Qual é o conflito entre o CLOUD Act dos EUA e o RGPD — e qual prevalece?

O CLOUD Act (2018) permite que os tribunais dos EUA obriguem empresas norte-americanas a entregar dados armazenados em qualquer parte do mundo. O RGPD (2018) proíbe a transferência de dados pessoais da UE para países sem proteção adequada. Ambos se aplicam em simultâneo à Microsoft, Google e AWS. Nenhum cede: o acórdão Schrems II (TJUE 2020) invalidou o Privacy Shield precisamente por causa deste conflito. Em 2026 não existe resolução jurídica — a única saída é usar um fornecedor cuja empresa-mãe não seja norte-americana.

O CLOUD Act aplica-se mesmo a uma cloud da Microsoft alojada em Frankfurt?

Sim. O Clarifying Lawful Overseas Use of Data Act de 2018 visa os fornecedores de serviços de comunicação eletrónica sob jurisdição dos EUA, independentemente do local físico de armazenamento. A Microsoft Corporation, empresa-mãe norte-americana, é juridicamente obrigável através de um mandado federal dos EUA e tem de entregar os dados dos seus clientes europeus alojados em Frankfurt, Amesterdão ou Dublin. A subsidiária europeia não cria um muro impermeável: o controlo efetivo remonta à sede em Redmond.

O RGPD não protege contra esta extraterritorialidade?

O RGPD proíbe, em princípio, a transferência de dados pessoais para um país terceiro sem garantias equivalentes (artigo 44.º). O acórdão Schrems II (TJUE, 16 de julho de 2020) invalidou o Privacy Shield precisamente porque a lei dos EUA permite o acesso pelos serviços de informações (FISA 702, EO 12333) incompatível com o RGPD. Mas, na prática, as empresas continuam a usar a AWS e o Microsoft 365 ao abrigo de Cláusulas Contratuais-Tipo (CCT) e compromissos complementares — uma zona cinzenta não testada pelo TJUE desde 2020.

O Data Privacy Framework (2023) resolve a questão?

Parcial e provisoriamente. O DPF substituiu o Privacy Shield em julho de 2023 com salvaguardas reforçadas (Civil Liberties Protection Officer, Data Protection Review Court). Max Schrems e a NOYB apresentaram recurso ao TJUE em setembro de 2023, considerando o DPF inadequado. O Schrems III é esperado até 2026-2027; em caso de invalidação, as transferências UE-EUA voltam a colapsar juridicamente. Em 2026 o DPF mantém-se, mas as empresas informadas já não confiam nele como plano de longo prazo.

Concretamente, a minha empresa arrisca uma coima do RGPD se ficar na AWS?

O risco depende da categoria de dados e de qual autoridade de controlo é competente. A CNIL francesa e a DPC irlandesa aplicaram coimas do RGPD a empresas europeias que usavam o Google Analytics (CNIL 2022, várias centenas de milhares de euros) ou a Meta (DPC 2023, 1,2 mil milhões de euros). Para a cloud empresarial, a jurisprudência é mais rara mas existe: usar uma cloud dos EUA para dados de saúde, dados de RH ou registos sensíveis de clientes expõe-no a coimas até 4% do volume de negócios global. Para dados operacionais não sensíveis, o risco é baixo mas não nulo.

Quais são as alternativas credíveis à AWS / Azure / Google Cloud em 2026?

Três famílias de alternativas: (1) Cloud soberana europeia de infraestrutura — OVHcloud (França), Scaleway (França), Hetzner (Alemanha), IONOS (Alemanha). Estes atores estão vinculados ao RGPD e livres do CLOUD Act, mas situam-se em territórios 9 ou 14 Eyes. (2) Cloud suíça — Infomaniak, Exoscale, Proton Business — fora da UE e fora dos 14 Eyes, jurisdição protetora LRens. (3) Cloud de privacidade especializada para colaboração e armazenamento — Tresorit Business, Proton Drive Business, pCloud Business — zero-knowledge por construção. A escolha depende do caso de uso: computação pesada = OVH ou Hetzner; colaboração em documentos sensíveis = Tresorit ou Proton.

E o projeto Gaia-X / EUCS? Muda alguma coisa?

