Introdução
A 3 de junho de 2026 a Comissão Europeia apresentou o Pacote Europeu de Soberania Tecnológica (European Technological Sovereignty Package), um dos desenvolvimentos mais relevantes da política digital europeia desde a adoção do Regulamento Inteligência Artificial.
O pacote assenta em quatro pilares: semicondutores, cloud e IA, open source e digitalização do setor energético.
Convém desfazer desde já um equívoco que circula em alguns resumos sobre o tema: apenas dois dos pilares são propostas legislativas. O Chips Act 2.0 e o Cloud and AI Development Act (CADA) seguirão o processo legislativo ordinário; a Estratégia Europeia de Open Source e o Roteiro Estratégico para a Digitalização e IA na Energia são iniciativas não legislativas, sem força vinculativa própria.
Este artigo concentra-se no CADA, a peça do pacote com maior densidade jurídica e maior impacto previsível na prática da advocacia portuguesa. É no CADA que nasce um conceito que vai dar trabalho a juristas durante anos: a soberania ‘cloud’ por níveis de garantia.
O que propõe o CADA
O CADA é uma proposta de regulamento com dupla natureza: instrumento de política industrial e instrumento regulatório.
Na vertente industrial, o objetivo declarado é triplicar a capacidade de datacenters da UE nos próximos cinco a sete anos e assegurar autonomia de capacidade computacional até 2035.
Para isso, a proposta cria as Cloud and AI Leadership Initiatives (um quadro de promoção de investigação, inovação e capacidade em larga escala) e prevê mecanismos de projetos estratégicos, zonas de aceleração de datacenters e medidas de contratação pública.
Os Estados-Membros ficariam obrigados a adotar estratégias nacionais de cloud e IA alinhadas com estes objetivos, o que, em Portugal, terá inevitavelmente de dialogar com a estratégia nacional para a IA e com os investimentos em curso em infraestrutura digital.
Na vertente regulatória, a que aqui mais interessa, o CADA institui o Quadro Europeu de Soberania Cloud (EU Cloud Sovereignty Framework).
Os quatro níveis de garantia
O Quadro estabelece quatro “níveis de garantia” (assurance levels) para serviços de computação em nuvem, aferidos por critérios como o controlo sobre o serviço, o controlo sobre a cadeia de fornecimento, o tratamento de dados, a localização da infraestrutura e a cibersegurança.
A lógica é gradativa: nem todos os usos públicos exigem o mesmo grau de “soberania”. Um serviço de agendamento municipal não tem o perfil de risco de um sistema de dados de saúde ou de uma plataforma judicial. Por isso, a proposta exige que os Estados-Membros e as entidades da União realizem avaliações individuais de risco de soberania para determinar o nível de garantia adequado a cada caso de uso do setor público.
Aqui reside a primeira fragilidade estrutural da proposta: ao remeter a avaliação para cada Estado-Membro, o CADA abre a porta a uma aplicação “à la carte” do Quadro, em vez de uma abordagem harmonizada. Vinte e sete avaliações nacionais de risco podem produzir vinte e sete entendimentos do que é uma cloud suficientemente “soberana”, com o inerente paradoxo de um instrumento pensado para unificar o mercado europeu poder acabar por fragmentá-lo. Quem acompanhou a transposição da Diretiva NIS2 reconhecerá o padrão.
A extensão ao setor privado: a ponte com a Diretiva NIS2
O Quadro não se esgota no setor público.
Segundo a proposta, a Comissão teria poderes para adotar atos de execução que exijam avaliações de risco de soberania semelhantes a empresas privadas dos setores abrangidos pela Diretiva NIS2 , a saber, energia, banca, saúde, infraestrutura digital, transportes, entre outros.
Esta é, porventura, a disposição com maior alcance prático do diploma. Significa que a “soberania cloud”, nascida como exigência de contratação pública, pode tornar-se obrigação de compliance para uma parte substancial da economia regulada.
Uma empresa portuguesa de energia ou um operador de infraestrutura digital poderá vir a ter de demonstrar não apenas que a sua cloud é segura (NIS2), nem apenas que protege dados pessoais (RGPD), mas também que satisfaz um determinado nível de garantia de soberania; três camadas regulatórias distintas sobre a mesma decisão de arquitetura tecnológica.
Esta camada adicional não vive isolada do Regulamento de IA. Para sistemas de IA de risco elevado utilizados precisamente nos setores NIS2 (energia, saúde, transportes, banca, infraestruturas digitais, entre outros, como vimos) a escolha de fornecedores cloud passará a ser feita num triângulo regulatório: requisitos de soberania cloud (CADA), obrigações de gestão de risco e governança do AI Act e exigências de segurança de rede e informação da NIS2.
Em termos práticos, isto pode excluir soluções tecnicamente adequadas mas incapazes de cumprir simultaneamente o nível de garantia de soberania exigido, os requisitos de localização/tratamento de dados e os controlos de segurança impostos por NIS2.
A proposta prevê ainda que a Comissão possa, igualmente por atos de execução, identificar países terceiros cujos fornecedores de cloud ficariam sujeitos a auditoria face ao Quadro Europeu de Soberania Cloud.
Open source first nas compras públicas
O CADA introduz também um princípio de “open source first” nas aquisições públicas de software de cloud e IA, articulado com a Estratégia Europeia de Open Source e a sua lógica de public money, public code: software desenvolvido ou adquirido com dinheiros públicos deve, tendencialmente, ser aberto.
Para quem assessora entidades adjudicantes ou concorrentes em contratação pública, isto não é um detalhe. Um princípio de preferência por soluções abertas, se consagrado no texto final, terá de ser integrado na avaliação de propostas e na fundamentação das decisões de adjudicação — e criará, previsivelmente, contencioso novo: o concorrente preterido que invoque a violação do princípio, a entidade que justifique a escolha proprietária por inexistência de alternativa aberta equivalente, e tudo o que está pelo meio.
Já que se fala de open source, e como nota lateral, refira-se que a nova Diretiva da Responsabilidade por Produtos (Diretiva (UE) 2024/2853) limita o seu âmbito em relação a software open source desenvolvido ou fornecido fora de uma atividade comercial, mas aplica-se quando o software é comercializado, monetizado (incluindo via dados pessoais, salvo exceções para segurança/interoperabilidade) ou integrado como componente de um produto comercial.
Implicações práticas para advogados portugueses
Sublinhe-se em primeiro lugar o essencial: o CADA é uma proposta. Vai agora iniciar o processo legislativo ordinário, com Parlamento Europeu e Conselho, e o texto final pode divergir significativamente.
Nada vigora hoje.
Mas a experiência do AI Act ensina que quem espera pela publicação no Jornal Oficial para começar a estudar o diploma chega tarde ao aconselhamento.
Assim, em concreto:
Quem assessora o setor público deve começar a acompanhar o conceito de avaliação de risco de soberania. As entidades públicas portuguesas que contratam serviços cloud, desde a administração central às autarquias, passando pela saúde e pela justiça, serão as primeiras destinatárias do Quadro. Cláusulas contratuais sobre localização de dados, subcontratação e cadeia de fornecimento ganharão nova base normativa.
Quem assessora empresas dos setores NIS2 deve sinalizar ao cliente que a arquitetura cloud pode vir a ter uma terceira camada de exigências, para além da cibersegurança e da proteção de dados. As decisões de migração para a cloud tomadas hoje, com contratos plurianuais, devem antecipar a possibilidade de requisitos de soberania, incluindo o custo de uma eventual migração forçada para fornecedores de nível de garantia superior.
Quem trabalha contratação pública deve seguir a evolução do princípio open source first e da figura das zonas de aceleração de datacenters, que envolverão licenciamento acelerado e, previsivelmente, tensões com o regime de avaliação de impacto ambiental e com o planeamento urbanístico, área onde Portugal, candidato natural a investimento em centros de dados pela posição atlântica e pela capacidade de energia renovável, terá interesses concretos em jogo.
Quem acompanha proteção de dados deve notar a sobreposição parcial entre os critérios de soberania (tratamento de dados, localização, controlo) e o regime de transferências internacionais do RGPD. O Quadro não substitui o Capítulo V do RGPD, mas vai coexistir com ele e a articulação entre “nível de garantia de soberania” e “decisão de adequação” promete debates interessantes.
Conclusão: soberania ou taxonomia?
O CADA é a tentativa mais séria até hoje de dar conteúdo jurídico operativo a uma palavra que a política europeia usa há uma década sem a definir: soberania.
Fica a pergunta, talvez incómoda: classificar serviços cloud em quatro níveis de garantia produz soberania, ou produz apenas uma taxonomia sofisticada da dependência?
Com mais de 80% da infraestrutura digital europeia nas mãos de fornecedores externos, o risco é o de a Europa ficar exímia a medir aquilo que não controla.
A resposta dependerá menos do texto final do regulamento do que da capacidade industrial que os outros pilares do pacote conseguirem gerar.
Para os juristas portugueses, porém, a conclusão prática é mais simples: a soberania cloud deixou de ser conceito político e está a caminho de se tornar requisito de compliance
Referências
| Fonte | Documento | Hiperligação |
|---|---|---|
| Comissão Europeia | Comunicado de imprensa — Pacote de Soberania Tecnológica (3 jun. 2026) | https://ec.europa.eu/commission/presscorner/detail/en/ip_26_1187 |
| Comissão Europeia (DG CONNECT) | Página da política “EU Tech Sovereignty” e notícia de apresentação do pacote | https://digital-strategy.ec.europa.eu/en/news/commission-proposes-tech-sovereignty-package-strengthen-europes-digital-autonomy-and-resilience |
| Comissão Europeia | Proposta de Cloud and AI Development Act (CADA) | https://digital-strategy.ec.europa.eu/en/library/proposal-cloud-and-ai-development-act-cada |
| Comissão Europeia | Proposta de Chips Act 2.0 | https://digital-strategy.ec.europa.eu/en/library/proposal-chips-act-20 |
| Comissão Europeia | EU Open Source Strategy | https://digital-strategy.ec.europa.eu/en/policies/open-source-strategy |
| Covington & Burling (Inside Global Tech) | “EU Tech Sovereignty Package” — análise jurídica (4 jun. 2026) | https://www.insideglobaltech.com/2026/06/04/eu-tech-sovereignty-package/ |
| CNBC | Cobertura do lançamento e declarações de Ursula von der Leyen (3 jun. 2026) |
