No arranque do ano passado, Karim Khan, procurador do Tribunal Penal Internacional (TPI), ficou sem acesso ao seu correio eletrónico profissional - um serviço disponibilizado pela Microsoft, empresa norte-americana. Pouco tempo depois, as suas contas bancárias foram congeladas. E, dentro do tribunal, em Haia, nos Países Baixos, funcionários com nacionalidade norte-americana foram alertados de que uma deslocação aos Estados Unidos poderia terminar com uma detenção.
Em fevereiro de 2025, o presidente dos EUA, Donald Trump, assinou uma ordem executiva para aplicar sanções ao tribunal, em reação aos mandados de captura contra o primeiro-ministro israelita, Benjamin Netanyahu - um dos principais aliados de Washington - e o ex-ministro da Defesa, Yoav Gallant. Os impactos, porém, extravasaram a dimensão estritamente política. De acordo com a Associated Press, algumas organizações deixaram de cooperar com o TPI e certos parceiros passaram a evitar responder a mensagens.
De forma súbita, uma decisão tomada fora da Europa condicionou o funcionamento de uma instituição internacional através de serviços digitais críticos controlados por uma empresa extra-comunitária. O caso tornou visível uma vulnerabilidade que hoje ocupa o centro do debate tecnológico: a dependência de infraestruturas e plataformas que não estão sob controlo europeu.
“As organizações em sectores regulamentados, como a energia, as finanças, a saúde e a administração pública, sabem que os dados e, cada vez mais, a IA [Inteligência Artificial] são fundamentais para a competitividade e a segurança. Isso reforça a importância de proteger cargas de trabalho sensíveis e garantir a conformidade. À medida que as ameaças cibernéticas, a instabilidade geopolítica e as regulamentações fragmentadas aumentam, a soberania digital torna-se uma prioridade estratégica, determinando onde os dados residem, quem os controla, como a IA é treinada e em que parceiros tecnológicos se pode confiar”, explica Carla Arend, diretora de investigação para computação em nuvem na Europa da International Data Corporation (IDC), num estudo da consultora, de março de 2026.
O crescimento das nuvens soberanas
É neste enquadramento que se foram consolidando as chamadas nuvens soberanas. Em termos práticos, são infraestruturas de computação em nuvem concebidas para cumprir exigências apertadas de localização dos dados, segurança e conformidade regulatória.
O grupo alemão Schwarz, proprietário do retalhista Lidl, por exemplo, decidiu em 2021 avançar com uma infraestrutura própria, depois de concluir que as soluções disponíveis não asseguravam que os dados dos seus clientes ficassem guardados na Alemanha e na Áustria. Pouco depois, a divisão tecnológica do grupo, a Schwarz Digits, começou a vender serviços de armazenamento a terceiros, incluindo a SAP e o Bayern de Munique, entre outros clientes. Atualmente, a empresa possui sete centros de dados e regista uma faturação anual de €1,9 mil milhões.
Ao contrário das nuvens tradicionais - operadas à escala global e, muitas vezes, sujeitas a legislação estrangeira - as nuvens soberanas procuram assegurar que a informação é armazenada e gerida dentro de um determinado país ou região, reduzindo a exposição a decisões tomadas no exterior.
Esta abordagem tem vindo a ganhar força, sobretudo em áreas particularmente sensíveis, como a administração pública, a defesa ou a saúde, onde a proteção de dados críticos e a continuidade do serviço são vistas como indispensáveis.
Portugal começa também a entrar no radar. Em abril, a Amazon Web Services (AWS) apresentou a AWS European Sovereign Cloud, uma infraestrutura europeia de computação em nuvem desenhada para responder às exigências de soberania digital da União Europeia.
A base desta nuvem situa-se na Alemanha, onde se concentram grandes centros de dados. A partir desse núcleo, a AWS está a criar extensões locais, as chamadas zonas locais, em países como Portugal, Bélgica e Países Baixos. “Trata-se de uma infraestrutura local ligada à infraestrutura principal, destinada a satisfazer clientes com necessidades específicas no que diz respeito a dados localizados no país ou a aplicações que exigem baixa latência”, explica Stéphane Israël, diretor-geral da AWS European Sovereign Cloud, em entrevista ao Expresso.
O plano inclui um investimento de €7,8 mil milhões na Alemanha. A empresa não divulga montantes específicos para a operação em Portugal, nem indica quando ficará operacional. Ainda assim, projeções da AWS apontam para um efeito direto e indireto de €3 mil milhões na economia portuguesa, além da criação de 17 mil empregos.
Como é assegurada a soberania dos dados nas nuvens soberanas?
Para assegurar que os dados permanecem sob controlo europeu e ficam protegidos de interferências externas, Stéphane Israël refere um conjunto de “salvaguardas adicionais” que, segundo diz, distinguem esta nuvem das restantes. De acordo com o responsável, não só a informação principal - como ficheiros, bases de dados ou conteúdos das empresas - mas também os chamados “metadados” - dados associados ao uso e à gestão dessa informação - permanecerão na Europa.
A estas medidas junta-se a “autonomia operacional”. “Esta cloud é totalmente independente. Não necessita das outras para funcionar. É gerida por operadores europeus e estes devem cumprir exclusivamente as normas europeias”, explica, acrescentando que a operação é assegurada por cerca de 400 profissionais. “Alguns deles têm o que chamamos réplica do código-fonte. Isso significa que, se ocorrer uma perturbação grave, a European Sovereign Cloud dispõe de todos os meios para continuar a funcionar de forma independente, independentemente do que acontecer à sua volta”, explicita.
A European Sovereign Cloud está estruturada como uma entidade jurídica própria na Alemanha. “Assumimos responsabilidade pessoal caso não respeitemos estes compromissos [legislação europeia]. Prestamos contas a um conselho consultivo, composto por cinco cidadãos europeus, três funcionários da Amazon e dois membros independentes”, detalha o responsável da AWS.
Existe também um mecanismo independente de controlo e verificação. A AWS criou um conjunto dedicado de regras - o chamado Quadro de Referência de Soberania - que estabelece os requisitos a cumprir, complementado por auditorias externas destinadas a validar se essas obrigações são efetivamente respeitadas. “Não são apenas promessas”, afirma, defendendo que este modelo garante que os compromissos assumidos são, de facto, cumpridos.
Os dados estão mesmo protegidos?
Ainda assim, mesmo com estas salvaguardas, até que ponto estes dados ficam realmente a salvo de leis estrangeiras? Em março de 2018, os Estados Unidos aprovaram a Lei CLOUD (Clarifying Lawful Overseas Use of Data Act - Lei de Clarificação do Uso Legal de Dados no Estrangeiro). Esta lei permite às autoridades norte-americanas exigirem acesso a dados detidos por empresas sediadas no país, “onde quer que estejam localizados”, no âmbito de investigações a crimes graves, como terrorismo ou cibercrime, segundo o Departamento de Justiça norte-americano.
A amplitude desta legislação tem alimentado dúvidas - sobretudo na Europa - sobre o grau real de controlo e proteção dos dados. Num texto de opinião publicado na revista Forbes Portugal, Alexandre Carvalho, diretor nacional da Colt Technology Services, aponta para “um choque jurídico direto que põe em causa a autonomia e a confiança na infraestrutura digital global”.
“A verdade é que o CLOUD Act e o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia são, na sua essência, incompatíveis. Não é possível cumprir plenamente ambos. Um estipula o alcance extraterritorial para os efeitos de acesso por parte das autoridades que aplicam a lei; o outro defende a soberania dos dados e os direitos individuais. As empresas que operam em ambas as jurisdições navegam entre obrigações que, na prática, são mutuamente inconciliáveis”, escreveu o gestor.
Dados da Synergy Research Group indicam que as norte-americanas Amazon, Microsoft e Google representaram, juntas, 63% do investimento global em serviços de infraestrutura de computação em nuvem no terceiro trimestre de 2025. Isto significa que uma fatia relevante dos dados empresariais e institucionais, à escala mundial, está direta ou indiretamente dependente de fornecedores sujeitos à legislação dos Estados Unidos.
Stéphane Israël admite a complexidade do enquadramento jurídico internacional. “Todas as grandes empresas vivem num mundo de complexidade jurídica e de extraterritorialidade”, afirma. Ainda assim, sustenta que a resposta passa por reforçar garantias adicionais dentro da própria infraestrutura europeia. No caso da AWS, destaca que a governação da European Sovereign Cloud se apoia no cumprimento da legislação europeia e na obrigação de agir “no melhor interesse” desta estrutura.
O responsável acrescenta que, na prática, não há registo de casos em que dados europeus tenham sido entregues às autoridades norte-americanas. “Desde 2020 [ano em que começaram a compilar esse tipo de informação estatística], nunca estivemos numa situação em que tivéssemos de divulgar dados localizados na Europa e pertencentes a um Governo europeu ou a uma empresa europeia à administração dos Estados Unidos”, garante.
Uma posição semelhante surge do lado de outro dos principais intervenientes europeus neste segmento. A SAP - que também desenvolve a sua própria oferta de nuvens soberanas - reconhece que a existência de leis como o CLOUD Act levanta questões, mas sustenta que o risco depende sobretudo de como os sistemas são desenhados.
“A abordagem da SAP centra-se em garantir que a localização dos dados, as operações do sistema e o controlo de acesso estejam ancorados na jurisdição nacional e no quadro jurídico relevantes. Em configurações de nuvem soberana, os dados são processados localmente, as operações são realizadas por entidades sujeitas à legislação local e o acesso é rigorosamente definido, controlado e auditável”, frisa Martin Merz, presidente da área de Sovereign Cloud da SAP, em entrevista ao Expresso.
Como exemplo, refere o caso do Delos Cloud, na Alemanha (uma nuvem soberana desenvolvida para o sector público), onde, assegura, existe uma “separação jurídica e operacional clara, garantindo que os fornecedores externos não têm acesso direto aos dados dos clientes”.
“Isto não elimina a legislação, mas reduz significativamente a exposição prática e cria um ambiente transparente e com base jurídica, no qual a governação de dados segue a legislação nacional e responsabilidades claramente definidas”, reforça Martin Merz.
Questionado sobre a dependência europeia de tecnologia estrangeira, Martin Merz rejeita a ideia de que a soberania digital implique um corte com os grandes fornecedores internacionais. “Não se trata de fazer tudo sozinhos”, afirma.
Nesse sentido, sublinha que recorrer a infraestruturas de empresas como a AWS ou a Microsoft não está fora de hipótese, desde que sejam cumpridos requisitos exigentes definidos pelas autoridades. A decisão, garante Martin Merz, não pertence à própria empresa, mas a entidades supervisoras, como a BSI, a agência de cibersegurança alemã, que avaliam e validam se essas soluções respeitam os critérios de soberania antes de poderem ser usadas.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário