Saia da nuvem dos EUA: Soberans SaaS ofertas na visão geral + recomendações para ação

A necessidade de soberania digital para as empresas europeias

A transformação digital está progredindo implacavelmente, e a computação em nuvem, especialmente o Software como Serviço (SaaS), tornou-se uma ferramenta indispensável para empresas de todos os portes. Ela proporciona flexibilidade, escalabilidade e acesso a tecnologias inovadoras. Ao mesmo tempo, esse desenvolvimento levou a uma dependência significativa de poucos provedores de nuvem, em sua maioria sediados nos EUA.

Adequado para:

• Por que a Lei da Cloud dos EUA é um problema e risco para a Europa e o resto do mundo: uma lei com consequências distantes

Problema: Crescente dependência de provedores de nuvem dos EUA

O mercado europeu de computação em nuvem é claramente dominado pelos principais hiperescaladores americanos: Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP). Esses provedores controlam uma grande parcela do mercado global. Mesmo os principais provedores europeus, como SAP e Deutsche Telekom, alcançam apenas pequenas participações de mercado na Europa em comparação. Essa concentração acarreta um risco inerente: grande parte da infraestrutura de nuvem global, e especialmente da europeia, está potencialmente sujeita à jurisdição dos EUA. Consequentemente, a conscientização sobre os riscos associados a essa dependência está crescendo nas empresas europeias e, cada vez mais, também nas administrações públicas. Preocupações com relação à proteção de dados, segurança de dados e perda de controle sobre dados e processos críticos estão vindo à tona. A questão da soberania digital está se tornando um imperativo estratégico.

Relevância da soberania de dados e da conformidade com o RGPD

No centro das preocupações europeias está o Regulamento Geral de Proteção de Dados (RGPD). Desde 2018, ele constitui o rigoroso quadro legal para a proteção de dados pessoais na União Europeia e regula detalhadamente o seu processamento e transferência, particularmente para países fora da UE. Para as empresas europeias, a conformidade com o RGPD não é apenas uma obrigação legal, mas também um fator crucial para manter a confiança de clientes e parceiros comerciais. Paralelamente, o conceito de soberania digital está ganhando importância. Ele descreve a ambição da Europa de recuperar ou manter o controle sobre seus próprios dados, tecnologias e infraestruturas digitais. Isso não é apenas uma questão de proteção de dados, mas também um objetivo de política industrial voltado para o fortalecimento da economia e da competitividade europeias em um mundo digital globalizado. Para as empresas, isso significa a necessidade de repensar as estratégias de nuvem e buscar proativamente soluções que sejam legalmente compatíveis e confiáveis, garantindo sua capacidade operacional.

Adequado para:

• Integração de IA de uma plataforma de IA independente e entre dados de dados para todos os assuntos da empresa

Objetivos e estrutura do relatório

Este relatório destina-se a decisores empresariais e de TI europeus que enfrentam o desafio de desenvolver uma estratégia de nuvem preparada para o futuro e consciente dos riscos. O seu objetivo é fornecer uma base sólida para a tomada de decisões, através de:

• Analisa os riscos específicos que surgem para as empresas europeias com a utilização de serviços SaaS sediados nos EUA, particularmente no que diz respeito ao conflito entre o RGPD e leis americanas como a Lei CLOUD e a FISA 702.
• Define o que se entende por “ofertas de SaaS soberanas” no contexto europeu e quais critérios elas devem atender.
• Este é um panorama do mercado de fornecedores europeus de SaaS que se posicionam como alternativas soberanas, categorizados por áreas de aplicação.
• Compara alternativas importantes em categorias-chave no que diz respeito a funcionalidades, preços e, principalmente, à implementação da soberania de dados e à conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados).
• Foram destacadas soluções especializadas para setores sensíveis como administração pública, saúde e finanças.
• Apresenta iniciativas relevantes da UE (como Gaia-X) e certificações (como EUCS, BSI C5) que promovem a soberania da nuvem.
• Ela extrai uma conclusão e formula recomendações para a direção estratégica das empresas.

Análise de risco: serviços de nuvem dos EUA e os desafios para empresas europeias

A utilização de serviços em nuvem, particularmente ofertas de SaaS, de fornecedores sediados nos Estados Unidos, apresenta desafios legais e operacionais significativos para as empresas europeias. Estes decorrem principalmente do conflito fundamental entre as rigorosas normas europeias de proteção de dados e as abrangentes leis americanas de vigilância e acesso a dados.

O conflito central: GDPR versus leis de vigilância dos EUA

O Regulamento Geral de Proteção de Dados (RGPD) constitui a base da proteção de dados europeia. Ele estabelece padrões elevados para o tratamento de dados pessoais de cidadãos da UE. Os artigos 44 e seguintes do RGPD, que regulamentam a transferência desses dados para países terceiros (países fora da UE/EEE), são particularmente relevantes para a utilização da nuvem. Essa transferência só é permitida se o país terceiro proporcionar um “nível adequado de proteção” (conforme determinado por uma decisão de adequação da Comissão Europeia) ou se existirem “salvaguardas apropriadas” (como cláusulas contratuais padrão ou regras corporativas vinculativas) e se os titulares dos dados tiverem acesso a direitos exigíveis e a recursos legais eficazes. Além disso, o artigo 48 do RGPD proíbe explicitamente a transferência de dados para autoridades de um país terceiro com base em suas decisões ou julgamentos, a menos que exista um acordo internacional, como um tratado de assistência jurídica mútua. Diversas leis dos EUA, que concedem às autoridades americanas amplos direitos de acesso aos dados, mesmo que armazenados fora dos EUA, contradizem esse padrão europeu de proteção.

• A Lei CLOUD dos EUA (Clarifying Lawful Overseas Use of Data Act): Esta lei, aprovada em 2018, autoriza as agências de aplicação da lei e os serviços de inteligência dos EUA a exigirem que empresas de comunicação e tecnologia americanas entreguem dados sob seu controle, independentemente de onde esses dados estejam armazenados no mundo. Isso inclui explicitamente dados localizados em data centers dentro da União Europeia. A Lei CLOUD, portanto, mina o princípio da territorialidade da proteção de dados e contradiz diretamente os requisitos do GDPR, particularmente o Artigo 48. Ela foi promulgada, em parte, como resposta a uma longa disputa legal entre a Microsoft e o governo dos EUA sobre o acesso a e-mails armazenados em servidores na Irlanda, e modernizou regulamentações de acesso mais antigas do período pós-11 de setembro de 2001, como o Patriot Act. Embora a Lei CLOUD forneça mecanismos para que um provedor conteste uma ordem de divulgação se ela violar a lei de outro Estado (como o GDPR), a eficácia prática desses mecanismos, particularmente em relação a ordens de segurança nacional, é altamente controversa e não oferece nenhuma garantia confiável para empresas europeias. Os provedores, portanto, encontram-se em um dilema: se cumprirem uma ordem da Lei CLOUD sem uma base legal da UE, correm o risco de multas altíssimas do GDPR; se recusarem a divulgar informações citando o GDPR, enfrentarão sanções sob a lei dos EUA.
• Seção 702 da FISA (Lei de Vigilância de Inteligência Estrangeira): Esta disposição, parte da Lei de Emendas à FISA de 2008, permite que agências de inteligência dos EUA, como a NSA, realizem vigilância direcionada das comunicações eletrônicas de pessoas não americanas localizadas fora dos EUA. A vigilância é realizada para obter “informações de inteligência estrangeira”. A Seção 702 da FISA obriga os provedores de serviços de comunicação eletrônica (ECSPs) dos EUA, que incluem muitos grandes provedores de nuvem e SaaS, a cooperarem com as autoridades. O escopo dos dados potencialmente coletados é muito amplo e pode incluir não apenas metadados, mas também o conteúdo das comunicações, mesmo aquelas de terceiros não envolvidos que simplesmente mencionam um indivíduo alvo. Os programas de vigilância sob a Seção 702 da FISA (como o PRISM e o Upstream) foram um ponto central de críticas na decisão Schrems II do Tribunal de Justiça da União Europeia (veja abaixo). Também há críticas à falta de recursos legais eficazes para os cidadãos da UE afetados e ao potencial de vigilância em massa, embora as autoridades americanas neguem isso.
• Decreto Executivo 12333 e outros: Além da Lei CLOUD e da Seção 702 da FISA, existem outras bases legais, como o Decreto Executivo 12333, que concedem às agências de inteligência dos EUA amplos poderes para realizar vigilância no exterior, frequentemente sem supervisão judicial ou restrições legais específicas a pessoas não americanas.

Esse conflito jurídico fundamental cria uma situação em que a utilização de serviços em nuvem de fornecedores americanos apresenta riscos inerentes para as empresas europeias.

