IA soberana 2026: definição, riscos e escolhas concretas para empresas portuguesas

Q: Que iniciativas portuguesas existem para uma IA verdadeiramente soberana?

Quatro iniciativas estruturantes em 2026. Albertina (PORTULAN, INESC-ID e Universidade de Lisboa): família de modelos de linguagem em português europeu e brasileiro, financiada pela ANI e desenvolvida no âmbito do projeto PORTULAN, disponível em versões 900M, 1.5B e mais recentemente 7B. Sabiá (Maritaca AI, brasileira): família de modelos especializados em português brasileiro, com versões Sabiá-2 e Sabiá-3, utilizada também em Portugal pela proximidade linguística. BERTimbau (NeuralMind, Brasil): modelo de embeddings e NLP em português, padrão de facto para classificação e extração. Centro 5.0 / Mistral (Mistral AI, Paris) é adotado por grandes empresas portuguesas (Galp, EDP, Sonae, BPI, Millennium bcp) pela maturidade B2B europeia. A combinação Mistral + Albertina/Sabiá é hoje o stack mais sólido para soberania real com qualidade produtiva no mercado português.

Q: É necessária uma AIPD para utilizar Mistral ou Albertina internamente?

Uma AIPD (Avaliação de Impacto sobre a Proteção de Dados, equivalente do DPIA do RGPD) é obrigatória para tratamentos de risco elevado nos termos do artigo 35 do RGPD e da Lei n.º 58/2019 — não pela simples escolha da ferramenta. Concretamente: se utilizar Mistral ou Albertina para redigir emails internos ou para tradução, não é obrigatória (recomendada de qualquer forma para a documentação interna). Se a utilizar para scoring de candidatos de RH, avaliação de elegibilidade de crédito, tratamento de dados de saúde identificativos ou vigilância de trabalhadores: AIPD obrigatória. Em Portugal acresce o Código do Trabalho, em particular o artigo 20.º (meios de vigilância à distância), que exige autorização da CNPD para certos dispositivos de monitorização. O critério é o uso e o tipo de dados, não o modelo.

Q: Como verificar que um fornecedor é realmente europeu?

Quatro pontos. Um, sede social e residência fiscal da entidade signatária do contrato. Dois, composição do capital — uma filial portuguesa de um grupo norte-americano continua sujeita ao Cloud Act pela casa-mãe, independentemente da inscrição no registo comercial. Três, localização efetiva dos dados e dos servidores (a pedir explicitamente, não apenas «UE»). Quatro, ausência de transferência de dados para uma casa-mãe extra-UE para funções de suporte (administração, monitorização, suporte técnico de nível 2-3). Uma soberania jurídica real exige os quatro. A CNPD precisa estes pontos nas suas orientações sobre encarregados de tratamento.

Q: Qual é a diferença entre IA soberana e IA on-premise?

IA soberana é um termo amplo que cobre toda a IA cuja cadeia de ponta a ponta (modelo, alojamento, dados, controlo operacional) permaneça sob jurisdição europeia ou sob controlo direto da organização. IA on-premise é um modo de deployment específico: a IA corre nos servidores internos da organização. Toda a IA on-premise é soberana (por construção); nem toda a IA soberana é on-premise (Mistral Le Chat Enterprise sobre Scaleway ou Albertina implantada em Claranet PT é soberana mas não on-premise). On-premise traz a soberania máxima; a cloud soberana traz um bom nível de soberania com um custo operacional mais baixo.

Quick Answer: o que é uma IA soberana?

Uma IA soberana é uma IA cuja cadeia de ponta a ponta permanece sob o seu controlo: o modelo, o seu alojamento e os dados que trata. Em claro: nem os servidores, nem o código, nem os seus dados estão sujeitos a uma lei estrangeira que possa, amanhã, exigir a sua comunicação — como permite nos Estados Unidos o Cloud Act, que obriga toda a empresa norte-americana a entregar os dados que detém, onde quer que estejam fisicamente armazenados.