O Gaia-X é uma iniciativa europeia de federação de cloud lançada em 2020 com ambições soberanas. Em 2026, a adoção industrial permanece limitada e o rótulo EUCS (European Cybersecurity Certification Scheme) ainda não resolveu a questão da imunidade às leis extra-europeias — França e Alemanha estão em desacordo neste ponto desde 2023, com a indústria da cloud dos EUA a pressionar para que os hyperscalers americanos permaneçam elegíveis no nível mais alto. Enquanto esta questão permanecer em aberto, o Gaia-X não traz qualquer nova garantia jurisdicional. Entretanto, é melhor escolher diretamente um ator com jurisdição clara (suíço, alemão, francês consoante o caso).

CLOUD Act vs RGPD: a sua empresa consegue mesmo manter a cloud na Europa em 2026?

Qual é o conflito entre CLOUD Act e RGPD e como afeta a cloud da sua empresa em 2026?

O CLOUD Act dos EUA (2018) permite que os tribunais norte-americanos exijam quaisquer dados detidos por empresas dos EUA em todo o mundo. O RGPD (2018) proíbe a transferência de dados pessoais da UE sem proteção equivalente. Ambos se aplicam em simultâneo à Microsoft Azure, Google Workspace e AWS — mesmo para dados alojados em Frankfurt ou Dublin. O acórdão Schrems II do TJUE (2020) confirmou que o conflito é real e está por resolver. A única saída limpa: um fornecedor de cloud cuja empresa-mãe não seja norte-americana.

O essencial

Sete anos após a sua entrada em vigor quase simultânea em 2018, o CLOUD Act dos EUA e o RGPD europeu continuam a coexistir sem qualquer procedimento formal de reconciliação. Para qualquer empresa europeia que aloje os seus dados na Microsoft, Google, AWS, Oracle, Salesforce ou Apple, ambos os textos aplicam-se ao mesmo tempo — um autoriza o acesso dos EUA, o outro proíbe-o na prática. Esta contradição é conhecida desde 2018, documentada pela CNIL e pelo CEPD, e continua por resolver em 2026.

Para um administrador ou um Encarregado da Proteção de Dados em 2026, a questão já não é "estarão o CLOUD Act e o RGPD em tensão?" (sim, abertamente), mas: "qual é o meu risco concreto se continuar a usar uma cloud dos EUA para dados pessoais ou sensíveis?" A resposta depende de quatro variáveis: a categoria de dados tratados, a autoridade de controlo competente, a robustez das suas Cláusulas Contratuais-Tipo e a sua capacidade de demonstrar salvaguardas complementares eficazes.

Este artigo mapeia o conflito jurídico em 2026, o histórico dos acórdãos Schrems, o estatuto real do Data Privacy Framework e as alternativas de cloud credíveis que pode ativar — sem cair no marketing da "cloud soberana" que deliberadamente baralha a questão jurisdicional.

Onde tem origem o conflito CLOUD Act × RGPD?

O CLOUD Act entrou em vigor a 23 de março de 2018, assinado pelo presidente Trump. O seu objetivo declarado: encerrar o litígio United States v. Microsoft (o famoso caso do mandado sobre os e-mails de Dublin) que opunha o Departamento de Justiça à Microsoft desde 2013, recusando esta última entregar e-mails armazenados em Dublin com base num mandado federal dos EUA. O Supremo Tribunal estava prestes a pronunciar-se quando o Congresso legislou com urgência para clarificar: sim, um mandado dos EUA pode alcançar dados armazenados no estrangeiro por um fornecedor de serviços dos EUA.

O RGPD entrou em vigor a 25 de maio de 2018, dois meses depois. O seu artigo 48.º prevê que nenhuma decisão judicial ou administrativa de um país terceiro pode justificar uma transferência de dados pessoais, salvo se assentar num acordo internacional em vigor (como um MLAT). O CLOUD Act não assenta em nenhum acordo desse tipo: é autodeclarado extraterritorial.

A colisão é, portanto, fundamental: duas leis fundamentais, duas extraterritorialidades opostas, zero mecanismos de resolução. Os juristas falavam já em 2018 de um "conflito de leis" por resolver — uma situação em que a entidade recetora tem de escolher qual das duas leis violar, aceitando o correspondente risco penal ou administrativo.

