Voltar aos artigos
Souveraineté
Soberania Alojamento RGPD Cloud Europe

Alojamento de dados na Europa: por que razão é essencial

26 de novembro de 2025 12 min de leitura DPLIANCE

Alojamento de dados na Europa: por que razão se tornou um imperativo

Onde estão alojados os dados dos seus clientes? Se não consegue responder a esta pergunta com certeza, tem um problema. E se a resposta é “algures nos Estados Unidos, na AWS ou na Google Cloud”, tem um problema ainda maior.

O alojamento de dados na Europa já não é um luxo nem uma escolha ideológica. É uma necessidade jurídica, uma exigência dos seus clientes e uma vantagem concorrencial. Eis porquê.

O problema: o CLOUD Act americano

O Clarifying Lawful Overseas Use of Data Act (CLOUD Act), adotado em 2018 pelo Congresso americano, autoriza as autoridades americanas a exigir de qualquer empresa americana que forneça os dados que controla — independentemente do país onde esses dados estejam fisicamente armazenados.

Concretamente: se alojar os dados dos seus clientes europeus na AWS, na Azure ou na Google Cloud, o governo americano pode legalmente exigir o acesso a esses dados, mesmo que estejam armazenados num data center em Frankfurt ou em Paris.

Isto não é uma hipótese teórica. É a lei americana em vigor.

A extensão do CLOUD Act é frequentemente subestimada. Não diz respeito apenas às grandes plataformas. Qualquer empresa americana — incluindo uma startup SaaS sediada em São Francisco que lhe fornece uma ferramenta de gestão de projetos — está potencialmente sujeita ao CLOUD Act. Se essa empresa alojar ou controlar dados por sua conta, o governo americano pode aceder-lhes, sem sequer o informar. O CLOUD Act não impõe qualquer obrigação de notificação à empresa europeia cujos dados são visados.

A incompatibilidade fundamental com o RGPD

O RGPD (artigo 48.º) proíbe a transferência de dados pessoais para um país terceiro com base numa decisão judicial ou administrativa desse país, exceto acordo internacional. O CLOUD Act não se baseia em qualquer acordo internacional reconhecido pela UE.

Encontramo-nos, portanto, perante uma equação impossível: as empresas americanas são legalmente obrigadas a fornecer os dados (CLOUD Act) e legalmente proibidas de os transferir (RGPD). E é a empresa europeia cliente que suporta o risco.

A posição da Comissão Europeia é clara: nas suas orientações sobre transferências internacionais, recorda que as empresas europeias não podem dar cumprimento a um pedido de acesso emanado de uma autoridade estrangeira se esse pedido não for enquadrado por um acordo internacional reconhecido. Mas a realidade operacional é que a empresa americana obedecerá ao CLOUD Act, quaisquer que sejam as objeções do seu cliente europeu.

O acórdão Schrems II e as suas consequências

Em julho de 2020, o Tribunal de Justiça da União Europeia (TJUE) invalidou o Privacy Shield no acórdão dito “Schrems II”. O motivo: os programas de vigilância americanos (nomeadamente a secção 702 do FISA) não garantem um nível de proteção equivalente ao RGPD.

Este acórdão teve um efeito direto: as transferências de dados pessoais para os Estados Unidos deixaram de beneficiar de proteção automática.

As lições da história são eloquentes. O Safe Harbor foi invalidado em 2015 (Schrems I). O Privacy Shield foi invalidado em 2020 (Schrems II). O EU-US Data Privacy Framework, adotado em 2023, poderá sofrer o mesmo destino. A cada invalidação, as empresas que tinham baseado a sua estratégia de dados nestes quadros jurídicos encontraram-se em situação de não conformidade de um dia para o outro.

O EU-US Data Privacy Framework: um equilíbrio frágil

Em julho de 2023, a Comissão Europeia adotou uma nova decisão de adequação — o EU-US Data Privacy Framework — baseada num decreto presidencial (Executive Order 14086) que limita o acesso dos serviços de informações americanos aos dados europeus.

Mas este quadro já é contestado:

  • A noyb (a associação de Max Schrems) anunciou a sua intenção de contestar o framework perante o TJUE
  • O Tribunal da UE rejeitou uma primeira contestação em 2025, mas o caso pode ainda ser levado ao TJUE
  • Em março de 2025, Max Schrems assinalou publicamente que alterações nas agências de controlo americanas (PCLOB, FTC) poderiam obrigar a Comissão Europeia a suspender o framework por iniciativa própria
  • Um acórdão do TJUE no final de 2025 ou início de 2026 poderia invalidar o Data Privacy Framework, forçando as empresas a regressar às cláusulas contratuais tipo (CCT) — exatamente como após Schrems II

Construir a sua estratégia de dados sobre um quadro jurídico tão instável é uma aposta arriscada.

O que diz o RGPD sobre as transferências para fora da UE

O capítulo V do RGPD (artigos 44.º a 49.º) enquadra estritamente as transferências de dados pessoais para países terceiros.

Princípio geral (artigo 44.º): Qualquer transferência só pode ter lugar se o responsável pelo tratamento e o subcontratante respeitarem as condições do capítulo V, garantindo que o nível de proteção oferecido pelo RGPD não é comprometido.

Os mecanismos autorizados:

  1. Decisão de adequação (artigo 45.º): a Comissão Europeia determinou que o país terceiro oferece um nível de proteção adequado. É o caso do Japão, do Reino Unido, da Coreia do Sul — e dos Estados Unidos via o Data Privacy Framework (enquanto este se mantiver).

  2. Cláusulas contratuais tipo (artigo 46.º): contratos padrão aprovados pela Comissão que enquadram contratualmente a transferência. É o mecanismo mais utilizado, mas impõe ao responsável pelo tratamento avaliar concretamente o nível de proteção no país de destino.

  3. Regras vinculativas aplicáveis às empresas (BCR) (artigo 47.º): para grupos multinacionais, um quadro interno aprovado por uma autoridade de proteção de dados.

A realidade: quando os seus dados permanecem na Europa, a questão das transferências para fora da UE simplesmente não se coloca. É a solução mais simples, mais segura e mais duradoura.

A avaliação de impacto sobre as transferências (TIA) é uma obrigação frequentemente desconhecida. Desde o acórdão Schrems II, qualquer empresa que utilize cláusulas contratuais tipo para uma transferência para fora da UE deve realizar uma Transfer Impact Assessment (TIA): uma avaliação concreta do nível de proteção no país de destino, tendo em conta a legislação local em matéria de vigilância. É um exercício jurídico complexo e dispendioso, que o alojamento na Europa permite simplesmente evitar.

O European Data Act: uma camada de proteção suplementar

Aplicável desde setembro de 2025, o Data Act europeu reforça ainda mais a proteção. O seu capítulo VII impõe aos fornecedores de serviços cloud que operam na UE a implementação de medidas técnicas, jurídicas e organizacionais para impedir o acesso não autorizado por governos não europeus a dados armazenados na Europa.

Face a um pedido de acesso de um governo terceiro (incluindo um pedido CLOUD Act), o fornecedor deve avaliar se o pedido é justificado, preciso, proporcionado e compatível com o direito europeu.

O Data Act introduz igualmente um direito à portabilidade dos dados cloud. As empresas europeias devem poder migrar os seus dados de um fornecedor cloud para outro sem obstáculos técnicos ou contratuais excessivos. É um avanço importante para reduzir o aprisionamento (lock-in) junto dos hyperscalers americanos e facilitar a migração para alternativas europeias.

As alternativas soberanas europeias

O ecossistema cloud europeu reforçou-se consideravelmente nos últimos anos.

Scaleway (França)

Infraestrutura cloud francesa, filial do grupo Iliad. Certificada ISO 27001, data centers em França e nos Países Baixos. É o alojador escolhido pela DPLIANCE para o conjunto das suas soluções: Mirage Analytics, Cookilio e Complio.