Para uma organização portuguesa em 2026, uma IA realmente soberana combina quatro pilares:

Um modelo europeu ou aberto: Mistral (França), Albertina (PORTULAN, Universidade de Lisboa e INESC-ID, financiado pela ANI), Sabiá (Maritaca AI, Brasil — utilizado em Portugal pela proximidade linguística), BERTimbau (NeuralMind), Aleph Alpha (Alemanha), ou um modelo cujos parâmetros sejam públicos («open-weight») como Llama 3 ou Qwen, distribuído na Europa.
Um alojamento português ou europeu: Claranet Portugal, IP Telecom, Adyta, NOS Cloud, Altice Empresas, OVHcloud Lisboa, Scaleway, ou um servidor interno — nunca AWS, Azure ou Google Cloud sem contrato blindado.
Funcionamento local ou em cloud soberana quando os dados são sensíveis. «Local» (on-premise) significa instalado nos seus próprios servidores, dentro das suas instalações.
Uma cadeia material documentada: saber de onde vêm os chips (as GPU NVIDIA e a fabricação asiática continuam a ser um ponto duro partilhado por todo o mercado mundial).

A soberania não é uma etiqueta «made in Portugal»: é um continuum. Cada dimensão é avaliada separadamente e aceita-se que alguns elos (por exemplo a fabricação dos chips mais avançados) permaneçam fora da Europa por razões tecnológicas.

Porque é que a IA soberana se tornou um tema de Conselho de Administração em 2026

Durante três anos, a soberania digital foi um argumento de marketing utilizado pelos atores europeus para existir face aos hyperscalers. Em 2026, é um tema de risco inscrito na ordem do dia dos Conselhos de Administração e comissões de risco portuguesas — e a trajetória das pesquisas testemunha-o: a query «IA soberana» quase triplicou em volume no Google Portugal entre janeiro de 2025 e abril de 2026, impulsionada pelos CIO do PSI-20, pelos setores regulamentados (banca, telcos, saúde) e pela Administração Pública.

Três ruturas explicam esta aceleração.

Rutura 1 — O Cloud Act norte-americano nunca foi tão ativo. O Clarifying Lawful Overseas Use of Data Act permite às autoridades norte-americanas exigir a comunicação de dados detidos por toda a empresa que esteja sujeita ao direito dos EUA, onde quer que esses dados estejam fisicamente armazenados. Todas as filiais europeias dos gigantes da cloud norte-americana («hyperscalers»: AWS, Azure, Google Cloud) lhe estão sujeitas, independentemente da localização dos servidores. A CNPD (Comissão Nacional de Proteção de Dados) e o CEPD lembram regularmente que esta extraterritorialidade cria um risco de conflito de leis não resolvido com o RGPD, e é precisamente sobre este ponto que assenta a fragilidade do Data Privacy Framework — o acordo que pretende enquadrar as transferências UE-EUA, sucessor do Privacy Shield invalidado em 2020 pelo acórdão Schrems II do TJUE.

Rutura 2 — O Regulamento Europeu da IA entrou em aplicação progressiva. O Regulamento (UE) 2024/1689 impõe obrigações de transparência, documentação e governança que tornam inviável o uso opaco de um modelo alojado fora da UE para certos casos classificados de alto risco: RH, scoring, acesso ao crédito, biometria, infraestruturas críticas. Para esses casos, saber quem treinou o modelo, sobre que dados, com que dependências torna-se uma obrigação legal, não um conforto. A CNCS (Centro Nacional de Cibersegurança) e a ANI (Agência Nacional de Inovação) publicaram em 2025 as primeiras orientações sobre o controlo da cadeia de fornecimento IA para a Administração Pública portuguesa.

Rutura 3 — O contexto geopolítico basculou em 2025. O segundo mandato Trump e as tensões transatlânticas lembraram que o acesso a um serviço cloud não é garantido contratualmente contra uma decisão executiva norte-americana. Vários CIO de grandes empresas portuguesas (Galp, EDP, Sonae, NOS, Millennium bcp, REN, Cofina) declararam publicamente acelerar a sua estratégia de portabilidade — a capacidade de transferir rapidamente os seus serviços de um fornecedor para outro, com uma exigência reforçada de solução de recurso («fallback») alojada exclusivamente na Europa. O Plano Nacional de Inteligência Artificial 2024-2027 conduzido pela ANI reforçou os investimentos públicos nas alternativas soberanas, em particular através do INESC TEC (Porto), do INESC-ID (Lisboa), da Fundação para a Ciência e a Tecnologia e dos fundos do PRR dedicados à transição digital.

Resultado: a pergunta já não é devemos avançar para uma IA soberana? mas que dimensão da soberania devemos priorizar primeiro, dada a nossa exposição ao risco?

