Durante anos, o Estado Português confiou os dados mais sensíveis dos seus cidadãos a servidores de gigantes tecnológicos estrangeiros. Quando submetes um exame no SNS, quando pagas IRS, quando a Segurança Social processa a tua pensão — os teus dados estavam, em última instância, nas mãos de empresas sediadas nos Estados Unidos, na Alemanha ou na Irlanda. Sujeitos a leis estrangeiras. Vulneráveis ao US CLOUD Act. Dependentes de infraestruturas sobre as quais Portugal não tinha qualquer controlo real. Essa era pode estar a chegar ao fim.
O Conselho de Ministros aprovou hoje a Resolução n.º 102/2026, publicada em Diário da República, que cria o Plano Nacional de Nuvem Soberana (PNSC). O nome é técnico, mas o conceito é simples: Portugal quer ter controlo total sobre os dados do Estado — onde são armazenados, quem os gere, quem pode aceder-lhes, e em que condições. Finanças, SNS, Segurança Social, Defesa, Administração Interna — os sistemas que processam a vida de todos os Portugueses vão passar a ter de cumprir regras apertadas de soberania digital.
O modelo de classificação do PNSC: quanto maior o impacto potencial na segurança nacional ou nos direitos dos cidadãos, maior o nível de controlo exigido sobre a infraestrutura.
Quatro níveis de soberania
O PNSC define quatro níveis de classificação para os dados e processos do Estado. No nível mais básico, a nuvem pública europeia convencional serve para processos de negócio comuns — sites públicos, serviços informativos, bases de dados não-críticas. À medida que o impacto na segurança nacional ou nos direitos dos cidadãos aumenta, os dados sobem na pirâmide de soberania: primeiro para cloud privada europeia com controlo de acesso restrito (Nível 2), depois para soluções híbridas com replicação nacional obrigatória (Nível 3), até ao topo — soberania absoluta (Nível 4), onde o armazenamento é exclusivamente em território nacional, as chaves de encriptação são geridas pelo Estado Português, e a operação é feita exclusivamente por pessoal com credenciação de segurança nacional.
A classificação é feita com base em três dimensões: Pessoas e Vida Humana (uma falha coloca vidas em risco?), Estabilidade do Estado (afeta a soberania nacional ou a segurança interna?), e Exposição de Dados (qual o impacto de uma quebra de privacidade em larga escala?). Cada dimensão tem três níveis: Sem Impacto, Impacto Moderado e Impacto Significativo. Basta uma das dimensões atingir Impacto Significativo para que os dados fiquem automaticamente sujeitos aos controlos máximos do Nível 4.
O problema do CLOUD Act
Porque é que isto é importante agora? Porque até hoje, os dados do Estado Português armazenados em clouds americanas (AWS, Microsoft Azure, Google Cloud) estão sujeitos ao US CLOUD Act — uma lei de 2018 que permite às autoridades dos EUA exigir acesso a dados armazenados por empresas americanas, mesmo que os servidores estejam fisicamente na Europa. A invalidação do Privacy Shield pelo tribunal europeu em 2020 (caso Schrems II) e as sucessivas incertezas jurídicas sobre as transferências de dados UE-EUA mostraram que a proteção jurídica europeia não basta quando a infraestrutura é americana.
Portugal não está sozinho nesta análise. França lançou o programa Cloud Souveraine em 2021, com a criação da Outscale (subsidiária da Dassault) e do marketplace de cloud soberana. A Alemanha lidera o projeto Gaia-X desde 2019, um ecossistema federado de infraestrutura cloud europeia que conta já com mais de 200 membros. A Suíça tem a Swiss Sovereign Cloud. A Comissão Europeia publicou o Cloud Sovereignty Framework em 2024, que serve de enquadramento para iniciativas como a Portuguesa. O PNSC alinha-se expressamente com este quadro europeu e com a Diretiva SRI 2 (NIS 2), já transposta para a legislação nacional.
A tendência europeia de soberania digital: França, Alemanha, Suíça e agora Portugal criam infraestruturas cloud próprias para reduzir a dependência de gigantes tecnológicos estrangeiros.
Calendário e governação
O plano não é para ontem — mas também não é para daqui a uma década. As entidades do Estado têm até junho de 2027 para classificar os seus processos e concluir a transição para o modelo de nuvem soberana. O caminho está definido em oito iniciativas distribuídas por três pilares, que arrancam já no primeiro semestre de 2026. A coordenação está a cargo da ARTE (Agência para a Reforma Tecnológica do Estado), em articulação com o Centro Nacional de Cibersegurança (CNCS) e a IP Telecom. O financiamento sai do Orçamento do Estado.
Uma das iniciativas mais ambiciosas é o «Desenvolvimento da Oferta de Nuvem Soberana, incluindo inteligência artificial» — que prevê a criação de serviços cloud nativos com capacidades de IA, disponíveis para toda a Administração Pública. O catálogo centralizado de serviços digitais será gerido pela ESPAP (Entidade de Serviços Partilhados da Administração Pública), simplificando a adoção pelas múltiplas entidades do Estado. A formação técnica de funcionários e dirigentes em cibersegurança e soberania digital está também prevista no plano.
O que isto significa para ti
Para o cidadão comum, a mudança será invisível — e é essa a intenção. Não vais interagir com a cloud soberana. Não vais escolher onde os teus dados são guardados. Mas os teus exames médicos vão estar num servidor controlado pelo Estado Português. As tuas declarações de IRS vão estar encriptadas com chaves que o Estado Português controla. Os teus registos da Segurança Social vão estar protegidos contra ordens de jurisdições estrangeiras.
Dito de outra forma: o sistema que processa a tua reforma, que valida o teu cartão de cidadão, que gere as tuas finanças, que mantém o teu processo clínico — vai depender um pouco menos de decisões tomadas em Silicon Valley ou em Seattle, e um pouco mais de decisões tomadas em Lisboa. Num mundo onde os dados são o ativo mais valioso de qualquer governo, ter controlo sobre eles não é opcional — é existencial. A pergunta que fica é se o Estado Português terá capacidade técnica e orçamental para executar o plano dentro do prazo. A história da modernização administrativa em Portugal sugere cautela. Mas a direção, pelo menos, é a correta.
Feito por humanos — Portugal Binário
💬 Comentários
Nenhum comentário ainda. Sê o primeiro a comentar!