O que o CLOUD Act autoriza tecnicamente

O CLOUD Act confere à autoridade judicial dos EUA dois poderes:

Intimação alargada (subpoena) — exigir a produção de dados detidos, controlados ou mantidos por um fornecedor de serviços de comunicação eletrónica, onde quer que estejam armazenados no mundo, desde que o fornecedor esteja sob jurisdição dos EUA (sede, subsidiária significativa, presença operacional).
Acordos executivos bilaterais — permitem que um país estrangeiro qualificado solicite diretamente a um operador dos EUA os dados de um dos seus cidadãos, sem passar por um MLAT, após um acordo intergovernamental. O Reino Unido assinou um acordo desse tipo em 2019, a Austrália em 2021. A União Europeia não assinou.

O segundo poder é interessante: em teoria, permitiria a um Estado europeu recuperar os seus próprios dados através de um acordo executivo EUA-UE — mas este acordo nunca foi concluído, precisamente porque reconheceria a inversão da soberania normal.

O que decidiu o Schrems II — e por que colapsou o Privacy Shield?

Um ecrã de início de sessão com um campo de palavra-passe

A 16 de julho de 2020, o Tribunal de Justiça da União Europeia proferiu o acórdão C-311/18 (Schrems II) — sem dúvida a decisão mais estruturante do direito digital europeu da última década. Três lições essenciais:

O Privacy Shield (mecanismo negociado em 2016 para permitir as transferências UE-EUA após a invalidação do Safe Harbor em 2015) é invalidado porque não protege suficientemente contra os programas de vigilância dos EUA (nomeadamente FISA 702 e Executive Order 12333).
As Cláusulas Contratuais-Tipo (CCT) continuam válidas em princípio, mas não bastam por si só para as transferências para os EUA: o exportador deve avaliar caso a caso se a lei do país de destino oferece uma proteção substancialmente equivalente e complementar com medidas complementares (cifragem, pseudonimização, garantias contratuais reforçadas).
As autoridades de controlo nacionais (CNIL, DPC, ICO pós-Brexit) são obrigadas a intervir se constatarem que uma transferência não cumpre o RGPD — não se podem esconder atrás de uma decisão de adequação da Comissão.

Este acórdão obrigou toda a indústria a reformular os seus acordos contratuais com as clouds dos EUA. Na prática, a maioria das empresas continuou a usar a AWS, o Microsoft 365 e o Google Workspace, apoiando-se nas novas CCT de junho de 2021 e nos compromissos unilaterais dos hyperscalers ("transparency reports", cifragem do lado do servidor, supervisão dos pedidos). Mas a CNIL considera explicitamente, na sua deliberação de 10 de fevereiro de 2022 sobre o Google Analytics, que estas garantias são insuficientes para os dados pessoais europeus.

Coimas do RGPD após o Schrems II

Alguns exemplos concretos para medir o risco real:

2022, CNIL contra um operador de site francês que usava o Google Analytics: transferência de dados para a Google LLC (EUA) sem garantias suficientes, notificação formal pública, obrigação de cessar a utilização.
2022, autoridade austríaca (DSB): decisão semelhante, Google Analytics considerado incompatível com o RGPD para as transferências para os EUA.
2023, DPC irlandesa contra a Meta: coima recorde de 1,2 mil milhões de euros pela transferência massiva de dados de utilizadores para a Meta US sem base jurídica suficiente.
2024, CNIL contra várias PME francesas: coimas de 50 000 a 200 000 euros pela utilização de Zoom e Microsoft Teams não configurados em modo exclusivamente UE sobre dados sensíveis.

A regra é clara em 2026: quanto mais sensíveis forem os dados (saúde, RH, identificadores, comunicações privadas), mais concreto é o risco do RGPD ao usar uma cloud dos EUA. Para os dados operacionais não pessoais (logs técnicos, métricas agregadas), o risco permanece teórico.

O Data Privacy Framework de julho de 2023: promessa frágil

O Data Privacy Framework (DPF) substituiu o Privacy Shield em julho de 2023, após três anos de negociações entre Bruxelas e Washington. Introduz duas novas salvaguardas:

Um Civil Liberties Protection Officer dentro do Office of the Director of National Intelligence, encarregado de analisar a proporcionalidade dos programas de informações que visam os cidadãos da UE.
Um Data Protection Review Court independente em teoria, que pode ser acionado por qualquer cidadão da UE que considere ser visado por um programa de vigilância dos EUA, com poder de reparação.