Riscos específicos para empresas europeias

O conflito jurídico descrito representa riscos tangíveis para empresas europeias que utilizam serviços SaaS sediados nos EUA:

• Violações de dados e multas: A divulgação de dados pessoais às autoridades dos EUA ao abrigo da Lei CLOUD ou da FISA 702, sem uma base legal válida segundo a legislação da UE (por exemplo, um tratado de assistência jurídica mútua), constitui uma violação clara do RGPD, em particular do Artigo 48. Isto pode resultar em multas substanciais de até 4% do volume de negócios anual global, bem como em ações cíveis de indemnização por parte dos titulares dos dados. A simples utilização de um serviço de nuvem dos EUA pode ser considerada potencialmente não conforme ao RGPD se o fornecedor não puder garantir que não divulgará dados em violação do RGPD.
• Perda de soberania e controle de dados: As garantias contratuais de fornecedores americanos de que os dados são armazenados apenas em data centers da UE não oferecem proteção eficaz contra o acesso dos EUA sob a Lei CLOUD ou a FISA. As leis americanas podem sobrepor-se a essas garantias e até mesmo a salvaguardas técnicas. Mesmo a criptografia de dados não é uma panaceia se o fornecedor americano controlar as chaves de criptografia, pois poderá ser obrigado a divulgá-las. Da mesma forma, os mecanismos de controle de acesso podem ser contornados e os registros de auditoria podem ser visualizados sem o conhecimento do proprietário dos dados, violando os requisitos de transparência do GDPR. Assim, as empresas europeias perdem efetivamente o controle sobre quem acessa seus dados e em que circunstâncias.
• Espionagem industrial e perda de segredos comerciais: O potencial vazamento de dados sensíveis da empresa representa um risco particularmente grave. Isso inclui propriedade intelectual, dados de pesquisa e desenvolvimento, protótipos, planos estratégicos, dados financeiros e dados e comunicações confidenciais de clientes. A preocupação de que as autoridades americanas possam usar seus direitos de acesso para fins econômicos (espionagem industrial) é um dos principais fatores que levam as empresas europeias a buscar alternativas ou implementar medidas de proteção adicionais. A perda dessas informações pode resultar em perdas financeiras significativas, danos à reputação e perda de vantagens competitivas.
• Incerteza jurídica e perda de confiança: O conflito não resolvido entre a legislação europeia de proteção de dados e os direitos de acesso dos EUA cria uma significativa incerteza jurídica para empresas que utilizam serviços americanos. Essa incerteza complica o planejamento a longo prazo e os esforços de conformidade. Além disso, o uso contínuo de serviços nos quais a proteção de dados não pode ser garantida pode prejudicar seriamente a confiança de clientes, funcionários e parceiros comerciais.
• Riscos geopolíticos: Leis como a Lei CLOUD são analisadas no contexto das tendências globais de aumento da vigilância estatal e de uma potencial fragmentação da internet (“Splinternet”). São feitas comparações com leis semelhantes em outros países, como a Lei Nacional de Inteligência da China. Além disso, a dependência excessiva de fornecedores de tecnologia de uma única região não europeia representa riscos estratégicos para a autonomia e a resiliência digital da Europa.

Os riscos da utilização de serviços de nuvem dos EUA vão muito além das potenciais penalidades do GDPR. Incluem a perda de dados críticos para os negócios, danos à reputação e a ameaça à competitividade devido ao potencial uso indevido de direitos de acesso para espionagem industrial. Esses riscos "colaterais", muitas vezes difíceis de quantificar, mas potencialmente existenciais, são facilmente subestimados quando o foco é apenas a conformidade com o GDPR.

A decisão Schrems II e o Quadro de Proteção de Dados (DPF)

A incerteza jurídica em torno das transferências transatlânticas de dados foi significativamente exacerbada pela decisão Schrems II do Tribunal de Justiça da União Europeia (TJUE) em julho de 2020. O TJUE declarou inválido o então vigente Acordo de Proteção da Privacidade UE-EUA. O argumento: as leis de vigilância dos EUA, particularmente a FISA 702 e programas relacionados, permitem violações dos direitos fundamentais dos cidadãos da UE (proteção de dados, privacidade) que não se limitam ao estritamente necessário e não oferecem proteção equivalente àquela concedida na UE. Além disso, há uma carência de recursos legais eficazes para os indivíduos afetados nos EUA contra tais medidas de vigilância. Embora a decisão tenha confirmado a validade geral das Cláusulas Contratuais Padrão (CCPs) como instrumento alternativo para transferências de dados, o TJUE esclareceu que os exportadores de dados não podem confiar cegamente nas CCPs. Como parte de uma avaliação caso a caso (Avaliação de Impacto da Transferência – AIT), deve-se examinar se a legislação e as práticas no país de destino (neste caso, os EUA) garantem um nível de proteção “essencialmente equivalente” ao da UE. Caso isso não ocorra devido a leis de vigilância – como sugeriu o Tribunal de Justiça da União Europeia (TJUE) para os EUA – medidas adicionais (medidas suplementares) devem ser tomadas (por exemplo, criptografia forte em que o destinatário não tenha acesso às chaves) para garantir a proteção. Se mesmo isso não for possível, a transferência de dados deve ser suspensa. A Lei CLOUD foi vista, nesse contexto, como um fator que enfraquece ainda mais o argumento a favor de um nível equivalente de proteção. Em resposta à incerteza jurídica criada pelo caso Schrems II e para consolidar os fluxos de dados entre a UE e os EUA, a Comissão Europeia e o governo dos EUA concordaram com o Quadro de Proteção de Dados UE-EUA (DPF). Este entrou em vigor em julho de 2023 por meio de uma nova decisão de adequação da Comissão Europeia. O Quadro de Proteção de Dados (DPF, na sigla em inglês) visa abordar as preocupações levantadas pelo Tribunal de Justiça da União Europeia (TJUE) na decisão Schrems II, fornecendo salvaguardas adicionais por parte dos EUA: o acesso das agências de inteligência americanas aos dados de cidadãos da UE deve ser limitado ao necessário e proporcional, e um novo mecanismo de recurso legal em duas instâncias (incluindo o Tribunal de Revisão da Proteção de Dados – DPRC) foi estabelecido para os cidadãos da UE. Empresas nos EUA podem obter a certificação DPF, e as transferências de dados da UE para essas empresas certificadas são então consideradas permitidas sem a necessidade de instrumentos adicionais, como Cláusulas Contratuais Padrão (SCCs) ou outras medidas. No entanto, ainda existem dúvidas e riscos significativos quanto à estabilidade e eficácia do DPF.

• As leis fundamentais dos EUA permanecem em vigor: a Lei CLOUD e a Seção 702 da FISA não foram alteradas pelo DPF. Os poderes fundamentais das autoridades americanas para acessar dados continuam existindo.
• Dúvidas sobre a fiscalização do Tribunal de Justiça da União Europeia (TJUE): Muitos especialistas e ativistas em proteção de dados duvidam que as salvaguardas previstas no Fundo de Proteção de Dados (FPD) e no novo mecanismo de recurso legal resistiriam a uma nova análise por parte do TJUE. Em particular, a independência e o poder de execução da Comissão Reguladora de Proteção de Dados (CRPD) estão sendo questionados.
• É necessário um monitoramento contínuo: De acordo com o Artigo 45(4) do RGPD, a Comissão Europeia é obrigada a monitorar continuamente os desenvolvimentos nos EUA e a revisar regularmente a sua adequação. A primeira revisão ocorreu no verão de 2024. Desenvolvimentos recentes, como a extensão e a possível expansão da FISA 702, podem novamente comprometer a base do DPF.
• Risco para as empresas: As empresas que dependem exclusivamente do DPF estão correndo um risco significativo. Caso o Tribunal de Justiça da União Europeia declare o DPF inválido no futuro (um cenário semelhante ao de Schrems III), as transferências de dados baseadas nele voltariam a ser ilegais da noite para o dia. As empresas que não tiverem um "Plano B" (por exemplo, migrar para um provedor da UE ou implementar medidas adicionais eficazes) não podem esperar clemência.

O conflito central entre a legislação dos EUA sobre amplo acesso a dados e o direito fundamental da UE à proteção de dados persiste, mesmo sob o DPF. As leis dos EUA que causam o problema continuam em vigor. O DPF representa mais uma medida política e potencialmente temporária do que uma solução jurídica definitiva. O problema fundamental do acesso potencialmente violador do RGPD por parte das autoridades dos EUA aos dados de cidadãos e empresas europeias não foi resolvido.

Definição e critérios: O que significa “SaaS soberano”?

Considerando os riscos descritos, as empresas europeias procuram cada vez mais alternativas que lhes ofereçam maior controlo, segurança e conformidade legal. Neste contexto, os termos “nuvem soberana” ou “SaaS soberano” são frequentemente utilizados. Mas o que significam exatamente estes termos e que critérios deve uma oferta cumprir para ser considerada soberana no contexto europeu?

