CLOUD Act e dados na UE explicados: a porta dos fundos legal que os fornecedores americanos não conseguem fechar
As empresas americanas de IA falam muito sobre centros de dados na UE, conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) e acordos de processamento de dados herméticos. O que raramente mencionam é o Clarifying Lawful Overseas Use of Data Act (CLOUD Act), uma lei americana que cria uma porta dos fundos legal que nenhum contrato ou localização de centro de dados consegue fechar.
A relação entre o CLOUD Act e os dados na UE está fundamentalmente quebrada. Se está a avaliar ferramentas de IA para o seu negócio europeu (algo com que ajudamos empresas na Dentro), precisa de perceber porque «alojado na Europa» não é o mesmo que «protegido pela lei europeia».
O que o CLOUD Act faz na prática
O CLOUD Act tornou-se lei americana em março de 2018. A versão curta: se é uma empresa americana, tem de entregar dados quando o governo pede. Não importa onde esses dados estão fisicamente armazenados. Os seus servidores podiam estar na lua. Se uma empresa americana controla os dados, as autoridades de aplicação da lei americanas podem exigi-los.
Em 2013, a Microsoft disse «não» aos federais quando estes queriam emails armazenados em servidores na Irlanda. A Microsoft argumentou que os mandados americanos param na fronteira. O caso arrastou-se durante anos e acabou no Supremo Tribunal. Mas antes de o tribunal poder decidir, o Congresso simplesmente mudou a lei. O CLOUD Act deixou cristalino: A jurisdição americana segue a empresa, não a localização do servidor.
Na prática: Microsoft Azure com centros de dados na Alemanha —> aplica-se o CLOUD Act. Amazon Web Services em Estocolmo —> aplica-se o CLOUD Act. Google Cloud na Bélgica —> a mesma história. OpenAI a processar os seus prompts algures na UE —> o mesmo cenário. A localização física dos servidores dá-lhe exatamente zero proteção legal.
E o âmbito é bastante amplo. Estamos a falar de comunicações armazenadas, metadados, documentos, fotografias, basicamente qualquer registo digital. E piora. Ao contrário dos pedidos RGPD em que pelo menos sabe o que está a acontecer, os mandados CLOUD Act vêm frequentemente com chamadas gag orders. O que significa que o fornecedor literalmente não pode dizer-lhe que os seus dados foram acedidos. Sim, a sério.
Porque as alegações de «centro de dados na UE» enganam
«Os seus dados nunca saem da UE», «Totalmente conforme com o RGPD», «Residência de dados europeia garantida». Vê estas alegações em todo o lado. Se quiser verificar por si, experimente o nosso Privacy Policy Analyzer em qualquer ferramenta de IA que esteja a considerar. Podem ser tecnicamente verdadeiras enquanto são profundamente enganosas sobre a sua exposição real.
Residência de dados significa que os seus dados estão armazenados numa localização específica. Só isso. Não diz nada sobre quem pode aceder legalmente a esses dados. Uma empresa americana que opera centros de dados na UE continua a ser uma empresa americana. Os servidores podem estar em Frankfurt, mas as obrigações legais seguem a incorporação no Delaware.
A conformidade com o RGPD é uma questão completamente separada. Quando um fornecedor americano diz que está conforme com o RGPD, quer dizer que segue regras europeias para tratar os seus dados. Não quer dizer que os seus dados estão protegidos do acesso do governo americano. São perguntas diferentes, e o marketing confunde-as deliberadamente.
A confusão não é acidental. Os fornecedores americanos de cloud gastaram anos a construir infraestrutura europeia de centros de dados especificamente para responder a preocupações de «soberania de dados». Fazem campanhas que enfatizam armazenamento local e equipas locais. Tudo isto foi desenhado para o fazer sentir protegido enquanto evita o elefante na sala: a incorporação americana significa que a lei americana continua a aplicar-se.
Os contratos também não ajudam. Um Acordo de Processamento de Dados (DPA) entre si e um fornecedor americano não pode sobrepor-se à lei federal. Quando chega um mandado federal, o fornecedor tem de cumprir ou enfrentar acusações de desobediência judicial. O seu contrato é irrelevante. Cláusulas Contratuais Tipo e outros enquadramentos legais falham perante o mesmo problema fundamental: são acordos privados que não podem sobrepor-se à autoridade governamental.
O conflito legal impossível
Empresas americanas que servem clientes europeus enfrentam um verdadeiro pesadelo legal. O RGPD proíbe transferir dados pessoais para países terceiros sem proteção adequada. O CLOUD Act exige transferir dados para as autoridades americanas quando exigido. Ambas as leis trazem penalidades graves por incumprimento. Não há resolução que satisfaça ambas.
