Soberania de dados: por que razão as empresas europeias mantêm a IA internamente

Durante a maior parte da última década, a questão de onde os dados corporativos residiam fisicamente era considerada uma preocupação de TI, resolvida pela camada de cloud que oferecia a melhor relação preço-desempenho. Esse enquadramento está a mudar rapidamente. Uma vaga de pressão regulatória, fricção geopolítica e ações de aplicação de grande visibilidade moveu a residência de dados — e o conceito relacionado de soberania de dados — para a agenda dos comités de risco e, crescentemente, dos conselhos de administração. Em nenhum lugar esta mudança é mais pronunciada do que na Europa, e em nenhum lugar é mais consequente do que nas decisões sobre infraestrutura de inteligência artificial.

O que a soberania de dados realmente significa

A soberania de dados é o princípio de que os dados estão sujeitos às leis e quadros de governação da nação ou jurisdição onde são recolhidos ou processados. É distinta de — embora relacionada com — a residência de dados, que simplesmente descreve onde os dados estão armazenados. Um conjunto de dados pode residir em servidores em Frankfurt enquanto permanece legalmente acessível a um governo estrangeiro ao abrigo de legislação extraterritorial. A verdadeira soberania requer tanto a localização física como o controlo legal: a organização que detém os dados deve ser a única entidade capaz de conceder acesso a eles.

Leis extraterritoriais e a linha de falha transatlântica

A tensão que mais concentra as mentes europeias é o conflito entre a legislação de proteção de dados da UE e os estatutos extraterritoriais dos EUA. A Lei CLOUD, promulgada em 2018, permite que as forças de segurança dos EUA obriguem fornecedores com sede nos EUA — incluindo as suas subsidiárias estrangeiras e regiões de cloud — a produzir dados independentemente de onde estão armazenados. Disposições semelhantes existem nos quadros legais de várias outras grandes jurisdições. A consequência é clara: uma empresa europeia que processa dados sensíveis em infraestrutura operada por um fornecedor de cloud com empresa-mãe nos EUA pode não ter garantia legal de que os seus dados não podem ser acedidos por uma autoridade estrangeira sem o seu conhecimento ou consentimento.

Armazenar dados numa região europeia de um hiperscaler americano não torna esses dados soberanos. Torna-os geograficamente próximos mas legalmente expostos.

Pressão setorial: finanças, saúde e setor público

Embora o problema afete todos os setores, três enfrentam pressão particularmente aguda. As instituições financeiras que operam ao abrigo da DORA (Lei de Resiliência Operacional Digital) devem demonstrar que os fornecedores de TIC de terceiros, incluindo plataformas de cloud, cumprem normas rigorosas de concentração e risco de acesso — uma obrigação que é difícil de satisfazer quando o fornecedor está sujeito a legislação estrangeira. As organizações de saúde que tratam registos de pacientes ao abrigo das implementações nacionais das diretivas de eSaúde enfrentam restrições semelhantes, agravadas pela sensibilidade específica do setor. Os organismos do setor público e os contratantes adjacentes à defesa em vários estados-membros estão agora explicitamente proibidos de processar certas categorias de dados em infraestrutura não controlada pela UE.

• Finanças: requisitos de risco de concentração DORA e supervisão de terceiros TIC.
• Saúde: obrigações de localização de dados de pacientes ao abrigo das disposições nacionais de eSaúde e RGPD.
• Setor público: classificações de segurança nacional que proíbem cloud controlada por entidades estrangeiras para cargas de trabalho sensíveis.
• Serviços jurídicos e profissionais: privilégio advogado-cliente e regras de sigilo profissional que variam por jurisdição.
• Infraestrutura crítica: obrigações da Diretiva NIS2 para operadores de serviços essenciais.

Como a IA privada on-premise e hospedada na UE entrega soberania

A resposta arquitetónica mais limpa às preocupações de soberania é executar a inferência e o treino de IA em infraestrutura que esteja tanto fisicamente localizada na UE como operada por uma entidade que não está sujeita a legislação estrangeira extraterritorial. A implementação on-premise — onde o modelo corre em servidores dentro do próprio centro de dados da organização ou instalação de co-localização — elimina completamente o vetor de acesso de terceiros. Nenhuma chamada de API sai do edifício. Nenhuma consulta é registada por um fornecedor externo. Nenhuma atualização de modelo requer o envio de dados para montante. A Privonis implementa modelos de peso aberto no hardware do cliente e configura a infraestrutura de inferência completa — desde os drivers GPU até à API de aplicação — para que o cliente opere um sistema de IA soberano, não uma subscrição de um.

Uma lista de verificação prática de soberania

Antes de aprovar qualquer implementação de IA, as organizações europeias devem ser capazes de responder sim a cada uma das seguintes questões. Se alguma resposta for incerta, a arquitetura merece uma segunda análise.

• Cada componente da infraestrutura de IA — modelo, motor de inferência, pipeline de dados — está a correr em hardware que controla ou que é operado exclusivamente por uma entidade constituída na UE e sujeita à legislação da UE?
• Pode fornecer à sua autoridade de proteção de dados um registo completo de onde cada categoria de dados é processada e por quem?
• O fornecedor do modelo está sujeito a qualquer legislação estrangeira que possa obrigar a divulgação das suas consultas ou saídas?
• Detém uma cópia local dos pesos do modelo, ou é dependente de uma API de fornecedor que pode ser descontinuada ou com preços alterados?
• A sua equipa jurídica reviu os termos de serviço de cada componente da infraestrutura para cláusulas de uso de dados e treino?
• Pode demonstrar, através de controlos técnicos em vez de promessas contratuais, que nenhum dado de consulta é transmitido fora da sua jurisdição?

A soberania de dados não é uma caixa de conformidade a marcar uma vez. É uma disciplina arquitetónica contínua. À medida que a IA se integra nos processos centrais do negócio — análise de documentos, interação com clientes, suporte à decisão — a soberania da camada de IA torna-se inseparável da soberania dos dados subjacentes. A Privonis existe para tornar essa disciplina prática para as organizações europeias: os modelos abertos certos, a correr na infraestrutura certa, sob controlo total do cliente.