Suas Cargas de Trabalho Europeias Rodam sob a Lei…

💡 TL;DR (Muito Longo; Não Li)

Principais conclusões em 60 segundos:

Os Números: Três empresas dos EUA controlam 65% do mercado de nuvem europeu. Os provedores americanos, no total, detêm 85% de participação. A capacidade de data centers da UE é metade da dos EUA, apesar de terem um PIB comparável.

A Legislação: O EU Cloud and AI Development Act (CADA) entra em vigor em 27 de maio de 2026. Três pilares — financiamento de P&I, investimento em data centers e nuvem soberana obrigatória para casos de uso críticos. Isso remodelará as compras públicas em 27 estados-membros.

A Armadilha da Soberania: A AWS lançou uma "European Sovereign Cloud" na Alemanha no início de 2026 — equipe da UE, lei da UE, residência de dados na UE. Mas o CLOUD Act dos EUA ainda permite que as autoridades americanas exijam acesso a dados de empresas dos EUA, independentemente de onde os dados estejam armazenados. O "Sovereignty-washing" é o novo "greenwashing".

A Arquitetura: Provedores europeus (OVHcloud, Hetzner, Scaleway) mais federações de telecomunicações (European Edge Continuum) estão construindo alternativas reais. Para arquitetos, o padrão é o "dual-stack" — infraestrutura soberana para cargas críticas, hiperscalers para o restante, com reversibilidade planejada desde o primeiro dia.

O Prazo: Se seus sistemas tocam o setor público europeu, saúde, defesa ou infraestrutura crítica — comece a projetar para soberania agora. Os mandatos de compras do CADA aparecerão em RFPs até 2027.

Os Números que Ninguém Quer Dizer em Voz Alta

Vamos começar com três fatos que deveriam deixar qualquer CTO europeu desconfortável.

Fato 1: Três empresas sediadas nos EUA — AWS, Microsoft Azure e Google Cloud — respondem por 65% do mercado de serviços de nuvem europeu.

Verified SourceParlamento Europeu — Briefing sobre o Cloud and AI Development Act

Apenas três empresas sediadas nos EUA respondem por 65% do mercado de serviços de nuvem da UE.

Fato 2: Quando incluímos todos os provedores de nuvem dos EUA (não apenas os três grandes), a participação atinge 85%.

Verified SourceCNBC — Relatório de Soberania Digital da Europa

Os provedores de nuvem dos EUA dominam o mercado europeu com uma fatia de 85%, segundo o Synergy Research Group.

Fato 3: Apesar de terem um PIB comparável, os Estados Unidos têm o dobro da participação da Europa na capacidade global de data centers. A Europa literalmente não tem computação suficiente para rodar suas próprias cargas de trabalho sem a infraestrutura americana.

Verified SourceParlamento Europeu — Briefing CADA

Estudos sugerem que, apesar de um PIB comparável, os Estados Unidos possuem o dobro da fatia da Europa em capacidades globais de data centers.

Isso não é um problema apenas de política. É um ponto único de falha para toda a infraestrutura digital de um continente. E após as tarifas de Trump, as controvérsias do CLOUD Act e a aceleração da guerra tecnológica EUA-China, a Europa decidiu que cansou de ser inquilina nos servidores de outra pessoa.

O Stack Regulatório: Cinco Leis em Cinco Anos

Para entender onde o CADA se encaixa, você precisa ver o stack regulatório completo que a Europa construiu desde 2018. Cada camada adiciona restrições que se acumulam:

Para engenheiros, a implicação prática é cumulativa. O GDPR diz onde os dados podem residir. O Data Act diz quão fácil deve ser movê-los. O AI Act diz qual o nível de risco determina quais regras se aplicam. O NIS2 diz quais setores enfrentam os requisitos mais rigorosos. E o CADA — a peça que chega em 27 de maio — diz quem está autorizado a hospedá-los.

CADA: Os Três Pilares

O Cloud and AI Development Act está estruturado em torno de três pilares:

Pilar 1: Pesquisa e Inovação. Financiamento da UE para P&D em nuvem e IA. Semelhante à iniciativa "Chips for Europe" do EU Chips Act. Importante para o ecossistema, mas improvável que produza impacto arquitetônico de curto prazo para engenheiros em atividade.

Pilar 2: Investimento em Data Centers. Visa triplicar a capacidade de data centers da UE. Simplifica o licenciamento e harmoniza as regulamentações de construção entre os estados-membros. Atualmente, a UE enfrenta o que o Parlamento Europeu descreve como "obstáculos legais e financeiros" para a construção de centros de dados. Quando a Irlanda — o maior mercado de data centers da UE — enfrentou restrições de energia em 2024, ficou exposto quão frágil é realmente a cadeia de fornecimento de capacidade.

Pilar 3: Nuvem Soberana para Casos de Uso Críticos. Este é o pilar que importa para arquitetos. Ele estabelece requisitos para uma "capacidade de nuvem baseada na UE e altamente segura" para casos de uso críticos estritamente definidos — defesa, administração pública, infraestrutura crítica, saúde. A questão chave que permanece aberta: esses requisitos serão baseados em garantia de risco (qualquer provedor pode se qualificar se atender aos critérios de segurança) ou restrições de propriedade (apenas provedores controlados pela UE se qualificam)?

Verified SourcetechUK — Despacho de Bruxelas

Espera-se agora que o CADA seja proposto em 27 de maio de 2026 como parte de um 'pacote de soberania tecnológica' ao lado de regras revisadas de compras da UE.

O conceito em debate é o de "controle efetivo europeu" — a ideia de que provedores que servem cargas de trabalho críticas da UE devem ser majoritariamente controlados por entidades da UE e imunes a exigências legais extraterritoriais. Se esse conceito chegar ao texto final, excluiria efetivamente os hiperscalers dos EUA dos níveis mais sensíveis de compras públicas europeias.

O Problema do Sovereignty-Washing

A AWS lançou sua European Sovereign Cloud na Alemanha no início de 2026 — física e logicamente separada de sua infraestrutura global, operada sob a lei da UE e com equipe residente na UE gerenciando operações e suporte.

Verified SourceN-iX — Guia de Soberania Digital da UE

A AWS European Sovereign Cloud lançou sua primeira região na Alemanha no início de 2026, operando sob a lei da UE com pessoal sediado na UE.

Microsoft e Google fizeram movimentos semelhantes. No papel, essas ofertas soberanas marcam muitas caixas: residência de dados na UE, gerenciamento de chaves de criptografia baseado na UE, operações governadas pela UE.

O problema é o CLOUD Act. O Clarifying Lawful Overseas Use of Data Act (2018) dos EUA permite que as autoridades americanas exijam que empresas americanas forneçam dados, independentemente de onde estejam armazenados — incluindo dados em uma região soberana da UE. A Microsoft admitiu em um tribunal francês que não poderia garantir a soberania de dados europeia no caso de uma ordem judicial do governo dos EUA.

Verified SourceThe Register — Alerta da CISPE sobre Sovereignty-Washing

24 CEOs de nuvem europeus assinaram uma carta alertando contra o 'sovereignty-washing' — medidas que consolidam o domínio dos hiperscalers enquanto alegam conformidade com a soberania.

Vinte e quatro CEOs de provedores de nuvem europeus (via CISPE) assinaram uma carta pública chamando isso de "sovereignty-washing" — um termo explicitamente modelado no "greenwashing". O argumento deles é simples: se a entidade que controla sua infraestrutura está sujeita à jurisdição legal de um governo estrangeiro, sua soberania de dados é uma ficção jurídica, independentemente de onde os servidores estejam fisicamente localizados.

Este não é um debate abstrato sobre política. É uma restrição arquitetônica. Quando você escolhe entre a AWS eu-central-1 e a região de Frankfurt da OVHcloud, você não está apenas escolhendo a localização de um data center. Você está escolhendo uma jurisdição legal.

O que a Europa Está De Fato Construindo

A alternativa não é algo impalpável. Infraestruturas reais estão sendo implantadas:

European Edge Continuum. No MWC 2026, cinco das maiores operadoras da Europa — Deutsche Telekom, Orange, Telefónica, TIM e Vodafone — demonstraram a primeira nuvem de borda (edge cloud) federada pan-europeia. Isso conecta suas redes em uma única plataforma onde as cargas de trabalho podem ser implantadas entre operadoras através de um único ponto de entrada. "Esta federação prova que a Europa não está apenas falando sobre soberania digital. Estamos construindo-a", disse o Chief Sovereign Officer da T-Systems.

Verified SourceDeutsche Telekom — Anúncio do European Edge Continuum

Cinco operadoras europeias líderes demonstraram a primeira nuvem edge federada pan-europeia no MWC 2026, sob o programa IPCEI-CIS.

Provedores de nuvem nativos da UE. OVHcloud, Hetzner, IONOS e Scaleway estão crescendo — não competindo em paridade de recursos com a AWS (eles não conseguem), mas competindo em garantias de soberania, transparência de preços e imunidade à lei extraterritorial. Para cargas de trabalho que não precisam de um Kubernetes gerenciado com 200 serviços adicionais, um provedor nativo da UE executando computação e armazenamento padrão é arquitetonicamente suficiente e juridicamente mais limpo.

