Voltar aos artigos
Souveraineté
Soberania Cloud PME RGPD GAFAM

Soberania digital: desafios e soluções para as PME

19 de novembro de 2025 11 min de leitura DPLIANCE

Soberania digital: desafios e soluções concretas para as PME

83% das despesas em cloud e software das empresas europeias beneficiam atores americanos. Este número, revelado pelo Cigref e retomado em Conselho de Ministros em junho de 2025, resume a amplitude do problema.

A AWS, a Microsoft e a Google controlam entre 70 e 80% dos serviços cloud em França. Os seus emails, os seus ficheiros, os seus dados de clientes, o seu analytics, as suas ferramentas colaborativas: a probabilidade de que o essencial transite por uma infraestrutura americana é esmagadora.

A soberania digital não é um conceito reservado aos grandes grupos ou aos discursos políticos. É uma questão estratégica para cada PME que depende de ferramentas que não controla.

O que é a soberania digital?

A soberania digital designa a capacidade de um Estado, de uma organização ou de um indivíduo de controlar os seus dados, as suas infraestruturas e as suas ferramentas digitais. É a ideia de que as decisões relativas aos seus dados devem permanecer nas suas mãos — não nas de um governo estrangeiro ou de uma empresa sujeita a uma jurisdição que não controla.

As três dimensões da soberania

  1. Soberania dos dados: onde estão armazenados os seus dados e quem pode aceder-lhes? O CLOUD Act americano permite às autoridades dos EUA exigir o acesso aos dados de qualquer empresa americana, independentemente do local de armazenamento.

  2. Soberania tecnológica: as suas ferramentas baseiam-se em tecnologias que pode auditar, substituir ou fazer evoluir? Ou encontra-se num aprisionamento (lock-in) do qual já não consegue sair?

  3. Soberania jurídica: que direito se aplica aos seus dados? O direito europeu (RGPD)? Ou o direito americano (FISA, CLOUD Act) que poderia prevalecer na prática?

Estas três dimensões são interdependentes. Um dado alojado na Europa mas acessível através de um software americano sujeito ao CLOUD Act não é soberano. Um software europeu alojado na AWS também não é plenamente soberano. A soberania real exige o controlo simultâneo dos dados, da tecnologia e do quadro jurídico.

Porquê agora?

As tensões geopolíticas entre a Europa e os Estados Unidos tornaram o tema urgente. A política comercial americana, as incertezas em torno do EU-US Data Privacy Framework e a dependência estrutural da Europa face aos GAFAM convergem para criar um risco sistémico.

Em junho de 2025, Clara Chappaz, ministra francesa do Digital, lançou um convite a projetos dotado de várias dezenas de milhões de euros para impulsionar uma alternativa europeia aos GAFAM, com o objetivo de duplicar a quota de mercado dos clouds franceses até 2030.

O contexto geopolítico mudou as regras do jogo. Os direitos aduaneiros impostos pelos Estados Unidos sobre os produtos europeus, as ameaças de sanções económicas e a instrumentalização potencial das tecnologias digitais como alavanca de pressão política transformaram a soberania digital de um tema académico num desafio operacional imediato. Em Portugal e nos restantes países da UE, esta realidade é igualmente sentida, com uma crescente consciencialização para a necessidade de alternativas europeias.

Por que razão as PME são afetadas

A dependência invisível

A maioria das PME não se apercebe da extensão da sua dependência:

  • Analytics: Google Analytics (servidores nos EUA, CLOUD Act aplicável)
  • Email: Gmail / Microsoft 365 (dados em servidores americanos)
  • Armazenamento: Google Drive / OneDrive / Dropbox (idem)
  • CRM: HubSpot, Salesforce (empresas americanas)
  • Site web: Cloudflare, AWS, Vercel (infraestrutura americana)
  • Gestão de projetos: Notion, Monday, Asana (empresas americanas)
  • Contabilidade: certos softwares SaaS são alojados fora da Europa
  • Comunicação interna: Slack, Microsoft Teams (empresas americanas)

Cada uma destas ferramentas constitui um ponto de vulnerabilidade: jurídica (transferências para fora da UE), operacional (se o serviço for suspenso ou modificado unilateralmente) e estratégica (os seus dados alimentam o ecossistema de um potencial concorrente).

O risco de suspensão de serviço é real. Em 2022, a Adobe suspendeu os seus serviços na Venezuela na sequência de sanções americanas. Em 2024, empresas russas perderam o acesso aos seus dados alojados em serviços cloud americanos de um dia para o outro. Estes precedentes mostram que a dependência tecnológica pode transformar-se em vulnerabilidade operacional crítica em caso de mudança de política externa.

