O que são exatamente as 5 Eyes, 9 Eyes e 14 Eyes?

As 5 Eyes (FVEY) são a histórica aliança de partilha de intelligence de sinais nascida do acordo UKUSA de 1946: Estados Unidos, Reino Unido, Canadá, Austrália, Nova Zelândia. As 9 Eyes estendem a partilha à Dinamarca, França, Países Baixos e Noruega. As 14 Eyes (grupo SIGINT Seniors Europe) acrescentam a Alemanha, a Bélgica, a Itália, a Espanha e a Suécia. Estes níveis são graduados: um membro das 5 Eyes pode aceder à intelligence em bruto que um membro das 14 Eyes apenas vê em forma sintetizada.

Se a minha cloud estiver alojada em França, quem pode aceder aos meus dados?

A França é membro das 9 Eyes. Em concreto, a DGSE pode exigir o acesso aos dados ao abrigo da lei de intelligence de 2015 (artigos L.851 e seguintes do CSI) e partilha-os com outros membros das 9 Eyes no âmbito de acordos bilaterais. Uma cloud como a OVHcloud, alojada em França, permanece portanto dentro do perímetro das 9 Eyes. Para escapar às 14 Eyes: uma jurisdição fora da aliança — Suíça, Islândia, Panamá, Roménia — ou uma cloud self-hosted em Svalbard (paradoxalmente, apesar do estatuto de 9 Eyes da Noruega, os servidores em Svalbard têm um enquadramento jurídico protetor).

O CLOUD Act dos EUA aplica-se a uma cloud europeia?

Sim, se se tratar de uma filial ou operador cuja empresa-mãe seja americana. A Microsoft Azure, a AWS e a Google Cloud continuam sujeitas ao CLOUD Act (2018) mesmo para dados fisicamente armazenados na Europa — um mandado judicial dos EUA pode obrigar a empresa-mãe a entregar dados. O TJUE invalidou o Privacy Shield em 2020 (acórdão Schrems II) precisamente por causa deste conflito de jurisdição. É por isso que a Proton (Suíça), a Tresorit (Suíça) e a Mailfence (Bélgica) comunicam de forma agressiva sobre a sua jurisdição não americana.

A Suíça está mesmo fora das 14 Eyes?

Sim. A Suíça nunca assinou o acordo UKUSA nem os protocolos do SIGINT Seniors Europe. A lei sobre o serviço de informações (LRens, 2017) autoriza a partilha internacional, mas sob o controlo de um tribunal administrativo federal independente e com um limiar elevado. Na prática, a Proton Mail e a Tresorit publicam relatórios de transparência anuais (Proton 2024: 4920 pedidos estatais recebidos, 2105 parcialmente satisfeitos, 0 entregas de conteúdos cifrados) que demonstram o isolamento operacional. A Suíça continua a ser a jurisdição de referência para a privacidade na cloud em 2026.

A Islândia é mesmo segura para alojar uma cloud?

Sim, por razões jurídicas e geográficas. A Islândia adotou em 2010 a Icelandic Modern Media Initiative (IMMI) — um enquadramento jurídico que protege denunciantes e jornalistas. Combinada com a ausência de uma aliança SIGINT formal e com uma infraestrutura geotérmica que atrai data centers, a Islândia aloja fornecedores como a 1984 Hosting e a OrangeWebsite. Limites: existe uma cooperação informal com as 5 Eyes através da NATO, e o mercado é restrito (poucas ofertas para consumidores). Para uso pessoal: Suíça > Islândia > Panamá, por esta ordem.

Se fizer self-hosting da minha cloud, fico fora de qualquer jurisdição?

Reduz o ângulo de ataque mas não o elimina. Fazer self-hosting de Nextcloud num VPS Hetzner (Alemanha, 14 Eyes) ou OVH (França, 9 Eyes) coloca-o sob a jurisdição do fornecedor do VPS. Para sair realmente das 14 Eyes: um VPS na 1984 Hosting (Islândia), Njalla (Nevis) ou Buyshared (Bulgária, fora das 14 Eyes). Mas o self-hosting implica também a responsabilidade total pela segurança (atualizações, certificados TLS, backups) — uma Nextcloud sem manutenção durante 6 meses torna-se uma porta aberta independentemente da jurisdição.

