Parecer Jurídico · CLOUD Act · RGPD

A Realidade da Proteção de Dados: O que os Fornecedores Cloud dos EUA não te Contam

Muitas empresas acreditam que os seus dados estão seguros – porque estão com a Microsoft, Google ou AWS num centro de dados alemão. Essa é uma ilusão cara.

« Conforme com o RGPD » não é uma Proteção – é Marketing

Um parecer jurídico da Universidade de Colónia, elaborado por encomenda do Ministério Federal do Interior alemão (março de 2025) e publicado através de um pedido IFG, deixa-o inequívocamente claro:

A localização física dos dados é juridicamente irrelevante.

O que importa é quem controla os dados.

Enquanto uma empresa-mãe norte-americana exercer o controlo – seja o servidor em Frankfurt, Amesterdão ou Dublin – aplica-se a legislação norte-americana. Ponto final.

As Três Leis Norte-Americanas que Anulam o teu RGPD

CLOUD Act

Obriga as empresas norte-americanas em todo o mundo a entregar dados às autoridades norte-americanas – mesmo que esses dados estejam armazenados na Alemanha. As filiais alemãs estão expressamente incluídas.

Secção 702 FISA

Permite às agências de inteligência norte-americanas vigiar pessoas não norte-americanas fora dos EUA – sem uma ordem judicial prévia. Basta uma certificação anual de um tribunal secreto norte-americano.

Ordem Executiva 12.333

Permite às agências de inteligência aceder a dados no estrangeiro sem a participação do fornecedor cloud – explorando vulnerabilidades técnicas. Sem direito de recurso, sem notificação.

O que a Própria Microsoft Confirmou Sob Juramento

Em 10 de junho de 2025, Anton Carniaux, diretor jurídico da Microsoft França, declarou perante o Senado francês:

« Non, je ne peux pas le garantir. »

– Anton Carniaux, diretor jurídico Microsoft França, perante o Senado francês, 10 de junho de 2025

Ele não pôde garantir que os dados dos utilizadores europeus não seriam entregues às autoridades norte-americanas – mesmo com armazenamento exclusivo em centros de dados da UE. Isto aplica-se estruturalmente a todos os fornecedores cloud norte-americanos: Microsoft Azure, Google Cloud, Amazon AWS.

O que Realmente Protege – E O que Não Protege

Medida Proteção
« Centro de dados na Alemanha »❌ Sem proteção – CLOUD Act aplica-se mesmo assim
Cláusulas contratuais padrão (SCC)❌ Insuficiente – juridicamente contestado
« Sovereign Cloud » da Microsoft/Google❌ Ainda é uma empresa-mãe norte-americana
Encriptação com o fornecedor⚠️ Parcial – o fornecedor geralmente tem a chave
BYOK (Chaves autogeridas, UE)✅ Muito melhor – mas complexo
Fornecedor da UE sem vínculos com os EUA✅ Proteção completa contra o CLOUD Act

O que Isto Significa para a tua Empresa

Se processas dados pessoais dos teus clientes através de serviços cloud norte-americanos:

  • Não existe nenhuma proteção efetiva do RGPD em caso de emergência – independentemente dos teus acordos contratuais
  • Uma avaliação do impacto na proteção de dados segundo o art. 35 do RGPD é obrigatória – não opcional
  • As autoridades de controlo podem impor sanções – mesmo que tenhas agido de boa fé
  • O teu risco de responsabilidade é real – especialmente se estiverem envolvidos dados de voz ou de saúde

Dados de Voz: A Categoria de Risco Subestimada

Quem utiliza sistemas de voz com IA – para apoio ao cliente, assistência telefónica ou comunicação interna – transmite o conteúdo das conversações em tempo real para servidores controlados pelos EUA com fornecedores norte-americanos (OpenAI, Google, Microsoft).

A voz é uma categoria biométrica segundo o art. 9 do RGPD. Isto aumenta consideravelmente o risco de responsabilidade.

A Solução: Infraestrutura Europeia – Desde o Primeiro Dia

Em gofonia.de apostamos sistematicamente numa infraestrutura sem dependência dos EUA:

  • Processamento de voz em servidores europeus, sem empresa-mãe norte-americana
  • Sem transferência de dados para fornecedores norte-americanos durante a operação
  • Arquitetura transparente – sabes sempre onde estão os teus dados e quem tem acesso
  • Conformidade com o RGPD não como promessa de marketing, mas como fato técnico

Fontes e Informação Adicional

  • Parecer jurídico da Universidade de Colónia (março de 2025), publicado via FragDenStaat
  • Declaração do diretor jurídico da Microsoft perante o Senado francês, junho de 2025
  • Acórdãos do TJUE sobre Safe Harbor (2015) e Privacy Shield (2020)

Tens perguntas sobre a tua estratégia cloud atual e os riscos para a tua empresa?

Contacta-nos – analisamos a tua situação e mostramos-te alternativas concretas.

Contactar →