Cloud Act e IA generativa: quem realmente decide onde seus dados ficam armazenados?
Você cola um documento confidencial no ChatGPT ou no Copilot. Um rascunho de contrato, uma tabela de margens, um memorando estratégico. Esta noite, esse documento está em um servidor americano. E o sistema judiciário americano pode acessá-lo, mesmo que esteja fisicamente armazenado na Europa. Isso tem um nome: Lei da Nuvem (Cloud Act).
Já vi executivos descobrirem essa realidade no meio de negociações. Tarde demais para levantar a questão da hospedagem. A soberania dos dados não é responsabilidade do departamento de TI; é uma decisão da liderança, assim como escolher um banco ou uma seguradora. Eis o porquê e, mais importante, o que fazer.
A Lei da Nuvem, aquela lei que ninguém lê antes de colar um documento em um chatbot.
Principais conclusões
- A Lei da Nuvem (Cloud Act, 2018) permite que as autoridades dos EUA exijam dados mantidos por qualquer provedor sujeito à legislação dos EUA, mesmo que armazenados na Europa, sem aviso prévio. ChatGPT, Copilot, Gemini e Claude são afetados.
- O artigo 48.º do RGPD opõe-se, em princípio, a estas divulgações, mas é a sua empresa, enquanto responsável pelo tratamento dos dados, que é responsável pelas transferências ilícitas: até 20 milhões de euros ou 4 % de volume de negócios global.
- Em 17 de abril de 2026, a Comissão Europeia atribuiu o seu contrato de computação em nuvem soberana (180 milhões de euros, com duração de 6 anos) a quatro grupos europeus — nomeadamente a OVHcloud, a Scaleway e a STACKIT — com base num quadro de referência de soberania (SEAL) reutilizável por qualquer empresa.
- A IA não declarada é massiva: 61% dos funcionários usam IA por meio de contas pessoais; 54% das ferramentas não declaradas coletaram dados sensíveis.
- Três decisões de gestão: classificar os dados por nível de sensibilidade, reservar a rede soberana ou local para dados estratégicos (Mistral, hospedagem SecNumCloud, implementação local) e manter a arbitragem a cargo do Comitê Executivo.
O que o texto diz, sem jargões.
A Lei de Esclarecimento do Uso Legal de Dados no Exterior (Clarifying Lawful Overseas Use of Data Act) foi aprovada pelo Congresso dos EUA em 23 de março de 2018. Ela altera a Lei de Comunicações Armazenadas de 1986 (Stored Communications Act) e resolve um problema antigo do FBI: como obter dados mantidos no exterior por uma empresa americana sem passar pelos procedimentos lentos da assistência jurídica mútua internacional.
A resposta pode ser resumida em uma frase: as autoridades americanas podem exigir que um provedor sujeito à legislação dos EUA entregue os dados que detém ou controla, independentemente de onde esses dados estejam armazenados. Servidor em Frankfurt, data center em Paris, região de nuvem na "Europa Ocidental": não importa. O que conta é a nacionalidade legal do provedor, não a localização geográfica das máquinas.
Dois pontos-chave que mudam tudo. Primeiro, o procedimento não envolve informar a empresa em questão: você nunca saberá que seus dados foram acessados. Segundo, o escopo é amplo: empresas americanas, suas subsidiárias e, potencialmente, qualquer empresa estrangeira com presença comercial significativa nos Estados Unidos.
ChatGPT, Copilot, Gemini, Claude: mesmo sistema
OpenAI, Microsoft, Google e Anthropic são empresas constituídas sob a lei dos EUA. Seus assistentes de IA generativa — ChatGPT, Copilot, Gemini e Claude — estão, portanto, sujeitos à Lei da Nuvem (Cloud Act), mesmo quando oferecem hospedagem na Europa. Um data center irlandês operado por uma entidade americana permanece sob a jurisdição dos tribunais dos EUA. Este é o próprio princípio da extraterritorialidade: a lei segue a empresa, não o servidor.
