Soberania de dados avança no mundo e pressiona o mercado de nuvem a rever arquitetura, contratos e governança

A soberania de dados deixou de ser um debate restrito a governos e áreas regulatórias e passou a influenciar diretamente decisões sobre nuvem, inteligência artificial, cibersegurança e proteção de dados pessoais. Relatório da Omdia, repercutido pelo Convergência Digital, indica que esse movimento já alcança mais de 100 países e coloca o Brasil entre as jurisdições com regras mais restritivas, em linha mais próxima ao padrão europeu do que ao modelo norte-americano fragmentado.

Na prática, soberania de dados significa controlar onde a informação é armazenada, quem a processa, sob qual lei ela circula e quais autoridades podem exigir acesso a ela. Esse avanço regulatório eleva custos e complexidade para empresas, especialmente multinacionais, porque exige revisão de contratos, treinamento interno, adequação técnica, novas rotinas de compliance e, muitas vezes, redesign de aplicações e fluxos transfronteiriços de dados.

A Europa é hoje o principal laboratório dessa transformação. O GDPR já restringe transferências internacionais de dados pessoais para fora do Espaço Econômico Europeu sem garantias adequadas, e o EDPB reforçou em 2025 que pedidos de autoridades de países terceiros para acesso a dados devem ser avaliados à luz do artigo 48 e de todo o regime do Capítulo V do GDPR. Além disso, o Data Act, aplicável desde 12 de setembro de 2025, passou a incluir salvaguardas contra acessos governamentais estrangeiros indevidos a dados não pessoais armazenados na UE e fortaleceu regras de portabilidade e troca de provedor em serviços de processamento de dados, com impacto direto sobre o mercado de nuvem.

Esse movimento ganhou forma mais concreta em outubro de 2025, quando a Comissão Europeia publicou o Cloud Sovereignty Framework, um modelo com objetivos de soberania para contratação de serviços em nuvem. Embora não crie sozinho uma definição legal única de “nuvem soberana”, o framework transforma a soberania em critério operacional de aquisição pública e se apoia em referências como Gaia-X, NIS2 e DORA. Em paralelo, iniciativas como o Simpl e os espaços europeus de dados procuram combinar interoperabilidade com controle de acesso, reduzindo dependência tecnológica e jurídica de poucos hyperscalers.

Na França, a ideia europeia de soberania digital já desceu ao nível da implementação. A ANSSI afirma que a qualificação SecNumCloud identifica ofertas “de confiança” recomendadas para proteção de dados sensíveis, e mantém uma lista pública de prestadores qualificados ou em processo de qualificação. O caso francês é relevante porque mostra que soberania digital não se resume a localização física do datacenter: ela também envolve exigências técnicas, operacionais e jurídicas voltadas a reduzir exposição a leis extraterritoriais e a reforçar o controle nacional ou europeu sobre dados críticos.

Nos Estados Unidos, a resposta é diferente. O país continua sem uma lei federal geral de privacidade equivalente ao GDPR, e a regulação segue distribuída por setores e estados. A Califórnia, por exemplo, mantém um dos regimes mais robustos, com direitos do consumidor administrados e regulamentados pela California Privacy Protection Agency no âmbito do CCPA/CPRA.

Ao mesmo tempo, o governo federal vem tratando o tema sobretudo pelo ângulo de segurança nacional: o Department of Justice informa que o Data Security Program entrou em vigor em 8 de abril de 2025 para impedir que países de preocupação acessem, por certas transações, grandes volumes de dados pessoais sensíveis de norte-americanos e dados governamentais relacionados.

Também no setor público norte-americano, a estratégia tem sido endurecer requisitos de segurança e governança sobre nuvem, mais do que impor localização abrangente de dados. O FedRAMP continua sendo o principal mecanismo federal de autorização padronizada para serviços em nuvem, com centenas de serviços autorizados, enquanto a CISA vem exigindo que agências federais identifiquem tenants, apliquem ferramentas de avaliação e alinhem ambientes cloud a práticas seguras. Isso mostra um enfoque mais pragmático e operacional: menos “soberania” como conceito político amplo e mais controle de risco, certificação e resiliência para ambientes críticos.

A relação entre soberania digital e privacidade online é direta. Privacidade não depende apenas de consentimento, aviso de tratamento ou exercício de direitos pelo titular; ela depende também de quem tem poder real sobre a infraestrutura, as chaves de acesso, a cadeia de suboperadores, a auditoria dos fluxos internacionais e a resposta a requisições governamentais estrangeiras. Em outras palavras, sem soberania jurídica, técnica e contratual mínima, a proteção de dados pessoais pode existir no papel e falhar na prática. É exatamente por isso que Europa e Estados Unidos, por caminhos diferentes, passaram a olhar com mais atenção para jurisdição, transferências, segurança da nuvem e controle sobre dados sensíveis.

O efeito sobre o mercado de nuvem é inevitável. Provedores precisarão oferecer mais transparência sobre cadeia de processamento, residência e transferência de dados, modelos de criptografia, segregação operacional, portabilidade e resposta a exigências legais transfronteiriças. Para clientes, especialmente em setores regulados, a escolha da nuvem tende a deixar de ser apenas uma decisão de preço, escala e desempenho e passar a incluir soberania, privacidade e resiliência como critérios centrais de contratação.