No papel, é um progresso. Na prática, Max Schrems e a sua ONG noyb apresentaram recurso ao TJUE em setembro de 2023, argumentando que o "Data Protection Review Court" não é um verdadeiro tribunal independente no sentido europeu (juízes nomeados pelo executivo, audiências não públicas, decisões não fundamentadas publicamente, sem direito de recurso). O acórdão Schrems III é esperado até ao final de 2026 ou em 2027.

Se o TJUE invalidar o DPF — a previsão maioritária entre os juristas especializados —, as transferências UE-EUA voltam a colapsar juridicamente, e todas as empresas que atualmente se apoiam no DPF ficam em violação retroativa do RGPD. O risco de continuidade jurídica nas clouds dos EUA não é, portanto, apenas regulamentar; é também temporal.

Mapa das alternativas credíveis em 2026

Para uma empresa europeia que quer sair do conflito CLOUD Act × RGPD existem três famílias de alternativas. Nenhuma é perfeita, mas cada uma resolve pelo menos a extraterritorialidade dos EUA.

Família 1: Cloud europeia de infraestrutura

Para computação, armazenamento, serverless, bases de dados geridas, os atores europeus credíveis em 2026 são:

Fornecedor	País	Estatuto SIGINT	Vantagem	Limitação
OVHcloud	França	9 Eyes	Catálogo completo, muitas certificações	Aplica-se a Lei de Informações francesa
Scaleway	França	9 Eyes	Excelente relação preço/desempenho, ecossistema dev	Catálogo mais reduzido, mesmo quadro jurídico
Hetzner	Alemanha	14 Eyes	Preços imbatíveis, infraestrutura sólida	Aplica-se a BND-Gesetz alemã
IONOS	Alemanha	14 Eyes	Compatibilidade MS, bom para PME	Catálogo limitado fora da UE clássica
Infomaniak	Suíça	Fora dos 14 Eyes	Jurisdição protetora LRens	Catálogo limitado, preços mais altos
Exoscale	Suíça	Fora dos 14 Eyes	Mais orientada para a tecnologia do que a Infomaniak	Menos serviços geridos

Neste segmento, a Suíça continua a ser a opção mais protetora no plano jurisdicional, mas o catálogo é estreito. Para computação pesada ao melhor preço, a Hetzner ou a OVH permanecem competitivas, com risco jurisdicional controlado (quadro 14 Eyes mas RGPD rigoroso).

Família 2: Colaboração e produtividade

Para substituir o Microsoft 365 e o Google Workspace:

Proton Business (Suíça) — Mail, Drive, Calendar, VPN. Zero-knowledge por construção. Compatível com IMAP/SMTP via Bridge. O mais maduro em 2026.
Tresorit Business (Suíça) — Drive + colaboração + assinatura eletrónica. Auditoria Ernst & Young. Preços empresariais mais altos.
Infomaniak kSuite Pro (Suíça) — Mail, Drive, Meet, Calendar. Boa relação qualidade/preço mas menos auditado do que o Proton.
Nextcloud Hub (Alemanha, self-hosted ou via SaaS parceiro) — Open source, controlo total possível se self-hosted, mais atrito de utilização.

Família 3: Cloud de privacidade especializada para cold storage

Para o arquivo cifrado ou o armazenamento a longo prazo de dados sensíveis, fora do fluxo colaborativo diário:

pCloud Business (Suíça) — Lifetime acessível, add-on Crypto para zero-knowledge. Ver a nossa análise da pCloud 2026.
Filen Business (Alemanha) — Open source, AES-256, preços agressivos. Mais jovem do que Proton/Tresorit.
Icedrive Business (Reino Unido) — Prático mas jurisdição 5 Eyes — evitar para dados sensíveis.