OVHcloud (França)

Líder europeu do cloud, cotado em bolsa. Propõe serviços IaaS e PaaS sem dependência tecnológica americana estrutural. Primeira região 3-AZ na Alemanha lançada em novembro de 2025.

Infomaniak (Suíça)

Alojador suíço independente, alimentado a 100% por energias renováveis. Propõe cloud, email e ferramentas colaborativas conformes ao RGPD.

Clever Cloud (França)

PaaS francês para o deployment de aplicações. Alojamento em França, sem dependência dos hyperscalers americanos.

O referencial SecNumCloud

O referencial SecNumCloud da ANSSI (agência francesa de segurança informática) certifica os prestadores de serviços cloud que oferecem as mais altas garantias em matéria de segurança e de soberania: localização dos dados em França, imunidade às leis extraterritoriais, controlo de acessos, auditorias regulares.

A S3NS (joint venture Thales / Google Cloud) obteve a certificação SecNumCloud 3.2 em dezembro de 2025, mas a implicação da Google na estrutura levanta questões sobre a soberania real.

A maturidade técnica já não é um entrave. O argumento segundo o qual os clouds europeus seriam menos performantes ou menos fiáveis do que a AWS ou a Google Cloud já não se sustenta. Os principais fornecedores europeus oferecem SLAs comparáveis, uma disponibilidade equivalente e desempenhos de rede frequentemente superiores para utilizações europeias. A diferença situa-se principalmente nos serviços geridos avançados (machine learning em grande escala, bases de dados distribuídas globais), que raramente dizem respeito às PME.

Como a DPLIANCE aloja as suas soluções na Europa

Na DPLIANCE, a questão do alojamento nunca foi tema de debate. Todas as nossas soluções são alojadas na Scaleway, na Europa, ponto final.

  • Mirage Analytics: os dados de analytics dos seus visitantes permanecem na Europa. Zero cookies, zero rastreadores persistentes, zero transferências para fora da UE.
  • Cookilio: o seu CMP é alojado na Europa. As preferências de consentimento dos seus utilizadores nunca abandonam o solo europeu.
  • Complio: os resultados de auditoria do seu site são armazenados na Europa. A IA integrada (Mistral, modelo francês) trata os dados sem os enviar para o outro lado do Atlântico.

A soberania não é um argumento de marketing. É uma decisão de arquitetura tomada desde o primeiro dia.

Impacto concreto para as empresas

Conformidade simplificada

Quando os seus dados permanecem na Europa, não necessita de cláusulas contratuais tipo, de avaliações de impacto sobre as transferências, nem de vigiar a evolução do EU-US Data Privacy Framework. Elimina uma camada inteira de complexidade jurídica.

Confiança dos clientes

Cada vez mais clientes — em particular nos setores público, da saúde e financeiro — exigem contratualmente que os seus dados sejam alojados na Europa. É um critério de seleção nos concursos públicos. Não poder garantir um alojamento europeu pode excluí-lo de mercados importantes. Em Portugal, as entidades públicas estão cada vez mais sensíveis a estas questões de soberania digital.

Proteção contra riscos geopolíticos

As tensões comerciais e geopolíticas entre a Europa e os Estados Unidos tornam as transferências de dados transatlânticas cada vez mais incertas. Alojar na Europa é proteger-se contra um risco que não controla.

O regulamento DORA

Desde janeiro de 2025, o regulamento DORA (Digital Operational Resilience Act) impõe ao setor financeiro europeu exigências específicas sobre a gestão dos riscos relacionados com prestadores cloud terceiros. As instituições financeiras devem auditar os seus subcontratantes e assegurar-se de que as suas infraestruturas críticas não estão concentradas em atores não europeus.

A diretiva NIS 2

Entrada em vigor em outubro de 2024, a diretiva NIS 2 alarga as obrigações de cibersegurança a numerosos setores (energia, transportes, saúde, infraestrutura digital, administração pública, espaço, serviços postais, gestão de resíduos). As empresas abrangidas devem reforçar a segurança da sua cadeia de abastecimento digital, o que inclui a escolha de prestadores cloud que ofereçam garantias de segurança e de soberania adequadas.

