A soberania digital tornou-se uma expressão central da política tecnológica contemporânea. Não significa apenas guardar dados dentro do país ou usar tecnologia nacional. Refere-se, de forma mais ampla, à capacidade de Estados, instituições e sociedades democráticas decidirem sobre dados, infraestruturas, plataformas digitais, inteligência artificial, cibersegurança e dependências tecnológicas críticas.
A soberania digital é, antes de tudo, um conceito político: traduz uma preocupação com autonomia estratégica, segurança, competitividade económica, proteção de direitos fundamentais e capacidade de governação democrática num ambiente digital dominado por grandes plataformas, cadeias de fornecimento globais e infraestruturas tecnológicas concentradas.
Mas esse conceito só ganha substância quando se transforma em medidas concretas: leis, normas técnicas, investimentos públicos, requisitos de contratação, mecanismos de supervisão, certificação, auditoria e planos de resiliência. É aqui que entram as entidades oficiais, sobretudo a União Europeia, a OCDE, a ONU, o NIST e, no caso português, a Estratégia Digital Nacional e o Plano Nacional de Nuvem Soberana.
A governança de dados diz respeito às regras sobre recolha, tratamento, reutilização, partilha e transferência de dados. Inclui proteção de dados pessoais, dados públicos abertos, dados industriais, interoperabilidade e mecanismos de confiança.
Na União Europeia, o RGPD estabelece que os dados pessoais só podem ser transferidos para fora do Espaço Económico Europeu com salvaguardas adequadas, como decisões de adequação, cláusulas contratuais-tipo ou regras vinculativas aplicáveis a empresas. Ao mesmo tempo, instrumentos como o Data Governance Act e o Data Act procuram criar uma economia de dados mais segura, reutilizável e interoperável.
O ponto importante é este: soberania de dados não é necessariamente bloquear fluxos internacionais. É garantir que os dados circulam com regras, direitos, segurança e responsabilização.
A soberania digital depende de infraestruturas materiais: cloud, data centers, semicondutores, redes, cabos submarinos, capacidade computacional e matérias-primas críticas.
A União Europeia tem respondido com iniciativas como o European Chips Act, para reforçar a capacidade europeia em semicondutores, e o Critical Raw Materials Act, para reduzir dependências em matérias-primas essenciais à transição digital, energética, espacial e de defesa. Também há uma preocupação crescente com cloud, edge computing, cabos submarinos e conectividade segura.
Em Portugal, o Plano Nacional de Nuvem Soberana, aprovado em 2026, traduz esta preocupação para a Administração Pública. O plano prevê a classificação de dados e sistemas, a definição de requisitos de soberania, segurança e resiliência, e a adoção faseada de infraestruturas cloud adequadas ao grau de criticidade dos serviços públicos.
O acesso governamental é uma das dimensões mais sensíveis. Diz respeito às condições em que autoridades públicas podem aceder a dados detidos por empresas privadas, por razões como investigação criminal, segurança nacional ou supervisão regulatória.
A OCDE tem defendido que esse acesso deve respeitar Estado de direito, proporcionalidade, supervisão independente, transparência e proteção de direitos fundamentais. Na União Europeia, as regras de e-evidence procuram enquadrar o acesso transfronteiriço a prova eletrónica.
Este pilar mostra uma tensão central: a soberania digital pode proteger cidadãos contra interferências externas, mas também pode ser usada para expandir poderes de vigilância. Por isso, as garantias jurídicas e democráticas são essenciais.
A soberania digital também implica capacidade de regular sistemas automatizados, plataformas digitais e inteligência artificial. Estes sistemas influenciam acesso a informação, crédito, emprego, publicidade, debate público, serviços públicos e decisões administrativas.
O AI Act da União Europeia adota uma abordagem baseada no risco: quanto maior o risco para segurança, saúde ou direitos fundamentais, maiores as obrigações de documentação, transparência, supervisão humana e gestão de risco. O Digital Services Act impõe obrigações de transparência e mitigação de riscos sistémicos às grandes plataformas. O Digital Markets Act procura limitar abusos de poder por parte de grandes plataformas gatekeeper.
Aqui, soberania digital significa recuperar capacidade pública de escrutínio sobre sistemas privados que exercem funções quase infraestruturais na sociedade.
A cibersegurança é o pilar operacional da soberania digital. Sem segurança, não há controlo efetivo sobre dados, serviços públicos, infraestruturas críticas ou cadeias de fornecimento.
A diretiva NIS2 cria um quadro comum de cibersegurança para setores críticos na União Europeia. O Cyber Resilience Act introduz requisitos obrigatórios de cibersegurança para produtos com elementos digitais. O NIST Cybersecurity Framework 2.0, referência internacional, organiza a gestão de risco em funções como governar, identificar, proteger, detetar, responder e recuperar.
A orientação oficial converge num ponto: a segurança deve ser incorporada desde a conceção dos produtos, sistemas e serviços, e não tratada apenas como resposta posterior a incidentes.
A soberania digital deve ser entendida como capacidade de decisão, não como isolamento tecnológico. O seu valor depende das medidas concretas que a tornam real.
Pode servir para proteger direitos, reforçar a resiliência do Estado, reduzir dependências críticas e aumentar a confiança pública. Mas também pode ser instrumentalizada para justificar protecionismo, vigilância excessiva ou fragmentação da internet.
A pergunta essencial não é apenas: temos soberania digital? É: soberania para quê, exercida por quem, com que limites, com que transparência e com que garantias para cidadãos, empresas e instituições democráticas?
Referências
- Comissão Europeia - Europe's Digital Decade. https://digital-strategy.ec.europa.eu/en/policies/europes-digital-decade
- Comissão Europeia - Strengthening Europe's Tech Sovereignty. https://digital-strategy.ec.europa.eu/en/policies/eu-tech-sovereignty
- Nações Unidas - Global Digital Compact. https://www.un.org/global-digital-compact/en
- Comissão Europeia - Rules on international data transfers. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/rules-international-data-transfers_en
- Comissão Europeia - Data Governance Act. https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained
- Comissão Europeia - Data Act. https://digital-strategy.ec.europa.eu/en/policies/data-act
- Comissão Europeia - European Chips Act. https://digital-strategy.ec.europa.eu/en/policies/european-chips-act
- Comissão Europeia - Critical Raw Materials Act. https://single-market-economy.ec.europa.eu/sectors/raw-materials/areas-specific-interest/critical-raw-materials/critical-raw-materials-act_en
- Governo de Portugal - Plano Nacional de Nuvem Soberana. https://digital.gov.pt/pt/documentos/plano-nacional-de-nuvem-soberana
- OCDE - Government access to personal data held by private sector entities. https://www.oecd.org/en/about/news/press-releases/2022/12/landmark-agreement-adopted-on-safeguarding-privacy-in-law-enforcement-and-national-security-data-access.html
- Comissão Europeia - Artificial Intelligence Act. https://commission.europa.eu/news-and-media/news/ai-act-enters-force-2024-08-01_en
- Comissão Europeia - Digital Services Act. https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package
- Comissão Europeia - NIS2 Directive. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- Comissão Europeia - Cyber Resilience Act. https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
- NIST - Cybersecurity Framework 2.0. https://www.nist.gov/cyberframework