O que o projeto realmente propõe
Em 3 de junho de 2026, a Comissão Europeia adotou uma proposta para a Lei de Desenvolvimento de Nuvem e IA, conhecida como CADA. E uma proposta, não uma lei em vigor. Ainda tem de passar pela negociação entre o Parlamento Europeu e o Conselho, e a sua redação pode mudar antes de qualquer parte se tornar vinculativa. Por isso, isto e um sinal sobre a direção, não uma regra que tem de cumprir hoje. A direção, no entanto, e suficientemente clara para permitir planear em torno dela.
A parte que importa para os compradores e um quadro único a nível da UE que classifica os fornecedores de nuvem e IA em quatro níveis de garantia da União. O nível mais baixo destina-se a servir de patamar mínimo para prestar serviços ao setor público, com exceções restritas. Os níveis mais elevados aplicam-se quando um fornecedor apoia funções ligadas a ordem pública, na sequência de uma avaliação de risco pelos Estados-Membros e pelos organismos da União, em setores como energia, saúde, transportes, água, aplicação da lei, gestão de fronteiras, segurança nacional e defesa. Em resumo, quanto mais sensível o papel, mais elevado o patamar que um fornecedor tem de superar.
Porque os hiperescaladores dos EUA atingem um limite
Segundo consta, os níveis de garantia mais elevados olham para além da localização do centro de dados e entram em quem detém o fornecedor, quem controla as suas operações e se o serviço pode ser protegido da legislação de fora da UE. Esse último teste e onde os grandes fornecedores dos EUA esbarram num limite estrutural. Ao abrigo da Lei CLOUD dos EUA, uma empresa com sede nos EUA pode ser obrigada a entregar dados que controla, independentemente do local do mundo onde esses dados fisicamente se encontrem. Uma região de dados europeia não elimina esse alcance.
Isto não e uma afirmação de que a AWS, a Microsoft ou a Google são inseguras nem de que a maioria das cargas de trabalho e afetada. Para a grande maioria dos dados empresariais, continuam a ser opções sólidas e generalizadas. O ponto e mais restrito e diz respeito ao topo da escala. Para as categorias mais sensíveis que o projeto visa, um fornecedor controlado pelos EUA não pode garantir totalmente o isolamento jurídico, porque uma ordem jurídica estrangeira pode ainda invocar uma pretensão sobre os dados. Isto e uma questão de jurisdição, não de engenharia, e e por isso que os critérios exatos por nível nos anexos do projeto merecem atenção a medida que o texto e negociado.
Transformar a dependência numa verificação de contratação
Durante anos, a soberania da nuvem foi tratada como um risco de dependência abstrato, fácil de anotar e fácil de adiar. A CADA reformula-a como algo concreto: uma barreira no momento da assinatura. Se um contrato toca em dados regulados ou genuinamente sensíveis, a jurisdição a que o seu fornecedor responde torna-se uma cláusula do negócio, não uma nota de rodapé. Essa mudança recompensa os compradores que fazem a pergunta cedo e penaliza aqueles que a descobrem durante uma auditoria ou uma renovação.
A resposta ponderada e uma avaliação de risco jurisdicional antes de assinar ou renovar. Mapeie quais dos seus dados cairiam nas categorias sensíveis que o projeto descreve, identifique quem em última instância detém e controla cada fornecedor e verifique o que os seus contratos dizem sobre o acesso jurídico estrangeiro, a localização dos dados e a saída. Onde o risco for real, pode manter as cargas de trabalho quotidianas onde estão e encaminhar apenas o nível sensível para um fornecedor que consiga cumprir um nível de garantia mais elevado. Nada disto e aconselhamento jurídico, e o texto pode mudar, mas a própria avaliação custa pouco e coloca-o em boa posição seja qual for o rumo da lei final.
Leia a seguir: Sua IA agora fala por você perante a lei · Um prazo quântico dos EUA chega à sua cadeia