As 5 dimensões da soberania IA

A palavra «soberano» é abusada. Para avaliar uma solução de IA, decompomos a soberania em cinco eixos — cada um com o seu próprio nível de criticidade conforme o caso de uso.

1. O modelo

Quem o treinou, sobre que dados, com que licença? Um modelo verdadeiramente soberano é:

Open-weight — ou seja, com os seus parâmetros publicados, à maneira de uma receita de cozinha tornada pública: conhecem-se todos os ingredientes, sem que isso garanta a livre comercialização (Mistral, Llama, Qwen, DeepSeek, Albertina, Sabiá). Isto permite a auditoria, a adaptação às necessidades de negócio («fine-tuning») e a instalação nos próprios servidores («on-premise»);
Ou proprietário mas europeu com compromisso contratual sobre a jurisdição (Mistral Enterprise, Aleph Alpha Pharia).

Um modelo comercial fechado alojado exclusivamente por um fornecedor sujeito ao Cloud Act não é soberano, mesmo sendo tecnicamente excelente.

2. O alojamento

O servidor de inferência e armazenamento deve estar:

Numa cloud europeia sem capital extra-europeu maioritário (Claranet Portugal, IP Telecom, Adyta, NOS Cloud, Altice Empresas, OVHcloud Lisboa, Scaleway, Outscale);
Ou em servidores internos sob controlo direto da organização;
Ou numa cloud qualificada pelo CNCS / ANSC para os setores regulamentados, ou equivalente francês SecNumCloud / alemão BSI-C5: saúde com requisitos SPMS, operadores de serviços essenciais NIS2, dados classificados.

Atenção às ofertas «Sovereign Cloud» dos hyperscalers (Microsoft EU Data Boundary, AWS European Sovereign Cloud, Google Sovereign Cloud): a soberania jurídica continua frágil enquanto a casa-mãe depender do direito norte-americano. A CNPD tem expresso reservas em deliberações recentes sobre a insuficiência do isolamento contratual destas ofertas.

3. Os dados de treino e de fine-tuning

É o ponto mais frequentemente negligenciado. Três sub-questões:

Dados utilizados para treinar o modelo inicial: são conhecidos? são lícitos? um modelo treinado sobre dados protegidos por direito de autor sem acordo cria um risco jurídico para o utilizador a jusante (cf. os litígios NYT v. OpenAI, Bartz v. Anthropic; em Portugal a posição da SPA — Sociedade Portuguesa de Autores — sobre o scraping para treino).
Dados enviados ao modelo em uso: se interrogar um grande modelo de linguagem com dados de clientes, esses dados saem do seu perímetro? São utilizados para retreinar?
Dados de fine-tuning: se adaptar um modelo («fine-tuning» = retreino direcionado sobre os seus próprios exemplos de negócio), onde estão armazenados os dados de treino e o modelo assim especializado?

4. O controlo operacional

Soberania = capacidade de continuar a operar se o fornecedor desaparecer, mudar de política tarifária ou for cortado pela sua jurisdição de origem. Concretamente:

Tem uma cópia local dos pesos do modelo?
Pode reimplantar noutro fornecedor em menos de 30 dias?
Existe um procedimento de reversibilidade contratual?

Sem esse controlo, a soberania jurídica é teórica.

5. A cadeia material

O ponto mais duro — e aquele em que a Europa é estruturalmente dependente. As GPU NVIDIA dominam o treino de alta performance; a máquina que grava os chips mais avançados (litografia EUV) é um quase-monopólio da neerlandesa ASML; a fabricação dos chips mais avançados passa principalmente pela TSMC (Taiwan). Para a maioria dos casos de uso, hoje não se pode eliminar esta dependência — pode-se, em contrapartida, documentá-la e privilegiar arquiteturas alternativas (chips AMD, processadores ARM, ou inferência em CPU clássica para os modelos pequenos) que reduzem a exposição. Portugal participa no projeto europeu EuroHPC com o supercomputador Deucalion (Riba de Ave, gestão FCT/INCD), uma das principais infraestruturas nacionais de computação de alto desempenho, utilizada em particular para projetos de investigação em IA portuguesa.

