«Não se preocupe, está alojado na Europa» tornou-se a garantia reflexa para qualquer questão de dados. Soa decisivo. Muitas vezes não é. O alojamento na UE e a conformidade com o RGPD respondem a uma pergunta; a soberania responde a outra. Confundi-las é como as empresas acabam surpreendidas sobre quem consegue alcançar os seus dados.
Duas perguntas diferentes
O RGPD rege como os dados pessoais são tratados: base legal, consentimento, conservação, os direitos das pessoas a quem os dados dizem respeito. Uma hyperscaler norte-americana com uma região na UE pode ser inteiramente abordável à luz do RGPD. Esse é um padrão real e valioso — mas trata da proteção de dados, não da jurisdição.
A soberania faz uma pergunta mais crua: que leis, e que governos, podem obrigar ao acesso a estes dados? Isso depende muito menos de onde os bytes estão e muito mais de quem controla a empresa que os detém.
Porque «alojado na UE» pode ainda significar alcance estrangeiro
Quando o fornecedor é uma sociedade norte-americana, dois diplomas da lei dos EUA atravessam o Atlântico independentemente do código postal do centro de dados:
- O CLOUD Act, que obriga os fornecedores sediados nos EUA a entregar dados que controlam, onde quer que estejam armazenados.
- A Secção 702 da FISA, a autoridade de vigilância no cerne do acórdão Schrems II que derrubou o Privacy Shield.
Isto não é uma hipótese nem uma posição antiamericana — é simplesmente como funciona a lei extraterritorial. Uma região na UE operada por uma sociedade-mãe norte-americana reduz alguns riscos e satisfaz a residência exigida pelo RGPD. Não elimina o alcance legal estrangeiro, porque a sociedade-mãe continua sujeita à sua jurisdição de origem.
O que a soberania exige de facto
A verdadeira soberania dos dados tem menos a ver com uma bandeira num mapa e mais a ver com controlo:
- Um fornecedor constituído e operado ao abrigo da lei de uma jurisdição em que confia — não uma filial de outra que não.
- Infraestrutura cujo contrato detém, com a capacidade de mudar de fornecedor.
- Controlo das suas próprias chaves de cifragem, para que o acesso seja decisão sua, não uma omissão.
- Documentação e vias de saída, para que não haja dependência disfarçada de funcionalidade.
Um princípio universal, não europeu
É tentador ler isto como um argumento «Europa contra EUA». Não é. Uma empresa em Zurique, Londres, Oslo ou São Paulo tem o mesmo interesse em saber quem pode obrigar ao acesso aos seus dados. A lei e a infraestrutura europeias dão-nos ferramentas fortes e credíveis para entregar soberania — mas o princípio de que a sua tecnologia deve continuar a ser sua é universal. A pergunta a fazer a qualquer fornecedor não é «está alojado na Europa?». É «que lei rege a empresa que o controla, e pode mudar se precisar?».
Perguntas frequentes
- A conformidade com o RGPD é suficiente para dados sensíveis?
- É necessária, nem sempre suficiente. O RGPD rege como os dados pessoais são tratados; não impede um governo estrangeiro de obrigar um fornecedor sujeito às suas leis. Para dados sensíveis ou estratégicos, a soberania — quem pode obrigar ao acesso — é a pergunta adicional a fazer.
- «Alojado na UE» torna soberana uma cloud norte-americana?
- Não. O alojamento na UE satisfaz a residência dos dados, mas um fornecedor de capital norte-americano permanece sujeito à lei dos EUA, como o CLOUD Act, onde quer que esteja o centro de dados. Residência e soberania são garantias diferentes.
- Isto só é relevante para empresas europeias?
- De todo. Qualquer empresa, em qualquer lugar, beneficia de saber que leis regem os seus dados e se pode mudar de fornecedor. As ferramentas europeias são uma forma forte de alcançar a soberania, mas o princípio aplica-se universalmente.