5/9/14 Eyes e a sua privacidade na cloud: o verdadeiro mapa mundial da vigilância (2026)

Q: O que são as alianças 5 Eyes, 9 Eyes e 14 Eyes — e afetam a privacidade na cloud?

As 5/9/14 Eyes são alianças de partilha de intelligence em níveis graduados. As 5 Eyes (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia) partilham dados em bruto de sinais. As 9 Eyes acrescentam a França, a Dinamarca, os Países Baixos e a Noruega; as 14 Eyes acrescentam a Alemanha, a Bélgica, a Itália, a Espanha e a Suécia. Para a privacidade na cloud: um fornecedor com sede dentro destas alianças pode ser legalmente obrigado a entregar dados, o que se estende aos Estados parceiros.

O que são as 5/9/14 Eyes e porque importam para o armazenamento na cloud?

As 5/9/14 Eyes são alianças de partilha de intelligence em níveis graduados que determinam quais governos podem exigir legalmente os seus dados na cloud. As 5 Eyes (EUA, Reino Unido, Canadá, Austrália, Nova Zelândia) partilham sinais em bruto. As 9 Eyes acrescentam a França, a Dinamarca, os Países Baixos e a Noruega. As 14 Eyes acrescentam a Alemanha, a Bélgica, a Itália, a Espanha e a Suécia. Em 2026, apenas 3 dos 12 fornecedores de cloud mapeados — Proton Drive, Tresorit, pCloud — se situam fora de todas as 14 Eyes, na Suíça.

O essencial

As alianças de intelligence de sinais (SIGINT) 5 Eyes, 9 Eyes e 14 Eyes não são um mito conspirativo nem um segredo de Estado: estão documentadas por grandes fugas de informação (Snowden 2013, Vault 7 em 2017) e confirmadas por declarações oficiais de vários governos signatários. Em 2026, o seu impacto na privacidade na cloud permanece enorme — não porque permitam uma vigilância em massa direta, mas porque determinam que Estado pode obrigar legalmente um fornecedor de cloud a entregar dados cifrados.

A questão para um utilizador atento à privacidade na cloud não é, portanto, «estas alianças existem?» (sim), nem «poderei ser espiado pessoalmente?» (estatisticamente não, se não for um alvo específico), mas: «se o meu fornecedor receber amanhã um pedido legal, que lei se aplica e quantos Estados podem aceder através da partilha de intelligence?» É esta a lógica que desenvolvemos aqui, jurisdição a jurisdição.

Dos 12 fornecedores de privacidade na cloud que mapeámos em maio de 2026, 9 estão alojados ou registados em países das 14 Eyes ou aliados, e apenas 3 — Proton Drive, Tresorit e pCloud (Suíça) — beneficiam de uma verdadeira proteção jurisdicional fora das 14 Eyes. A isto acrescentam-se alguns nichos: 1984 Hosting (Islândia), Njalla (Nevis), Internxt (Espanha, 14 Eyes mas infraestrutura descentralizada).

De onde vêm as alianças 5/9/14 Eyes?

O núcleo das 5 Eyes (FVEY) remonta ao acordo UKUSA de 1946, assinado entre os Estados Unidos e o Reino Unido no final da Segunda Guerra Mundial para continuar a partilhar intelligence intercetada contra a URSS. O Canadá aderiu em 1948, a Austrália e a Nova Zelândia em 1956. Estes cinco países partilham intelligence em bruto — interceções telefónicas, dados de satélite, acesso direto às infraestruturas de telecomunicações.