Elementos-chave de soberania no contexto da nuvem

A soberania digital no ambiente de nuvem é um conceito multifacetado que vai além da mera prestação técnica de serviços. Ela pode ser compreendida por meio de diversos elementos essenciais:

• Soberania dos dados: Este é o princípio central. Ele estabelece que os dados estão sujeitos às leis e regulamentos da jurisdição em que se encontram ou foram coletados. Para a Europa, isso significa principalmente a plena aplicação da legislação de proteção de dados da UE (especialmente o RGPD) e a proteção contra o acesso por autoridades de países terceiros com base em leis extraterritoriais, como a Lei CLOUD dos EUA. O cliente mantém o controle total sobre quem pode acessar seus dados e sob quais condições.
• Residência de dados e localização de dados:
  • A residência de dados significa que os dados do cliente (incluindo metadados e backups) têm a garantia de serem armazenados e processados ​​dentro de uma região geográfica definida, normalmente a UE ou o EEE. Esta é uma condição necessária para a soberania dos dados no contexto da UE, mas não suficiente por si só se o fornecedor estiver sujeito a leis não europeias.
  • A localização de dados é um requisito mais rigoroso que estipula que os dados não podem sair das fronteiras de um país específico. Essas leis são raras na UE, mas podem ser relevantes para regulamentações ou setores nacionais específicos.
• Soberania operacional: Este elemento refere-se ao controle sobre a operação da infraestrutura de nuvem e dos serviços executados nela. Os principais aspectos incluem:
  • Operação por pessoal e entidades jurídicas da UE: É necessário garantir que o pessoal com acesso físico ou lógico ao ambiente de nuvem e aos dados do cliente esteja sediado na UE e sujeito à legislação da UE. O acesso proveniente de fora da UE deve ser impedido ou rigorosamente controlado por meio de medidas técnicas e organizacionais.
  • Sede e estrutura corporativa na UE: O próprio provedor de nuvem, ou pelo menos a entidade jurídica responsável pelas operações na UE, deve ter sua sede em um Estado-membro da UE/EEE e, portanto, estar sujeito principalmente à legislação europeia. É crucial também que não haja dependências de empresas matrizes ou subsidiárias em países terceiros (especialmente os EUA) que possam impor o cumprimento de suas leis (como a Lei CLOUD ou a FISA).
  • Transparência e auditabilidade: Os clientes precisam de transparência em relação aos processos operacionais, subcontratados e medidas de segurança implementadas. A capacidade de revisar e auditar de forma independente o acesso e os processos é uma característica fundamental da soberania operacional.
• Soberania tecnológica: Refere-se à capacidade de compreender, controlar, validar e, idealmente, também desenvolver (ainda mais) as principais tecnologias subjacentes. Aspectos disso incluem:
  • Utilização de padrões abertos e software de código aberto: Os padrões abertos e o software de código aberto promovem a interoperabilidade entre diferentes fornecedores e soluções, aumentam a transparência (já que o código é auditável), reduzem o risco de dependência de fornecedor e facilitam as auditorias de segurança. Frequentemente, eles formam a base para plataformas tecnológicas europeias, como a Sovereign Cloud Stack (SCS).
  • Interoperabilidade e portabilidade: A capacidade de migrar facilmente dados e aplicativos entre diferentes provedores de nuvem ou de volta para a própria infraestrutura (local) é um sinal de independência e flexibilidade.
  • Controle sobre a infraestrutura tecnológica: A longo prazo, a soberania tecnológica visa reduzir a dependência de componentes de hardware e software proprietários de fontes não europeias e desenvolver conhecimento especializado europeu.

Adequado para:

• Plataformas independentes de IA como uma alternativa estratégica para empresas européias

Demarcação e mal-entendidos

O termo “nuvem soberana” não possui proteção legal e é frequentemente utilizado por diversos provedores como ferramenta de marketing, com conceitos e medidas subjacentes variando consideravelmente. Portanto, é crucial que as empresas examinem cuidadosamente o que um provedor entende por soberania e quais garantias específicas ele oferece. Um equívoco comum é que armazenar dados em um data center dentro da UE seja suficiente para garantir a soberania. Isso não é verdade. Conforme explicado na Seção II, a Lei CLOUD dos EUA permite o acesso a dados pertencentes a empresas americanas, independentemente de onde estejam armazenados. A residência de dados na UE, portanto, não protege contra o acesso dos EUA se o próprio provedor ou sua empresa controladora estiver sediada nos EUA ou sujeita à jurisdição americana. Outro equívoco é que as ofertas de nuvem soberana inevitavelmente acarretam limitações funcionais ou um ritmo de inovação mais lento em comparação com os hiperescaladores globais. Embora isso possa ser verdade em alguns casos, já que os provedores locais geralmente não possuem as mesmas economias de escala e orçamentos de pesquisa, o objetivo principal das soluções soberanas não é a restrição, mas sim combinar as vantagens da computação em nuvem (flexibilidade, escalabilidade) com os requisitos de controle, segurança e conformidade. Muitos fornecedores europeus dependem de tecnologias abertas para viabilizar a inovação e a adaptabilidade.

Critérios para fornecedores soberanos de SaaS numa perspetiva da UE

Com base nos elementos essenciais da soberania, podem ser derivados critérios concretos pelos quais as empresas europeias podem avaliar os fornecedores de SaaS:

• Proteção de Dados e Conformidade: O fornecedor deve demonstrar conformidade com os requisitos do RGPD. Isso deve ser documentado por um contrato de processamento de dados (DPA) em conformidade com o Artigo 28 do RGPD e por medidas técnicas e organizacionais (TOMs) adequadas. A conformidade com outras regulamentações relevantes da UE e nacionais (por exemplo, para setores específicos) também deve ser garantida.
• Localização e processamento de dados: Deve ser garantido contratualmente que todos os dados do cliente, incluindo metadados, dados de configuração e backups, sejam armazenados e processados ​​exclusivamente dentro da UE ou do EEE.
• Operação e Controle de Acesso: A operação dos serviços e o acesso aos dados do cliente devem ser realizados por pessoal sediado na UE e pertencente a uma entidade jurídica da UE. Devem ser implementadas medidas técnicas e organizacionais rigorosas para impedir o acesso não autorizado, especialmente de fora da UE.
• Estrutura Corporativa e Jurisdição: O provedor deve ter sua sede e principal controle legal na UE/EEE. Não deve haver afiliações ou filiais corporativas em países terceiros (especialmente nos EUA) que coloquem o provedor sob sua jurisdição e potencialmente obriguem a divulgação de dados (por exemplo, por meio da Lei CLOUD ou da FISA).
• Transparência: O fornecedor deve ser transparente quanto aos seus processos operacionais, à utilização de subcontratados, aos locais de processamento de dados e às medidas de segurança implementadas. Deve ser disponibilizada a possibilidade de auditoria por parte do cliente ou de terceiros independentes.
• Tecnologia e interoperabilidade: A utilização preferencial de padrões abertos (por exemplo, APIs) e/ou software de código aberto facilita a integração, os testes e a possível migração para outros fornecedores (evitando a dependência de um único fornecedor).
• Certificações e Atestados: Certificações e atestados reconhecidos podem servir como prova de conformidade com os padrões de segurança e conformidade, além de gerar confiança. Particularmente relevantes são a ISO 27001, a BSI C5 (na Alemanha) e, futuramente, a EUCS.

Está cada vez mais claro que a soberania digital no contexto de SaaS é um conceito multidimensional. Não se trata apenas de onde os dados são armazenados, mas também de quem os processa e como, a quais leis o provedor está sujeito e quais fundamentos tecnológicos são utilizados. As empresas devem, portanto, considerar quais dimensões da soberania são mais importantes para elas ao selecionar um provedor e o quão bem o provedor atende a esses requisitos específicos. A simples residência de dados dentro da UE muitas vezes é insuficiente para mitigar efetivamente os riscos, principalmente aqueles impostos pelas leis dos EUA. Ao mesmo tempo, as empresas frequentemente enfrentam um dilema: o desejo por máxima soberania e controle deve ser equilibrado com as potenciais desvantagens em termos de funcionalidade, velocidade de inovação ou custos, que podem surgir com alguns provedores europeus ou estritamente soberanos em comparação com hiperescaladores globais. Muitos provedores europeus veem o uso de software de código aberto como uma abordagem estratégica para garantir transparência, confiança e adaptabilidade, mesmo que não estejam na vanguarda de todos os novos desenvolvimentos tecnológicos.

Beneficie-se da ampla experiência quíntupla da Xpert.Digital em um pacote de serviços abrangente | P&D, XR, RP e Otimização de Visibilidade Digital - Imagem: Xpert.Digital

A Xpert.Digital possui conhecimento profundo de diversos setores. Isso nos permite desenvolver estratégias sob medida, adaptadas precisamente às necessidades e desafios do seu segmento de mercado específico. Ao analisar continuamente as tendências do mercado e acompanhar os desenvolvimentos da indústria, podemos agir com visão e oferecer soluções inovadoras. Através da combinação de experiência e conhecimento, geramos valor acrescentado e damos aos nossos clientes uma vantagem competitiva decisiva.

Mais sobre isso aqui:

• Utilize a experiência 5x do Xpert.Digital num único pacote - a partir de apenas 500€/mês

Visão geral do mercado: Alternativas de SaaS soberanas da UE

O mercado europeu de Software como Serviço (SaaS) oferece um número crescente de fornecedores que se posicionam como alternativas aos principais players americanos. Muitos deles priorizam a proteção de dados, a conformidade com o GDPR e a soberania digital para atender às necessidades específicas de empresas e organizações europeias.

Critérios para seleção de fornecedores

A seguinte visão geral concentra-se nos fornecedores de SaaS que atendem aos seguintes critérios:

• Origem: A sede da empresa está localizada em um Estado-membro da União Europeia (UE), do Espaço Econômico Europeu (EEE) ou na Suíça (CH), visto que a Suíça possui uma decisão de adequação da Comissão Europeia e geralmente está intimamente integrada ao Espaço Econômico Europeu.
• Posicionamento: O provedor se posiciona explicitamente como uma alternativa soberana ou em conformidade com a proteção de dados, ou exibe características essenciais de soberania digital (por exemplo, hospedagem exclusiva na UE/EEE, conformidade demonstrável com o GDPR, não sujeição a leis dos EUA, como o CLOUD Act/FISA, uso de código aberto).
• Relevância: O fornecedor foi mencionado nas fontes de pesquisa subjacentes ou é conhecido como uma alternativa relevante em sua categoria.

Para maior clareza, os fornecedores são agrupados de acordo com categorias comuns de SaaS.

Visão geral categorizada dos fornecedores europeus de SaaS

A tabela a seguir fornece uma visão geral de alguns fornecedores europeus de SaaS, organizados por área funcional. Ela serve como ponto de partida para uma avaliação mais detalhada.

Visão geral dos fornecedores europeus de SaaS por categoria

Visão geral dos fornecedores europeus de SaaS por categoria – Imagem: Xpert.Digital

(Nota: Esta tabela é uma seleção e não é exaustiva. As informações são baseadas em fontes disponíveis e estão sujeitas a alterações. A verificação independente pela empresa é essencial.)

A visão geral dos fornecedores europeus de SaaS apresenta uma ampla gama de soluções, categorizadas por tipo. No setor de colaboração e escritório, fornecedores como o Nextcloud Hub, da Alemanha, oferecem uma plataforma de código aberto para arquivos, comunicação, groupware e aplicativos de escritório. Essa plataforma pode ser hospedada internamente ou por um provedor e prioriza a soberania dos dados. O Open-Xchange App Suite, também da Alemanha, oferece uma solução abrangente para e-mail, groupware, Drive e documentos, especialmente para provedores e empresas, e está em conformidade com os padrões ISO 27001. O ONLYOFFICE, da Letônia, oferece um pacote de escritório com recursos de colaboração e um espaço de trabalho (incluindo CRM e e-mail). É compatível com nuvem e com infraestrutura local, além de estar em conformidade com o GDPR. O Collabora Online, baseado no LibreOffice, é frequentemente integrado a plataformas como o Nextcloud. O TeamDrive, também da Alemanha, concentra-se em armazenamento em nuvem altamente seguro com criptografia de ponta a ponta e princípio de conhecimento zero. O Conceptboard, também da Alemanha, oferece um quadro branco online para colaboração visual usando servidores da UE e sem envolvimento dos EUA. O CryptPad, da França, combina código aberto com criptografia de ponta a ponta para colaboração. O Stackfield, da Alemanha, oferece uma plataforma compatível com o GDPR para bate-papo, tarefas e vídeo.

No setor de CRM e Vendas, a Zeeg, da Alemanha, destaca-se com seu sistema de agendamento de compromissos em conformidade com o GDPR, enquanto a CentralStationCRM oferece uma solução de CRM simples para PMEs. O SAP CRM, como parte do pacote SAP, é voltado para grandes empresas. Para soluções de armazenamento em nuvem, provedores como a pCloud, da Suíça, oferecem criptografia de ponta a ponta opcional e planos vitalícios. A Tresorit combina alta segurança, acesso com conhecimento zero e conformidade com as normas europeias. A Proton Drive, também da Suíça, oferece hospedagem de arquivos criptografados. Provedores alemães como a IONOS HiDrive e opções internacionais como a Infomaniak kDrive completam a gama de ofertas.

Para videoconferências, vale destacar o OpenTalk, da Alemanha, com seu foco particular em segurança e conformidade com o GDPR, e a solução de código aberto Jitsi Meet. O eyeson, da Áustria, oferece reuniões em vídeo baseadas na nuvem, enquanto o Univid, da Suécia, concentra-se em webinars. Em análise da web, o Matomo oferece uma opção de código aberto com controle total dos dados, o Plausible Analytics enfatiza a facilidade de uso e a privacidade dos dados, o etracker, da Alemanha, evita cookies e o Piwik PRO é voltado para empresas.

A automação de marketing é contemplada por fornecedores como a Brevo (antiga Sendinblue), com servidores na Alemanha/UE, e a Evalanche, focada em B2B e com certificação ISO. A Personio é líder em software de RH, oferecendo uma plataforma abrangente para PMEs, complementada por soluções como HRworks e Rexx Systems, que oferecem modelos tanto em nuvem quanto on-premises. O OpenProject é uma solução alemã de gerenciamento de projetos de código aberto, enquanto o Zenkit se destaca por seus espaços de trabalho flexíveis. Provedores de e-mail seguros, como Tutanota e Proton Mail, priorizam a proteção de dados e a criptografia de ponta a ponta. O login único (SSO) é fornecido pela Bare.ID, com sede na Alemanha e segurança em conformidade com o GDPR. Para ferramentas de pesquisa, LamaPoll e LimeSurvey impressionam pela sua capacidade de personalização e pelos padrões de servidor alemães. O QuestionPro, em sua versão para a UE, completa a lista com amplos recursos e conformidade com o GDPR.

Esta visão geral destaca a notável diversidade e especialização dentro do mercado europeu de SaaS. Particularmente em áreas onde a proteção e a segurança de dados tradicionalmente desempenham um papel fundamental – como colaboração, comunicação segura, armazenamento em nuvem e análise da web – existe uma ampla gama de alternativas. Muitos desses provedores são pequenas e médias empresas (PMEs) ou empresas especializadas em nichos de mercado de diversos países europeus. Eles frequentemente priorizam a conformidade com o GDPR e as necessidades específicas do mercado europeu, o que se reflete em recursos como hospedagem na UE, suporte em alemão ou certificações de conformidade específicas.

A importância estratégica do software de código aberto para muitos provedores europeus também é notável. Particularmente nas áreas de colaboração (Nextcloud, CryptPad), aplicativos de escritório (ONLYOFFICE, Collabora), gerenciamento de projetos (OpenProject), análise da web (Matomo) e videoconferência (Jitsi, OpenTalk), as tecnologias de código aberto frequentemente servem de base. Isso é mais do que um mero detalhe técnico; é uma decisão consciente que promove a transparência (por meio de código acessível), a adaptabilidade, a auditabilidade e a eliminação da dependência de fornecedores. Esses aspectos são elementos fundamentais para a soberania digital e permitem que os provedores europeus ofereçam soluções confiáveis ​​e flexíveis sem necessariamente terem acesso aos enormes orçamentos de desenvolvimento dos hiperescaladores globais. Isso proporciona aos clientes maior controle e conhecimento sobre a tecnologia que utilizam.

Comparação de alternativas selecionadas da UE

Após a visão geral do mercado, segue agora uma comparação mais detalhada de alternativas SaaS europeias selecionadas e representativas em categorias-chave. O foco está nas funcionalidades principais, modelos de precificação, diferenciais competitivos e, em particular, na implementação da soberania de dados e da conformidade com o RGPD.

Metodologia de comparação

A seleção dos fornecedores para a comparação detalhada baseia-se na sua relevância e frequência de menção nas fontes subjacentes, bem como no seu posicionamento como alternativas europeias diretas a serviços americanos consagrados. A comparação utiliza informações dos trechos específicos dos fornecedores e outros dados relevantes dos trechos gerais. Os critérios incluem:

• Funções principais: O que o software faz em sua essência?
• Modelo de preços: Qual é a estrutura de preços (assinatura, freemium, vitalício, local)?
• Localização/hospedagem dos dados: Onde os dados estão hospedados (garantido na UE/Alemanha)? Existem opções de hospedagem própria?
• Criptografia: Quais métodos de criptografia são usados ​​(especialmente criptografia de ponta a ponta e criptografia de conhecimento zero)?
• Certificações/Conformidade: Quais são as certificações relevantes (ISO 27001, BSI C5 etc.) e os compromissos de conformidade (RGPD) existentes?
• Pontos fortes/pontos fracos em relação à soberania: Características ou limitações específicas relativas ao controle de dados, transparência e independência.