Na prática, cada e-mail contendo seus arquivos de clientes, informações de preços, trabalhos de P&D ou dados pessoais de funcionários constitui uma transferência de dados para uma entidade sujeita à legislação estrangeira. Seus dados viajam mais longe do que você. E isso não exigiu seu consentimento.
O RGPD designa você como o controlador de dados. Não o seu fornecedor.
Artigo 48, uma fechadura mais teórica do que prática
A legislação europeia não ignorou o problema. O artigo 48.º do RGPD estipula que uma decisão de uma autoridade de um país terceiro que exija a divulgação de dados pessoais só pode ser reconhecida se estiver baseada num acordo internacional, normalmente um tratado de assistência jurídica mútua. No entanto, a Lei Cloud é uma lei unilateral dos EUA, não um tratado. Já em 2019, o Comité Europeu para a Proteção de Dados (CEPD) e o Supervisor Europeu para a Proteção de Dados (SEPD) concluíram, na sua análise conjunta, que um pedido baseado exclusivamente na Lei Cloud não constitui uma base válida para a transferência de dados.
O fornecedor americano se depara, portanto, com duas ordens legais conflitantes: obedecer ao juiz americano e violar o GDPR, ou recusar e correr o risco de sofrer sanções nos Estados Unidos. Imagine para qual lado se inclinará uma empresa cuja sede, administração e a maior parte de sua receita estão nos Estados Unidos.
Schrems II, Meta: a conta já foi paga para os outros.
Essa tensão não se restringiu ao meio acadêmico. Em 16 de julho de 2020, a decisão Schrems II do Tribunal de Justiça da União Europeia invalidou o Privacy Shield, sob o argumento de que os programas de vigilância americanos não garantiam proteção equivalente à prevista pela legislação europeia. Em maio de 2023, a autoridade irlandesa de proteção de dados multou a Meta em € 1,2 bilhão por transferências ilegais de dados pessoais para os Estados Unidos. A CNIL (Comissão Nacional de Informática e Liberdades da França) também emitiu notificações formais a organizações francesas que utilizam o Google Analytics pelos mesmos motivos.
E aqui está o ponto que muitos executivos subestimam: como controlador de dados, sua empresa é responsável pela legalidade das transferências, não a OpenAI ou a Microsoft. As recomendações do CEPD (Comitê Europeu para a Proteção de Dados) de janeiro de 2020 exigem que você avalie a exposição de seus processadores a leis extraterritoriais e documente medidas adicionais — incluindo criptografia com chaves inacessíveis ao provedor. A não observância desse requisito pode resultar em penalidades, nos termos do Artigo 83 do RGPD (Regulamento Geral sobre a Proteção de Dados), que podem chegar a € 20 milhões ou 4% do seu faturamento anual global. O provedor coleta suas taxas de assinatura; você assume o risco.
Abril de 2026: A Europa votou com a carteira.
Esta questão já não é mais debatida entre especialistas. Em 17 de abril de 2026, a Comissão Europeia anunciou a adjudicação do seu contrato-quadro para serviços de nuvem soberana — €180 milhões ao longo de seis anos, no âmbito da iniciativa Cloud III — a quatro consórcios exclusivamente europeus: Post Telecom com OVHcloud e CleverCloud, a empresa alemã STACKIT, a empresa francesa Scaleway e a Proximus em parceria com S3NS, Clarence e Mistral. AWS, Microsoft Azure e Google Cloud, que anteriormente dominavam os contratos institucionais, não estão entre os vencedores diretos.
Para realizar a seleção, Bruxelas criou uma ferramenta única: o Quadro de Soberania da Nuvem, que classifica a soberania em uma escala SEAL de 0 a 4. O nível SEAL-3, alcançado por três dos quatro fornecedores vencedores, exige que nenhuma entidade não europeia tenha poder de veto, uma cláusula de acesso a dados ou a capacidade técnica de interromper o serviço. Em outras palavras, a imunidade à Lei da Nuvem tornou-se um critério mensurável e aplicável em licitações públicas. Este quadro é público — você pode usá-lo livremente em suas próprias licitações. A França está seguindo o mesmo caminho: a doutrina da "Nuvem Estatal", revisada em março de 2026, exige que dados governamentais sensíveis sejam hospedados em infraestruturas certificadas como SecNumCloud pela Agência Nacional Francesa de Segurança Cibernética (ANSSI).
Quando a Comissão Europeia, o BCE e cerca de cinquenta agências se recusam a confiar as suas tarefas a fornecedores sujeitos à legislação dos EUA, a questão merece, no mínimo, ser levantada no vosso comité de gestão.
Enquanto isso, em seus escritórios: Shadow AI
Enquanto a Europa organiza sua soberania digital, o que está acontecendo no seu país? De acordo com um estudo da YouGov para a Microsoft França (janeiro de 2026, 657 gerentes e executivos), 80% dos gerentes usam IA generativa pelo menos uma vez por semana — e 61% dos funcionários acessam a ferramenta por meio de contas pessoais, fora de qualquer infraestrutura de TI, sendo que 38% a utilizam diariamente. Mais de sete em cada dez gerentes não receberam nenhum treinamento.
Isso é o que chamamos de IA oculta, e ela adora seus dados sensíveis. O relatório Netwrix 2026 estima que 54% das ferramentas de IA não declaradas detectadas em empresas haviam ingerido dados sensíveis: código-fonte, arquivos de clientes e documentos regulamentados. A Netskope registra uma média de 223 incidentes mensais de envio de dados sensíveis para ferramentas de IA generativa por empresa. E o Barômetro de Privacidade 2026 do EQS Group reforça essa ideia: 80% das organizações não têm uma compreensão clara do uso de IA que fazem, e apenas 32% daquelas que realizam projetos de IA concluíram uma Avaliação de Impacto sobre a Proteção de Dados (AIPD).
Faça as contas para a sua própria organização. Se as suas equipes forem parecidas com a média francesa, partes dos seus contratos, dados de RH e P&D já migraram para servidores sujeitos à Lei da Nuvem. Sem uma decisão. Sem deixar rastros na sua empresa. registro de tratamentoSem que o seu DPO seja informado.
Quer saber o que realmente está sendo gerado pela sua empresa? Os especialistas da Viqtor® ajudam você a mapear o uso de IA e as transferências de dados.
Três decisões a serem tomadas — e que devem ser mantidas em nível gerencial.
1. Classifique seus dados por sensibilidade.
Nem tudo é criado da mesma forma. Um folheto de produto pode ser transmitido por qualquer ferramenta; seu banco de dados de clientes, suas margens de lucro, seu pipeline de vendas e seu trabalho de P&D, não. Estabeleça uma classificação simples — três níveis são suficientes: público, interno e estratégico/regulamentado — e baseie-a em dados reais. governança de dados Quem pode enviar o quê, em qual ferramenta e com qual validação? Sem esse mapeamento, qualquer política de IA permanece mera ilusão.
2. Para assuntos delicados, consulte o soberano ou a autoridade local.
Já existem alternativas viáveis. A Mistral AI, uma empresa francesa, processa dados em servidores europeus, fora do alcance da Lei da Nuvem (Cloud Act), com ofertas corporativas que podem aproveitar infraestruturas certificadas pela SecNumCloud — e o Ministério das Forças Armadas da França a incumbiu, em janeiro de 2026, da implementação de IA generativa nas Forças Armadas francesas. Seus modelos de código aberto podem até mesmo ser implementados em seus próprios servidores: os dados nunca saem da sua infraestrutura. Para hospedagem, a OVHcloud, a Scaleway e a Outscale oferecem hospedagem europeia imune à extraterritorialidade dos EUA. Uma IA soberana um pouco menos sofisticada é preferível a uma IA de ponta que exponha seu ativo mais valioso. Para usos não sensíveis, as ferramentas americanas continuam utilizáveis — desde que seja uma escolha documentada, regida por um contrato de subcontratação em conformidade com o Artigo 28.
3. Manter a arbitragem no nível do Comitê Executivo.
O destino dos seus dados não é uma questão técnica. Um CIO otimiza custos e desempenho; um provedor de serviços vende seu catálogo. Nenhum deles será responsabilizado perante a CNIL (Comissão Nacional de Informática e Liberdades), seus acionistas ou seus clientes em caso de violação de dados ou transferência ilegal. Você será. A decisão de equilibrar o poder das ferramentas com o controle dos ativos de informação cabe à alta administração, com o apoio de um Auditoria GDPR seriedade, uma avaliação contínua do seu subcontratados e parceiros e processos de RGPD documentados — AIPD incluído para usos de IA de risco.
A inteligência artificial mais poderosa não vale nada se fizer você perder o controle daquilo que lhe dá valor: seus dados. A verdadeira questão desta noite é simples: seus dados mais sensíveis estão com você ou com outra pessoa?
A Viqtor® ajuda você a retomar o controle: mapeamento das atividades de processamento, avaliação de fornecedores de IA, conformidade com o GDPR gerenciada a partir de uma plataforma soberana 100% %.
Perguntas frequentes — Suas dúvidas sobre a auditoria do RGPD
A Lei da Nuvem (Cloud Act) se aplica mesmo que os servidores estejam na Europa?
Sim. O critério da Lei da Nuvem é a nacionalidade legal do provedor, não a localização dos servidores. Um data center parisiense operado por uma empresa americana ou sua subsidiária permanece sujeito às regulamentações americanas. Somente um provedor legalmente europeu, sem qualquer controle americano, escapa estruturalmente dessa extraterritorialidade.
O uso do ChatGPT ou do Copilot é ilegal segundo o RGPD?
Não, não em si. Mas o processamento de dados pessoais exige um contrato de processamento de dados em conformidade com o Artigo 28, uma avaliação de risco das transferências de dados (pós-Schrems II), medidas adicionais, se necessário, e uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) para usos de alto risco. É o uso não regulamentado — IA paralela — que gera a infração, não a ferramenta em si.
Quem é o responsável em caso de transferência ilegal: minha empresa ou o provedor de IA?
Sua empresa, como controladora de dados, é responsável por escolher seus subcontratados e garantir a legalidade das transferências de dados perante a CNIL (Comissão Nacional de Informática e Liberdades da França). O fornecedor tem suas próprias obrigações, mas estas não o eximem de responsabilidade: as sanções previstas no Artigo 83 do RGPD (Regulamento Geral sobre a Proteção de Dados) visam principalmente a parte que determina as finalidades e os meios do tratamento.
O que exatamente é uma IA soberana?
Uma IA cujo provedor, hospedagem e governança são regidos exclusivamente pela legislação europeia: uma empresa europeia, servidores localizados na UE e nenhuma entidade não europeia com acesso aos dados. A Mistral AI é o exemplo francês de maior sucesso nesse sentido. O próximo nível envolve a implementação de um modelo de peso aberto em sua própria infraestrutura: os dados, então, nunca saem das suas instalações.
A criptografia é suficiente para me proteger da Lei da Nuvem (Cloud Act)?
Isso ajuda, mas apenas sob uma condição estrita: que as chaves de criptografia permaneçam inacessíveis ao provedor. Essa é a principal medida técnica reconhecida pelas recomendações do CEPD de janeiro de 2020. No entanto, com IA generativa, essa proteção falha: para processar sua solicitação, o modelo precisa ler seus dados em texto simples. A criptografia protege o armazenamento, não a inferência.
Por onde devo começar a regulamentar o uso de IA generativa na minha empresa?
O processo começa com uma avaliação inicial: quais ferramentas são efetivamente utilizadas, por quem e com que dados. Segue-se uma classificação com base na sensibilidade, uma carta de utilização, a seleção de ferramentas validadas (ferramentas soberanas para dados sensíveis), a atualização do registo de tratamento de dados e uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) para casos de alto risco. Uma auditoria de RGPD, realizada por meio de uma plataforma como a Viqtor®, abrange todas essas etapas sem exigir meses de recursos internos.