As extensões das 9 Eyes e das 14 Eyes (por vezes chamadas SIGINT Seniors Europe) são círculos concêntricos menos privilegiados: os membros recebem intelligence filtrada e sintetizada, mas participam ativamente na recolha. Os documentos de Snowden publicados pelo The Guardian e pelo Der Spiegel em 2013-2014 clarificaram as fronteiras:

5 Eyes (FVEY): Estados Unidos, Reino Unido, Canadá, Austrália, Nova Zelândia
9 Eyes: 5 Eyes + Dinamarca, França, Países Baixos, Noruega
14 Eyes: 9 Eyes + Alemanha, Bélgica, Itália, Espanha, Suécia

Para além das 14 Eyes, existem círculos associados «Tier B»: Japão, Coreia do Sul, Singapura, Israel, que partilham ocasionalmente sem pertencerem à aliança formal.

O que estas alianças fazem tecnicamente

Três mecanismos operacionais:

Partilha de bases de dados: XKeyscore e similares, em que cada membro alimenta e consulta.
Contornar os limites internos: se a NSA não pode espiar legalmente um cidadão dos EUA, o GCHQ britânico pode fazê-lo e transmitir — prática documentada e contestada pela ACLU.
Pedidos recíprocos aos fornecedores de cloud: um mandado britânico contra uma cloud dos EUA passa por um canal acelerado (MLAT reforçado).

Para a sua privacidade na cloud, o ponto-chave é o mecanismo 3: se a Microsoft, a Google ou a Apple receber um pedido de um membro das 5 Eyes, a cooperação é quase automática. Se o pedido vier de um membro das 9 ou 14 Eyes, o atraso e o atrito aumentam, mas o resultado continua provável.

Como interage o CLOUD Act com as alianças 5/9/14 Eyes em 2026?

Para além das alianças de intelligence, três textos jurídicos recentes estruturam o acesso à cloud:

CLOUD Act (Estados Unidos, 2018)

O Clarifying Lawful Overseas Use of Data Act autoriza as autoridades dos EUA a obrigar as empresas americanas (ou as que têm uma entidade significativa nos EUA) a fornecer dados independentemente de onde estejam armazenados no mundo. São afetadas a Microsoft, a Google, a AWS, a Cloudflare e a Apple. Um mandado federal dos EUA obriga a empresa-mãe a entregar os dados dos clientes europeus. O TJUE invalidou o Privacy Shield em julho de 2020 (acórdão Schrems II) precisamente porque este CLOUD Act torna incompatíveis o RGPD e o alojamento baseado nos EUA.

Consequência em 2026: usar o Microsoft 365, o Google Workspace ou o iCloud para dados sensíveis viola de facto a sua expectativa europeia de privacidade, independentemente da localização física do data center.

EU Data Act + DSA (União Europeia, 2023-2024)

O EU Data Act (em vigor desde 2024) obriga os fornecedores de cloud estabelecidos fora da UE a designar um representante legal europeu e a cooperar com as autoridades nacionais. Combinado com o Digital Services Act (DSA, 2022) e o Digital Markets Act (DMA), cria uma obrigação de localização para os «dados sensíveis» — sem proibir o CLOUD Act aos atores dos EUA.

Consequência: um ator de cloud pode ser obrigado simultaneamente pelo CLOUD Act dos EUA e pelo EU Data Act, sem procedimento de conciliação. É precisamente a zona cinzenta em que a Microsoft, a Google e a AWS operam desde 2024.

Lei suíça sobre o serviço de informações (LRens, 2017, revista em 2024)

A LRens autoriza o Serviço de Informações da Confederação (SRC) a exigir o acesso aos dados, mas sob três condições cumulativas: autorização prévia de um tribunal administrativo federal, interesse nacional demonstrado, proporcionalidade documentada. Em 2024, o relatório público do SRC menciona 172 pedidos formais, dos quais 43 parcialmente satisfeitos. Nenhuma obrigação extraterritorial.

Esta diferença — um fator de 30 a 50 entre a cooperação dos EUA e a suíça nos volumes de pedidos — explica por que razão a Proton e a Tresorit comunicam ativamente sobre a sua jurisdição suíça desde 2018.

