Debate sobre Soberania na Nuvem Reacende em Bruxelas: CISPE Critica Novo Marco da UE
A discussão sobre a soberania na nuvem voltou a ganhar destaque em Bruxelas, após a publicação de um posicionamento crítico pela CISPE, a associação europeia de provedores de infraestrutura em nuvem. A organização argumenta que “um serviço de nuvem é soberano ou não é”; a noção de um “75% soberano” é inaceitável, da mesma forma que um alimento não pode ser “75% ecológico”. A CISPE acredita que o novo EU Cloud Sovereignty Framework, desenvolvido pela Comissão Europeia, introduz uma “pontuação de soberania” que mistura critérios inatingíveis com outros vagos, permitindo que grandes empresas estrangeiras mantenham o status quo sob a alegação de soberania.
O marco envolve uma ferramenta de avaliação que a Comissão vinculou aos processos de contratação pública, medindo o desempenho dos fornecedores em oito objetivos de soberania, incluindo segurança, transparência e conformidade regulatória. O objetivo declarado é promover a contratação de serviços que atendam melhor às leis europeias.
Segundo a CISPE, misturar critérios heterogêneos leva a opacidade, dificultando a identificação de serviços realmente soberanos e prejudicando a competição, especialmente entre pequenos e médios provedores que podem ser superados por grandes empresas globais. A CISPE defende que a soberania deve ser uma questão binária e territorial, e que não pode ser a única opção no mercado, dada a necessidade de organização com demandas globais.
A organização sugere a utilização de um “selo ecológico” já disponível em Gaia-X Nível 3, que estabelece padrões altos de proteção de dados e controle europeu. Para atender à realidade multinacional, a CISPE também propõe duas novas etiquetas em seu Cloud Services Catalogue: a Sovereign Cloud, que garante imunoidade total contra interferências estrangeiras, e a Operationally Resilient Cloud, voltada para clientes que precisam de níveis verificáveis de controle fora da Europa.
O debate acontece em um contexto político e regulatório complicado, onde a Comissão já relaxou alguns requisitos de soberania em 2024, permitindo a entrada de provedores não europeus em contratos sensíveis. Com a chegada de novos marcos de contratação em 2025 que incluem pontuações de soberania, perguntas emergem: essas medidas realmente promovem a autonomia europeia ou simplesmente mascaram uma falta de controle efetivo?
Os responsáveis tecnológicos, como CIOs e CISOs, são aconselhados a definir claramente os requisitos de soberania, exigindo certificações robustas e evitando o “box-ticking” com promessas vagas. Com essa abordagem, organizações de diferentes setores poderão fazer escolhas informadas sobre serviços soberanos ou resilientes, evitando confusões entre as categorias.
À medida que o EU Cloud Sovereignty Framework começa a ser aplicado, o impacto da pontuação de soberania e sua capacidade de promover transparência continuam sendo questões críticas para o futuro da governança de dados na Europa.
