Saltar para o conteúdo

A ascensão das clouds soberanas: European Sovereign Cloud da AWS, SAP e o CLOUD Act na Europa

Homem a interagir com mapa digital da Europa em escritório tecnológico, com portátil e servidores ao fundo.

No início do ano anterior, Karim Khan, procurador do Tribunal Penal Internacional (TPI), ficou sem acesso ao seu correio eletrónico profissional - um serviço disponibilizado pela Microsoft, empresa norte-americana. Pouco tempo depois, as suas contas bancárias foram congeladas. E, dentro do tribunal, em Haia, nos Países Baixos, funcionários com cidadania dos Estados Unidos foram alertados de que uma deslocação ao país poderia terminar com uma detenção.

Em fevereiro de 2025, o presidente norte-americano, Donald Trump, assinou uma ordem executiva para aplicar sanções ao tribunal, em reação aos mandados de captura contra o primeiro-ministro israelita, Benjamin Netanyahu - um dos principais aliados de Washington - e o antigo ministro da Defesa, Yoav Gallant. Contudo, o impacto não se ficou pela dimensão política. De acordo com a Associated Press, algumas organizações cortaram a cooperação com o TPI e certos parceiros evitaram sequer responder a mensagens.

De um dia para o outro, uma decisão tomada fora da Europa passou a limitar a atividade de uma instituição internacional através de serviços digitais críticos controlados por uma empresa de fora da União Europeia. O caso tornou evidente uma vulnerabilidade que hoje domina a discussão tecnológica: a dependência de infraestruturas e plataformas sobre as quais a Europa não tem controlo.

“As organizações em sectores regulamentados, como a energia, as finanças, a saúde e a administração pública, sabem que os dados e, cada vez mais, a IA [Inteligência Artificial] são fundamentais para a competitividade e a segurança. Isso reforça a importância de proteger cargas de trabalho sensíveis e garantir a conformidade. À medida que as ameaças cibernéticas, a instabilidade geopolítica e as regulamentações fragmentadas aumentam, a soberania digital torna-se uma prioridade estratégica, determinando onde os dados residem, quem os controla, como a IA é treinada e em que parceiros tecnológicos se pode confiar”, afirma Carla Arend, diretora de investigação para armazenamento em nuvem na Europa da International Data Corporation (IDC), num estudo da consultora, de março de 2026.

O crescimento das nuvens soberanas

É neste cenário que se consolidou o conceito de nuvens soberanas. Na prática, são infraestruturas de computação em nuvem concebidas para cumprir critérios exigentes de localização dos dados, segurança e conformidade regulatória.

Um exemplo disso é o grupo alemão Schwarz, proprietário da retalhista Lidl, que em 2021 optou por construir uma infraestrutura própria, depois de perceber que as alternativas existentes não asseguravam que os dados dos clientes seriam guardados na Alemanha e na Áustria. Pouco tempo depois, a área tecnológica do grupo, a Schwarz Digits, começou a disponibilizar serviços de armazenamento a terceiros, incluindo a SAP e o Bayern de Munique, entre outros. Atualmente, a empresa opera sete centros de dados e regista uma faturação anual de €1,9 mil milhões.

Ao passo que as nuvens tradicionais são geridas à escala global e, muitas vezes, acabam condicionadas por legislação estrangeira, as nuvens soberanas procuram garantir que a informação é armazenada e administrada dentro de um país ou região específicos, diminuindo a exposição a decisões externas.

Não por acaso, este modelo tem ganho força sobretudo em áreas mais críticas - como administração pública, defesa e saúde - onde a proteção de dados sensíveis e a continuidade dos serviços são vistas como essenciais.

Portugal também começa a entrar no radar. Em abril, a Amazon Web Services (AWS) anunciou a AWS European Sovereign Cloud, uma infraestrutura europeia de computação em nuvem desenhada para responder às exigências de soberania digital da União Europeia.

A base desta nuvem situa-se na Alemanha, onde estão concentrados grandes centros de dados. A partir daí, a AWS está a desenvolver extensões locais - as chamadas zonas locais - em países como Portugal, Bélgica e Países Baixos. “Trata-se de uma infraestrutura local ligada à infraestrutura principal, destinada a satisfazer clientes com necessidades específicas no que diz respeito a dados localizados no país ou a aplicações que exigem baixa latência”, explica Stéphane Israël, diretor-geral da AWS European Sovereign Cloud, em entrevista ao Expresso.

O plano inclui um investimento de €7,8 mil milhões na Alemanha. A empresa não divulga montantes concretos para a operação em Portugal, nem indica quando ficará disponível. Ainda assim, projeções da AWS estimam um impacto direto e indireto de €3 mil milhões na economia portuguesa e a criação de 17 mil postos de trabalho.

Como é assegurada a soberania dos dados nas nuvens soberanas?

Para manter os dados sob controlo europeu e protegê-los de interferências externas, Stéphane Israël enumera várias “salvaguardas adicionais” que, segundo ele, distinguem esta nuvem das restantes. De acordo com o responsável, não só a informação principal - como ficheiros, bases de dados ou conteúdos das empresas - como também os “metadados” - informação associada ao uso e à gestão desses dados - permanecerão na Europa.

A isto junta-se a “autonomia operacional”. “Esta nuvem é totalmente independente. Não necessita das outras para funcionar. É gerida por operadores europeus e estes devem cumprir exclusivamente as normas europeias”, afirma, acrescentando que a operação é garantida por cerca de 400 profissionais. “Alguns deles têm o que chamamos réplica do código-fonte. Isso significa que, se ocorrer uma perturbação grave, a European Sovereign Cloud dispõe de todos os meios para continuar a funcionar de forma independente, independentemente do que acontecer à sua volta”, esclarece.