Comparação detalhada por categoria

Comparação detalhada de importantes alternativas de SaaS na UE

Comparação detalhada de importantes alternativas de SaaS na UE – Imagem: Xpert.Digital

Uma comparação detalhada das principais alternativas de SaaS na UE revela que o Nextcloud Hub, como plataforma modular, oferece recursos como sincronização e compartilhamento de arquivos, videoconferência, groupware e integração com o Office, enquanto o Open-Xchange App Suite, como um pacote integrado, concentra-se em e-mail, calendário, contatos e armazenamento. O Nextcloud Hub permite controle total por meio de auto-hospedagem e oferece criptografia de ponta a ponta opcional, mas tem requisitos de TI mais elevados para auto-hospedagem. O Open-Xchange se destaca com sua certificação ISO e proteção de dados em conformidade com a UE, mas depende do provedor de nuvem. No setor de CRM, o Zeeg se destaca por sua clara conformidade com o GDPR e hospedagem na Alemanha, enquanto o CentralStationCRM impressiona com sua simplicidade e foco em PMEs. Ambos os provedores oferecem modelos freemium e garantem locais de dados em conformidade com o GDPR. No setor de armazenamento em nuvem, o pCloud oferece vantagens em termos de flexibilidade com planos vitalícios e opções de armazenamento na UE; no entanto, a criptografia de ponta a ponta é opcional e tem um custo. O Tresorit, por outro lado, se destaca com criptografia de conhecimento zero consistente e alta conformidade, mas é mais caro. O ONLYOFFICE e o Collabora Online oferecem alternativas abrangentes para escritórios, com forte foco na UE e opções de código aberto. O ONLYOFFICE se destaca pela compatibilidade com a Microsoft e pelos recursos de colaboração. O Collabora Online, por sua vez, integra-se fortemente a plataformas como o Nextcloud e, portanto, prioriza menos a funcionalidade independente. Na área de videoconferência, o OpenTalk se destaca com recursos como webinars, enquetes e um claro foco na GDPR, enquanto o Jitsi Meet, como solução gratuita de código aberto, oferece máximo controle e simplicidade. Ambas as soluções oferecem opções para instalação local e recursos robustos de proteção de dados, com o OpenTalk se diferenciando pelo selo de segurança BSI IT.

Uma comparação detalhada evidencia que raramente existe uma única alternativa europeia "melhor". A escolha depende muito das necessidades e prioridades específicas da empresa. Surgem, por exemplo, compensações claras entre segurança máxima e preço (pCloud vs. Tresorit) ou entre controle abrangente por meio de hospedagem própria e a conveniência de uma solução SaaS gerenciada (Nextcloud vs. OX App Suite Cloud). As empresas devem ponderar qual aspecto — gama de recursos, facilidade de uso, custo ou grau de soberania e segurança — é mais importante para elas.

Uma característica fundamental de muitos fornecedores europeus é a flexibilidade de seus modelos operacionais. Soluções como Nextcloud, ONLYOFFICE, OpenTalk e Jitsi oferecem opções tanto em nuvem (SaaS) quanto locais ou auto-hospedadas. Isso permite que as empresas determinem seu próprio nível de controle e soberania. Elas podem optar pela conveniência de uma solução SaaS de um fornecedor europeu confiável ou escolher o controle máximo sobre os dados e a infraestrutura, operando-os em seu próprio data center. Essa escolha atende diretamente à necessidade essencial de controle que impulsiona o debate sobre soberania.

Integração de uma plataforma de IA independente e de dados cruzados em toda a empresa para todos os assuntos da empresa: xpert.digital

Ki-Gamechanger: as soluções mais flexíveis de AI em plataforma que reduzem os custos, melhoram suas decisões e aumentam a eficiência

Plataforma AI independente: integra todas as fontes de dados da empresa relevantes

• Esta plataforma de IA interage com todas as fontes de dados específicas
  • Da SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox e muitos outros sistemas de gerenciamento de dados
• Integração rápida da IA: soluções de IA personalizadas para empresas em horas ou dias em vez de meses
• Infraestrutura flexível: baseada em nuvem ou hospedagem em seu próprio data center (Alemanha, Europa, escolha livre de localização)

• Segurança de dados mais alta: o uso em escritórios de advocacia é a evidência segura
• Use em uma ampla variedade de fontes de dados da empresa
• Escolha de seus modelos de IA ou vários ou vários modelos (UE, EUA, CN)

Desafios que nossa plataforma de IA resolve

• Falta de precisão das soluções de IA convencionais
• Proteção de dados e gerenciamento seguro de dados sensíveis
• Altos custos e complexidade do desenvolvimento individual de IA
• Falta de IA qualificada
• Integração da IA ​​nos sistemas de TI existentes

Mais sobre isso aqui:

• Integração de IA de uma plataforma de IA independente e entre dados de dados para todos os assuntos da empresa

Soluções especializadas: SaaS soberano para setores sensíveis.

Embora as soluções SaaS discutidas até agora sejam frequentemente aplicáveis ​​a diversos setores, existem setores com demandas particularmente elevadas em segurança, conformidade e soberania digital. Entre eles, destacam-se a administração pública, a saúde e o setor financeiro. Ofertas especializadas e marcos regulatórios estão sendo desenvolvidos nessas áreas, promovendo ou mesmo exigindo o uso de soluções de nuvem soberanas.

Administração pública

O setor público na Alemanha e na Europa tem um interesse intrínseco na soberania digital para garantir o controle sobre os dados dos cidadãos e os processos governamentais críticos. Os requisitos frequentemente vão além da conformidade com o GDPR e incluem padrões de segurança específicos, como o BSI IT Baseline Protection ou o catálogo de critérios BSI C5. A interoperabilidade entre diferentes autoridades e níveis de governo, bem como a preferência por software de código aberto para evitar dependências, também são aspectos importantes.

Diversas iniciativas visam criar uma infraestrutura de nuvem soberana para administração:

• Estratégia Alemã para a Nuvem Administrativa (DVS): Esta estratégia, impulsionada pelo Conselho de Planejamento de TI e pela FITKO, visa estabelecer um ecossistema de nuvem federal, seguro, interoperável e soberano para o governo federal, estados e municípios. Ela se baseia em padrões abertos, uma abordagem multicloud e a integração de provedores de serviços de TI públicos (como Dataport, AKDB e IT.NRW), que desempenham um papel central e gozam de alto nível de confiança. No futuro, provedores externos compatíveis com a DVS também poderão ser integrados. Um elemento-chave é o Portal de Serviços em Nuvem (CSP), que funciona como um mercado para serviços em nuvem padronizados e certificados.
• Nuvem Federal / Plataforma Federal de Operações de TI: O ITZBund já opera plataformas em nuvem (SaaS, PaaS) para autoridades federais, que serão consolidadas em 2025 e atendem a altos requisitos de segurança e proteção de dados.
• Centro para a Soberania Digital (ZenDiS): Esta instituição promove especificamente o uso de software de código aberto na administração pública e apoia projetos como o OpenDesk, uma alternativa de código aberto ao Microsoft 365, desenvolvida especificamente para o setor público.
• Gaia-X e Sovereign Cloud Stack (SCS): Essas iniciativas europeias fornecem importantes fundamentos técnicos e padrões para a construção de infraestruturas de nuvem soberanas, que a DVS também pretende utilizar. O SCS, uma pilha de código aberto baseada em OpenStack e Kubernetes, já está sendo usado por diversos provedores alemães (por exemplo, plusserver).

As ofertas concretas e soberanas de SaaS para administração pública provêm tanto de provedores de serviços de TI públicos (por exemplo, Conceptboard da IT.NRW, dDataBox da Dataport) quanto de provedores comerciais especializados, que geralmente possuem certificações BSI C5 e estão disponíveis em marketplaces como o govdigital (por exemplo, plusserver, STACKIT, IONOS, OVHcloud). Soluções de código aberto como Nextcloud ou OpenDesk também desempenham um papel importante.

Adequado para:

• Dependendo da nuvem dos EUA? Luta da Alemanha pela nuvem: como competir com a AWS (Amazon) e o Azure (Microsoft)

Assistência médica

O setor da saúde processa dados pessoais extremamente sensíveis (dados de saúde, conforme definido no Artigo 9º do RGPD), que estão sujeitos a proteção especial. Além do RGPD e do sigilo médico, aplicam-se leis nacionais específicas, como a Lei de Proteção de Dados do Paciente (PDSG) e, mais recentemente, a Lei de Saúde Digital (DigiG). Segurança, disponibilidade e confidencialidade são de suma importância neste contexto.

Um fator crucial para o uso de soluções de nuvem soberanas no sistema de saúde alemão é a Lei Digital (DigiG), que entrou em vigor em março de 2024. Embora o novo Artigo 393 do Código Social Alemão, Livro V (SGB V), permita explicitamente o processamento de dados sociais e de saúde por meio da computação em nuvem, ele impõe condições muito rigorosas a isso:

• Processamento de dados apenas na UE/EEE/Suíça ou em país com decisão de adequação: O processamento de dados só pode ocorrer em território nacional, em um Estado-membro da UE/EEE, na Suíça ou em um país terceiro com decisão de adequação da Comissão Europeia.
• A certificação BSI C5 torna-se obrigatória: a partir de 1º de julho de 2024, os provedores de serviços em nuvem que processam dados sociais ou de saúde em nome de prestadores de serviços de saúde (médicos, hospitais, planos de saúde, etc.) devem apresentar uma certificação BSI C5 válida. Até 30 de junho de 2025, uma certificação Tipo 1 (adequação dos controles) é suficiente; a partir de 1º de julho de 2025, uma certificação Tipo 2 (comprovação de eficácia ao longo do tempo) passa a ser obrigatória.
• Isso também se aplica aos fornecedores de SaaS: Essa obrigação se aplica não apenas aos fornecedores de infraestrutura (IaaS) ou plataforma (PaaS), mas também explicitamente aos fornecedores de Software como Serviço (SaaS) cujos aplicativos são usados ​​na nuvem (por exemplo, sistemas de informação hospitalar (HIS), sistemas de gestão de consultórios (PMS), sistemas de agendamento de consultas, DiGAs).
• Implementação dos controles do cliente: A instituição usuária (clínica, consultório, etc.) deve, por sua vez, implementar os controles do usuário final mencionados no relatório de auditoria do provedor de nuvem.

Esta regulamentação torna significativamente mais rigorosos os requisitos para serviços em nuvem no setor da saúde, tornando a certificação BSI C5 um pré-requisito para fornecedores neste mercado. Provedores de nuvem como Open Telekom Cloud, AWS (região de Frankfurt), Azure, GCP e provedores alemães como plusserver, STACKIT e IONOS já possuem certificações C5 para suas infraestruturas. Agora, as soluções SaaS para saúde construídas sobre essas infraestruturas (HIS, sistemas de gestão de consultórios, componentes de prontuário eletrônico do paciente, etc.) também devem fornecer essa certificação. Exemplos de empresas atuantes no ambiente de nuvem para saúde e/ou que buscam certificações relevantes incluem Gini, Doctolib e Kite Consult. Segundo a Gematik, o próprio prontuário eletrônico do paciente é hospedado em servidores na Alemanha e na UE, em conformidade com o GDPR.

Financiar

O setor financeiro (bancos, seguradoras, prestadores de serviços financeiros) também é altamente regulamentado e processa dados extremamente sensíveis. Aplicam-se requisitos regulatórios rigorosos, impostos pela Autoridade Federal de Supervisão Financeira da Alemanha (BaFin) (por exemplo, BAIT, KAIT, VAIT, ZAIT), bem como por regulamentações europeias cada vez mais harmonizadas. Altos padrões de segurança de TI, gestão de riscos, resiliência e auditabilidade são prática padrão.

Os principais fatores regulatórios que impulsionam a implementação de soluções de nuvem seguras e soberanas incluem:

• Diretiva NIS2: Os bancos e as infraestruturas do mercado financeiro geralmente se enquadram nas categorias de entidades “essenciais” ou “importantes” de acordo com a NIS2. Portanto, devem cumprir requisitos mais rigorosos em relação à gestão de riscos, segurança da cadeia de suprimentos (incluindo provedores de nuvem), notificação de incidentes e responsabilização da gestão.
• DORA (Lei de Resiliência Operacional Digital): Este regulamento da UE visa especificamente fortalecer a resiliência operacional digital no setor financeiro. Ele estabelece requisitos detalhados para a gestão de riscos de TIC, a comunicação de incidentes graves relacionados às TIC, testes de resiliência digital e, em particular, a gestão de riscos por provedores de serviços de TIC terceirizados, incluindo provedores de nuvem. A DORA exige, entre outras coisas, acordos contratuais claros com provedores de nuvem e direitos de auditoria.

Os provedores de nuvem que desejam atender instituições financeiras devem demonstrar sua capacidade de cumprir esses requisitos regulatórios. Isso geralmente é alcançado por meio de certificações como BSI C5 ou ISO 27001, garantias contratuais específicas e divulgação transparente de sua arquitetura e processos de segurança. Provedores como plusserver, T-Systems, Microsoft com seu EU Data Boundary e AWS com seu European Sovereign Cloud estão se posicionando especificamente para esse mercado regulamentado.

Além disso, existem fornecedores de SaaS especializados que oferecem soluções de conformidade para o setor financeiro, como para prevenção à lavagem de dinheiro (PLD), Conheça Seu Cliente (KYC), verificação de listas de sanções, detecção de fraudes e monitoramento de abuso de mercado. Exemplos de fornecedores com presença na Europa incluem ACTICO (Alemanha), Pelican AI (Reino Unido?), Sopra Financial Technology (Alemanha/França), Otris (Alemanha) e ViClarity (Irlanda/EUA?).

Nesses setores altamente sensíveis, torna-se evidente que a decisão de usar soluções de nuvem soberanas não se baseia mais apenas na minimização de riscos, mas é cada vez mais impulsionada por requisitos legais e obrigações de conformidade rigorosas. A necessidade de demonstrar certificações como a BSI C5 altera a base da tomada de decisão, transformando-a de uma avaliação de risco voluntária em um pré-requisito obrigatório para a participação no mercado.

Isso apresenta novos desafios para os provedores de SaaS. Enquanto anteriormente o provedor de infraestrutura (IaaS/PaaS) geralmente detinha as certificações relevantes, regulamentações como o Artigo 393 do Código Social Alemão, Livro V (SGB V), agora exigem explicitamente que os provedores de SaaS também forneçam a documentação correspondente, como a certificação BSI C5. Os custos e o esforço envolvidos na obtenção e manutenção dessas certificações são consideráveis ​​e podem representar um obstáculo significativo, principalmente para empresas de SaaS menores e inovadoras, podendo levar à consolidação do mercado nesses setores regulamentados.

Adequado para:

• A política dos EUA inspira empresas de tecnologia da UE? Soberania de dados do domínio dos EUA: o futuro da nuvem na Europa

Promoção da soberania: iniciativas e certificações da UE

Para fortalecer a soberania digital da Europa e criar uma estrutura confiável para a computação em nuvem, diversas iniciativas e normas de certificação foram lançadas nos níveis europeu e nacional. O objetivo é promover a interoperabilidade, harmonizar os padrões de segurança e aumentar a confiança nos serviços em nuvem.

Gaia-X: Visão de uma infraestrutura de dados europeia federada

A Gaia-X é uma das iniciativas europeias mais importantes para o fortalecimento da soberania digital. Lançada em 2019 pela Alemanha e França, envolve atualmente inúmeros parceiros dos setores empresarial, científico e político em diversos países europeus.

• Objetivos: O principal objetivo do Gaia-X é criar uma infraestrutura de dados segura, federada e interoperável, baseada em valores europeus como a proteção de dados (RGPD), a transparência, a confiança e a autodeterminação. Visa aumentar a independência digital da Europa em relação a fornecedores não europeus, impulsionar a inovação através da troca segura de dados e fortalecer a competitividade das empresas europeias.
• Arquitetura e Abordagem: É importante compreender que a Gaia-X em si não é uma provedora de nuvem, nem está construindo sua própria “supernuvem europeia”. Em vez disso, a Gaia-X define um conjunto de regras, padrões comuns e elementos arquitetônicos para um ecossistema descentralizado de espaços de dados interoperáveis ​​e serviços de infraestrutura em nuvem. Ela se baseia em princípios como abertura, transparência, modularidade e o uso de padrões abertos e software de código aberto. A Associação Gaia-X para Dados e Nuvem (AISBL) está desenvolvendo especificações, regras, políticas e uma estrutura para verificação de conformidade (Gaia-X Compliance), que será implementada por meio das chamadas Câmaras de Compensação Digital Gaia-X (GXDCH).
• Componentes e projetos: Dentro da estrutura Gaia-X, estão surgindo blocos de construção e projetos concretos. O Sovereign Cloud Stack (SCS) é um exemplo importante: uma pilha de tecnologia padronizada e baseada em código aberto (baseada em OpenStack, Kubernetes, etc.) para a construção de infraestruturas de nuvem soberanas (IaaS/PaaS) compatíveis com Gaia-X. Ela visa servir como base técnica para ofertas de nuvem interoperáveis ​​e soberanas, incluindo a Nuvem Administrativa Alemã.
• Casos de uso: Para demonstrar os benefícios do Gaia-X, espaços de dados e aplicações concretas estão sendo desenvolvidos em diversos domínios. Exemplos podem ser encontrados na Indústria 4.0 (por exemplo, Catena-X para a indústria automotiva), mobilidade, energia, finanças, administração pública e, especialmente, na área da saúde. Projetos como TEAM-X, Health-X dataLOFT e GAIA-Med visam possibilitar a troca segura e soberana de dados de saúde para aprimorar o atendimento e a pesquisa.
• Desafios: Apesar de seus objetivos ambiciosos, o Gaia-X também enfrenta desafios e críticas. Entre eles, a complexidade do projeto, o progresso lento na implementação prática, definições por vezes pouco claras e o receio de que a iniciativa possa ser dominada por hiperescaladores globais já estabelecidos. Também foi criticado o foco excessivo na camada de infraestrutura (IaaS/PaaS) por muito tempo, negligenciando a camada de aplicação (SaaS).

