A soberania tem sido importante desde o nascimento do Estado-nação – definido por fronteiras, leis e impostos aplicáveis no país e no estrangeiro. Embora muitos tenham tentado defini-lo, a ideia central permanece: um estado ou jurisdição procura manter o controlo, geralmente para o benefício das pessoas dentro das suas fronteiras.
A soberania digital é um conceito relativamente novo e difícil de definir, mas fácil de compreender. Os dados e as aplicações não conseguem compreender os limites, a menos que sejam especificados em termos políticos e codificados na infra-estrutura.
A World Wide Web não tinha tais limitações quando foi criada. Grupos comunitários como a Electronic Frontier Foundation, prestadores de serviços e hiperscaladores, organizações sem fins lucrativos e empresas adotaram um modelo em que os dados são autogeridos.
Mas, por uma série de razões, os dados não se gerenciam sozinhos. Primeiro, os dados estão seriamente fora de controle. Continuamos gerando mais dados e, durante pelo menos dois a trinta anos (com base nas pesquisas históricas que conduzi), a maioria das organizações não compreendeu completamente seus ativos de dados. Isto cria ineficiências e riscos, especialmente vulnerabilidade a ataques cibernéticos.
O risco é a probabilidade multiplicada pelo impacto – e agora as probabilidades aumentaram. Invasões, tarifas, tensões políticas, etc. trouxeram uma nova urgência. Por esta altura, no ano passado, a ideia de desligar os sistemas de TI de outro país não estava no radar. Agora estamos a ver isto acontecer – incluindo o governo dos EUA a bloquear o acesso a serviços estrangeiros.
A soberania digital não é apenas uma preocupação europeia, embora seja frequentemente expressa como tal. Na América do Sul, por exemplo, disseram-me que os governos soberanos estão a liderar conversações com os hiperescaladores; nos países africanos, isto está estabelecido em acordos com fornecedores. Muitas jurisdições estão a observar, avaliar e rever as suas posições sobre a soberania digital.
Como diz o ditado: Crise é um problema que não há tempo para resolver. A soberania digital já foi um problema à espera de ser resolvido, mas agora é urgente. Passou de uma “soberania” abstracta para uma questão clara e presente no pensamento governamental, no risco empresarial e na forma como construímos e operamos sistemas informáticos.
Como é o panorama atual da soberania digital?
Muita coisa mudou desde essa época do ano passado. As incógnitas permanecem, mas muito do que não estava claro no ano passado está agora começando a ficar claro. A terminologia é mais clara – por exemplo, falando sobre classificação e localização em vez de conceitos genéricos.
Vemos uma mudança da teoria para a prática. Os governos e as organizações estão a desenvolver políticas que simplesmente não existiam antes. Por exemplo, alguns países consideram “em casa” como o alvo principal, enquanto outros (incluindo o Reino Unido) adoptam uma abordagem baseada no risco baseada em locais confiáveis.
Também estamos vendo uma mudança nas prioridades de risco. Do ponto de vista do risco, a tríade clássica de confidencialidade, integridade e disponibilidade está no centro da conversa sobre soberania digital. Historicamente, tem havido um foco maior no sigilo devido a preocupações com a Lei de Nuvem dos EUA: essencialmente, um governo estrangeiro pode ver meus dados?
Este ano, no entanto, a disponibilidade tornou-se cada vez mais proeminente devido à geopolítica e a preocupações muito reais sobre a acessibilidade dos dados de países terceiros. A integridade é menos discutida do ponto de vista soberano, mas é igualmente importante como alvo do crime cibernético – o ransomware e a fraude são dois riscos claros e presentes.
Pensando de forma mais ampla, a soberania digital envolve não apenas dados ou mesmo direitos de propriedade intelectual, mas também fuga de cérebros. Os países não querem que todos os seus jovens tecnólogos mais brilhantes deixem a faculdade e acabem na Califórnia ou em algum outro país mais atraente. Querem manter os talentos em casa e inovar localmente, o que beneficiará o PIB do seu país.
Como os provedores de nuvem estão respondendo?
Os hiperscaladores estão tentando se atualizar, ainda procurando maneiras de cumprir a letra da lei, ignorando (no sentido francês) seu espírito. Não basta simplesmente dizer que farão todos os esforços para proteger os dados da jurisdição se a Microsoft ou a AWS já forem legalmente obrigadas a tomar medidas em contrário. A legislação, neste caso a legislação dos EUA, dita – e todos sabemos o quão frágil isso é neste momento.