Os riscos concretos

  • Risco jurídico: não conformidade com o RGPD para transferências de dados para fora da UE. As coimas podem atingir 20 milhões de euros ou 4% do volume de negócios mundial.
  • Risco geopolítico: uma mudança de política americana pode afetar de um dia para o outro as condições de acesso aos seus dados ou às suas ferramentas.
  • Risco operacional: dependência de um fornecedor que pode modificar os seus tarifários, condições ou funcionalidades sem o seu acordo.
  • Risco concorrencial: os concursos públicos e as grandes empresas exigem cada vez mais um alojamento soberano. Não poder garanti-lo exclui-o destes mercados.
  • Risco de lock-in: quanto mais investe num ecossistema proprietário (Google Workspace, Microsoft 365), mais a migração se torna dispendiosa e complexa. O aprisionamento intensifica-se com o tempo.

As iniciativas francesas e europeias

Estratégia cloud do governo francês

A 12 de junho de 2025, o governo estruturou a sua estratégia em torno de quatro eixos:

  1. Cartografar as dependências através de um Observatório da soberania digital
  2. Proteger os dados através do referencial SecNumCloud da ANSSI
  3. Investir no ecossistema francês e europeu
  4. Privilegiar o software livre

O software livre como pilar de soberania. A utilização de software open source permite auditar o código, verificar a ausência de portas traseiras, fazer fork do projeto em caso de mudança de direção do mantenedor e construir competências locais. O governo francês fez do software livre um eixo estratégico da sua política digital, com a criação do plano de ação para software livre e bens comuns digitais.

SecNumCloud

O referencial SecNumCloud da ANSSI (agência francesa de segurança informática) certifica os prestadores cloud que oferecem as mais altas garantias de segurança e de soberania. A certificação impõe a localização dos dados em França, a imunidade às leis extraterritoriais, o controlo de acessos e auditorias regulares.

Em dezembro de 2025, a S3NS (joint venture Thales / Google Cloud) obteve a certificação SecNumCloud 3.2. A OVHcloud e outros atores franceses são igualmente certificados.

Gaia-X

Iniciativa franco-alemã lançada em 2019, a Gaia-X visa criar um quadro de confiança para os ecossistemas de dados europeus. Em novembro de 2025, o Trust Framework 3.0 “Danube” foi publicado, fornecendo a base técnica para espaços de dados soberanos e interoperáveis.

Mais de 180 espaços de dados estão em fase de implementação. A Cloud Temple, a OVHcloud, a OPIQUAD e a Seeweb figuram entre os primeiros serviços certificados Gaia-X Label nível 3.

LaSuite numérique

A LaSuite, a suite de ferramentas colaborativas soberanas do governo francês, é um exemplo concreto de soberania em ação: mensagens, videoconferência, edição colaborativa — tudo alojado em França, baseado em software livre. Tchap para as mensagens, Webinaire para a videoconferência e vários outros módulos constituem uma alternativa credível às soluções americanas para o setor público.

O Digital Markets Act (DMA)

Entrado em aplicação em março de 2024, o DMA impõe aos “guardiões de acesso” (gatekeepers) digitais — entre os quais Apple, Google, Microsoft, Amazon e Meta — obrigações de lealdade, de interoperabilidade e de não discriminação. É uma alavanca indireta mas poderosa para a soberania digital: ao limitar as práticas anticoncorrenciais dos gigantes americanos, o DMA cria espaço para as alternativas europeias.

Como pode uma PME tornar-se soberana concretamente

A soberania não se constrói num dia. Mas constrói-se tijolo a tijolo, começando pelos serviços mais expostos.

Etapa 1: Analytics

Substituir o Google Analytics pelo Mirage Analytics

É frequentemente a mudança mais simples e mais rápida. Um snippet a substituir, zero cookies, zero rastreadores persistentes, dados alojados na Europa na Scaleway. Como bónus: deixa de necessitar de banner de consentimento para o analytics.

Etapa 2: Gestão de cookies

Implementar o Cookilio como CMP

A sua plataforma de gestão do consentimento deve ela própria ser conforme e soberana. O Cookilio é alojado na Europa, conforme com as recomendações das autoridades de proteção de dados e propõe a recusa ao mesmo nível que a aceitação.

Etapa 3: Auditoria de conformidade web

Automatizar a auditoria com o Complio

Verificar que o seu site web não carrega rastreadores de terceiros não declarados, que a sua política de privacidade está atualizada, que os seus cookies estão corretamente categorizados. O Complio fá-lo automaticamente, com uma IA europeia (Mistral).

Etapa 4: Alojamento

Migrar para um cloud europeu

Scaleway, OVHcloud, Clever Cloud, Infomaniak: as alternativas existem, estão maduras e são competitivas. Comece pelos serviços mais sensíveis (bases de dados de clientes, ficheiros confidenciais).

