O Regulamento dos Dados da UE: O Que Significa para o Seu Negócio

O Regulamento dos Dados da UE, que entrou em vigor em janeiro de 2024 e se torna aplicável a partir de setembro de 2025, representa uma das mais importantes peças legislativas em matéria de dados desde o RGPD. Embora grande parte do debate público se tenha concentrado nas suas implicações para os fabricantes de IoT e nos direitos de mudança de fornecedor de nuvem, o regulamento tem consequências profundas para a forma como as empresas europeias selecionam e governam a sua infraestrutura de colaboração.

O que o Regulamento dos Dados efetivamente exige

No seu cerne, o Regulamento dos Dados estabelece regras sobre quem pode aceder e utilizar dados gerados por produtos conectados e serviços relacionados. Para as plataformas de colaboração empresarial, várias disposições são particularmente relevantes.

Primeiro, o Regulamento consagra o direito de mudar entre fornecedores de serviços de nuvem sem atrasos indevidos, taxas excessivas ou perda de dados. Isto significa que as organizações têm de poder extrair os seus dados — mensagens, ficheiros, gravações de chamadas, metadados — de uma plataforma e migrá-los para outra. Os fornecedores que prendem os clientes através de formatos de dados proprietários ou barreiras artificiais à exportação verão que estão do lado errado do regulamento.

Segundo, o Regulamento introduz salvaguardas contra transferências internacionais de dados ilícitas. O artigo 27.º exige explicitamente aos fornecedores de serviços de nuvem que tomem medidas técnicas, jurídicas e organizativas razoáveis para prevenir o acesso governamental a dados não pessoais detidos na UE, sempre que tal acesso entre em conflito com o direito da União. Esta disposição aborda diretamente a tensão criada pelo EU CLOUD Act, que permite que as autoridades norte-americanas exijam dados a empresas dos EUA, independentemente do local onde estão armazenados.

Terceiro, o Regulamento impõe requisitos de interoperabilidade para os serviços de tratamento de dados, lançando as bases para que os clientes utilizem múltiplos serviços em combinação sem barreiras artificiais.

Por que isto importa para as ferramentas de colaboração

Considere a típica pilha de colaboração empresarial: videoconferência, mensagens, partilha de ficheiros e, cada vez mais, funcionalidades baseadas em IA como transcrição e sumarização. Estas ferramentas processam volumes enormes de dados sensíveis — discussões estratégicas, questões de pessoal, deliberações financeiras, aconselhamento jurídico, propriedade intelectual.

Ao abrigo do Regulamento dos Dados, as organizações têm a responsabilidade de garantir que os seus fornecedores de colaboração conseguem demonstravelmente cumprir as salvaguardas de proteção de dados. Isto vai além de assinalar uma caixa num formulário de avaliação de fornecedores. Exige compreender a jurisdição legal do fornecedor, a sua arquitetura técnica para o isolamento de dados e a sua capacidade de resistir a pedidos de acesso de governos estrangeiros.

Para muitas organizações europeias, isto cria um acerto de contas desconfortável. As plataformas de colaboração dominantes são operadas por empresas com sede nos EUA. Independentemente do local onde colocam os seus centros de dados, essas empresas permanecem sujeitas ao EU CLOUD Act e a outros instrumentos legais norte-americanos que podem obrigar à divulgação.

A lista prática de verificação para a conformidade

Com base na nossa leitura do Regulamento e em conversas com equipas de conformidade em empresas europeias, eis o que as organizações devem avaliar nas suas ferramentas de colaboração.

Portabilidade dos dados. É possível exportar todos os seus dados — mensagens, ficheiros, metadados, diretórios de utilizadores, gravações de chamadas — em formatos padronizados e documentados? Existe uma API para extração automatizada? O que acontece aos seus dados se rescindir o contrato?

Clareza jurisdicional. Onde está o fornecedor constituído? Que jurisdição legal rege o serviço? Pode um governo estrangeiro obrigar o fornecedor a entregar os seus dados? Existe uma estrutura de filiais que possa criar jurisdição estrangeira indireta?

Salvaguardas técnicas. A plataforma oferece cifragem de ponta a ponta? Em caso afirmativo, quem detém as chaves? Pode trazer as suas próprias chaves de cifragem? A arquitetura de cifragem está documentada e é auditável?

Soberania da infraestrutura. Onde residem fisicamente os dados? Quem opera a infraestrutura de nuvem subjacente? O próprio fornecedor de nuvem está sujeito a jurisdição estrangeira?

Custos de mudança. O que seria necessário para migrar para uma plataforma alternativa? Existem penalizações contratuais? O fornecedor suporta protocolos e formatos padronizados?

Interoperabilidade. A plataforma pode integrar-se com outras ferramentas da sua pilha sem dependência proprietária? Suporta normas abertas?

Como o Mandraki responde a estes requisitos

Construímos o Mandraki tendo em mente os princípios do Regulamento dos Dados desde o início, e não como adaptação posterior.

Todos os dados residem num hyperscaler de propriedade europeia, sujeito exclusivamente à jurisdição da UE. O próprio Mandraki é uma empresa europeia, sem empresa-mãe nem filial nos EUA. A nossa arquitetura de cifragem em três camadas, incluindo o suporte Bring Your Own Key, garante que as organizações mantêm o controlo criptográfico sobre os seus dados. A exportação total de dados está disponível através de APIs documentadas. E o nosso protocolo de federação entre organizações é construído sobre normas abertas e documentadas.

Não afirmamos que a conformidade seja alguma vez simples. O panorama regulatório é complexo e em evolução. Mas acreditamos que começar com as bases arquiteturais e jurisdicionais corretas torna a conformidade exequível em vez de aspiracional.

Olhando em frente

O Regulamento dos Dados faz parte de uma estratégia digital europeia mais ampla que inclui o Regulamento da IA, o Regulamento dos Mercados Digitais, o Regulamento dos Serviços Digitais, a NIS2 e o DORA. Em conjunto, estes regulamentos estão a remodelar as expectativas colocadas sobre os fornecedores de tecnologia que operam na Europa.

Para as organizações europeias, a mensagem é clara: as ferramentas que utiliza para a colaboração diária já não são apenas uma decisão de aquisição informática. São uma decisão de conformidade, uma decisão de gestão de risco e, cada vez mais, uma decisão estratégica sobre autonomia digital.

A boa notícia é que o ecossistema tecnológico europeu está a amadurecer rapidamente. Infraestrutura de nuvem soberana está disponível. Existem ferramentas de colaboração conformes. O caminho a seguir não exige esperar que os fornecedores americanos se adaptem às regras europeias. Exige escolher soluções europeias que foram construídas para essas regras desde o início.