Estamos vendo progresso de hiperscaladores que oferecem tecnologia gerenciada por terceiros e não por eles próprios. Por exemplo, a cooperação entre a Google e a Thales, ou a cooperação entre a Microsoft e a Orange, são ambas em França (a Microsoft também tem uma cooperação semelhante na Alemanha). No entanto, estas são soluções pontuais e não fazem parte de um padrão universal. Ao mesmo tempo, o recente anúncio da AWS de criar uma entidade local não contribui em nada para resolver a questão do excesso de alcance nos Estados Unidos, que continua a ser um problema central.
Os fornecedores de software que não são de hiperescala desempenham um papel cada vez mais importante: Oracle e HPE, por exemplo, oferecem soluções que podem ser implantadas e gerenciadas no local; Broadcom/VMware e Red Hat oferecem tecnologia que pode ser hospedada por provedores de nuvem privada locais. A soberania digital é, portanto, um catalisador para a realocação dos gastos na nuvem entre uma gama mais ampla de intervenientes.
O que as organizações empresariais podem fazer?
Primeiro, considere a soberania digital como um elemento central da sua estratégia de dados e aplicações. Para um país, soberania significa ter fronteiras sólidas, controlo sobre os direitos de propriedade intelectual, o PIB, etc. Estes são também os objectivos das empresas – controlo, autodeterminação e resiliência.
Se a soberania não for considerada um elemento de estratégia, será empurrada para a camada de implementação, resultando em ineficiências arquitectónicas e duplicação de esforços. É melhor decidir antecipadamente quais dados, aplicativos e processos precisam ser considerados soberanos e definir uma arquitetura para apoiá-los.
Isso fornece a base para a tomada de decisões de configuração informadas. Sua organização pode ter feito grandes apostas em fornecedores importantes ou hiperscaladores, mas o pensamento multiplataforma está cada vez mais se consolidando: vários provedores de nuvem pública e privada, com operações e gerenciamento integrados. A nuvem soberana passa a ser um dos elementos de uma arquitetura multiplataforma bem estruturada.
Alcançar a soberania não é neutro em termos de custos, mas o valor global do negócio deve ser tangível. As iniciativas de soberania devem trazer vantagens claras, não apenas por si mesmas, mas através dos benefícios de um melhor controlo, visibilidade e eficiência.
Saber onde estão seus dados, saber quais dados são importantes e gerenciá-los de forma eficaz para não duplicá-los entre sistemas ou fragmentá-los – esses são resultados valiosos. Além disso, ignorar essas questões pode resultar em descumprimento ou violações flagrantes. Mesmo que não utilizemos termos como “soberania”, as organizações precisam de gerir os seus activos de informação.
Em vez de assumir que tudo o que é baseado na nuvem requer soberania, as organizações devem desenvolver estratégias e políticas baseadas na classificação, priorização e risco de dados. Construir este mapa permite que você aborde primeiro os itens de maior prioridade – os materiais com a classificação mais forte e de maior risco. Este processo por si só resolveria 80-90% do espaço do problema, evitando que a soberania se tornasse apenas mais um problema sem resolver nada.
Por onde começar? Cuide primeiro da sua própria organização
A soberania e o pensamento sistémico andam de mãos dadas: é tudo uma questão de âmbito. O maior erro na arquitetura empresarial ou no design de negócios é ferver o oceano – tentando resolver todos os problemas de uma vez.
Em vez disso, concentre-se na sua soberania. Preocupe-se com sua própria organização, sua própria jurisdição. Saiba onde estão seus limites. Entenda quem são seus clientes e quais são suas necessidades. Por exemplo, se você é um fabricante que vende produtos para países específicos, o que esses países exigem? Resolva este problema, não todos os outros problemas. Não tente planejar todos os cenários futuros possíveis.
Concentre-se no que você possui, no que é responsável e no que precisa resolver agora. Classifique e priorize ativos de dados com base em riscos do mundo real. Faça isso e você estará a mais da metade do caminho para resolver o problema da soberania digital, com todos os benefícios de eficiência, controle e conformidade que isso acarreta.
A soberania digital não é apenas regulatória, mas também estratégica. As organizações que agem agora podem reduzir os riscos, aumentar a clareza operacional e preparar-se para um futuro baseado na confiança, conformidade e resiliência.
O artigo Retomando o controle: soberania digital em 2025 apareceu pela primeira vez no Gigaom.