Tabela resumo das 5 dimensões

Dimensão	Pergunta-chave	Nível soberano
Modelo	Quem treina, sobre o quê?	Open-weight ou proprietário UE
Alojamento	Onde correm os servidores? Sob que jurisdição?	Claranet PT / IP Telecom / Adyta / on-prem / qualificado CNCS
Dados	Saem do perímetro?	Sem treino, sem transferência fora UE
Controlo operacional	Reversibilidade em 30 dias?	Procedimento documentado + pesos acessíveis
Cadeia material	Origem dos chips?	NVIDIA maioritária — não eliminável

Cartografia dos atores: quem é realmente soberano em Portugal em 2026?

O panorama português e europeu dos grandes modelos de linguagem (LLM) densificou-se. Uma leitura honesta dos principais atores para o mercado português.

Ator	Origem	Soberania	Maturidade B2B	Caso de uso prioritário
Mistral AI	França	✅ muito forte (4/5)	✅ alta	Toda a organização portuguesa B2B
Albertina (PORTULAN / INESC-ID)	Portugal (público / académico)	✅ muito forte	🟡 emergente	NLP em português europeu, investigação, PA
Sabiá (Maritaca AI)	Brasil	✅ forte (lusófono)	🟡 emergente	Português brasileiro, nichos lusófonos
BERTimbau (NeuralMind)	Brasil	✅ forte	✅ padrão de facto	Embeddings, classificação, extração em PT
Aleph Alpha Pharia	Alemanha	✅ forte	🟡 setor público alemão	Defesa, transfronteiriço
Llama 3 / Qwen sobre Claranet/Scaleway	US/CN, deploy UE	🟡 híbrido	✅ alta	Open-weight + UE física
OpenAI / Anthropic / Google	EUA	❌	✅ muito alta	A evitar para uso soberano

Mistral AI (França) é o campeão europeu adotado massivamente pelas empresas portuguesas (Galp, EDP, Sonae, BPI, Millennium bcp, NOS, Jerónimo Martins). Modelos open-weight (Mistral Small 3, Codestral, Mixtral) e proprietários (Mistral Large, Le Chat Enterprise). Alojamento Scaleway, possibilidade de deployment on-premise para os grandes grupos. Melhor equilíbrio maturidade/soberania para a maioria dos usos B2B portugueses. Parcerias de integração com Claranet Portugal, NTT Data Portugal, Capgemini Portugal e Deloitte Digital Lisbon.

Albertina (PORTULAN, INESC-ID, Universidade de Lisboa) — primeira família de modelos de linguagem em português europeu de grande escala, desenvolvida no âmbito do projeto PORTULAN com financiamento da ANI e da FCT. Versões 900M, 1.5B e mais recentemente 7B disponíveis. Treinada sobre corpora em português europeu e brasileiro, com particular atenção às especificidades lexicais e gramaticais do português europeu (acordo ortográfico, terminologia administrativa, jargão jurídico). Open-weight, governança pública. Maturidade produtiva ainda inferior à do Mistral mas em rápido crescimento; ideal para a Administração Pública, organismos de investigação e organizações que privilegiam a auditabilidade máxima e o português europeu puro.

Sabiá (Maritaca AI, Brasil) — família de modelos especializados em português brasileiro, com versões Sabiá-2 e Sabiá-3. Disponível via API e em deployment dedicado. Em Portugal, é utilizado quando o caso de uso justifica especialização lusófona ampla, em especial para empresas com presença no Brasil (Galp, EDP, Sonae). Atenção: as nuances entre português europeu e brasileiro (vocabulário, gramática, contexto cultural) podem requerer fine-tuning específico.

BERTimbau (NeuralMind, Brasil) — modelo de embeddings e NLP em português, padrão de facto para tarefas de classificação, extração de entidades nomeadas (NER), análise de sentimentos. Não é um LLM generativo mas um componente complementar essencial nos pipelines de RAG e processamento de texto em português. Integrado em muitas soluções portuguesas (extração de faturas, classificação de emails, anonimização).

Aleph Alpha Pharia (Alemanha) — referência europeia não portuguesa, pertinente quando uma organização procura um fornecedor europeu distinto do eixo francês Mistral, em particular para casos de Defesa, segurança ou setor público transfronteiriço (cooperação luso-alemã, projetos NATO).

Modelos open-weight extra-UE distribuídos em infraestrutura europeia: Llama 3 (Meta), Qwen (Alibaba), DeepSeek (China). Open-weight = podem-se distribuir em Claranet, IP Telecom, Scaleway, mas o seu treino inicial continua extra-europeu. Soberania híbrida, a avaliar caso a caso conforme o risco geopolítico percebido. O CNCS emitiu em 2025 um aviso de prudência sobre o uso de modelos chineses em contextos sensíveis.