Eis um cenário concreto. Um fornecedor americano de IA armazena os dados dos seus clientes no centro de dados de Frankfurt. O FBI emite um mandado relacionado com um dos seus clientes. O fornecedor enfrenta agora duas más opções: cumprir o mandado e provavelmente violar o RGPD (multas até 20 milhões de euros ou 4% da receita global, o que for maior), ou recusar e enfrentar acusações de desobediência num tribunal federal americano.
Empresas americanas são empresas americanas. Quando forçadas a escolher entre regulamentos europeus e lei federal americana, cumprem o mandado. Podem notificá-lo depois, ou não o fazer de todo porque estão proibidos de o fazer por uma gag order. De qualquer forma, os dados desapareceram.
Alguns fornecedores tentaram soluções criativas. A Microsoft experimentou acordos de «data trustee» na Alemanha onde um parceiro local controlava tecnicamente o acesso. Era complicado, caro e acabaram por descontinuar. Outras empresas experimentaram esquemas de encriptação onde o cliente detém as chaves. Mas isto acrescenta fricção, reduz funcionalidade e é frequentemente abandonado em silêncio quando os clientes se queixam da usabilidade.
O que os riscos de dados CLOUD Act na UE significam para o seu negócio
Pense no que flui através dos seus sistemas de IA e de todo o outro software que usa. Conversas de apoio ao cliente com dados pessoais.
- Documentos internos sobre estratégia e finanças.
- Revisões de contratos com termos confidenciais.
- Dados de RH sobre colaboradores.
- Informação de investigação e desenvolvimento.
- Inteligência competitiva.
Tudo isto e mais torna-se acessível num pedido CLOUD Act.
E se agora pensa «ok, mas o FBI não vai vir atrás de mim de qualquer forma…» – os pedidos nem sempre visam diretamente a si. Os seus dados podem ser apanhados numa investigação de outra pessoa completamente. Um cliente seu sob investigação, um ex-colaborador, um parceiro de negócios. O mandado pode exigir «todas as comunicações envolvendo a pessoa X», e de repente os seus dados empresariais confidenciais estão em mãos federais.
Ao abrigo do RGPD, continua a ser o responsável pelo tratamento do que acontece aos dados pessoais que recolhe. Se o seu fornecedor americano entregar os dados dos seus clientes às autoridades americanas sem base legal válida na UE, pode enfrentar queixas regulatórias e multas. A defesa «mas usámos um fornecedor conforme com o RGPD» não se sustenta. Sabia do CLOUD Act. Escolheu um fornecedor sujeito a obrigações legais conflituantes na mesma.
Para indústrias reguladas, a exposição é ainda mais grave. Dados de saúde, registos financeiros, comunicações jurídicas. Todos estes têm requisitos específicos de proteção ao abrigo da lei europeia. Usar um fornecedor americano para processamento de IA de tais dados significa aceitar que essas proteções podem ser contornadas por um processo que nunca verá e não pode contestar. O seu compliance officer devia fazer perguntas difíceis sobre isto.
A única solução real
Há exatamente uma forma de garantir proteção contra pedidos CLOUD Act: usar fornecedores que não estão sujeitos à jurisdição americana de todo. Não centros de dados na UE operados por uma empresa americana. Não subsidiárias europeias de gigantes tecnológicos americanos. Propriedade e infraestrutura genuinamente europeias de ponta a ponta.
Uma empresa incorporada na Europa, detida por acionistas europeus, sem empresa-mãe americana e sem investidores americanos com direitos de controlo, simplesmente não pode receber um pedido CLOUD Act. A lei não se aplica. Não há conflito a resolver porque não há jurisdição americana a criar um.
Toda a segurança habitual como encriptação e controlos de acesso protege contra hackers e ameaças internas. Não faz nada contra um pedido legal sustentado por autoridade federal. O fornecedor tem as chaves e, quando compelido por lei, usa-as. A única proteção que realmente se mantém é estrutural: estar fora da jurisdição que emitiu o pedido.
Foi exactamente por isso que construímos o DentroChat. Queríamos oferecer o que as alternativas americanas não podem: proteção de dados europeia genuína que não depende de promessas de marketing ou contornos contratuais. Os nossos servidores estão na Alemanha. Os nossos fornecedores de cloud são empresas europeias não sujeitas à jurisdição americana. Não há empresa-mãe americana, nem investidores americanos com direitos de controlo, nem gancho legal que nos coloque no âmbito do CLOUD Act.
Quando usa o DentroChat, o CLOUD Act simplesmente não se aplica. Esses pedidos simplesmente não nos podem ser legalmente dirigidos em primeiro lugar. Fornecedores europeus de IA podem oferecer certeza legal que os fornecedores americanos estruturalmente não conseguem igualar.
O problema fundamental de dados CLOUD Act na UE não se resolve com melhores políticas de privacidade ou contratos mais fortes. Só se resolve escolhendo fornecedores que ficam completamente fora da jurisdição americana. Essa é a única resposta que realmente funciona.