EUCS: Sistema Europeu de Certificação de Cibersegurança para Serviços em Nuvem

O Esquema Europeu de Certificação de Cibersegurança para Serviços em Nuvem (EUCS) é uma estrutura de certificação desenvolvida pela Agência Europeia de Cibersegurança (ENISA) ao abrigo da Lei de Cibersegurança da UE (CSA).

• Objetivo: O principal objetivo é harmonizar os requisitos e certificações de cibersegurança para serviços em nuvem (IaaS, PaaS, SaaS) em toda a UE. Visa criar um padrão unificado para superar a fragmentação causada por diferentes esquemas de certificação nacionais (como o SecNumCloud na França ou o C5 na Alemanha) e fortalecer o mercado único digital. Para os usuários da nuvem, o EUCS pretende gerar maior transparência e confiança, demonstrando que os serviços certificados atendem a padrões de segurança específicos.
• Níveis de Garantia: O esquema define três (ou, em versões anteriores, quatro) níveis de segurança ('Básico', 'Substancial', 'Alto' e possivelmente 'Alto+') que refletem diferentes níveis de risco e capacidades de ataque. Com o aumento dos níveis, os requisitos para as medidas de segurança implementadas (por exemplo, segurança de rede, armazenamento, criptografia, testes de penetração) e o rigor da avaliação por Organismos de Avaliação da Conformidade (OACs) acreditados também aumentam.
• Voluntário versus obrigatório: A certificação EUCS é geralmente voluntária. No entanto, a Lei de Cibersegurança e a Diretiva NIS2 permitem que os Estados-Membros da UE tornem obrigatório o uso de serviços de TIC certificados para determinados setores, em particular para infraestruturas críticas (KRITIS). É, portanto, provável que a EUCS se torne um requisito obrigatório de facto ou um critério fundamental em concursos públicos, pelo menos em setores regulamentados.
• Debate sobre soberania: Um ponto central e controverso no desenvolvimento do EUCS foi a questão dos requisitos específicos de soberania, particularmente para o nível de segurança mais alto ("Alto" ou "Alto+"). Versões anteriores estipulavam que a localização de dados dentro da UE era obrigatória para esse nível e que o provedor deveria ter sua sede e centro global em um Estado-membro da UE para garantir a proteção contra leis não europeias (como a Lei CLOUD). No entanto, esses requisitos foram aparentemente removidos ou atenuados em versões posteriores (a partir de 2024). Isso gerou fortes críticas de provedores de nuvem europeus (especialmente PMEs), associações do setor e defensores da proteção de dados, que temem que isso enfraqueça a soberania digital da Europa, consolide a dependência de hiperescaladores não europeus e exponha os dados de cidadãos e empresas europeias a riscos maiores. O debate sobre a versão final desses requisitos continua.

BSI C5: Norma alemã para segurança na nuvem

O Catálogo de Critérios de Conformidade para Computação em Nuvem (C5) do Escritório Federal Alemão para Segurança da Informação (BSI) é um catálogo estabelecido de critérios que define requisitos mínimos específicos para a segurança da informação de serviços em nuvem.

• Objetivo e conteúdo: O C5 foi desenvolvido para orientar clientes de nuvem na seleção de provedores seguros e para estabelecer uma base sólida para a gestão de riscos. Ele se baseia em normas internacionalmente reconhecidas, como a ISO/IEC 27001, mas as complementa com requisitos específicos para nuvem e enfatiza a transparência por meio dos chamados parâmetros ambientais. Esses parâmetros fornecem informações sobre aspectos como localização de dados, jurisdição, certificações e obrigações de divulgação a órgãos governamentais, o que deve ajudar os clientes a avaliar melhor os riscos (por exemplo, espionagem industrial ou violações de dados). O catálogo abrange 17 áreas temáticas, incluindo organização de segurança da informação, segurança de pessoal, gestão de ativos, criptografia, gestão de identidade e acesso, gestão de incidentes e segurança física.
• Certificado de Auditoria (Tipo 1 e Tipo 2): A conformidade com os critérios C5 é demonstrada por um certificado de auditoria emitido por um auditor independente e qualificado. Existem dois tipos de certificados de auditoria: o Tipo 1 certifica a adequação do projeto e da implementação dos controles de segurança em uma data específica. O Tipo 2 confirma adicionalmente a eficácia operacional desses controles durante um período de auditoria definido (geralmente de 6 a 12 meses). O certificado de auditoria Tipo 2 é considerado mais abrangente e será exigido para auditorias de acompanhamento e no setor de saúde a partir de julho de 2025.
• Relevância: O C5 tornou-se um padrão de facto para computação em nuvem segura na Alemanha, particularmente para a administração pública e setores altamente regulamentados, como saúde e finanças. Como mencionado anteriormente, a certificação C5 se tornará legalmente obrigatória para serviços em nuvem na área da saúde por meio da Lei de Infraestrutura Digital (DigiG), a partir de julho de 2024/2025. Muitos provedores de nuvem alemães, europeus e internacionais (para suas respectivas regiões na UE) possuem certificação C5 para seus serviços.

Outras normas relevantes

Além das iniciativas e certificações já mencionadas, as normas internacionais estabelecidas também desempenham um papel importante:

• ISO/IEC 27001: A norma globalmente reconhecida para Sistemas de Gestão de Segurança da Informação (SGSI). Ela define uma abordagem sistemática para gerenciar informações comerciais sensíveis, garantindo sua confidencialidade, integridade e disponibilidade. A certificação ISO 27001 é frequentemente um pré-requisito para provedores de nuvem e serve como base para normas mais específicas, como a C5.
• ISO/IEC 27017: Esta norma fornece um código de prática com medidas de controle específicas para segurança da informação em ambientes de nuvem, complementando a ISO/IEC 27002.
• ISO/IEC 27018: Concentra-se na proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadoras de dados. Contém diretrizes alinhadas aos princípios europeus de proteção de dados e pode servir como complemento à norma C5, que não aborda a proteção de dados de forma abrangente.

Essas diversas iniciativas e normas não devem ser vistas necessariamente como concorrentes, mas sim como complementares. A Gaia-X fornece a visão e as regras para um ecossistema soberano, a EUCS visa harmonizar a certificação em toda a UE e normas nacionais como a BSI C5 já oferecem requisitos concretos e estabelecidos, bem como mecanismos de teste. O desafio será integrar de forma significativa essas abordagens e criar uma estrutura coerente que atenda às aspirações de soberania da Europa, sendo também prática para provedores e usuários. No entanto, o debate atual em torno dos requisitos de soberania na EUCS demonstra que ainda é necessário mais trabalho político e técnico.

É importante que as empresas compreendam que certificações como BSI C5 ou ISO 27001 são valiosos indicadores de confiança, criando transparência e facilitando a demonstração dos esforços de segurança. No entanto, elas não são a solução para todos os problemas e não substituem a avaliação de riscos e a devida diligência do cliente. Por exemplo, uma certificação C5 para um provedor dos EUA não altera sua sujeição à Lei CLOUD. A responsabilidade compartilhada pela segurança do uso da nuvem permanece entre o provedor e o cliente, e as empresas devem sempre verificar se as medidas do provedor são suficientes para suas necessidades e riscos específicos.

Adequado para:

• Sistemas de gerenciamento de dados em mudança: estratégias para o sucesso da empresa na era da IA

Vantagens estratégicas da mudança para fornecedores de SaaS da UE

A análise dos riscos associados à utilização de serviços de nuvem sediados nos EUA e o exame do crescente mercado de alternativas SaaS europeias soberanas permitem uma conclusão clara: para as empresas europeias, abordar a sua estratégia de nuvem a partir da perspetiva da soberania digital não é apenas aconselhável, mas cada vez mais uma necessidade estratégica.

Resumo dos resultados

As principais conclusões deste relatório podem ser resumidas da seguinte forma:

• Riscos persistentes com fornecedores dos EUA: A utilização de serviços SaaS de empresas sujeitas à jurisdição dos EUA representa riscos significativos e contínuos para empresas europeias. O conflito fundamental entre o RGPD da UE e leis dos EUA, como a Lei CLOUD e a FISA 702, leva a potenciais violações de dados, multas elevadas, perda do controle dos dados e risco de espionagem industrial. Mesmo o atual Quadro de Proteção de Dados UE-EUA (DPF) não resolve esse conflito fundamental, e sua estabilidade a longo prazo é incerta (ver Seção II).
• Soberania como um conceito multidimensional: “SaaS soberano” no contexto europeu significa mais do que apenas armazenar dados em centros de dados da UE. Inclui a conformidade com a legislação europeia (especialmente o RGPD), a proteção contra o acesso não europeu, a operação por entidades e pessoal da UE e, idealmente, a abertura e interoperabilidade tecnológica para evitar dependências (ver Seção III).
• Mercado crescente para alternativas na UE: Existe um mercado diversificado e crescente de fornecedores de SaaS, com sede e atuação na UE/EEE/Suíça. Esses fornecedores oferecem soluções em diversas categorias, frequentemente com forte foco em proteção de dados, segurança e necessidades locais. Muitos utilizam estrategicamente o código aberto para maximizar a transparência e o controle (ver Seções IV e V).
• Pressão regulatória em setores sensíveis: Em áreas como administração pública, saúde e setor financeiro, o uso de soluções de nuvem comprovadamente seguras e soberanas (frequentemente com certificação BSI C5 ou evidências comparáveis) está se tornando cada vez mais obrigatório por meio de legislação (por exemplo, DigiG, DORA, NIS2) e requisitos estratégicos (por exemplo, DVS) (ver Seção VI).
• Condições estruturais através de iniciativas e normas: Iniciativas europeias como a Gaia-X e certificações como a EUCS (em fase de planejamento), bem como normas nacionais estabelecidas como a BSI C5, criam condições estruturais importantes, promovem a interoperabilidade e visam fortalecer a confiança nas ofertas de nuvem soberana (ver seção VII).

Vantagens estratégicas das alternativas SaaS da UE

A mudança para fornecedores de SaaS europeus, ou a sua escolha prioritária desses fornecedores, que cumpram os critérios de soberania, oferece às empresas vantagens estratégicas que vão além da mera minimização de riscos:

• Maior conformidade e segurança jurídica: Utilizar fornecedores que estejam sujeitos exclusivamente à legislação da UE e que garantam que os dados sejam processados ​​dentro da UE reduz significativamente o risco de violações do RGPD e de conflitos com leis não europeias. Isso cria uma base jurídica mais estável e previsível para o processamento de dados.
• Maior controle e segurança de dados: provedores europeus com foco em soberania geralmente oferecem um nível mais alto de controle sobre seus próprios dados. Isso pode ser alcançado por meio de opções de auto-hospedagem, criptografia de ponta a ponta consistente (conhecimento zero), processos operacionais transparentes e exclusão de acesso por autoridades de países terceiros.
• Soberania digital reforçada: a escolha de fornecedores europeus reduz a dependência estratégica de empresas de tecnologia não europeias. Isso apoia o desenvolvimento de um ecossistema digital resiliente na Europa e fortalece a economia digital local.
• Suporte local e proximidade cultural: os fornecedores europeus geralmente oferecem um atendimento ao cliente mais acessível e compreensível, no idioma e fuso horário locais. Frequentemente, eles possuem um conhecimento mais profundo das necessidades e costumes específicos do mercado europeu, o que pode facilitar a cooperação e as negociações contratuais.
• Construindo confiança: O uso de soluções comprovadamente compatíveis com a proteção de dados e soberanas sinaliza um forte compromisso com a proteção e segurança de dados para clientes, parceiros e funcionários. Isso pode se tornar uma vantagem significativa em termos de confiança e competitividade.

Recomendações para empresas europeias

Para aproveitar os benefícios das soluções SaaS soberanas e gerenciar os riscos da adoção da nuvem, as empresas europeias devem considerar os seguintes passos:

• Realize uma análise de risco individual: Avalie criticamente os serviços SaaS que você utiliza atualmente (especialmente os baseados nos EUA). Analise o tipo de dados processados ​​(dados sensíveis, dados pessoais), os requisitos regulamentares aplicáveis ​​(RGPD, regulamentações específicas do setor) e o impacto potencial do acesso não autorizado aos dados ou de interrupções de serviço em sua empresa.
• Defina os requisitos de soberania: Determine o nível de soberania de dados, controle operacional e independência tecnológica necessário e desejável para sua organização. Nem todas as aplicações exigem o mesmo nível de soberania. Priorize com base no risco e na importância estratégica.
• Avalie sistematicamente o mercado de alternativas da UE: Utilize panoramas de mercado (como o deste relatório) e sua própria pesquisa para identificar potenciais fornecedores europeus de SaaS que atendam aos seus requisitos funcionais e de soberania. Considere o porte, a especialização, as referências e a viabilidade futura do fornecedor.
• Uma análise minuciosa é essencial na seleção de um fornecedor: não confie apenas em promessas de marketing. Examine criticamente as informações do fornecedor referentes à localização dos dados (incluindo backups e metadados), equipe operacional, estrutura da empresa (propriedade, sede social), subcontratados utilizados, tecnologias de criptografia (especialmente criptografia de ponta a ponta/conhecimento zero) e medidas de segurança. Solicite contratos de processamento de dados (DPAs), medidas técnicas e organizacionais (TOMs) e certificados ou atestados relevantes (por exemplo, ISO 27001, BSI C5) e revise-os cuidadosamente.
• Desenvolva uma estratégia de migração e um plano de saída: Planeje cuidadosamente qualquer migração potencial. Considere os custos, o esforço técnico necessário para a migração de dados, os ajustes de interface necessários e o gerenciamento de mudanças para seus funcionários. Garanta a interoperabilidade e defina uma estratégia de saída clara para facilitar uma futura troca de provedor ou a reversibilidade dos dados.
• Considere o código aberto como uma opção: avalie se as soluções SaaS baseadas em código aberto, seja como um serviço gerenciado de um provedor da UE ou hospedadas localmente, representam uma alternativa adequada para alcançar o máximo de transparência, adaptabilidade e controle.
• Acompanhe o cenário regulatório: Mantenha-se informado sobre os desenvolvimentos no tráfego de dados transatlântico (verificação DPF), padrões de certificação europeus (EUCS) e leis relevantes (NIS2, DORA, regulamentações específicas do setor), pois estes podem influenciar significativamente sua estratégia de nuvem.

A decisão de usar ou não determinados serviços em nuvem, especialmente no que diz respeito a fornecedores americanos versus alternativas europeias, vai muito além de uma questão técnica ou puramente de conformidade. Trata-se de uma decisão estratégica com implicações de longo prazo para a segurança jurídica, a proteção de dados, o controle sobre processos críticos de negócios e, em última instância, a resiliência e a competitividade da empresa no cenário digital global. Os riscos analisados ​​da dependência de fornecedores não europeus são substanciais e são exacerbados, em vez de mitigados, pela atual conjuntura geopolítica e jurídica.

Ao mesmo tempo, a transição para alternativas europeias não é garantida. As empresas devem avaliar cuidadosamente se as vantagens em termos de conformidade e controle superam as potenciais desvantagens em relação à funcionalidade, velocidade de inovação ou esforço de migração. Uma análise minuciosa das próprias necessidades, uma avaliação realista das alternativas disponíveis e um planejamento cuidadoso da transição são cruciais para o sucesso. No entanto, o mercado europeu oferece cada vez mais opções viáveis ​​e confiáveis ​​que permitem às empresas aproveitar os benefícios da nuvem sem comprometer sua soberania digital.

☑️ Apoio às PME em estratégia, consultoria, planeamento e implementação

☑️ Criação ou realinhamento da estratégia de IA

☑️ Desenvolvimento de negócios pioneiro

Konrad Wolfenstein

Ficarei feliz em servir como seu conselheiro pessoal.

Você pode entrar em contato comigo preenchendo o formulário de contato abaixo ou simplesmente ligando para +49 89 89 674 804 (Munique) .

Estou ansioso pelo nosso projeto conjunto.

Xpert.Digital é um hub para a indústria com foco em digitalização, engenharia mecânica, logística/intralogística e energia fotovoltaica.

Com nossa solução de desenvolvimento de negócios 360°, apoiamos empresas conhecidas, desde novos negócios até o pós-venda.

Inteligência de mercado, smarketing, automação de marketing, desenvolvimento de conteúdo, PR, campanhas por email, mídias sociais personalizadas e nutrição de leads fazem parte de nossas ferramentas digitais.

Você pode descobrir mais em: www.xpert.digital - www.xpert.solar - www.xpert.plus