Atores a evitar para uso soberano B2B europeu: OpenAI, Anthropic Claude e Google Gemini em modo SaaS padrão, exceto se o uso for não sensível e se aceitar explicitamente o risco DPF. Microsoft Copilot continua estruturalmente ligado ao Azure e à OpenAI — a «EU Data Boundary» não basta segundo a interpretação prudente da CNPD.

Quanto custa realmente uma IA soberana?

O argumento «o ChatGPT Enterprise é mais barato» é enganador a partir do momento em que se integra o custo total de propriedade. Comparação num caso típico: empresa portuguesa de 200 colaboradores, uso IA conversacional generalizado + alguns casos de uso de negócio.

Posto	ChatGPT Enterprise	Mistral Le Chat Enterprise (Scaleway/Claranet)	Albertina (Claranet/IP Telecom)	Mistral on-premise
Licença por utilizador	~55 €/mês	~15-25 €/mês	Open-weight, sem licença	Custo material + licença forfetária
Alojamento	Incluído (US / Azure)	Incluído (FR/PT)	~3-7 k€/mês (Claranet GPU)	Infraestrutura interna, ~25-60 k€ inicial
Conformidade RGPD / Lei 58/2019 / IA Act	Configuração manual, dependência DPF	Nativa	Nativa, controlo total	Nativa, controlo total
Risco DPF / Cloud Act	Alto	Nulo	Nulo	Nulo
Reversibilidade	Fraca (lock-in)	Média (pesos acessíveis via Mistral)	Total (open-weight)	Total
Total a 3 anos (200 utilizadores)	~390 k€ + risco jurídico	~110-170 k€	~110-180 k€	~170-280 k€ amortizados

Para a maioria dos usos B2B portugueses, o Mistral Le Chat Enterprise sobre cloud soberana continua a ser o melhor compromisso custo / soberania em 2026. A Albertina implantada sobre Claranet, IP Telecom ou Deucalion (FCT/INCD) é particularmente pertinente para a Administração Pública, organismos académicos e organizações que privilegiam o português europeu puro e a auditabilidade pública. O on-premise justifica-se para organizações com exigência regulatória estrita (saúde com SPMS, banca sob Banco de Portugal, Defesa, infraestruturas críticas) ou com um volume de uso muito elevado.

Mais amplamente, o argumento económico raramente é o fator decisivo: um risco DPF que se materialize (Schrems III, por exemplo) impõe uma migração de urgência cujo custo oculto — reescrita de prompts, retreino de fine-tuning, formação das equipas — supera rapidamente vários anos de licenças cloud soberana. Antecipação = poupança.

Roteiro: passar a uma IA soberana em empresa

A transição faz-se por etapas. Um roteiro pragmático em quatro etapas.

Etapa 1 — Cartografar os usos IA atuais. Recensear as ferramentas utilizadas (oficialmente e em shadow IT), os dados que tratam, a sua classificação de sensibilidade. A maioria das organizações portuguesas descobrem nesta etapa que o ChatGPT, o Copilot e o Claude já correm sobre dados de clientes sem enquadramento. Um estudo IDC Portugal 2025 estima que 69 % das empresas portuguesas têm pelo menos um uso de IA generativa não autorizado, com primeiro lugar dos riscos citados nos comités de Direção.

Etapa 2 — Segmentar por criticidade. Três níveis típicos:

Nível 1 — dados não sensíveis (redação marketing, tradução pública): tolerância para as ferramentas norte-americanas em modo SaaS, mas com cláusulas contratuais sólidas (Contrato de Tratamento art. 28 RGPD).
Nível 2 — dados de negócio (notas internas, documentos de RH não nominativos): passagem para um modelo europeu em modo SaaS (Mistral Le Chat, Albertina) recomendada.
Nível 3 — dados pessoais, de saúde, segredo profissional, dados estratégicos: instalação local («on-premise») ou cloud qualificada CNCS obrigatória. Para os dados de saúde, conformidade SPMS imposta.