Etapa 5: Ferramentas colaborativas

Explorar as alternativas aos GAFAM

  • Email: Infomaniak, ProtonMail, Mailo
  • Armazenamento: Nextcloud (auto-alojado ou junto de um prestador europeu)
  • Videoconferência: BigBlueButton, Jitsi
  • Escritório: OnlyOffice, Collabora Online
  • Mensagens instantâneas: Element (Matrix), Rocket.Chat
  • Gestão de projetos: Wekan, OpenProject

Etapa 6: Sensibilização interna

Formar as suas equipas para a soberania digital

A migração técnica não é suficiente se os colaboradores continuam a utilizar o Google Drive para partilhar ficheiros de clientes ou o WhatsApp para comunicar informações sensíveis. A sensibilização é um pilar frequentemente negligenciado da démarche de soberania.

O custo real da soberania

O argumento do custo é sistematicamente avançado para justificar a inação. Contudo, a realidade é mais matizada.

O que a soberania não custa mais

  • Analytics: o Mirage Analytics começa a 19 EUR s/IVA/mês. O Google Analytics é “gratuito”, mas paga com os dados dos seus utilizadores.
  • Cloud: os tarifários da Scaleway e da OVHcloud são competitivos com os da AWS e da Azure, ou até inferiores para certas utilizações.
  • Email: a Infomaniak propõe caixas de email profissionais a tarifários equivalentes ao Microsoft 365.
  • CMP: o Cookilio é competitivo com os CMP americanos como o Cookiebot (Usercentrics).

O que a ausência de soberania custa

  • Custos de conformidade com o RGPD para documentar e enquadrar as transferências para fora da UE
  • Risco de coima em caso de controlo da autoridade de proteção de dados
  • Exclusão de concursos públicos ou de clientes grandes contas que exijam alojamento soberano
  • Dependência estratégica de atores cujos preços, condições e perenidade não controla
  • Custo de uma migração de urgência se o EU-US Data Privacy Framework for invalidado

A soberania digital não é mais cara. É a dependência que custa caro — simplesmente não se vê na fatura.

FAQ

A soberania digital é compatível com o crescimento de uma PME?

Absolutamente. A soberania não é um travão, é uma vantagem competitiva. Abre o acesso a concursos públicos e a grandes contas que exijam alojamento europeu, e protege contra os riscos jurídicos e geopolíticos que poderiam bloquear a sua atividade. As empresas que investem na soberania digital posicionam-se como parceiros de confiança num contexto em que a proteção de dados se tornou um critério de seleção comercial.

É possível ser soberano e utilizar certas ferramentas americanas?

Sim, desde que tenha cartografado os riscos e limite a utilização de ferramentas americanas a dados não sensíveis. A prioridade é tornar soberanos os dados mais críticos: dados de clientes, dados de saúde, dados financeiros, analytics. Para as ferramentas que não tratam dados pessoais ou sensíveis, a escolha pode ser feita com base noutros critérios (funcionalidade, ergonomia, custo).

O cloud soberano é tão performante como a AWS ou a Google Cloud?

Para a imensa maioria das utilizações PME (alojamento web, bases de dados, armazenamento), os desempenhos são equivalentes. Os hyperscalers americanos oferecem uma vantagem em serviços muito específicos (machine learning em grande escala, serviços geridos avançados), mas estas necessidades raramente dizem respeito às PME. Para um site web, uma aplicação de negócio ou uma base de dados, a Scaleway ou a OVHcloud oferecem desempenhos idênticos com uma latência frequentemente inferior para os utilizadores europeus.

Como convencer a minha direção a passar ao soberano?

Três argumentos: o risco jurídico (coimas RGPD, transferências para fora da UE), o risco comercial (exclusão de concursos públicos que exijam alojamento europeu) e o risco geopolítico (instabilidade do EU-US Data Privacy Framework). Tudo isto por um custo equivalente ou inferior. Acrescente o precedente das invalidações sucessivas do Safe Harbor e do Privacy Shield para mostrar que este risco não é teórico.

A DPLIANCE é um alojador cloud?

Não. A DPLIANCE é um editor de soluções Data e IA soberanas. Concebemos ferramentas — Mirage Analytics, Cookilio, Complio — que são alojadas na Europa na Scaleway. Não vendemos alojamento, integramo-lo nos nossos produtos.

Por onde começar concretamente?

Pelo analytics. Substituir o Google Analytics pelo Mirage Analytics demora poucos minutos, custa apenas 19 euros s/IVA por mês e elimina imediatamente uma transferência de dados para os Estados Unidos. É a vitória rápida que lança a dinâmica de soberanização.

Fontes: Cigref — Relatório sobre a dependência cloud europeia, Governo francês — Estratégia cloud, Gaia-X — Trust Framework 3.0, ANSSI — SecNumCloud. Artigo atualizado a 25 de março de 2026.

Escreva-nos

contact@dpliance.com
Fale conosco