Alojamento VPS Conforme ao GDPR: Porque é que a Localização do Servidor Importa
A Localização do Seu Servidor Determina a Sua Proteção Legal
Ao abrigo do GDPR, onde os seus dados residem fisicamente — e qual empresa os controla — determina que proteções legais se aplicam. Isto não é uma tecnicidade. É a diferença entre os seus dados serem protegidos pela lei da UE ou estarem acessíveis a governos estrangeiros.
O Problema do CLOUD Act
O CLOUD Act americano (2018) confere às autoridades americanas o poder de:
- Exigir dados de empresas americanas independentemente de onde estejam armazenados
- Fazê-lo sem informar o titular dos dados
- Sobrepor-se às leis locais de proteção de dados através de acordos bilaterais
Isto significa que dados armazenados pela AWS em Frankfurt, Azure em Amesterdão ou Google Cloud na Finlândia podem ser entregues às autoridades americanas — sem o seu conhecimento ou consentimento.
“Mas Usamos a Região da UE”
Não importa. A AWS, Microsoft e Google são empresas americanas sujeitas ao CLOUD Act independentemente da localização do servidor. O mesmo se aplica a:
- Oracle Cloud, IBM Cloud, Salesforce
- Qualquer SaaS com empresa-mãe americana
- Fornecedores de alojamento americanos a operar na Europa
O Tribunal de Justiça Europeu confirmou esta realidade na decisão Schrems II (2020), concluindo que os EUA não fornecem proteção de dados adequada.
O Que o GDPR Realmente Exige
Os artigos 44-49 do GDPR restringem transferências de dados pessoais para países sem proteção adequada. Para alojamento, isto significa:
- Residência de dados — saber onde os seus dados residem fisicamente
- Identidade do controlador — saber qual entidade legal controla os seus dados
- Jurisdição — compreender que leis se aplicam ao seu fornecedor de alojamento
- Salvaguardas — ter medidas apropriadas para qualquer exposição a países terceiros
A Solução: Alojamento de Propriedade Europeia
Escolha um fornecedor de alojamento que seja:
- ✅ De propriedade europeia — não sujeito ao CLOUD Act
- ✅ Datacenter na UE — dados ficam dentro da UE/EEE
- ✅ Transparente — acordos claros de processamento de dados
- ✅ Independente — sem empresa-mãe americana
No-Ack Hosting — Sueca de Raiz
| No-Ack Hosting | Hyperscalers Americanos | |
|---|---|---|
| Empresa | AB sueca | Corporações americanas |
| CLOUD Act | ❌ Não sujeita | ✅ Sujeitas |
| GDPR | ✅ Conformidade total | ⚠️ Conflito com CLOUD Act |
| Datacenter | Estocolmo | Vários |
| Dados saem da Suécia | ❌ Nunca | ⚠️ Possível |
| Pagamento cripto | ✅ Monero, Bitcoin | ❌ |
Quem Deve Preocupar-se?
- Qualquer empresa que processe dados pessoais (ou seja, quase todas)
- Organismos do setor público com requisitos rigorosos de soberania
- Saúde com dados de pacientes
- Escritórios de advogados e contabilistas com informação confidencial de clientes
- E-commerce com dados de clientes
- Fornecedores SaaS que processam dados de utilizadores finais
Tome Ação
- Audite o seu alojamento atual — quem é dono da infraestrutura?
- Avalie a exposição ao CLOUD Act — o seu fornecedor é americano?
- Migre para alojamento de propriedade europeia onde necessário
- Atualize a sua política de privacidade e registos de processamento