Etapa 3 — Escolher uma combinação de ferramentas por nível. Para o nível 2, o Mistral Le Chat Enterprise ou a Albertina cobrem 80 % das necessidades conversacionais. Para o nível 3, a associação de um Mistral ou Albertina instalado localmente, de uma ferramenta de transcrição áudio (Whisper, o modelo livre da OpenAI instalável em servidor interno) e de um mecanismo RAG (Retrieval-Augmented Generation: técnica que permite à IA ir buscar a resposta na sua própria documentação em vez de a inventar) torna-se o padrão.

Etapa 4 — Governança e formação. Uma política de uso de IA, a documentação das avaliações de impacto (AIPD) para os usos de nível 3, e a formação das equipas na redação de instruções eficazes e na deteção de alucinações. Sem esses elos, a infraestrutura mais soberana continua exposta ao erro humano. O artigo 4.º do Regulamento Europeu da IA exige desde fevereiro de 2025 um «nível suficiente de literacia IA» dos colaboradores. Em Portugal, o Código do Trabalho impõe, para os dispositivos de monitorização ou sorveglância, autorização da CNPD nos termos do artigo 20.º.

Esquema do roteiro

[Etapa 1] Cartografar ──► usos reais (oficiais + shadow IT)
       │
       ▼
[Etapa 2] Segmentar ──► Nível 1 / Nível 2 / Nível 3 conforme sensibilidade
       │
       ▼
[Etapa 3] Escolher ferramentas por nível ──► matching ferramenta ↔ nível de risco
       │
       ▼
[Etapa 4] Governar ──► política + AIPD + formação + monitorização contínua
       │
       ▼
[Evolução] revisão anual, alargamento dos casos de uso

O que recusamos prometer

Três antipadrões recorrentes que evitamos na DPLIANCE quando trabalhamos com uma organização cliente portuguesa sobre o seu stack IA.

«Soberania = made in Portugal, ponto.» Falso. A soberania é um continuum sobre cinco dimensões. Uma etiqueta nacional não basta: é preciso verificar sede social, capital, alojamento real, acesso aos pesos do modelo, dependência material. Inversamente, um modelo open-weight norte-americano (Llama 3) implantado em Claranet Portugal pode ser mais soberano do que um modelo «português» cujo alojamento realmente operacional esteja nos Estados Unidos.

«Enquanto o DPF aguentar, o ChatGPT continua utilizável.» Verdadeiro a curto prazo. Arriscado a médio prazo. Os dois enquadramentos anteriores (Safe Harbor, Privacy Shield) foram invalidados. Construir um stack IA apostando que o DPF se manterá dez anos é aceitar um risco de migração de urgência cujo custo oculto excede frequentemente o que se poupou ao escolher o fornecedor norte-americano.

«Vamos passar 100 % a on-premise para sermos 100 % soberanos.» Frequentemente inútil e caro. A maioria das organizações portuguesas não precisa de on-premise em todos os casos de uso. O bom desenho é multinível: cloud soberana (Mistral, Albertina) para a maioria dos usos de negócio, on-premise para os casos sensíveis, fornecedor norte-americano para os raros casos não sensíveis em que o ecossistema específico traz valor. Empurrar tudo para on-premise é pagar caro por um benefício marginal nos usos não sensíveis.

A DPLIANCE é uma editora de software. Quando concebemos uma solução IA à medida, arquitetamos sobre a combinação soberana adaptada ao seu nível de risco — Mistral La Plateforme, Mistral on-premise, Albertina implantada em Claranet ou IP Telecom, ou outro fornecedor soberano europeu conforme o caso. Os nossos servidores e os das soluções dos nossos clientes estão alojados na Europa, em Scaleway France com opções de deployment Claranet PT para as exigências portuguesas específicas.

FAQ

Open-weight, open-source, proprietário — o que muda para a soberania?

Open-source: código e pesos livremente reutilizáveis, modificáveis, redistribuíveis. Open-weight: pesos publicados mas sem garantia completa sobre as condições de reutilização comercial. Proprietário: caixa preta, acessível unicamente via API do fornecedor. Para a soberania, o open-weight é suficiente desde que as condições de licença permitam o deployment on-premise e o fine-tuning interno.

Que iniciativas portuguesas existem para uma IA verdadeiramente soberana?

Quatro iniciativas estruturantes em 2026: Albertina (PORTULAN, INESC-ID e Universidade de Lisboa) primeira família de modelos em português europeu de grande escala, financiada pela ANI; Sabiá (Maritaca AI, Brasil) modelos em português brasileiro; BERTimbau (NeuralMind, Brasil) padrão de facto para embeddings em PT; Mistral (França) adotado massivamente pelas grandes empresas portuguesas. A combinação Mistral + Albertina/Sabiá é hoje o stack mais sólido para soberania real com qualidade produtiva.

