A Estratégia Digital Nacional aprovada pelo Governo em dezembro passado inclui o desenvolvimento de uma cloud soberana para a Administração Pública. Trata-se da Iniciativa 12.3 do Plano de Ação 2025-2026, cuja execução ficou a cargo da ARTE (ex-AMA) que, sobre essa matéria, tem vindo a ouvir diferentes entidades do setor público. À data em que escrevo, foi já anunciada publicamente a preparação de um plano nacional para este projeto. O assunto está a ser, igualmente, debatido em vários círculos da sociedade civil.

O Governo fez bem em inscrever o tema na Estratégia Digital Nacional. Em outubro de 2025, a Comissão Europeia publicou o seu Cloud Sovereignty Framework, que avalia a soberania dos serviços cloud em oito objectivos – da soberania estratégica e de jurisdição à soberania de segurança ou ambiental – e que serviu de base ao concurso de 180 milhões de euros para a aquisição de serviços cloud soberanos pelas instituições europeias. Apesar disso, a Europa não chegou ainda a um verdadeiro consenso sobre o que significa o projeto europeu da cloud soberana. Tanto que o Parlamento Europeu solicitou já que a futura lei europeia sobre cloud e inteligência artificial – o Cloud and AI Development Act, esperado para o primeiro semestre de 2026 – inclua uma definição formal de cloud soberana. Isso significa que, enquanto não existir um quadro europeu, cada Estado-Membro na prática decidirá sozinho.

Ora, há, pelo menos, três problemas que a iniciativa nacional terá de esclarecer. Primeiro, Portugal tem sido um destino atractivo para centros de dados e para empresas que gerem fluxos de dados europeus, por razões que são antes de mais estruturais: energia renovável abundante, conectividade intercontinental (com Sines como ponto de aterragem de cabos submarinos), geografia favorável e disponibilidade de terrenos a custos competitivos. Mas é justo dizer que essa posição de vantagem beneficiou também de um contexto regulatório que não impõe restrições adicionais à circulação de dados – para além das condições de tratamento dos dados decorrentes do Regulamento Geral sobre Proteção de Dados no espaço europeu. Qualquer política de soberania digital que aplique restrições de forma indiscriminada pode enfraquecer as virtudes regulatórias que têm distinguido o país. Isso não significa aligeirar as preocupações soberanas; significa que a nossa política de soberania deverá saber gerir cuidadosamente este equilíbrio entre mobilidade da informação e soberania digital.

O segundo problema é de clareza nos conceitos. Por exemplo, há semanas a AWS lançou em Portugal uma Local Zone integrada na sua “Nuvem Soberana Europeia”; a Google Cloud já tinha anunciado o seu próprio “portfólio de cloud soberana” no país; a IP Telecom prepara uma infraestrutura nacional certificada para informação classificada NATO e UE. Parecem a mesma ideia, mas na verdade são três propostas diferentes, quer em termos de arquitectura, de garantias jurídicas e de modelo de controlo.

Para percebermos porquê, convém notar que o debate público tem tratado como sinónimos três coisas distintas – a localização dos dados, a soberania jurídica sobre os dados e a classificação dos dados de acordo com a sua natureza ou grau de sensibilidade. A localização dos dados é o conceito mais simples: refere-se à exigência de que os dados residam fisicamente em determinado território. Trata-se de um requisito relativamente fácil de verificar, embora seja também o menos robusto: se a empresa que guarda os dados está sujeita a outra jurisdição, os dados ficam expostos a essa jurisdição independentemente de onde os servidores estão instalados.

A soberania dos dados liga-se, por sua vez, com a garantia de que nenhuma autoridade estrangeira consegue aceder a eles fora dos canais de cooperação judiciária previstos no direito europeu e internacional. O conhecido CLOUD Act americano de 2018 permite às autoridades dos Estados Unidos solicitar dados a empresas americanas onde quer que estejam armazenados. Esta tensão extraterritorial com o RGPD europeu, responsável pela saga de sucessivas decisões da jurisprudência Schrems do Tribunal de Justiça que culminou na invalidação de dois acordos de transferência de dados entre a UE e os EUA, não desaparece por força de uma estrutura jurídica local – pode ser atenuada, gerida, mitigada, mas não eliminada por via contratual.

A terceira dimensão é a classificação dos dados. Não existe uma solução cloud válida para tudo: dados de saúde, dados financeiros, informação classificada pelo Estado ou dados relativos a infraestruturas críticas têm regimes jurídicos próprios que determinam, antes de qualquer outra consideração, que tipo de cloud é admissível para cada caso. Sem uma política de classificação clara, qualquer decisão sobre onde guardar o quê acaba a ser tomada caso a caso, e é aqui que a tensão entre mobilidade e soberania se torna concreta.

Segundo relatórios especializados, Portugal tem hoje mais de 2,6 GW de capacidade planeada em centros de dados; o Governo aprovou em abril de 2026 o Plano Nacional de Centros de Dados, que pela primeira vez trata o sector como estratégico. Para além das vantagens estruturais já referidas, a coexistência com um ambiente regulatório aberto contribuiu para colocar Portugal como território aberto à circulação de dados e ao investimento estrangeiro. Uma política de soberania que imponha requisitos indiscriminados – sem distinguir entre as três dimensões que acabámos de separar – pode constituir um retrocesso. Tal como uma política que ignore os riscos de dependência nacional a outras jurisdições também não serve o interesse público.

O terceiro problema é, então, de modelo: que desenho institucional permitirá acomodar estas três dimensões. Na prática, parece-nos que a melhor execução da Estratégia Digital Nacional terá de assentar numa abordagem híbrida, como tem sido a prática das administrações públicas europeias e dos seus modelos em camadas, seguindo uma estratégia rigorosa de classificação de dados: uma infraestrutura nacional certificada para informação classificada e dados de elevada sensibilidade; parcerias com fornecedores globais que ofereçam garantias reforçadas de soberania jurídica e operacional, um pouco à semelhança do que França e Alemanha fizeram com os seus clouds de confiance; e recurso ao mercado aberto para a generalidade dos serviços do Estado. Não por acaso, um dos consórcios vencedores do concurso de cloud soberana da Comissão conta com a participação da S3NS, que é, precisamente, uma joint-venture entre a Thales, um fornecedor europeu, e a Google Cloud.

Em qualquer dos casos, o princípio é o mesmo: mais do que saber se a cloud é ou não soberana, importa o nível de garantia correspondente que irá variar em função da natureza e sensibilidade dos dados. E se isto é assim, o próprio conceito de “cloud soberana” como projecto unitário pode ser, em rigor, um equívoco semântico: não existe uma cloud soberana, existem diferentes níveis de soberania aplicados a diferentes categorias de dados e de informação. Por isso, o que torna este modelo viável é a existência de uma política rigorosa de classificação dos dados que defina, com critérios públicos e verificáveis, o destino dos dados e porquê.

Este é o roteiro indispensável para concretizar a estratégia da cloud soberana. Ou seja: clarificar a coisa por detrás do nome.