Data Act vs CLOUD Act: quem controla realmente os seus dados na cloud?

O Data Act europeu e o CLOUD Act americano confrontam-se sobre o acesso aos dados armazenados na cloud. Compreender este conflito jurídico, as suas implicações concretas, e por que razão apenas a impossibilidade técnica de acesso garante uma verdadeira soberania.

|

Tempo de leitura: 7 minutos

Data Act vs CLOUD Act: quem controla realmente os seus dados na cloud?

Durante anos, o mundo funcionou com base numa hipótese simples: os dados têm um local de residência físico. Se estivessem num servidor em Dublin, estavam sujeitos ao direito irlandês e europeu. Esta hipótese ruiu em 2018, quando os Estados Unidos adotaram o CLOUD Act, uma lei que confere às autoridades americanas acesso aos dados controlados por empresas americanas, independentemente do local onde esses dados estejam fisicamente armazenados no mundo. Vários anos depois, Bruxelas respondeu com o seu próprio mecanismo de proteção: o Data Act, agora plenamente aplicável, que tenta limitar o acesso extraterritorial de autoridades de países terceiros aos dados detidos na União Europeia.

Eis o que estes dois textos preveem na realidade, onde entram em colisão, e por que razão a única proteção verdadeiramente robusta face a este conflito continua a ser a impossibilidade técnica de acesso.

O CLOUD Act americano: um acesso baseado no controlo, não na localização

O CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adotado em março de 2018, alterou o direito americano ao introduzir o artigo 18 U.S. Code § 2713. Este texto impõe a qualquer prestador de serviços de comunicação eletrónica ou de computação remota que preserve, salvaguarde ou divulgue o conteúdo de uma comunicação ou qualquer registo a ela relacionado, desde que esses dados estejam na sua posse, à sua guarda ou sob o seu controlo, independentemente de esses dados se encontrarem dentro ou fora dos Estados Unidos.

É precisamente esta última cláusula que muda tudo. O critério adotado já não é a localização física do servidor, mas o controlo exercido pela empresa-mãe sobre as suas filiais. Uma empresa americana que opera centros de dados na Europa permanece, portanto, sujeita a requisições americanas, mesmo para dados armazenados integralmente em solo europeu.

O Data Act europeu: uma barreira jurídica ao acesso extraterritorial

O Regulamento (UE) 2023/2854, designado Data Act, entrou em vigor a 11 de janeiro de 2024 e aplica-se plenamente desde 12 de setembro de 2025, com algumas disposições escalonadas até 2026 e 2027. O seu artigo 32.º regula diretamente a questão do acesso governamental internacional aos dados.

O texto estabelece uma regra clara: qualquer decisão ou sentença de um tribunal ou autoridade administrativa de um país terceiro que exija a um prestador de serviços de tratamento de dados que transfira ou dê acesso a dados não pessoais detidos na União Europeia só é reconhecida e executória se se basear num acordo internacional, como um tratado de auxílio judiciário mútuo (AJM), em vigor entre o país requerente e a União, ou entre esse país e o Estado-Membro em causa.

Na ausência de tal acordo, o artigo 32.º prevê uma segunda via, mas estritamente enquadrada: a decisão estrangeira só pode ser executada se o sistema jurídico do país terceiro exigir que o pedido seja fundamentado, proporcionado e suficientemente específico — por exemplo, estabelecendo uma ligação clara com pessoas ou infrações precisas — e se a objeção fundamentada do destinatário puder ser submetida ao controlo de um tribunal competente desse país terceiro.

Uma colisão jurídica direta

O problema é imediato: o CLOUD Act exige uma divulgação baseada no controlo exercido pela empresa-mãe, sem uma condição de proporcionalidade comparável à exigida pelo direito europeu. O Data Act, pelo contrário, subordina o reconhecimento de tal pedido à existência de um acordo internacional ou a garantias processuais precisas. Uma empresa americana que opera na Europa, intimada por uma autoridade americana a transmitir dados alojados na União, fica assim presa entre duas obrigações legais contraditórias: conformar-se com o mandato americano violando o direito da União, ou respeitar o Data Act expondo-se às consequências de uma recusa nos Estados Unidos.

