A Comissão Europeia deu um passo de gigante na sua estratégia de autonomia digital com a apresentação oficial do Cloud and AI Development Act (CADA).

Integrada no ambicioso Pacote de Soberania Tecnológica da União Europeia, esta ley pretende transformar radicalmente o ecossistema digital europeu, expandindo as infraestruturas críticas e combatendo a asfixiante dependência de gigantes tecnológicos estrangeiros.

Contudo, o caminho para a autêntica soberania dos dados está repleto de desafios regulamentares e lacunas legais. Enquanto Bruxelas celebra este marco legislativo, a indústria — representada por associações como a CISPE (Cloud Infrastructure Services Providers in Europe)— alerta que, se as suas deficiências não forem corrigidas, a normativa corre o risco de se fixar numa simples declaração de intenções.

O que é o CADA?

O CADA nasce com o firme propósito de mitigar a alarmante lacuna na capacidade de computação e centros de dados de que a Europa padece em comparação com potências como os Estados Unidos ou a China.

O objetivo central é claro: triplicar a capacidade informática da UE até ao ano 2030 e garantir que a vaga de inovação em Inteligência Artificial assente em solo e infraestruturas europeias.

Quais são os objetivos do CADA?

Para articular esta mudança, a lei alicerça-se em três pilares fundamentais:

  • Investigação, Desenvolvimento e Inovação (I&D+i): Apoio direto a tecnologias de ponta em cloud e IA industrial e física.
  • Capacidade: Agilização dos morosos trâmites de acesso a energia e terreno para construir centros de dados sustentáveis e eficientes.
  • Autonomia: Introdução de um quadro único de avaliação da soberania da cloud com quatro níveis de garantia (Assurance Levels) para classificar a segurança e o controlo legal dos serviços.

Os Prós do CADA: Um quadro conceptual necessário

Um escudo contra las jurisdições de países terceiros

O maior acerto do CADA é o reconhecimento explícito do risco político e de segurança que a dominância comercial dos fornecedores de cloud extracomunitários representa. Ao estabelecer níveis de soberania robustos (especialmente o Nível 3 e superiores), a Comissão alinha os seus critérios com quadros setoriais exigentes, como o Sovereign and Resilient Cloud Framework da CISPE, blindando legalmente os dados contra ingerências de leis estrangeiras.

Impulso à sustentabilidade e aos dados abertos

A lei propõe desbloquear investimentos e simplificar normativas para que a implantação de infraestruturas críticas responda a critérios de elevada eficiência energética. Além disso, a criação de um ecossistema local forte terá um impacto direto no futuro dos dados abertos (open data), facilitando ambientes seguros e interoperáveis para que as administrações públicas e empresas processem informação estratégica em grande escala sem perder o seu controlo.

As quatro lacunas críticas apontadas pela CISPE

Apesar do otimismo inicial, a análise detalhada da proposta do CADA acendeu os alarmes dos fornecedores de cloud locais. A CISPE manifestou a sua preocupação através de um comunicado de imprensa onde detalha importantes "lacunas" estruturais e omissões na contratação pública que ameaçam desvirtuar a lei.