O Data Privacy Framework resolve o problema?

Não. O DPF (julho de 2023) torna tecnicamente lícitas as transferências UE-EUA mas continua contestado juridicamente. O TJUE já invalidou dois enquadramentos similares (Safe Harbor 2015, Privacy Shield 2020). O DPF apresenta as mesmas debilidades estruturais: extraterritorialidade do direito norte-americano (Cloud Act, FISA secção 702), ausência de recurso efetivo. A CNPD tem sublinhado a necessidade de avaliações de impacto suplementares.

É necessária uma AIPD para utilizar Mistral ou Albertina internamente?

Uma AIPD é obrigatória para tratamentos de risco elevado nos termos do artigo 35.º do RGPD e da Lei n.º 58/2019 — não pela simples escolha da ferramenta. Redação de emails internos: não obrigatória. Scoring de RH, avaliação de crédito, dados de saúde identificativos, vigilância de trabalhadores: AIPD obrigatória. Em Portugal acresce o Código do Trabalho, artigo 20.º, sobre meios de vigilância à distância. Ver o nosso guia AIPD para projeto IA.

É obrigatória certificação CNCS ou ANSC?

Para a maioria das organizações B2B privadas, não. Os requisitos do CNCS e ANSC são exigíveis para a Administração Pública, operadores de serviços essenciais NIS2 e setores regulamentados. Para comércio, indústria ou serviços, uma cloud europeia sem qualificação CNCS é geralmente suficiente — desde que exista um Contrato de Tratamento sólido e um transfer impact assessment documentado.

Como verificar que um fornecedor é realmente europeu?

Quatro pontos: sede social e residência fiscal, composição do capital (uma filial portuguesa de um grupo norte-americano continua sujeita ao Cloud Act pela casa-mãe), localização efetiva dos dados, ausência de transferência de dados para uma casa-mãe extra-UE para funções de suporte. Uma soberania jurídica real exige os quatro.

Qual é a diferença entre IA soberana e IA on-premise?

IA soberana cobre toda a IA cuja cadeia de ponta a ponta permaneça sob jurisdição europeia ou sob controlo direto da organização. IA on-premise é um modo de deployment específico: a IA corre nos servidores internos. On-premise traz soberania máxima; a cloud soberana traz um bom nível de soberania com um custo operacional mais baixo.

O Cloud Act pode realmente atingir a minha empresa?

Sim, a partir do momento em que um dado pessoal europeu se encontra num fornecedor sujeito ao direito norte-americano. A probabilidade para uma empresa portuguesa média é baixa em 2026, mas não nula. Para a Administração Pública, operadores de serviços essenciais NIS2, empresas estratégicas (Galp, EDP, NOS, MEO, REN, Caixa Geral de Depósitos), segredos industriais e negociações comerciais sensíveis, o risco torna-se operacional.

Fontes: Regulamento (UE) 2024/1689 sobre a Inteligência Artificial (Regulamento da IA); CNPD, deliberações sobre IA e RGPD (cnpd.pt); Lei n.º 58/2019 (lei de execução do RGPD em Portugal); Código do Trabalho, artigo 20.º; CNCS, orientações sobre cloud e IA 2025 (cncs.gov.pt); ANI, Plano Nacional de Inteligência Artificial 2024-2027 (ani.pt); Comissão Europeia, decisão de adequação Data Privacy Framework, 10 de julho de 2023; TJUE, acórdão Schrems II, 16 de julho de 2020 (C-311/18); PORTULAN, documentação Albertina (portulanclarin.net); Maritaca AI, documentação Sabiá (maritaca.ai); Mistral AI, documentação Le Chat Enterprise (mistral.ai); FCT/INCD, supercomputador Deucalion; IDC Portugal, estudo uso IA generativa nas empresas portuguesas 2025.

Para enquadrar uma estratégia IA soberana na sua organização — diagnóstico de uso, escolha de arquitetura multinível, escolha de modelo, integração ao SI, conformidade — ver o nosso comparativo Mistral vs ChatGPT, o nosso guia LLM local em empresa, o nosso guia IA e RGPD, ou contacte-nos através das nossas soluções IA à medida.