O modelo nacional da Estônia. A Estônia adotou o princípio de "código aberto primeiro" para todo o seu governo digital. Seu ministro da justiça chamou a soberania digital de "uma questão de sobrevivência nacional" — impulsionada pela proximidade das ameaças militares russas. O raciocínio: se as conexões globais forem cortadas ou as políticas de fornecedores externos mudarem, a Estônia mantém o controle total do código que opera seu Estado.

Eurostack. Uma proposta para um stack tecnológico europeu completo — de cabos submarinos a nuvem — projetado para eliminar todos os pontos de dependência. Ainda em estágio inicial, o white paper do Eurostack (maio de 2025) tornou-se um documento de referência nos círculos políticos da UE. Como o Atlantic Council colocou, a Europa está buscando uma "declaração de independência" em infraestrutura digital — não para se desconectar do comércio global, mas para garantir a continuidade operacional quando as alianças geopolíticas mudarem.

Verified SourceAtlantic Council — Relatório de Soberania Digital

A agenda de soberania digital da Europa representa uma "declaração de independência" visando reduzir a dependência estratégica em infraestrutura tecnológica não pertencente à UE.

O Playbook do Arquiteto: Soberania Dual-Stack

Para engenheiros projetando sistemas em 2026, o padrão emergente é o dual-stack: infraestrutura soberana para cargas críticas, hiperscalers para todo o resto, com fronteiras limpas e reversibilidade.

Os princípios de design:

Princípio 1: Classificar pelo Risco Jurisdicional

O GDPR classifica dados pessoais. O AI Act classifica níveis de risco. O CADA classificará por quem pode hospedar. Você precisa de uma classificação de carga de trabalho que mapeie para os três simultaneamente. Aqui está uma estrutura inicial:

Tipo de Carga de Trabalho	Classe de Dados	Risco do AI Act	Nível de Soberania	Restrição de Hospedagem
Sistemas C2 de defesa	SECRETO / RESTRITO	Alto risco	Nível 1 — Soberano	Apenas nativo da UE (gov cloud)
Prontuários médicos	Pessoais (Art. 9 GDPR)	Alto risco	Nível 1 — Soberano	Nativo da UE ou soberano certificado
Portais de adm. pública	Pessoais (Art. 6 GDPR)	Risco limitado	Nível 2 — Controlado	Região soberana de hiperscaler OK
APIs de fintech reguladas	PII Financeiro	Alto risco	Nível 2 — Controlado	Região soberana + garantias contratuais
Analytics interno	Agregado / anonimizado	Risco mínimo	Nível 3 — Padrão	Qualquer provedor
Site de marketing	Conteúdo público	Risco mínimo	Nível 3 — Padrão	Qualquer provedor, qualquer região

A coluna que mais importa é a de Restrição de Hospedagem — e é a que a maioria dos frameworks de classificação não possui. O CADA a adiciona. Se sua classificação de dados atual não incluir uma dimensão jurisdicional, ela está incompleta para 2026.

Princípio 2: Construir Reversibilidade desde o Primeiro Dia

O Data Act já exige portabilidade na nuvem. Na prática, isso significa padronizar interfaces, evitar serviços gerenciados proprietários onde existam alternativas portáteis e manter opções de saída contratualmente e tecnicamente viáveis.

O teste de fogo é concreto: você consegue mover uma carga de trabalho entre a OVHcloud e a AWS em menos de uma semana? Se não, você não tem soberania — você tem um tipo diferente de "lock-in". Aqui está como se parece uma configuração de infraestrutura orientada à reversibilidade versus uma presa ao fornecedor:

yaml

# ❌ DEPENDÊNCIA (LOCK-IN): Fortemente acoplado a serviços específicos da AWS
compute:
  provider: aws
  service: ECS Fargate        # Sem API equivalente na OVHcloud
  storage: S3 + DynamoDB      # Modelo de consulta proprietário
  secrets: AWS Secrets Manager # SDK específico do fornecedor
  dns: Route53                # API específica do fornecedor

# ✅ REVERSÍVEL: Abstrações portáteis, pronto para soberania
compute:
  runtime: kubernetes          # K8s roda em qualquer lugar
  registry: harbor.internal    # Auto-hospedado, portátil
  storage:
    objects: s3-compatible     # MinIO / OVH Object Storage / AWS S3
    database: postgresql       # Gerenciado ou auto-hospedado, qualquer provedor
  secrets: hashicorp-vault     # Auto-hospedado, agnóstico de nuvem
  dns: external-dns + cloudflare  # Independente de provedor
  observability: opentelemetry    # Telemetria neutra em relação ao fornecedor

O padrão é simples: cada ponto de integração deve ter uma alternativa portátil que você tenha testado. Se você nunca implantou seu stack em um segundo provedor, sua reversibilidade é apenas teórica.