A European Sovereign Cloud está organizada como uma entidade jurídica autónoma na Alemanha. “Assumimos responsabilidade pessoal caso não respeitemos estes compromissos [legislação europeia]. Prestamos contas a um conselho consultivo, composto por cinco cidadãos europeus, três funcionários da Amazon e dois membros independentes”, detalha o responsável da AWS.

Existe ainda um mecanismo independente de controlo e validação. A AWS criou um conjunto próprio de regras - o chamado Quadro de Referência de Soberania - que define requisitos a cumprir e é acompanhado por auditorias externas para confirmar que essas obrigações são efetivamente respeitadas. “Não são apenas promessas”, afirma, defendendo que este formato garante que os compromissos assumidos são, de facto, cumpridos.

Os dados estão mesmo protegidos?

Apesar destas salvaguardas, permanece a questão: até que ponto os dados ficam, na prática, resguardados de leis estrangeiras? Em março de 2018, os Estados Unidos aprovaram a Lei CLOUD (Lei para Clarificar o Uso Legal de Dados no Estrangeiro). Segundo o Departamento de Justiça norte-americano, esta lei permite às autoridades exigir acesso a dados detidos por empresas sediadas no país, “onde quer que estejam localizados”, no âmbito de investigações a crimes graves, como terrorismo ou cibercrime.

A amplitude desta legislação tem alimentado incertezas, sobretudo na Europa, quanto ao grau real de controlo e proteção dos dados. Num texto de opinião publicado na revista Forbes Portugal, Alexandre Carvalho, diretor nacional da Colt Technology Services, aponta para “um choque jurídico direto que põe em causa a autonomia e a confiança na infraestrutura digital global”.

“A verdade é que o CLOUD Act e o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia são, na sua essência, incompatíveis. Não é possível cumprir plenamente ambos. Um estipula o alcance extraterritorial para os efeitos de acesso por parte das autoridades que aplicam a lei; o outro defende a soberania dos dados e os direitos individuais. As empresas que operam em ambas as jurisdições navegam entre obrigações que, na prática, são mutuamente inconciliáveis”, escreveu o gestor.

Dados da Synergy Research Group indicam que as norte-americanas Amazon, Microsoft e Google concentraram, em conjunto, 63% do investimento global em serviços de infraestrutura de computação em nuvem no terceiro trimestre de 2025. Na prática, isto significa que uma parcela relevante dos dados empresariais e institucionais, à escala mundial, está direta ou indiretamente associada a fornecedores sujeitos à legislação dos Estados Unidos.

Stéphane Israël admite que o enquadramento jurídico internacional é complexo. “Todas as grandes empresas vivem num mundo de complexidade jurídica e de extraterritorialidade”, afirma. Ainda assim, sustenta que a resposta passa por acrescentar garantias dentro da própria infraestrutura europeia. No caso da AWS, reforça que a governação da European Sovereign Cloud assenta no cumprimento da legislação europeia e na obrigação de agir “no melhor interesse” desta estrutura.

O responsável acrescenta que, na prática, não há registo de casos em que dados europeus tenham sido entregues às autoridades norte-americanas. “Desde 2020 [ano em que começaram a compilar esse tipo de informação estatística], nunca estivemos numa situação em que tivéssemos de divulgar dados localizados na Europa e pertencentes a um Governo europeu ou a uma empresa europeia à administração dos Estados Unidos”, garante.

Uma posição semelhante surge por parte de outro dos principais operadores europeus neste segmento. A SAP - que também está a desenvolver a sua própria oferta de nuvens soberanas - reconhece que leis como a Lei CLOUD levantam dúvidas, mas defende que o risco depende sobretudo do desenho técnico e organizacional dos sistemas.

“A abordagem da SAP centra-se em garantir que a localização dos dados, as operações do sistema e o controlo de acesso estejam ancorados na jurisdição nacional e no quadro jurídico relevantes. Em configurações de nuvem soberana, os dados são processados localmente, as operações são realizadas por entidades sujeitas à legislação local e o acesso é rigorosamente definido, controlado e auditável”, sublinha Martin Merz, presidente da área de Sovereign Cloud da SAP, em entrevista ao Expresso.

Como exemplo, refere o Delos Cloud, na Alemanha (uma nuvem soberana criada para o sector público), onde, assegura, existe uma “separação jurídica e operacional clara, garantindo que os fornecedores externos não têm acesso direto aos dados dos clientes”.

“Isto não elimina a legislação, mas reduz significativamente a exposição prática e cria um ambiente transparente e com base jurídica, no qual a governação de dados segue a legislação nacional e responsabilidades claramente definidas”, reforça Martin Merz.

Questionado sobre a dependência europeia de tecnologia estrangeira, Martin Merz rejeita a ideia de que a soberania digital implique romper com os grandes fornecedores internacionais. “Não se trata de fazer tudo sozinhos”, afirma.

Nessa linha, frisa que o recurso a infraestruturas de empresas como a AWS ou a Microsoft não é, por definição, excluído - desde que cumpram requisitos exigentes fixados pelas autoridades. A decisão, assegura Martin Merz, não é da empresa, mas das entidades supervisoras, como a BSI, a agência de cibersegurança alemã, que avaliam e validam se essas soluções cumprem os critérios de soberania antes de poderem ser utilizadas.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário