Onde vivem os teus dados? RGPD, Schrems II e a cloud soberana europeia

A Europa escreveu a lei de protecção de dados mais exigente do mundo — e depois descobriu que a lei não chega: importa também onde e sob que jurisdição os dados vivem. Esta é a história dessa descoberta, contada pelas fontes.

Corredor de um data center moderno com racks de servidores iluminados a azul e violeta

Em 2019, um inquérito da Comissão Europeia a cerca de 27 000 cidadãos — o Special Eurobarometer 487a — encontrou um número que resume a nossa época: 62 % dos europeus estão preocupados por não terem controlo completo sobre os dados pessoais que fornecem online [8]. Não é uma preocupação abstracta. Os dados que geramos todos os dias — onde estamos, o que procuramos, o que compramos — compõem o retrato mais fiel que existe de cada um de nós. E, durante muito tempo, esse retrato viajou pelo mundo sem que ninguém perguntasse por nós.

A resposta europeia tem nome e dentes. O Regulamento Geral sobre a Proteção de Dados (RGPD), aplicável desde maio de 2018, deu aos cidadãos direitos concretos — acesso, portabilidade, apagamento — e às autoridades o poder de multar a sério: segundo o levantamento anual da sociedade de advogados DLA Piper, as coimas RGPD acumuladas na Europa atingiram 7,1 mil milhões de euros até janeiro de 2026, com 1,2 mil milhões aplicados só em 2025 [6]. No mesmo período, as notificações de violações de dados subiram para uma média de 443 por dia. Como resumiu Ross McKean, presidente da prática de dados e cibersegurança da DLA Piper no Reino Unido, "o mais evidente no relatório deste ano é a confirmação de que o panorama de ameaças de cibersegurança atingiu um nível sem precedentes" (tradução livre) [6].

Schrems II: o dia em que a localização passou a ser lei

Mas a lei, sozinha, tinha um ponto cego — e foi um cidadão a expô-lo. Maximillian Schrems, um jurista austríaco, passou uma década a perguntar aos tribunais uma coisa simples: de que serve a protecção europeia se os dados forem parar a um país cujas leis de vigilância a anulam?

A 16 de julho de 2020, o Tribunal de Justiça da União Europeia deu-lhe razão. No acórdão do processo C-311/18 — conhecido como Schrems II — o Tribunal invalidou o "Privacy Shield", o acordo que legitimava transferências de dados pessoais da UE para os Estados Unidos. O comunicado oficial do Tribunal não deixa margem: "O Tribunal de Justiça invalida a Decisão 2016/1250 sobre a adequação da protecção conferida pelo Escudo de Protecção da Privacidade UE-EUA" (tradução livre), porque "os programas de vigilância baseados nessas disposições não se limitam ao estritamente necessário" (tradução livre) [1].

No dia seguinte, o Comité Europeu para a Proteção de Dados (EDPB) — o órgão que reúne todas as autoridades de protecção de dados da UE — saudou a decisão, sublinhando "o direito fundamental à privacidade no contexto da transferência de dados pessoais para países terceiros" (tradução livre) [2]. E o próprio Schrems resumiu o alcance do acórdão em duas frases que ainda hoje enquadram o debate: "O Tribunal clarificou, pela segunda vez, que existe um choque entre o direito europeu da privacidade e o direito de vigilância dos EUA", e "este acórdão não é a causa de um limite às transferências de dados, mas a consequência das leis de vigilância dos EUA" (traduções livres) [3].

Desde 2023 existe um novo acordo — o EU-US Data Privacy Framework — mas a noyb, a organização de Schrems, já anunciou que tenciona contestá-lo. A lição estrutural de Schrems II permanece: a jurisdição a que a infra-estrutura está sujeita importa tanto quanto a localização física dos servidores.

Da residência à soberania

É neste contexto que a palavra "soberania" saltou dos discursos políticos para os contratos de cloud. A Comissão Europeia define soberania tecnológica como "a capacidade de a Europa agir de forma independente no mundo digital, desenvolvendo e controlando tecnologias, dados e infra-estruturas chave, reduzindo a dependência de fornecedores de fora da UE" (tradução livre) [4] — e estima que a UE dependa hoje de países terceiros em mais de 80 % dos produtos, serviços e infra-estruturas digitais chave [4]. Já em 2020, um briefing do serviço de estudos do Parlamento Europeu alertava para "a preocupação crescente de que os cidadãos, as empresas e os Estados-Membros da UE estão gradualmente a perder o controlo sobre os seus dados" (tradução livre) [5].