Esta tensão não é teórica. Já foi documentada pelo Tribunal de Justiça da União Europeia (TJUE) em duas decisões maiores, Schrems I (2015) e Schrems II (2020). No acórdão Schrems II, o TJUE considerou que a vigilância americana conduzida ao abrigo da Secção 702 do FISA (Foreign Intelligence Surveillance Act) e da Executive Order 12333 não respeita as garantias mínimas exigidas pelo direito da União ao abrigo do princípio da proporcionalidade, e não pode, portanto, ser considerada como limitada ao estritamente necessário. O Tribunal assinalou igualmente a ausência de uma via de recurso jurisdicional efetiva para as pessoas em causa na União, em violação do artigo 47.º da Carta dos Direitos Fundamentais. Esta decisão invalidou o quadro do Privacy Shield, que até então organizava as transferências de dados entre a UE e os Estados Unidos.

O risco estrutural: Harvest Now, Decrypt Later

Para além do conflito de jurisdições, uma ameaça mais insidiosa pesa sobre os dados alojados em infraestruturas sujeitas ao direito americano: a estratégia denominada Harvest Now, Decrypt Later (HNDL). O princípio consiste, para um serviço de informações ou um ator estatal hostil, em intercetar e armazenar hoje dados cifrados, aguardando capacidades de computação quântica suficientes para os decifrar no futuro.

Esta estratégia transforma qualquer dependência prolongada de uma infraestrutura cloud americana numa dívida de segurança diferida: o que é confidencial hoje pode tornar-se legível daqui a dez ou quinze anos, sem que seja necessária qualquer ação adicional por parte do atacante — apenas tempo e paciência.

Por que razão apenas a impossibilidade técnica constitui uma verdadeira garantia

A análise jurídica converge para uma conclusão partilhada por muitos especialistas em conformidade: por mais sólido que seja o quadro legal do Data Act, permanece um texto que as relações de força geopolíticas e as pressões diplomáticas podem contornar, atrasar ou reinterpretar. A única proteção que não depende de nenhuma negociação futura é a impossibilidade técnica de execução.

Uma arquitetura zero knowledge, em que o prestador não detém nem a posse nem a guarda das chaves de decifração, torna uma requisição materialmente inoperante. Não se pode ser obrigado a entregar o que nunca se possuiu.

É esta a lógica que estrutura ecossistemas como o Arpokrat:

  • Neutralização jurisdicional: a infraestrutura está alojada na Suíça, ao abrigo da lei federal sobre proteção de dados (LPD/FADP), fora do âmbito de aplicação direta da extraterritorialidade do CLOUD Act
  • Ausência de guarda: a arquitetura zero knowledge priva o prestador de qualquer capacidade para entregar chaves ou conteúdos que nunca detém
  • Redução da pegada identitária: ao suprimir a obrigação de registo por número de telefone ou endereço de e-mail — identificadores que a vigilância baseada na Secção 702 do FISA pode rastrear facilmente — o utilizador deixa de ser um assinante identificável para se tornar uma chave criptográfica anónima

A cadeia de custódia não termina na cifragem das mensagens

Um ponto frequentemente subestimado nas análises de conformidade: não basta cifrar o conteúdo de uma comunicação se o sistema operativo subjacente — seja Android ou iOS — continua a capturar metadados ou telemetria ao nível do kernel, com destino a servidores sujeitos à jurisdição americana. A proteção do segredo exige um encerramento completo da cadeia de custódia, do conteúdo até à própria infraestrutura de hardware.

É por esta razão que a soberania digital implica também uma reflexão sobre o sistema operativo utilizado, e não apenas sobre as aplicações de mensagens. Sistemas operativos desgoogalizados, onde módulos como o Bluetooth ou a geolocalização GNSS podem ser desativados diretamente ao nível do kernel, eliminam vetores de ataque físicos que nenhuma cifragem aplicativa consegue compensar.

A criptografia pós-quântica, um horizonte já em curso

Face à ameaça representada pela estratégia HNDL, a adoção de standards de criptografia pós-quântica (PQC) torna-se uma necessidade para quem pretenda garantir a confidencialidade de dados sensíveis a longo prazo — sejam segredos comerciais, correspondência profissional ou dados de saúde. Uma cifragem considerada robusta hoje segundo os standards clássicos não garante que resistirá às capacidades de computação quântica esperadas nos próximos quinze anos.


O conflito entre o Data Act e o CLOUD Act ilustra uma realidade mais ampla: a soberania digital já não pode ser construída exclusivamente sobre textos legislativos, por mais sólidos que sejam. Exige um encerramento da cadeia de custódia a cada nível — do protocolo de cifragem até à jurisdição de alojamento, passando pelo próprio sistema operativo. É esta abordagem por camadas, em vez de uma confiança assente num único quadro regulatório, que define hoje uma verdadeira soberania digital por conceção.