O mapa mundial de 2026: onde pode realmente estar a sua cloud?

País	Estatuto SIGINT	Enquadramento jurídico da cloud	Veredicto de privacidade
Estados Unidos	5 Eyes	CLOUD Act, FISA 702, NSL	Evitar para dados sensíveis
Reino Unido	5 Eyes	Investigatory Powers Act 2016	Evitar (Snoopers' Charter)
Canadá	5 Eyes	Bill C-26 (2024)	Evitar
Alemanha	14 Eyes	BND-Gesetz revista em 2021	Mediano (Hetzner ok para uso padrão)
França	9 Eyes	Lei de intelligence 2015 + LPM 2023	Mediano (OVH ok para dados não sensíveis)
Espanha	14 Eyes	Ley 11/2002 CNI	Mediano
Suíça	Fora das 14 Eyes	LRens 2017 (tribunal independente)	OK — referência
Islândia	Fora das 14 Eyes	IMMI 2010	OK (mercado restrito)
Panamá	Fora das 14 Eyes	Sem lei de conservação de dados	OK (poucas ofertas para consumidores)
Roménia	Fora das 14 Eyes	Lei 506/2004 (ligeira)	OK (data centers económicos)
Nevis	Fora das 14 Eyes	Confidentiality Act 1985	OK (Njalla, VPS especializado)
Noruega (Svalbard?)	Formalmente 9 Eyes	Enquadramento semelhante à LRens em Svalbard	OK com asterisco

Esta tabela considera apenas a lei aplicável ao armazenamento. A lei aplicável à entidade jurídica proprietária do fornecedor conta tanto quanto: a Proton é suíça (✅), a Tresorit é suíça mas foi adquirida em 2021 pelos Correios suíços (✅, Estado neutro, fora das 14 Eyes), a pCloud é suíça (✅), a MEGA tem sede na Nova Zelândia (❌, 5 Eyes), a Internxt é espanhola (14 Eyes mas a infraestrutura descentralizada complica a aplicação legal).

Mitos comuns a descartar

Mito 1: «Se sou honesto, não tenho nada a esconder»

Um argumento falacioso que confunde confidencialidade com ilegalidade. As suas comunicações com o médico, o advogado, o consultor fiscal são legais, mas a sua exposição a um terceiro (empregador, ex-companheiro, seguradora, ator estatal estrangeiro) pode prejudicá-lo concretamente. A privacidade não é opacidade criminosa, é o controlo sobre o perímetro do que se partilha.

Mito 2: «A Alemanha é segura graças ao RGPD»

A Alemanha é membro das 14 Eyes e o BND-Gesetz revisto em 2021 autoriza a agência alemã a intercetar o tráfego que transita pelos data centers de Frankfurt e Berlim sem mandado individual. O RGPD protege os seus dados contra uma utilização comercial abusiva, não contra o acesso da intelligence. Distinção essencial.

Mito 3: «Com uma VPN sou irrastreável»

Uma VPN mascara o seu IP ao site visitado, mas o seu fornecedor de cloud vê os seus uploads, o volume, os horários. Se a cloud não for zero-knowledge (ver armazenamento na cloud E2E vs zero-knowledge), vê também o conteúdo. VPN + cloud não-zero-knowledge = problema deslocado, não resolvido.

Mito 4: «A Islândia é necessariamente segura graças à IMMI»

A IMMI é um enquadramento legislativo progressista, mas a Islândia é membro da NATO e coopera informalmente com as 5 Eyes através desse canal. Para uso por jornalistas/denunciantes, a Islândia continua a ser preferível à Suécia ou à França, mas inferior à Suíça em termos de compartimentação institucional.