Na prática, isto criou uma distinção que qualquer utilizador devia conhecer:

  • Residência de dados significa apenas que os servidores estão em solo europeu. A entidade que os opera pode continuar sujeita a leis extraterritoriais de outro país.
  • Cloud soberana vai mais longe: infra-estrutura operada por entidades legais constituídas na UE, por pessoal residente na UE, em regiões separadas das regiões comerciais globais do fornecedor.

Os grandes fornecedores começaram a responder. A Oracle, por exemplo, opera desde junho de 2023 a EU Sovereign Cloud, com duas regiões dedicadas — Frankfurt, na Alemanha, e Madrid, em Espanha. A documentação oficial é explícita quanto ao isolamento: "o isolamento do realm da Oracle EU Sovereign Cloud face ao realm comercial público permite à Oracle restringir o pessoal de suporte e operações a residentes na UE, incluindo o acesso físico e lógico" (tradução livre) [7]. Hardware e activos são detidos e geridos por entidades jurídicas da UE, separadas das entidades globais da empresa.

E o que é que isto tem que ver contigo?

Tudo — porque esta discussão jurídica aterra directamente nas aplicações que usas todos os dias. E há uma categoria onde ela pesa mais do que em qualquer outra: as ferramentas que tratam os teus dados financeiros. Os movimentos bancários não são "mais uns dados": contam onde vives, quanto ganhas, o que priorizas, quando as coisas apertam. Se 62 % dos europeus se preocupam com o controlo dos seus dados em geral, o extrato bancário devia estar no topo dessa preocupação.

Quando avaliares uma aplicação de gestão financeira — qualquer uma — o quadro regulatório europeu dá-te o guião das perguntas certas:

  1. Em que país — e, mais importante, em que jurisdição — estão alojados os meus dados?
  2. A infra-estrutura é apenas "residente" na Europa, ou é operada por entidades europeias (soberana)?
  3. Quem são os subprocessadores, e estão identificados na política de privacidade?
  4. O modelo de negócio depende de explorar os meus dados — ou de me servir?
  5. Consigo exportar e apagar tudo, quando quiser (artigos 17.º e 20.º do RGPD)?
Mãos a segurar um smartphone de forma protetora, transmitindo privacidade e confiança

Como o AtivaMoney responde a estas cinco perguntas

Construímos o AtivaMoney dentro deste quadro — não por marketing, mas porque tratamos a categoria de dados mais sensível que existe e achamos que o padrão tem de ser o mais alto disponível:

  • Jurisdição e soberania: os teus dados são alojados e processados na Oracle EU Sovereign Cloud, nas regiões de Madrid (EU Sovereign South) e Frankfurt (EU Sovereign Central) — 100 % europeias, operadas por entidades da UE [7].
  • Acesso bancário regulado e só de leitura: a ligação ao teu banco usa o Open Banking europeu (PSD2), através de entidade regulada; autenticas-te no banco, nunca nos entregas credenciais, e revogas quando quiseres.
  • Subprocessadores documentados: a lista completa — infra-estrutura, email, SMS — está publicada na nossa Política de Privacidade, com localizações e garantias de transferência.
  • Modelo de negócio alinhado contigo: vivemos de subscrições. Não vendemos dados, não fazemos publicidade comportamental, e a IA que organiza as tuas finanças aprende só contigo, para ti.
  • Controlo e portabilidade: exportação dos teus dados e apagamento a pedido — e está a caminho (agosto de 2026) a opção de guardares os dados na tua própria nuvem. Nós processamos; tu decides onde vivem.

A Europa passou uma década a transformar a privacidade de promessa em arquitectura: primeiro a lei (RGPD), depois a jurisprudência (Schrems II), agora a infra-estrutura (cloud soberana). A pergunta "onde vivem os teus dados?" deixou de ser técnica — é a pergunta de confiança da década. Nós preferimos respondê-la por escrito, com nomes, regiões e referências.

Começa grátis — sem cartão

Referências

  1. Tribunal de Justiça da União Europeia — Comunicado de imprensa n.º 91/20, acórdão C-311/18 (Schrems II), 16 de julho de 2020.
  2. European Data Protection Board — Statement on the CJEU Judgment in Case C-311/18, 17 de julho de 2020.
  3. noyb — European Center for Digital Rights — CJEU Judgment: First Statement (Max Schrems), 16 de julho de 2020.
  4. Comissão Europeia — Strengthening Europe's Tech Sovereignty.
  5. European Parliamentary Research Service — Digital sovereignty for Europe (PE 651.992), 2020.
  6. DLA Piper — GDPR Fines and Data Breach Survey: January 2026.
  7. Oracle — Oracle EU Sovereign Cloud — documentação oficial; ver também o anúncio.
  8. Comissão Europeia — Special Eurobarometer 487a: proteção de dados, junho de 2019 (síntese da CNPD Luxemburgo).
Começa grátis — sem cartão →