Guia prático: como migrar para um alojamento europeu

Etapa 1: Cartografar os seus fluxos de dados

Identifique todos os serviços que armazenam ou tratam dados pessoais por sua conta. Não se esqueça dos serviços “invisíveis”: CDN, fontes web, ferramentas de analytics, widgets integrados, serviços de pagamento.

Etapa 2: Priorizar por sensibilidade

Classifique os seus dados por nível de sensibilidade. Os dados de clientes, os dados de saúde e os dados financeiros devem ser migrados com prioridade. Os dados menos sensíveis (analytics, logs técnicos) podem seguir-se num segundo momento.

Etapa 3: Identificar as alternativas europeias

Para cada serviço americano, identifique uma ou várias alternativas europeias. Para o analytics, o Mirage Analytics substitui o Google Analytics em poucos minutos. Para o alojamento, a Scaleway, a OVHcloud ou a Clever Cloud oferecem serviços equivalentes.

Etapa 4: Planear e executar a migração

Não migre tudo ao mesmo tempo. Proceda serviço a serviço, testando cada migração antes de fazer a transição definitiva. Documente cada etapa para o seu registo de tratamentos.

FAQ

O alojamento na Europa garante a conformidade com o RGPD?

O alojamento na Europa elimina as problemáticas de transferências para fora da UE, mas não garante por si só a conformidade com o RGPD. Deve igualmente respeitar os princípios de minimização, de segurança, de transparência e os direitos das pessoas. O alojamento soberano é uma condição necessária, não suficiente.

O EU-US Data Privacy Framework é fiável?

A sua perenidade é incerta. O framework é contestado juridicamente pela noyb e poderá ser invalidado pelo TJUE, tal como os seus predecessores (Safe Harbor em 2015, Privacy Shield em 2020). Construir a sua estratégia de dados sobre este framework equivale a apostar na sua sobrevivência. As empresas que fizeram esta aposta com o Safe Harbor e o Privacy Shield lamentaram-no.

O alojamento soberano custa mais caro?

Não necessariamente. Os tarifários da Scaleway, da OVHcloud ou da Clever Cloud são competitivos com os da AWS ou da Google Cloud, ou até inferiores para certas utilizações. O custo real do alojamento americano inclui os riscos jurídicos, os custos de conformidade suplementares (TIA, CCT, documentação das transferências) e a exposição a um quadro regulamentar instável.

O meu alojador europeu pode ser obrigado pelo CLOUD Act?

Não, a não ser que seja uma filial ou uma entidade controlada por uma empresa americana. Um alojador europeu independente (Scaleway, OVHcloud, Infomaniak) não está sujeito ao CLOUD Act. É toda a vantagem de escolher um prestador sem ligação de capital com os Estados Unidos.

Como migrar os meus dados para um alojador europeu?

Comece por cartografar os seus fluxos de dados e identificar os serviços alojados fora da Europa. Priorize os dados mais sensíveis (dados de clientes, dados de saúde, dados financeiros). Para o analytics, a substituição do Google Analytics pelo Mirage Analytics pode ser feita em poucos minutos com um simples snippet.

A encriptação protege contra o CLOUD Act?

A encriptação é uma medida de segurança essencial, mas não protege contra o CLOUD Act se a empresa americana detiver as chaves de encriptação. Apenas uma encriptação de ponta a ponta em que as chaves são exclusivamente detidas pelo cliente europeu oferece uma proteção real. Mas esta abordagem complexifica a utilização dos serviços cloud. O alojamento junto de um prestador europeu independente continua a ser a solução mais simples e mais robusta.

Fontes: CLOUD Act (Wikipedia), CNIL (autoridade francesa de proteção de dados) — Transferências de dados para fora da UE, TJUE — Acórdão Schrems II (C-311/18), Comissão Europeia — EU-US Data Privacy Framework, noyb — Contestação do Data Privacy Framework. Artigo atualizado a 25 de março de 2026.

Escreva-nos

contact@dpliance.com
Fale conosco