O caso relatado da Câmara dos Representantes dos EUA que recebeu e-mails não editados de funcionários públicos holandeses é mais do que um escândalo de privacidade. Mostra, num momento preciso, porque é que a soberania digital passou de slogan a princípio operacional. Para que qualquer nação mantenha o controlo sobre os dados, deve ser capaz de resistir à pressão legal, controlar o acesso dos fornecedores e manter-se a par das questões jurisdicionais transfronteiriças.
O incidente de e-mail
De acordo com relatórios da Holanda, a Microsoft supostamente compartilhou os nomes e comunicações internas de funcionários holandeses que trabalham na regulamentação da plataforma da UE com a Câmara dos Representantes dos EUA, incluindo endereços de e-mail, atas de reuniões e convites. Esses funcionários estavam vinculados a agências que aplicam a Lei dos Serviços Digitais, tornando o contexto especialmente sensível porque os dados pertenciam a reguladores que moldavam as regras da plataforma europeia. Embora a Câmara e a Microsoft se recusem a comentar, a questão destaca a assimetria do poder digital. Um governo europeu pode pensar que está a operar dentro dos seus próprios limites administrativos enquanto os seus dados ainda estão num sistema acessível a partir de Washington.
É exatamente aí que começa a soberania digital. Não é um slogan patriótico, nem uma promessa de local de armazenamento. É a questão prática de quem pode obrigar o acesso, quem pode auditar a cadeia de custódia e quem pode negar ou limitar a divulgação quando outra jurisdição solicita as chaves.
Por que a soberania digital é mais do que residência
Um erro comum na estratégia de nuvem é confundir residência de dados com soberania. A residência indica onde os dados são armazenados. Em contraste, a soberania pergunta qual a lei que a rege e quais os intervenientes que podem forçar o acesso. O caso holandês ilustra por que essa diferença é importante. Mesmo que os dados residam na Europa, um fornecedor sediado nos EUA pode ainda estar sujeito a exigências legais dos EUA, incluindo a Lei CLOUD, que permite às autoridades americanas obrigar a divulgação de empresas dos EUA, independentemente de onde os dados são armazenados.
Esta realidade jurídica mina a linguagem reconfortante de “região europeia” ou “centro de dados local” quando o fornecedor permanece estruturalmente exposto a jurisdição estrangeira. A soberania, então, não se trata de onde fica o rack do servidor. Trata-se de saber se o operador, as chaves, a pista de auditoria e o processo de divulgação estão realmente sob o controlo da instituição que reivindica a propriedade.
A lição estratégica sobre soberania digital
É por isso que o incidente ressoa muito além das agências holandesas envolvidas. O debate sobre a soberania digital na Europa e no resto do mundo tem-se centrado cada vez mais na redução da dependência de fornecedores de nuvens e plataformas não europeus, especialmente para cargas de trabalho regulatórias e do setor público. A lógica é simples: se o Estado não pode confiar que os dados administrativos sensíveis permaneçam isolados do alcance estrangeiro, então a arquitectura já é politicamente fraca, mesmo que seja tecnicamente moderna.
A mesma lição se aplica aos Estados Unidos, mesmo que o enquadramento seja diferente. A soberania digital no contexto dos EUA tem menos a ver com escapar a empresas estrangeiras de computação em nuvem e mais com garantir o controlo legal e operacional sobre dados sensíveis. Em ambos os casos, o mesmo se aplica. As instituições devem considerar a possibilidade de que o fornecedor, o regulador e a intimação não apontem todos na mesma direção.
O que os fornecedores devem provar
Para os fornecedores de nuvem e de software, incidentes como esse aumentam o ônus da prova. Já não é suficiente dizer que um produto é seguro, compatível ou hospedado na região. Os organismos públicos necessitam agora de provas de que os controlos de acesso são segmentados, que as chaves de encriptação são controladas localmente e que os caminhos de divulgação são transparentes e limitados. Caso contrário, a “nuvem soberana” torna-se uma marca em vez de uma governação.
É por isso que esta história é importante tanto para os líderes de TI empresariais como para os decisores políticos. O risco real não é apenas a violação, mas o vazamento jurisdicional. Um provedor de nuvem tornou-se um canal através do qual um governo pode ver o funcionamento interno de outro governo. Uma vez que essa possibilidade se torna visível, cada conversa sobre compras muda. A arquitetura deixa de ser apenas uma questão de custo e desempenho e passa a ser uma questão de poder, responsabilidade e alcance legal.
Um quadro político mais nítido para a soberania digital
A leitura do email holandês pela Câmara é o símbolo perfeito do debate sobre a soberania porque elimina a abstracção. Mostra que os sistemas digitais nunca são recipientes neutros e que os servidores não são isentos de agenda. Nossos sistemas são infraestruturas jurídicas e políticas com permissões, obrigações e assimetrias integradas. Se o mundo quer instituições digitais soberanas, não pode confiar apenas na confiança nas promessas dos fornecedores. Precisa de controle exigível sobre chaves, contratos, hospedagem, governança e resposta a incidentes.
A lição mais profunda para os líderes políticos e económicos é desconfortável, mas importante. A soberania digital não é alcançada apenas por dados locais, criptografia ou conformidade. É alcançado quando as instituições conseguem responder a uma questão mais difícil. Devemos perguntar quem pode realmente fazer o sistema falar e sob a autoridade de quem? A menos que possamos responder a esta questão, a soberania digital não passará de uma ilusão.
Fonte: theverge
