Artículos · hosting ·

Hosting en la UE vs en EE.UU. para PYMEs eslovenas: 4 compromisos reales

¿Hetzner Frankfurt o Vercel en Ohio? Lo que de verdad se rompe con RGPD, latencia, factura del IVA y soporte a las 22:00 — con números reales de proyectos en Gorenjska.

  • #hosting
  • #rgpd
  • #schrems-ii
  • #wordpress
  • #eslovenia

En resumen

  • Frankfurt a Ljubljana son 24-28 ms; Virginia 108-115 ms — caída real de conversión en cualquier checkout de WooCommerce.
  • El DPF aguanta, pero Privacy Shield ya cayó una vez y “Schrems III” ya está rondando — un stack en el EEE deja tu ROPA tres columnas más corto.
  • Hetzner emite factura conforme al VAT-UE con 22 % de DDV esloveno; los proveedores estadounidenses te empujan a inversión del sujeto pasivo cada mes.
  • Nadie en AWS o Vercel descuelga a las 22:00 — para tiendas que facturan después de las 20:00, eso solo ya cierra la discusión.

Hasta el 16 de julio de 2020, nadie en Kranj pensaba dónde vivía físicamente su web. Después el TJUE dictó sentencia en el caso C-311/18 — más conocido como Schrems II — y el Privacy Shield murió de la noche a la mañana. Tres años después, el 10 de julio de 2023, llegó el Data Privacy Framework como techo nuevo sobre las transferencias transatlánticas. Suena resuelto.

No lo está.

Ejemplo representativo, compuesto a partir de casos que hemos gestionado (datos anonimizados): una PYME del comercio minorista recibió una observación de su auditor. Su Google Analytics 4, que envía datos a us-central1, sin una DPIA en regla y sin actualizar el ROPA, olía a incumplimiento potencial del art. 44 RGPD. El arreglo — migrar la analítica a Plausible autoalojado y mover el hosting de un proveedor estadounidense a Hetzner Cloud CX22 en Frankfurt — se cerró en una factura de cifra baja de cuatro dígitos. No es una catástrofe. Sí lo suficiente para que el dueño recuerde el nombre del auditor.

Así que “hosting en la UE o en EE.UU.” ya no es una pregunta técnica. Es legal, financiera y — al menos para los dos auditores eslovenos que conocemos — procesal. Abajo desglosamos cuatro compromisos que de verdad importan a una PYME eslovena en 2026.

Compromiso 1 — Dónde vive el dato y quién puede leerlo

El RGPD (Reglamento UE 2016/679) en sus artículos 44-46 exige que la transferencia de datos personales fuera del EEE se base en “garantías adecuadas”. El Data Privacy Framework es un esquema de certificación al que un proveedor estadounidense se adhiere explícitamente. No es automático. Cloudflare está certificado. AWS está certificado. Ese proveedor pequeño llamado “SuperFastHost” — probablemente no.

Qué significa esto en la práctica para el DPO que redacta el ROPA bajo ZVOP-2 (implementación eslovena del RGPD) son tres columnas más. Nombre del proveedor, estado DPF a fecha de firma, y — porque el DPF puede caer igual que cayó Privacy Shield — un plan B. Si el hosting está dentro del EEE, esas tres columnas ni se plantean; el art. 45 RGPD permite el flujo libre dentro del bloque.

Bankart, la procesadora de tarjetas dominante en Eslovenia, nos abrió una ventana útil la primavera pasada. Su equipo legal, cuando da de alta a un nuevo comercio para pagos con tarjeta, exige un DPA firmado y una lista de subprocesadores con la ubicación del tratamiento. Si el hosting está en us-east-1 y el comercio no sabe explicar la certificación DPF del procesador, el alta se estira 6-8 semanas. Los comercios lo odian. Bankart no hace nada mal — solo se protege del mismo auditor que llegará a ellos.

Prueba práctica — ¿puedes conseguir un DPA firmado y una línea lista para el ROPA en tres correos? Hetzner te manda el DPA en PDF en 24 horas, sin negociación, accesible desde el panel Robot. AWS publica el suyo abiertamente; 47 páginas, pero ahí está. El DPA de Vercel en Pro es sin fricción; en Enterprise pasa por una llamada con su legal EMEA.