  1. Inércia e falta de obrigatoriedade na contratação pública: O CADA falha estrondosamente no âmbito da contratação. A normativa atual não obriga as autoridades públicas sequer a avaliar as alternativas europeias antes de adjudicarem contratos milionários a fornecedores estrangeiros. A CISPE recorda que solicitar uma análise prévia de mercado não é uma barreira comercial, mas sim pura "diligência devida" com o dinheiro dos contribuintes. Sem esta obrigação de verificar o que o mercado local oferece, os departamentos de TI continuarão a comprar soluções não soberanas por mero comodismo.
  2. O perigo do "Sovereignty Washing" (Branqueamento de soberania): A proposta gera confusão ao atribuir selos de "soberania" aos Níveis 1 e 2. Segundo a CISPE, os requisitos destes níveis inferiores são tão permissivos que praticamente qualquer fornecedor de hiperescala (hyperscaler) estrangeiro os consegue cumprir. Denominar estes níveis como "soberanos" irá confundir tanto o setor público como o privado, propiciando uma lavagem de imagem enganosa dos fornecedores de fora da UE.
  3. Avaliações ao nível da empresa e não do serviço: O CADA propõe auditar as empresas de forma global em vez de certificar cada serviço de maneira individual. Isto abre as portas para que uma multinacional obtenha um selo genérico e comercialize, sob essa insígnia, serviços específicos que nunca foram auditados. A CISPE exige auditorias transparentes ao nível do serviço para dotar os compradores de métricas e pontuações reais.
  4. Lacunas legais e armadilhas através de intermediários: A classificação complexa do texto deixou um vazio estrutural perigoso: a brecha dos agregadores locais. Um fornecedor estrangeiro não soberano poderia utilizar um distribuidor ou agregador europeu (que cumpra formalmente os critérios) como uma espécie de biombo jurídico para revender os seus serviços de cloud em concursos públicos de Nível 2, 3 ou 4, contornando as restrições diretas de controlo estrangeiro. Da mesma forma, preocupam as lacunas sobre o controlo agregado de acionistas alinhados que possuam menos de 5% do capital.

Por que razão um fornecedor local continua a ser a aposta mais segura

Neste complexo cenário normativo, a verdadeira alternativa de soberania digital não virá das grandes corporações estrangeiras que tentam camuflar os seus contratos, mas sim dos fornecedores de cloud locais e de proximidade. Para as médias empresas europeias, que constituem o motor económico da região, a transição para a nuvem soberana não pode ser uma dor de cabeça burocrática nem um risco de conformidade legal.

O fornecedores locais trazem um valor diferencial insubstituível no novo enquadramento do CADA:

  • Controlo legal absoluto e matriz europeia: Ao operarem sob infraestrutura própria radicada integralmente em solo europeu e sujeita exclusivamente às leis da UE, eliminam de raiz qualquer conflito geopolítico ou de acesso a dados por parte de terceiras potências. Cumprem de forma natural com os máximos níveis de exigência do CADA sem necessidade de complexas arquiteturas de engenharia jurídica.
  • Acompanhamento e flexibilidade face à rigidez dos fornecedores de hiperescala: Uma média empresa não necessita de soluções padronizadas e impessoais, mas sim de flexibilidade. Os operadores locais oferecem proximidade, suporte especializado no seu idioma e a capacidade de desenhar nuvens híbridas e multicloud à medida. Isto evita a dependência de um único fornecedor (vendor lock-in) e garante a agilidade operacional.
  • Garantia perante os vazios da lei: Diante da confusão gerada pelo texto da Comissão Europeia sobre as auditorias e os intermediários, contratar um fornecedor local de confiança oferece a máxima transparência. Não há risco de sovereignty washing; a infraestrutura, a gestão e o suporte técnico são realizados a partir do próprio território.

Conclusão

O Cloud and AI Development Act (CADA) é uma declaração corajosa e um quadro arquitetónico bem orientado para devolver à Europa as rédeas do seu destino digital. No entanto, a Comissão não pode permitir que as ratoiras na letra miúda ou a inércia dos compradores públicos arruínem o espírito da lei.

Para que a soberania tecnológica seja uma realidade e não uma etiqueta de marketing, Bruxelas deve ouvir a indústria e fechar as brechas dos subcontratantes e agregadores, além de exigir obrigatoriamente a consulta de alternativas europeias nos concursos públicos.

Entretanto, o verdadeiro bastião da resistência digital europeia continuará a estar nos fornecedores locais. Apoiar-se em operadores nacionais como a Gigas é a opção mais segura e estratégica para que as médias empresas protejam o seu ativo mais valioso — os seus dados —, impulsionando ao mesmo tempo a economia e a inovação interna da União.

© 2026 Autonomia Digital Europeia. Documento Informativo.