué poner en tu DPIA)
Si eres un sender hispanohablante haciendo el trabajo formal de cumplimiento, la plantilla de Análisis de Impacto sobre Transferencia (TIA) o DPIA según jurisdicción necesita elementos específicos. Esto es lo que recomendamos tras revisar docenas.
Para cada sub-procesador de email:
- Jurisdicción corporativa: ¿dónde está incorporada la entidad contratante? ¿dónde está la matriz última?
- Residencia de datos: ¿dónde están los datos en reposo? ¿por dónde transitan en operación normal?
- Cadena de sub-procesadores: ¿quiénes usan? ¿dónde están esos sub-procesadores?
- Exposición a acceso legal: ¿qué regímenes de acceso gubernamental pueden compeler producción?
- Mitigaciones: ¿qué medidas técnicas y organizativas reducen exposición?
- Riesgo residual: ¿qué queda? ¿es aceptable para el tipo de dato?
Para AWS SES, la respuesta honesta a (4) incluye CLOUD Act estadounidense, FISA Sección 702, y National Security Letter. Las mitigaciones incluyen cifrado (pero AWS sostiene las claves para servicios gestionados), logging de auditoría (pero no previene acceso compelido), y compromisos contractuales (pero no pueden anular ley federal). El riesgo residual es real y las revisiones de procurement lo notarán.
Para una alternativa incorporada en UE, la respuesta a (4) es la ley del Estado miembro UE más reglamentos UE. La exposición es cualitativamente distinta: el alcance extraterritorial estadounidense queda removido, reemplazado por proceso legal interno UE que es más predecible y auditable.
Línea final
AWS SES es operacionalmente excelente y problemático en cumplimiento para senders hispanohablantes con cliente final europeo post-Schrems II. El esfuerzo “European Sovereign Cloud” de AWS es sincero pero todavía no es respuesta completa para email transaccional. Las alternativas incorporadas en UE han madurado lo suficiente para ser elecciones de grado productivo.
Para la mayoría de senders hispanohablantes enviando 100K-10M emails al mes con cliente UE, la migración es proyecto de 6-8 semanas que se paga sola en reducción de fricción de procurement durante el primer año. Para senders por debajo de 100K, el camino más simple suele ser Brevo o Mailjet en plan publicado. Para senders por encima de 10M, el cálculo favorece típicamente servicio gestionado con SLA contractual — donde encaja nuestro producto Email API EU, pero varios otros proveedores Categoría 1 son elecciones igualmente legítimas.
La opción más cara es no hacer nada mientras las revisiones de procurement se acumulan y tus clientes europeos enrutan calladamente su trabajo a vendors que ya pasaron el filtro de cumplimiento.