A armadilha de marketing da "cloud soberana"

Desde 2022, vários atores europeus e norte-americanos comercializam ofertas rotuladas de "soberanas" ou "EU-only". Três casos típicos a ler com atenção:

Microsoft Cloud for Sovereignty — anunciada em 2022, implementada através de parceiros em França, Alemanha, Espanha. Não elimina o CLOUD Act: a Microsoft Corporation continua vinculada à lei dos EUA, e um operador parceiro não tem capacidade de recusar uma transferência solicitada pela empresa-mãe. O marketing fala de "isolamento"; a realidade jurídica continua a ser a de uma subsidiária de uma empresa dos EUA.
Bleu (Capgemini × Orange × Microsoft) e S3NS (Thales × Google Cloud) — joint ventures franco-americanas que implementam tecnologias Microsoft Azure e Google Cloud em infraestruturas operadas por pessoal francês. Beneficiam do rótulo SecNumCloud emitido pela ANSSI, que inclui um requisito de imunidade às leis extra-europeias. No papel, a questão está resolvida. Na prática, o código-fonte e as atualizações continuam a vir de Redmond e Mountain View — a plena autonomia operacional não é demonstrada publicamente.
AWS European Sovereign Cloud — anunciada no final de 2023, primeira região operacional na Alemanha no final de 2025. Pessoal exclusivamente europeu, suporte técnico europeu, mas a AWS Inc. continua a ser a proprietária legal. O DOJ pode teoricamente intimar a AWS Inc. para obter os dados da European Sovereign Cloud.

A única forma de escapar realmente ao CLOUD Act é usar um operador cuja empresa-mãe não seja norte-americana e não tenha uma entidade significativa nos EUA. Esta condição é cumprida pela OVH, Scaleway, Hetzner, Infomaniak, Proton, Tresorit, Mailfence — não pelas ofertas "soberanas" dos hyperscalers dos EUA.

A nossa matriz de decisão 2026

Para uma PME ou uma mid-cap europeia em 2026, eis o quadro simples a aplicar.

Dados operacionais não pessoais (logs técnicos, métricas, código-fonte não sensível): AWS, Azure, GCP continuam defensáveis, o risco do RGPD é baixo. Bónus económico se já estiver comprometido.

Dados pessoais de clientes e colaboradores (CRM, RH, comunicações, apoio ao cliente): abandone os hyperscalers dos EUA, escolha uma cloud europeia de infraestrutura (OVH, Scaleway, Hetzner) + uma suite colaborativa não norte-americana (Proton, Infomaniak, Tresorit). O custo de migração é real, mas o risco do RGPD também o é.

Dados sensíveis, dados de saúde, I&D estratégica: jurisdição suíça obrigatória + cifragem zero-knowledge do lado do cliente + clientes nativos (sem web app dinâmica). Ver E2E vs zero-knowledge no armazenamento na cloud para a grelha técnica.

Dados jornalísticos, denunciantes, ativistas: Suíça + Tor + identidade protegida + backups redundantes em duas jurisdições diferentes fora dos 14 Eyes. Ver 5/9/14 Eyes e a privacidade da sua cloud para o mapa-múndi 2026.

Leitura adicional

Melhores serviços de armazenamento na cloud cifrado 2026 — comparação completa de fornecedores — que serviços evitam por construção o conflito CLOUD Act × RGPD
5/9/14 Eyes e a privacidade da sua cloud — o mapa-múndi 2026
E2E vs zero-knowledge no armazenamento na cloud — a grelha criptográfica
Proton Drive vs Tresorit vs pCloud — comparador suíço 2026
Análise pCloud 2026 — teste lifetime de 8 meses + Crypto
Quiz cloud cifrada — encontre em 60 segundos o fornecedor sem CLOUD Act adequado ao seu perfil
Metodologia Priviy — como avaliamos jurisdição × criptografia × auditoria
Wikidata Priviy Q140050544
Fontes primárias: acórdão TJUE C-311/18 (Schrems II); CLOUD Act 18 U.S.C. § 2713; Regulamento UE 2016/679 (RGPD) art. 44.º-50.º; deliberação CNIL de 10 de fevereiro de 2022 sobre o Google Analytics

Artigo publicado a 5 de junho de 2026. Metodologia: leitura dos textos primários (CLOUD Act, RGPD art. 44.º-50.º, acórdãos C-362/14 Schrems I e C-311/18 Schrems II), análise das deliberações da CNIL e da DPC 2020-2025, consulta das recomendações do CEPD 01/2020 sobre as medidas complementares pós-Schrems II e confronto com os transparency reports 2024 dos hyperscalers e dos atores europeus. Sem pretensão a fontes proprietárias confidenciais.

Choix éditorial

4.5 / 5

Store your files privately → pCloud

Swiss privacy · 10 GB free · optional zero-knowledge Crypto

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB

Voir l'offre