Soberania digital em 2026: porque a escolha de cloud é uma decisão de risco

A conversa sobre soberania digital mudou de tom em 2026. Já não é uma preocupação académica de juristas - é uma decisão operacional que cada CIO português está a tomar quando assina o próximo contrato de cloud.

Três forças coincidiram este ano:

O EU Data Act entrou em vigor a 12 de janeiro de 2026. Obriga fornecedores a permitir saídas sem fricção e a evitar dependências técnicas que tornem a portabilidade impossível. Quem desenhou arquitetura à volta de serviços proprietários de um único hyperscaler tem agora janela para auditoria.

O NIS2 está em aplicação ativa. Setores antes não regulados - produção, distribuição, gestão de resíduos, serviços postais - passaram a ter deveres de cibersegurança equivalentes aos do setor financeiro. A entidade responsável em Portugal (CNCS) está a notificar entidades visadas.

O US CLOUD Act continua a permitir que agências americanas requeiram acesso a dados em poder de fornecedores americanos - mesmo quando esses dados estão armazenados na Europa. As "sovereign cloud" da AWS e Microsoft que abriram em 2026 reduzem a exposição operacional mas não eliminam a exposição jurídica.

A consequência prática? A pergunta deixou de ser "AWS ou Azure?" e passou a ser "para este workload, qual é a combinação certa entre hyperscaler americano e cloud soberana europeia?".

O que isto muda na prática

Para cargas com dados pessoais sensíveis de cidadãos europeus, dados de saúde, ou propriedade intelectual estratégica, o cálculo de risco mudou. Mesmo que o desempenho técnico do hyperscaler seja superior, a exposição jurídica entrou na equação.

Para cargas commodity - websites, ferramentas internas sem dados sensíveis, ambientes de teste -os hyperscalers americanos continuam a ser a escolha pragmática. Não há aqui ideologia: há análise por workload.

O que estamos a fazer com os nossos clientes

Estamos a desenhar arquiteturas híbridas onde a sensibilidade dos dados manda. Workloads que processam dados pessoais ou que estão sujeitos a NIS2 vão para OVHcloud (SecNumCloud), IONOS (C5/IT-Grundschutz) ou T-Systems. Workloads sem essa exposição continuam onde estão hoje.

Mais importante do que a escolha de fornecedor é a portabilidade. O Data Act dá-nos o direito; cabe ao desenho de arquitetura tornar esse direito exercível na prática. Infraestrutura em Terraform, contentores OCI, observabilidade aberta (OpenTelemetry), bases de dados sem extensões proprietárias. Se conseguir migrar em quatro semanas, está soberano.