Princípio 3: Monitorar a Linguagem das Compras Públicas

Selos CADA, EUCS e Gaia-X aparecerão cada vez mais em RFPs do setor público em toda a Europa. Se sua empresa vende para governos europeus, sistemas de saúde ou operadoras de infraestrutura crítica, ser "compatível com nuvem soberana" se tornará um requisito, não um diferencial. O Gartner prevê que os gastos com IaaS de nuvem soberana na Europa triplicarão para US$ 23 bilhões até 2027.

Verified SourceCNBC — Previsão do Gartner para Nuvem Soberana

O Gartner prevê que os gastos com IaaS de nuvem soberana na Europa mais que triplicarão para US$ 23 bilhões até 2027, em comparação com os níveis de 2025.

Princípio 4: Avaliar Provedores, Não Comunicados de Imprensa

Colocar seus servidores em Frankfurt não torna você soberano se a empresa que os opera está sediada em Seattle e sujeita ao CLOUD Act. A soberania é uma propriedade da entidade legal, não do endereço IP.

Antes de selecionar um provedor para cargas de trabalho de Nível 1 ou Nível 2, passe por este checklist:

Pergunta	O que você deseja	Alerta de risco (Red flag)
Onde a empresa controladora está incorporada?	Estado-membro da UE	Jurisdição dos EUA, China ou Five Eyes
O provedor está sujeito ao CLOUD Act?	Não	Sim, ou "estamos trabalhando nisso"
Quem detém as chaves de criptografia?	Gerenciadas pelo cliente (BYOK/HYOK)	Gerenciadas pelo provedor sem opção BYOK
Um tribunal estrangeiro pode exigir a divulgação de dados?	Não — contratual e estruturalmente	Linguagem vaga sobre "melhores esforços"
O provedor é certificado pelo EUCS (quando disponível)?	Sim, nível mais alto	Sem roteiro de certificação
O contrato inclui assistência na saída?	Sim, com prazos e formatos definidos	Sem cláusula de saída ou "comercialmente razoável"
Onde reside a equipe de suporte operacional?	Apenas na UE	Globalmente distribuída com níveis nos EUA/offshore

A verdade desconfortável: a maioria das empresas precisará de ambos, um hiperscaler e um provedor soberano. O objetivo não é eliminar a AWS — é garantir que as cargas de trabalho que devem ser soberanas realmente o sejam, e que você possa provar isso quando o auditor perguntar.

Perguntas Desconfortáveis

Para CTOs de empresas europeias: Se o seu principal provedor de nuvem recebesse uma ordem do CLOUD Act amanhã para os dados de seus clientes armazenados em sua região da UE, o que aconteceria? Você tem uma garantia contratual? Um controle técnico? Ou apenas um comunicado de imprensa que diz "soberano"?

Para CTOs que vendem para o setor público europeu: Os mandatos de compras do CADA são esperados para 2027. Se seu produto roda exclusivamente na AWS, e o texto final do CADA exigir "controle efetivo europeu" para cargas de trabalho de Nível 1, você consegue migrar? Quão rápido? A que custo?

Para CTOs de empresas americanas com operações na Europa: O modelo dual-stack não é opcional. Está se tornando infraestrutura regulatória. As empresas que construírem arquiteturas conscientes da soberania agora terão vantagem competitiva nas compras europeias. As empresas que esperarem ficarão perdidas quando as RFPs mudarem.

Previsões

Com base na pesquisa e na trajetória das negociações do CADA, aqui estão três previsões específicas e refutáveis:

E020: O texto final do CADA (esperado para o 2º semestre de 2026) adotará o conceito de "controle efetivo europeu" para cargas de trabalho críticas de Nível 1, mas não chegará a restrições totais de propriedade — criando um sistema de dois níveis onde os hiperscalers podem competir pelo Nível 2, mas provedores nativos da UE dominam o Nível 1.

E021: Pelo menos um grande incidente envolvendo acesso extraterritorial a dados (via CLOUD Act ou equivalente) visando dados armazenados em uma região soberana de um hiperscaler dos EUA na UE se tornará público até o 2º trimestre de 2027 — acelerando a migração para provedores nativos da UE para cargas sensíveis.

E022: Até 2028, ser "compatível com nuvem soberana" será um item padrão em compras públicas europeias, comparável a ser "compatível com o GDPR" hoje — e a previsão de US$ 23 bi do Gartner se mostrará conservadora.