O crescimento das clouds soberanas
A discussão sobre soberania digital deixou de ser um tema abstrato - e ganhou contornos muito concretos quando uma decisão política tomada fora da Europa começou a ter impacto direto em serviços digitais essenciais usados por instituições internacionais. Quando uma organização depende de plataformas críticas controladas por empresas extraeuropeias, o risco não é apenas teórico: pode traduzir-se em interrupções reais, com efeitos imediatos no dia a dia.
Foi isso que ficou exposto no início do ano passado, quando Karim Khan, procurador do Tribunal Penal Internacional (TPI), perdeu o acesso ao seu email profissional, um serviço fornecido pela Microsoft, empresa norte-americana. Pouco depois, as suas contas bancárias foram bloqueadas. E dentro do tribunal, em Haia, nos Países Baixos, funcionários norte-americanos foram avisados de que uma viagem aos Estados Unidos podia acabar em detenção.
Em fevereiro de 2025 o presidente norte-americano, Donald Trump, havia assinado uma ordem executiva para impor sanções ao tribunal, em resposta aos mandados de captura contra o primeiro-ministro israelita, Benjamin Netanyahu - um dos principais aliados de Washington - e o ex-ministro da Defesa, Yoav Gallant. Os efeitos, contudo, foram além da esfera política. Segundo a Associated Press, algumas organizações deixaram de colaborar com o TPI e alguns parceiros evitaram responder a mensagens.
De um momento para o outro, uma decisão tomada fora da Europa condicionou o funcionamento de uma instituição internacional através de serviços digitais críticos controlados por uma empresa extra-comunitária. O episódio tornou evidente uma fragilidade que hoje está no centro do debate tecnológico: a dependência de infraestruturas e plataformas que escapam ao controlo europeu.
“As organizações em sectores regulamentados, como a energia, as finanças, a saúde e a administração pública, sabem que os dados e, cada vez mais, a IA [Inteligência Artificial] são fundamentais para a competitividade e a segurança. Isso reforça a importância de proteger cargas de trabalho sensíveis e garantir a conformidade. À medida que as ameaças cibernéticas, a instabilidade geopolítica e as regulamentações fragmentadas aumentam, a soberania digital torna-se uma prioridade estratégica, determinando onde os dados residem, quem os controla, como a IA é treinada e em que parceiros tecnológicos se pode confiar”, explica Carla Arend, diretora de investigação para cloud (armazenamento de dados em nuvem) na Europa da International Data Corporation (IDC), num estudo da consultora, de março de 2026.
Foi neste enquadramento que começaram a consolidar-se as chamadas clouds soberanas. Na prática, são infraestruturas de computação em nuvem pensadas para cumprir requisitos exigentes de localização de dados, segurança e conformidade regulatória.
O grupo alemão Schwarz, dono da retalhista Lidl, por exemplo, tomou em 2021 a decisão de desenvolver uma infraestrutura própria, depois de concluir que as ofertas existentes no mercado não garantiam que os dados dos seus clientes fossem armazenados na Alemanha e na Áustria. Pouco depois, a divisão tecnológica do grupo, a Schwarz Digits começou a prestar serviços de armazenamento para terceiros, como a SAP e o Bayern de Munique, entre outros clientes. Hoje detém sete centros de dados e gera uma faturação anual de €1,9 mil milhões.
Ao contrário das clouds tradicionais - operadas à escala global e frequentemente sujeitas a legislação estrangeira - as clouds soberanas procuram assegurar que a informação é armazenada e gerida dentro de um determinado país ou região, reduzindo a exposição a decisões externas.
Este modelo tem vindo a ganhar tração sobretudo em sectores mais sensíveis, como a administração pública, a defesa ou a saúde, onde a proteção de dados críticos e a continuidade dos serviços são consideradas essenciais.
Portugal começa a surgir no radar. Em abril a Amazon Web Services (AWS) apresentou a AWS European Sovereign Cloud, uma infraestrutura europeia de computação em nuvem concebida para responder às exigências de soberania digital da União Europeia.
A base desta cloud está na Alemanha, onde se concentram grandes centros de dados. A partir daí, a AWS está a criar extensões locais, as chamadas local zones, em países como Portugal, Bélgica e Países Baixos. “Trata-se de uma infraestrutura local ligada à infraestrutura principal, destinada a satisfazer clientes com necessidades específicas no que diz respeito a dados localizados no país ou a aplicações que exigem baixa latência”, explica Stéphane Israël, diretor-geral da AWS European Sovereign Cloud, em entrevista ao Expresso.
O projeto integra um investimento de €7,8 mil milhões na Alemanha. A empresa não revela valores específicos para a operação em Portugal, nem quando esta vai ficar a funcionar. Ainda assim, estimativas da AWS apontam para um impacto direto e indireto de €3 mil milhões na economia portuguesa, e para a criação de 17 mil empregos.
Como é assegurada a soberania dos dados nas clouds soberanas?
Para garantir que os dados ficam sob controlo europeu e protegidos de interferências externas, Stéphane Israël enumera várias “salvaguardas adicionais” que, segundo diz, distinguem esta cloud das restantes. De acordo com o responsável, não só a informação principal - como ficheiros, bases de dados ou conteúdos das empresas - mas também os chamados “metadados” - dados associados à utilização e gestão dessa informação - vão permanecer na Europa.
A isto junta-se a “autonomia operacional”. “Esta cloud é totalmente independente. Não necessita das outras para funcionar. É gerida por operadores europeus e estes devem cumprir exclusivamente as normas europeias”, explica, acrescentando que a operação é assegurada por cerca de 400 profissionais. “Alguns deles têm o que chamamos réplica do código-fonte. Isso significa que, se ocorrer uma perturbação grave, a European Sovereign Cloud dispõe de todos os meios para continuar a funcionar de forma independente, independentemente do que acontecer à sua volta”, explicita.
A European Sovereign Cloud está estruturada como uma entidade jurídica própria na Alemanha. “Assumimos responsabilidade pessoal caso não respeitemos estes compromissos [legislação europeia]. Prestamos contas a um conselho consultivo, composto por cinco cidadãos europeus, três funcionários da Amazon e dois membros independentes”, detalha o responsável da AWS.
E existe ainda um sistema de controlo e verificação independente. A AWS criou um conjunto específico de regras - o chamado Sovereign Reference Framework - que define os requisitos a cumprir, acompanhado por auditorias externas destinadas a garantir que essas obrigações são efetivamente respeitadas. “Não são apenas promessas”, afirma, defendendo que este modelo assegura que os compromissos assumidos são, de facto, cumpridos.
Os dados estão mesmo protegidos?
Mas mesmo com estas salvaguardas, até que ponto ficam estes dados verdadeiramente protegidos de leis estrangeiras? Em março de 2018, os Estados Unidos promulgaram a Lei CLOUD (Clarifying Lawful Overseas Use of Data Act). Esta lei permite às autoridades norte-americanas exigir o acesso a dados detidos por empresas sediadas no país, “onde quer que estejam localizados”, no âmbito de investigações a crimes graves, como terrorismo ou cibercrime, segundo detalha o Departamento de Justiça norte-americano.
O alcance desta legislação tem alimentado dúvidas, especialmente na Europa, sobre o verdadeiro grau de controlo e proteção dos dados. Num texto de opinião publicado na revista Forbes Portugal, Alexandre Carvalho, diretor nacional da Colt Technology Services, aponta para “um choque jurídico direto que põe em causa a autonomia e a confiança na infraestrutura digital global”.
“A verdade é que o CLOUD Act e o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia são, na sua essência, incompatíveis. Não é possível cumprir plenamente ambos. Um estipula o alcance extraterritorial para os efeitos de acesso por parte das autoridades que aplicam a lei; o outro defende a soberania dos dados e os direitos individuais. As empresas que operam em ambas as jurisdições navegam entre obrigações que, na prática, são mutuamente inconciliáveis”, escreveu o gestor.
Dados da Synergy Research Group mostram que as norte-americanas Amazon, Microsoft e Google representaram, juntas, 63% do investimento global em serviços de infraestrutura de cloud no terceiro trimestre de 2025. Isto significa que uma parte relevante dos dados empresariais e institucionais a nível global está, direta ou indiretamente, sob a alçada de fornecedores sujeitos à legislação dos Estados Unidos.
Stéphane Israël reconhece a complexidade do enquadramento legal internacional. “Todas as grandes empresas vivem num mundo de complexidade jurídica e de extraterritorialidade”, afirma. Ainda assim, defende que a resposta passa por reforçar garantias adicionais dentro da própria infraestrutura europeia. No caso da AWS, sublinha que a governação da European Sovereign Cloud assenta no cumprimento da legislação europeia e na obrigação de atuar “no melhor interesse” desta estrutura.
O responsável acrescenta que, na prática, não há registo de situações em que dados europeus tenham sido entregues às autoridades norte-americanas. “Desde 2020 [ano em que começaram a compilar esse tipo de informação estatística], nunca estivemos numa situação em que tivéssemos de divulgar dados localizados na Europa e pertencentes a um Governo europeu ou a uma empresa europeia à administração dos Estados Unidos”, garante.
Uma leitura semelhante surge do lado de outro dos principais players europeus neste segmento. A SAP - que também desenvolve a sua própria oferta de clouds soberanas - reconhece que a existência de leis como o CLOUD Act levanta questões, mas sustenta que o risco depende sobretudo de como os sistemas são desenhados.
“A abordagem da SAP centra-se em garantir que a localização dos dados, as operações do sistema e o controlo de acesso estejam ancorados na jurisdição nacional e no quadro jurídico relevantes. Em configurações de nuvem soberana, os dados são processados localmente, as operações são realizadas por entidades sujeitas à legislação local e o acesso é rigorosamente definido, controlado e auditável”, frisa Martin Merz, presidente da área de Sovereign Cloud da SAP, em entrevista ao Expresso.
Como exemplo, aponta o caso do Delos Cloud, na Alemanha (uma cloud soberana desenvolvida para o sector público) onde, garante, existe uma “separação jurídica e operacional clara, garantindo que os fornecedores externos não têm acesso direto aos dados dos clientes”.
“Isto não elimina a legislação, mas reduz significativamente a exposição prática e cria um ambiente transparente e com base jurídica, no qual a governação de dados segue a legislação nacional e responsabilidades claramente definidas”, reforça Martin Merz.
Questionado sobre a dependência europeia de tecnologia estrangeira, Martin Merz afasta a ideia de que a soberania digital passe por um corte com os grandes fornecedores internacionais. “Não se trata de fazer tudo sozinhos”, afirma.
Nesse sentido, sublinha que a utilização de infraestruturas de empresas como a AWS ou a Microsoft não está excluída, desde que cumpram requisitos rigorosos definidos pelas autoridades. A decisão não cabe à própria empresa, garante Martin Merz, mas às entidades supervisoras, como a BSI, a agência de cibersegurança alemã, que avaliam e validam se essas soluções cumprem os critérios de soberania antes de poderem ser utilizadas.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário