Bruxelas põe uma data na soberania da nuvem

A Lei da Nuvem e IA, o regulamento que a Comissão Europeia apresentou em junho, será publicada no Jornal Oficial a 15 de julho de 2026 e entra em vigor a 4 de agosto. É o primeiro quadro à escala da UE que indica às administrações de setores sensíveis, defesa, justiça, segurança e infraestruturas críticas, como pesar quem controla a sua nuvem antes de a contratar.

A razão é um facto de mercado. Três fornecedores norte-americanos, Microsoft, Amazon Web Services e Google, detêm mais de 70 por cento do mercado europeu de nuvem, enquanto os fornecedores europeus rondam os 15 por cento. Durante anos o debate da soberania assentou em selos voluntários e grelhas de pontuação. Este é o ponto em que passa a ser uma lei com data e uma obrigação de contratação.

Quatro níveis, e onde o dinheiro aterra de facto

A lei fixa quatro níveis de garantia. O Nível 1 exige dados alojados em servidores da UE e a garantia de que nenhuma lei obriga o fornecedor a revelar vulnerabilidades de software a um país terceiro. O Nível 2 acrescenta que nenhum Estado estrangeiro possa chegar aos dados nem acionar um interruptor de corte. O Nível 3 exige que o fornecedor esteja livre de controlo de países terceiros, até ao pessoal. O Nível 4 reclama componentes e produtos sem qualquer ingerência estrangeira e a mais alta certificação de cibersegurança.

A distribuição é a parte que a maioria dos títulos ignora. A Comissão espera cerca de 70 por cento dos contratos no Nível 1, cerca de 20 por cento no Nível 2, menos de 10 por cento no Nível 3 e cerca de 1 por cento no Nível 4. Por outras palavras, a maior parte da nuvem pública na Europa continua a admitir os hyperscalers. A lei não os expulsa, avalia-os, e reserva os níveis rigorosos para a pequena parcela de cargas em que o controlo não se negoceia.

As saídas de emergência foram escritas de propósito

Duas derrogações amortecem o impacto de forma deliberada. O artigo 30 permite uma exceção quando não existe um serviço alternativo adequado ou razoável, um eco do caso de 2023 em que a França concluiu que só a Microsoft podia operar o seu Health Data Hub. O artigo 18 abre uma via aos fornecedores de países terceiros associados abrangidos por uma decisão de adequação da UE, uma porta que em princípio poderia incluir os Estados Unidos, embora os requisitos contra o interruptor de corte ainda possam desqualificá-los.

Essa estrutura mostra como ler o curto prazo. Um comprador europeu não é obrigado a arrancar a AWS ou o Azure este ano. O trabalho imediato é a classificação: associar cada contrato a um nível, documentar o porquê e defender a escolha. A questão da soberania passa de slogan a uma linha de um processo de contratação, uma mudança menor do que a retórica sugere e mais duradoura.

A verdadeira alavanca é betão, não lei

A ambição mais dura da lei é física. Procura pelo menos triplicar a capacidade de centros de dados da UE em cinco a sete anos e tenta desimpedir o caminho com licenciamentos mais rápidos e melhor acesso a energia, terreno, água e financiamento. Os seus três pilares, investigação, capacidade e autonomia, põem a construção ao mesmo nível que o regulamento, porque uma soberania que não se consegue alojar é uma afirmação de papel.

O calendário confirma onde estão os dentes. O regulamento entra em vigor a 4 de agosto de 2026, mas o primeiro nível de requisitos de soberania aplica-se a partir de fevereiro de 2028 e o nível mais alto torna-se obrigatório até agosto de 2029. O relógio da conformidade e o da obra correm juntos, e os fornecedores com capacidade controlada pela UE no terreno em 2028 são aqueles que os níveis rigorosos foram escritos para favorecer.

O que faz um proprietário antes de agosto

O passo prático é um inventário da nuvem lido através dos quatro níveis: que cargas poderia uma ordem estrangeira perturbar, quais estão em setores sensíveis e quais não passariam hoje num teste de Nível 3. As empresas que vendem nuvem ou software a organismos públicos europeus enfrentam o reverso dessa pergunta, porque os seus clientes vão pedir em breve um nível, não um logótipo. O conflito transatlântico é real: um fornecedor preso entre um pedido da US CLOUD Act e uma garantia CADA enfrenta uma escolha impossível, e esse risco pertence agora à avaliação de fornecedores.

Vale a pena manter o teto honesto. Como assinala o analista jurídico Kenneth Propp, a UE já tentou antes instrumentos de soberania, de um estatuto de bloqueio à Data Act, com efeito prático limitado, e a própria existência da CADA lê-se mais como um sintoma de baixa confiança transatlântica do que como uma cura. A lei não desliga as nuvens norte-americanas este ano. Põe na dependência um preço com data e com nota, e os proprietários que mapeiam esse preço agora não serão os que correm em 2028.