IlustraciónGráfico de barras del tiempo de ida y vuelta desde Liubliana a Fráncfort, Ámsterdam, Virginia y Oregón
Presupuesto de latencia: 26 ms hasta Fráncfort, 164 ms hasta Oregón. Cada 100 ms adicionales de RTT cuestan aproximadamente un 1 % de conversión en el checkout (Amazon 2007, replicado desde entonces).

Compromiso 2 — Latencia hasta tus clientes reales

Números reales de nuestras pruebas traceroute en junio de 2026, desde Ljubljana sobre la red de Telekom:

  • Frankfurt (Hetzner fsn1/fra1) → Ljubljana: 24-28 ms
  • Amsterdam (DigitalOcean ams3) → Ljubljana: 32-36 ms
  • Dublin (AWS eu-west-1) → Ljubljana: 42-48 ms
  • Virginia (AWS us-east-1) → Ljubljana: 108-115 ms

Para una web de presentación con cuatro subpáginas estáticas, la diferencia es cosmética. Para un checkout de WooCommerce, no lo es. Cada round-trip extra — cada refresco AJAX del carrito, cada validación de referencia UPN-QR, cada llamada a Stripe o a la API Payten de Bankart — se multiplica por el RTT. El estudio de Amazon de 2007 midió un 1 % de caída de conversión por cada 100 ms de latencia añadida. WPO Stats repite ese número desde 2019. Nuestros dashboards dicen lo mismo.

Concreto: en una migración representativa que hicimos, moviendo una tienda WooCommerce de DigitalOcean NYC1 a Hetzner CX22 Frankfurt, el Time to First Byte desde Ljubljana bajó de 340 ms a 78 ms. La conversión del checkout durante la temporada que siguió subió un 11 % — no solo por el hosting (también metimos caché LiteSpeed 6.4), pero la mayor parte fue latencia.

Si tus clientes están en Gorenjska, Ljubljana, Maribor o Koper — quieres el servidor en Frankfurt o Amsterdam. Fin del debate. Es la misma cuenta que repasamos en la nota sobre el checkout esloveno conforme al RGPD, y por eso cada tienda online que entregamos a un cliente esloveno arranca en una VM de región UE.

”Para una PYME típica de Gorenjska, el hosting en EE.UU. es una solución sin problema que resolver.”

— La tesis de este texto

Compromiso 3 — Soporte de madrugada y quién descuelga a las 22:00

Una tienda online que se cae en mitad de una campaña de Facebook Ads a las 21:47 de un viernes — es un problema real. La pregunta es quién responde.

Un ticket de soporte de Hetzner un viernes a las 22:00 CET: respuesta en 11-40 minutos, en inglés, desde Núremberg o Falkenstein. Su L1 revisa la consola, reinicia, te devuelve un diagnóstico. Lo hemos probado tres veces el último año; una fue un módulo de RAM defectuoso en nuestra VM y la migraron a otro host en 2 horas, sin trabajo extra por nuestro lado.

El soporte de AWS sin plan Business (desde $100/mes) es foro de la comunidad más documentación. Con Business — tickets 24/7, respuesta en una hora, pero el agente probablemente está en Dublín o Ciudad del Cabo. ¿Saben de WordPress? Técnicamente no es su terreno. Te dicen “la instancia EC2 está sana, el problema es capa de aplicación” y tienen razón. Y a ti no te sirve.

Los proveedores eslovenos son otra historia. Domenca tiene línea telefónica en esloveno de 08:00 a 20:00 entre semana. Neoserv ofrece soporte 24/7 en planes VPS, con un L1 competente — probamos dos veces, las dos llamadas devueltas en menos de 20 minutos. ARNES está restringido a organizaciones registradas (escuelas, ente público, universidades); irrelevante para PYMEs. Suša Digital lleva un equipo más pequeño pero muy reactivo — una llamada de prueba en nombre de un cliente en Radovljica a las 23:00 se devolvió en 40 minutos.

Nuestra navegación para tiendas que facturan después de las 20:00: o Neoserv (el soporte en esloveno vale la prima), o Hetzner con un care plan de terceros (nosotros hacemos de tu L1), o combinación. Ir directamente a AWS o Vercel para una micro-PYME — no lo recomendamos. No los llamas por teléfono. Abres un case y esperas.

CapturaFactura anonimizada de Hetzner Cloud con la línea de IVA esloveno del 22 % resaltada
Una factura real de Hetzner: IVA esloveno del 22 % en una línea aparte, ID de IVA validado vía VIES, IVA soportado deducible como cualquier gasto doméstico. Sin gimnasia de inversión del sujeto pasivo.

Compromiso 4 — Coste y cómo aterriza el IVA en la factura

Precios reales a julio de 2026:

  • Hetzner Cloud CX22 (2 vCPU, 4 GB RAM, 40 GB NVMe): €4,51/mes + 22 % de DDV esloveno = €5,50 total. Factura en EUR, VAT ID validado, IVA soportado deducible.
  • DigitalOcean Droplet basic (2 vCPU, 4 GB, fra1): $28/mes ≈ €26/mes, IVA por inversión del sujeto pasivo (DO no tiene NIF-IVA esloveno; su sede UE está en Ámsterdam).
  • Vercel Pro: $20/mes base, pero las function invocations y el bandwidth se acumulan; una factura real para una PYME mediana cae entre €40-90/mes, también por inversión.
  • Servidor virtual de ARNES (si calificas): €0 — pero no disponible para entidades comerciales.

La diferencia clave no es el precio bruto. Es la mecánica del IVA. Hetzner te emite una factura conforme al VAT-UE con el 22 % de DDV y tu contable la trata como cualquier otro gasto doméstico — el IVA soportado se deduce en la declaración mensual ante FURS (Hacienda eslovena). Un proveedor estadounidense te emite factura sin IVA (porque eres B2B en otro país), así que tu contable tiene que autoliquidar la inversión — primero calcular el IVA, luego deducirlo en la misma línea. Diferencia neta en euros: cero. Trabajo contable extra: medible.

Para una micro-PYME por debajo de €50k de facturación anual, la diferencia redondea a cosmético. Para una s.r.l. eslovena con declaración mensual de IVA, Hetzner ahorra unos 30-40 minutos de contabilidad al mes. En Gorenjska la hora de contable ronda €55-80. Haz tú las cuentas.

El único caso donde el hosting en EE.UU. sigue ganando

Si el 80 % de tu tráfico es de Norteamérica — un producto SaaS, un blog técnico en inglés, e-commerce enviando a compradores estadounidenses — Frankfurt te pega en la espinilla. El RTT de Nueva York a Frankfurt anda en ~85 ms; de Nueva York a us-east-1, en ~15 ms. Para un folleto en web, da igual. Para una app con muchas llamadas API, es decisivo.

Ejemplo concreto: en otra migración representativa, una SaaS B2B con 92 % de clientes en EE.UU. pasó de Hetzner fsn1 a AWS us-east-1. El P95 del API bajó de 380 ms a 95 ms. El coste del hosting se dobló. Para ellos salía a cuenta.

Para una PYME típica de Gorenjska — un cámping en Bohinj, un dentista en Kranj, un carpintero de Jesenice, un restaurante en Blejska Dobrava — el hosting en EE.UU. es una solución sin problema que resolver. Frankfurt gana en los cuatro compromisos de arriba.

CaracterísticaHosting UE (Hetzner Frankfurt)Hosting EE.UU. (AWS us-east-1)
Residencia del dato y RGPDArt. 45, flujo libre dentro del EEE; sin columnas ROPA extraCertificación DPF obligatoria; SCC + DPIA encima
Latencia Ljubljana → servidor24-28 ms108-115 ms
Factura y DDV eslovenoFactura en EUR, 22 % DDV, IVA soportado deducibleUSD, inversión del sujeto pasivo cada mes
Soporte nocturno (22:00 CET)Respuesta en 11-40 min, persona en la consolaForo de la comunidad o plan Business a $100/mes
Coste mensual, WordPress estándar€12-18 todo incluido€40-90 típico

Nuestra recomendación por defecto para PYMEs de Gorenjska

Hetzner Cloud CX22 o CX32 en fra1, PHP 8.3, MariaDB 10.11, LiteSpeed Web Server (no WP Rocket — hemos comparado los dos, LiteSpeed es un 30 % más rápido en igualdad de condiciones), Cloudflare Free o Pro por delante como WAF (certificado DPF, así que amigable con el ROPA). Backup a Hetzner Storage Box, unos €4/mes por 100 GB con retención de 30 días. Total: €12-18/mes para una WordPress estándar, €25-40/mes para un WooCommerce serio con 500-2.000 visitas diarias.

Si quieres pasar esto de “sé que debería mirarlo” a “está resuelto”, escríbenos. El equipo de soporte de Numen se hace cargo de la migración, del papeleo del DPA y del busca nocturno como parte del plan. Si aún dudas entre rehacer o migrar, echa un ojo a nuestros proyectos o pide una maqueta gratuita en tu propio dominio.

FAQ

¿El hosting en EE.UU. es ilegal ahora? No. Es papeleo. Si el proveedor está certificado DPF (AWS, Cloudflare, Google Cloud, Microsoft Azure), puedes documentar la transferencia como toca. Si no está certificado, necesitas cláusulas contractuales tipo (SCC) y una DPIA. Se puede hacer — solo es trabajo. Y documentación.

¿El Data Privacy Framework arregla esto para siempre? Probablemente no. Privacy Shield duró cuatro años. DPF tiene debilidades estructurales similares — Max Schrems, en NOYB, ya ha adelantado un “Schrems III”. Hasta la próxima decisión judicial, estamos en el estado legal de “válido hasta que no lo sea”. Planifica en consecuencia.

¿Puedo seguir usando Cloudflare? Sí. Cloudflare está certificado DPF, tiene entidades de facturación en la UE, y ofrece Regional Services para enrutamiento solo-UE si quieres tranquilidad extra. Para CDN y protección DDoS sigue siendo nuestra opción por defecto, incluso delante de orígenes hospedados en la UE.

¿Y mi Google Analytics? GA4 en configuración por defecto envía los hits a us-central1. La Autoridad de Protección de Datos eslovena, siguiendo a la austríaca y la francesa, ha resuelto que GA4 sin anonimización de IP y sin SCC apropiadas no cumple. Los arreglos: GA4 con proxy server-side en la UE, o migrar a Plausible / Umami alojados en la UE. La segunda opción es menos dolorosa en la práctica y ronda €9/mes.

¿Cómo facturo el DDV con Hetzner? Hetzner valida tu VAT ID (SI + 8 dígitos) automáticamente a través de VIES; una vez confirmado emite factura B2B con el 22 % de DDV esloveno. La registras en el libro de facturas recibidas como cualquier gasto doméstico, el IVA soportado se deduce. Bájate los PDFs cada mes — Hetzner solo los guarda 12 meses.

¿Cuánto de rápido es suficiente para una web de presentación? Apunta a un Time to First Byte por debajo de 200 ms y un Largest Contentful Paint por debajo de 2,5 s en móvil 3G. Frankfurt a Ljubljana lo cumple con margen. Google PageSpeed Insights es gratis y honesto para hacerte el self-check.

¿Y si Hetzner Frankfurt se cae? Nos pasó una vez en cuatro años usándolos — unas 3 horas en octubre de 2023, un fallo de router. Redundancia: Hetzner ofrece fsn1 y nbg1 como DCs alternativos dentro de Alemania; o DigitalOcean fra1 como standby completamente independiente. Para una micro-PYME, backup off-site más un playbook de restore claro es suficiente. Para una tienda con más de €50k mensuales o dependencia del Black Friday — DC secundario activo.

¿Necesito un DPA con mi proveedor de hosting? Sí, siempre. El art. 28 RGPD es claro — cualquiera que trate datos personales por tu cuenta es “encargado del tratamiento” y hace falta contrato. El DPA de Hetzner viene en el paquete estándar, accesible desde Robot > Server > DPA. AWS publica el suyo. Vercel también. Si un proveedor no sabe decirte dónde está su DPA en tres correos, bandera roja — salta al siguiente.


Si esta guía te deja entre “debería revisar eso” y “resuelto”, es normal. Nuestro equipo de soporte hace exactamente esto para PYMEs de Gorenjska — primera llamada gratis, propuesta por escrito, sin acoso posterior.

Hablemos

¿Listo para arreglar, construir
o escalar?

30 minutos, conmigo personalmente. Leo tu sistema como un archivo de logs y te digo qué haría primero. Sin presentaciones, sin embudo de ventas.

Davor Majc, fundador, Numen

Qué obtienes en la llamada
→ un diagnóstico de una página
→ 2–3 formas de solución, ordenadas por impacto
→ coste aproximado + plazo para cada una
→ sí/no — ¿soy la elección adecuada?
+386 40 828 474 · Blejska Dobrava, SI