Estratégia prática 2026: correspondência jurisdição × ameaça

A escolha da jurisdição depende do seu modelo de ameaça:

Ameaça competitiva/comercial (espionagem industrial básica): a Alemanha, a França e os Países Baixos bastam — o seu enquadramento jurídico complica o acesso não autorizado.
Ameaça de vigilância estatal estrangeira (cidadão dos EUA que receia a NSA, cidadão francês que receia a DGSE): Suíça obrigatória, Islândia aceitável.
Ameaça de vigilância estatal interna (ativista, jornalista, denunciante perante o próprio Estado): Suíça + serviço zero-knowledge + clientes nativos + acesso Tor.
Ameaça pós-quântica (a longo prazo, cifragem decifrável amanhã): fornecedor que implementa a PQC híbrida (a Proton Mail fá-lo desde 2024 com Kyber-768 + X25519). Aqui a jurisdição conta menos, conta mais o modelo criptográfico.

Esta correspondência é o que a metodologia Priviy aplica sistematicamente a cada fornecedor testado: avaliamos separadamente jurisdição, modelo criptográfico, auditoria independente e resiliência operacional. Nenhum fornecedor maximiza as 4 dimensões — tem de definir prioridades em função da sua ameaça.

O nosso veredicto 2026

Para a maioria dos utilizadores atentos à privacidade na cloud em 2026, a combinação vencedora é:

Fornecedor suíço (Proton Drive por predefinição, pCloud Crypto se quiser uma solução lifetime)
Cifragem do lado do cliente zero-knowledge verificada por auditoria independente
Cliente desktop/móvel nativo em vez de aplicação web
Chave de recuperação em papel guardada offline

Para perfis de alto risco, acrescente:

Acesso via Tor ou VPN multi-hop
Separação rigorosa entre a identidade pública e a identidade protegida
Backups redundantes em duas jurisdições diferentes fora das 14 Eyes

A verdadeira vantagem de compreender as alianças 5/9/14 Eyes não é tornar-se paranoico: é saber ler a comunicação de marketing de um fornecedor. Quando a pCloud escreve «swiss-based servers», é um argumento jurisdicional verificável. Quando a Dropbox escreve «os seus dados estão seguros», é uma promessa contratual sem fundamento jurisdicional. A diferença é exatamente o que separa a privacidade na cloud fiável da privacidade na cloud de marketing.

Para definições rápidas dos termos-chave usados neste artigo — jurisdição, CLOUD Act, RGPD, Five Eyes, LPD suíça, residência de dados — consulte o nosso glossário de cloud cifrada e privacidade.

Ler a seguir

Melhores serviços de armazenamento na cloud cifrada 2026 — ranking completo dos fornecedores suíços e fora das 14 Eyes — quais fornecedores obtêm a melhor pontuação na combinação jurisdição + zero-knowledge
E2E vs zero-knowledge no armazenamento na cloud — a contraparte criptográfica deste artigo
Quiz de comparação de cloud cifrada — encontre o seu fornecedor ideal em 60 segundos — jurisdição, zero-knowledge, orçamento: 5 perguntas, 1 recomendação personalizada
Análise pCloud 2026 — fornecedor suíço, 8 meses de lifetime + teste Crypto
Metodologia Priviy — como avaliamos jurisdição × criptografia × auditoria
Priviy Wikidata Q140050544
Referência académica: EFF Surveillance Self-Defense (https://ssd.eff.org/)
Fontes primárias: arquivos Snowden do The Guardian 2013-2014; relatório do SRC suíço 2024; acórdão Schrems II do TJUE (C-311/18)

Artigo publicado a 4 de junho de 2026. Metodologia: análise dos textos jurídicos primários (UKUSA 1946 desclassificado, CLOUD Act 2018, EU Data Act 2024, LRens suíça 2017), cruzados com os relatórios de transparência 2023-2024 da Proton, Tresorit, pCloud, MEGA, Mailfence; verificação do estatuto SIGINT através de documentos Snowden arquivados (The Guardian, Der Spiegel). Sem pretensão de fontes classificadas próprias. Registos e notas arquivados internamente.

Choix éditorial

4.5 / 5

Store your files privately → pCloud

Swiss privacy · 10 GB free · optional zero-knowledge Crypto

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre