No início do ano passado, Karim Khan, procurador do Tribunal Penal Internacional (TPI), ficou subitamente impedido de aceder ao seu correio eletrónico profissional - um serviço fornecido pela Microsoft, empresa norte-americana. Pouco tempo depois, as suas contas bancárias acabaram por ser bloqueadas. E, no interior do tribunal, em Haia, nos Países Baixos, funcionários norte-americanos foram alertados de que uma deslocação aos Estados Unidos podia terminar com uma detenção.
Em fevereiro de 2025, o presidente norte-americano, Donald Trump, tinha assinado uma ordem executiva para aplicar sanções ao tribunal, em reação aos mandados de captura contra o primeiro-ministro israelita, Benjamin Netanyahu - um dos aliados mais próximos de Washington - e o ex-ministro da Defesa, Yoav Gallant. O impacto, porém, não se limitou ao plano político. De acordo com a Associated Press, algumas organizações deixaram de cooperar com o TPI e certos parceiros passaram a evitar responder a mensagens.
De um dia para o outro, uma decisão tomada fora da Europa condicionou o funcionamento de uma instituição internacional através de serviços digitais críticos controlados por uma empresa extra-comunitária. O caso trouxe a descoberto uma vulnerabilidade que hoje domina o debate tecnológico: a dependência de infraestruturas e plataformas que não estão sob controlo europeu.
“As organizações em sectores regulamentados, como a energia, as finanças, a saúde e a administração pública, sabem que os dados e, cada vez mais, a IA [Inteligência Artificial] são fundamentais para a competitividade e a segurança. Isso reforça a importância de proteger cargas de trabalho sensíveis e garantir a conformidade. À medida que as ameaças cibernéticas, a instabilidade geopolítica e as regulamentações fragmentadas aumentam, a soberania digital torna-se uma prioridade estratégica, determinando onde os dados residem, quem os controla, como a IA é treinada e em que parceiros tecnológicos se pode confiar”, explica Carla Arend, diretora de investigação para armazenamento em nuvem na Europa da International Data Corporation (IDC), num estudo da consultora, de março de 2026.
O crescimento das nuvens soberanas
É neste enquadramento que foram ganhando expressão as chamadas nuvens soberanas. Em termos práticos, são infraestruturas de computação em nuvem concebidas para cumprir exigências estritas de localização de dados, segurança e conformidade regulatória.
O grupo alemão Schwarz, dono da retalhista Lidl, por exemplo, tomou em 2021 a decisão de desenvolver uma infraestrutura própria, depois de concluir que as ofertas existentes no mercado não garantiam que os dados dos seus clientes fossem armazenados na Alemanha e na Áustria. Pouco depois, a divisão tecnológica do grupo, a Schwarz Digits, começou a fornecer serviços de armazenamento para terceiros, como a SAP e o Bayern de Munique, entre outros clientes. Atualmente, detém sete centros de dados e regista uma faturação anual de €1,9 mil milhões.
Face às nuvens tradicionais - operadas à escala global e, frequentemente, sujeitas a legislação estrangeira -, as nuvens soberanas procuram assegurar que a informação é armazenada e gerida dentro de um determinado país ou região, reduzindo a exposição a decisões externas.
Este tipo de arquitetura tem vindo a acelerar sobretudo em áreas consideradas sensíveis, como a administração pública, a defesa ou a saúde, onde a proteção de dados críticos e a continuidade operacional são vistas como essenciais.
Portugal começa também a entrar no radar. Em abril, a Amazon Web Services (AWS) anunciou a AWS European Sovereign Cloud, uma infraestrutura europeia de computação em nuvem desenhada para responder às exigências de soberania digital da União Europeia.
A base desta nuvem situa-se na Alemanha, onde estão concentrados grandes centros de dados. A partir daí, a AWS está a desenvolver extensões locais - as chamadas zonas locais - em países como Portugal, Bélgica e Países Baixos. “Trata-se de uma infraestrutura local ligada à infraestrutura principal, destinada a satisfazer clientes com necessidades específicas no que diz respeito a dados localizados no país ou a aplicações que exigem baixa latência”, explica Stéphane Israël, diretor-geral da AWS European Sovereign Cloud, em entrevista ao Expresso.
O plano inclui um investimento de €7,8 mil milhões na Alemanha. A empresa não divulga valores específicos para a operação em Portugal, nem indica quando ficará disponível. Ainda assim, estimativas da AWS apontam para um efeito direto e indireto de €3 mil milhões na economia portuguesa e para a criação de 17 mil empregos.
Como é assegurada a soberania dos dados nas clouds soberanas?
Para assegurar que os dados se mantêm sob controlo europeu e protegidos de interferências externas, Stéphane Israël descreve várias “salvaguardas adicionais” que, segundo diz, distinguem esta nuvem das restantes. De acordo com o responsável, não apenas a informação principal - como ficheiros, bases de dados ou conteúdos das empresas -, mas também os chamados “metadados” - dados associados à utilização e gestão dessa informação - permanecerão na Europa.
A isto junta-se a “autonomia operacional”. “Esta cloud é totalmente independente. Não necessita das outras para funcionar. É gerida por operadores europeus e estes devem cumprir exclusivamente as normas europeias”, explica, acrescentando que a operação é assegurada por cerca de 400 profissionais. “Alguns deles têm o que chamamos réplica do código-fonte. Isso significa que, se ocorrer uma perturbação grave, a European Sovereign Cloud dispõe de todos os meios para continuar a funcionar de forma independente, independentemente do que acontecer à sua volta”, explicita.
A European Sovereign Cloud está estruturada como uma entidade jurídica própria na Alemanha. “Assumimos responsabilidade pessoal caso não respeitemos estes compromissos [legislação europeia]. Prestamos contas a um conselho consultivo, composto por cinco cidadãos europeus, três funcionários da Amazon e dois membros independentes”, detalha o responsável da AWS.
Existe ainda um mecanismo de controlo e verificação independente. A AWS criou um conjunto específico de regras - o chamado Quadro de Referência de Soberania - que define os requisitos a cumprir, acompanhado por auditorias externas destinadas a confirmar que essas obrigações são efetivamente respeitadas. “Não são apenas promessas”, afirma, defendendo que este modelo assegura que os compromissos assumidos são, de facto, cumpridos.
Os dados estão mesmo protegidos?
Mesmo com estas salvaguardas, permanece a questão: até que ponto os dados ficam realmente protegidos de leis estrangeiras? Em março de 2018, os Estados Unidos aprovaram a Lei CLOUD (Lei de Clarificação do Uso Legal de Dados no Estrangeiro). Esta lei permite às autoridades norte-americanas exigir o acesso a dados detidos por empresas sediadas no país, “onde quer que estejam localizados”, no âmbito de investigações a crimes graves, como terrorismo ou cibercrime, segundo detalha o Departamento de Justiça norte-americano.
A amplitude desta legislação tem alimentado dúvidas, sobretudo na Europa, quanto ao grau efetivo de controlo e proteção da informação. Num texto de opinião publicado na revista Forbes Portugal, Alexandre Carvalho, diretor nacional da Colt Technology Services, aponta para “um choque jurídico direto que põe em causa a autonomia e a confiança na infraestrutura digital global”.
“A verdade é que o CLOUD Act e o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia são, na sua essência, incompatíveis. Não é possível cumprir plenamente ambos. Um estipula o alcance extraterritorial para os efeitos de acesso por parte das autoridades que aplicam a lei; o outro defende a soberania dos dados e os direitos individuais. As empresas que operam em ambas as jurisdições navegam entre obrigações que, na prática, são mutuamente inconciliáveis”, escreveu o gestor.
Dados da Synergy Research Group mostram que as norte-americanas Amazon, Microsoft e Google representaram, juntas, 63% do investimento global em serviços de infraestrutura de nuvem no terceiro trimestre de 2025. Isto significa que uma parte relevante dos dados empresariais e institucionais, a nível mundial, fica direta ou indiretamente sob a alçada de fornecedores sujeitos à legislação dos Estados Unidos.
Stéphane Israël admite que o enquadramento jurídico internacional é complexo. “Todas as grandes empresas vivem num mundo de complexidade jurídica e de extraterritorialidade”, afirma. Ainda assim, sustenta que a resposta passa por reforçar garantias adicionais dentro da própria infraestrutura europeia. No caso da AWS, destaca que a governação da European Sovereign Cloud assenta no cumprimento da legislação europeia e na obrigação de atuar “no melhor interesse” desta estrutura.
O responsável acrescenta que, na prática, não há registo de casos em que dados europeus tenham sido fornecidos às autoridades norte-americanas. “Desde 2020 [ano em que começaram a compilar esse tipo de informação estatística], nunca estivemos numa situação em que tivéssemos de divulgar dados localizados na Europa e pertencentes a um Governo europeu ou a uma empresa europeia à administração dos Estados Unidos”, garante.
Uma posição semelhante é apresentada por outro dos principais atores europeus neste segmento. A SAP - que também desenvolve a sua própria oferta de nuvens soberanas - reconhece que a existência de leis como o CLOUD Act levanta questões, mas sustenta que o risco depende sobretudo de como os sistemas são desenhados.
“A abordagem da SAP centra-se em garantir que a localização dos dados, as operações do sistema e o controlo de acesso estejam ancorados na jurisdição nacional e no quadro jurídico relevantes. Em configurações de nuvem soberana, os dados são processados localmente, as operações são realizadas por entidades sujeitas à legislação local e o acesso é rigorosamente definido, controlado e auditável”, frisa Martin Merz, presidente da área de Sovereign Cloud da SAP, em entrevista ao Expresso.
Como exemplo, aponta o caso do Delos Cloud, na Alemanha (uma nuvem soberana desenvolvida para o sector público), onde, garante, existe uma “separação jurídica e operacional clara, garantindo que os fornecedores externos não têm acesso direto aos dados dos clientes”.
“Isto não elimina a legislação, mas reduz significativamente a exposição prática e cria um ambiente transparente e com base jurídica, no qual a governação de dados segue a legislação nacional e responsabilidades claramente definidas”, reforça Martin Merz.
Questionado sobre a dependência europeia de tecnologia estrangeira, Martin Merz rejeita que a soberania digital implique um corte com os grandes fornecedores internacionais. “Não se trata de fazer tudo sozinhos”, afirma.
Nesse sentido, sublinha que o recurso a infraestruturas de empresas como a AWS ou a Microsoft não está excluído, desde que cumpram requisitos rigorosos definidos pelas autoridades. A decisão não cabe à própria empresa, garante Martin Merz, mas às entidades supervisoras, como a BSI, a agência de cibersegurança alemã, que avaliam e validam se essas soluções cumprem os critérios de soberania antes de poderem ser utilizadas.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário