Soberania digital não é ideologia: é gestão de risco contratual

“Soberania digital” virou termo politizado nos últimos anos. Tem governo defendendo, tem empresa rejeitando, tem think tank gerando paper, tem manifesto na assembleia legislativa. A palavra cansa.

Esse post não é manifesto. É um documento técnico-jurídico sobre gestão de risco contratual quando você decide onde rodar sua infra. A palavra “soberania” aparece porque é a palavra correta — não porque é a palavra da moda.

Se você é CTO, head de engenharia, fundador técnico ou jurídico de empresa brasileira pensando em onde colocar dados sensíveis, esse post é pra você. Vamos cobrir CLOUD Act, OFAC, jurisdição contratual, casos reais documentados, e como diversificar risco sem cair em “tudo on-premise no Brasil”.

A palavra “soberania” foi sequestrada pela política

Antes de entrar no técnico, vale resgatar o termo.

Soberania digital, em sentido técnico-jurídico, é a capacidade de uma jurisdição (país, em geral) controlar dados, infraestrutura e decisões tecnológicas dentro do seu território. Tem três camadas:

1. Soberania de dados: onde os dados ficam fisicamente, e quem tem jurisdição sobre eles
2. Soberania de infraestrutura: quem opera o hardware, sob qual lei
3. Soberania operacional: quem decide quando atualizar, quando suspender, quando rescindir

Quando uma empresa brasileira escolhe AWS pra rodar tudo, ela está cedendo, em diferentes graus, todas as três soberanias. Não necessariamente é problema — pode ser decisão consciente. O problema é quando é cedência inconsciente, sem leitura do contrato.

Esse post explica o que está no contrato (e não está). Sem alarmismo, sem manifesto, sem “tudo no Brasil”.

O que é jurisdição contratual (e quase ninguém lê)

Quando você assina um DPA (Data Processing Agreement) com AWS, Azure, GCP ou qualquer provider US-based, geralmente tem cláusula assim:

“This Agreement shall be governed by the laws of the State of Washington, United States of America, without regard to its conflict of laws provisions.”

(Variações: Delaware, Califórnia, dependendo de onde a holding está registrada.)

Tradução: se houver disputa, o foro é nos EUA, sob lei americana. Você assinou abrir mão da jurisdição brasileira em disputa contratual.

Isso significa:

• Se vazar seus dados e você quiser processar o provider, processo é em corte americana
• Custas, advogados, tempo: tudo dolarizado, ano-luz mais caro que processo BR
• Lei aplicável é americana — não LGPD, embora GDPR/LGPD complementarmente possa ser invocada

Em contratos com subsidiárias BR de empresas estrangeiras, às vezes tem cláusula de jurisdição brasileira pra litígios menores — mas o “master agreement” continua sob lei US. Em caso de conflito, master vence.

Pra empresas grandes negociando contratos Enterprise, dá pra negociar cláusula de foro brasileiro. Mas pra startup ou empresa média usando o termo padrão, foro US é o default e a maioria assina sem ler.

CLOUD Act (US) e o que ele te obriga a aceitar

Em 2018, os EUA aprovaram o Clarifying Lawful Overseas Use of Data Act — CLOUD Act. Lei curta, impacto grande.

A lei estabelece que empresas americanas (e suas subsidiárias) são obrigadas a entregar dados de clientes quando solicitadas por autoridades americanas — independente de onde os dados estejam fisicamente armazenados.

Em outras palavras: se você é cliente de AWS sa-east-1 (datacenter em São Paulo) e o DOJ americano emite ordem judicial, AWS é obrigada a entregar seus dados. O fato de estarem fisicamente no Brasil não muda a obrigação.

Os limites:

• A AWS pode contestar a ordem se houver conflito direto com lei brasileira
• O processo de contestação é demorado, custoso, e nem sempre é levado pra frente
• A regra é: na dúvida, entregar pra evitar contempt of court americano (criminal)

Empresas europeias entraram em pânico em 2018 — GDPR estaria em conflito direto com CLOUD Act. Em 2023, um acordo (Data Privacy Framework) foi assinado pra tentar resolver, mas continua sendo terreno cinzento jurídico.

Pra empresa brasileira, a situação é mais incerta. ANPD ainda não tem precedente forte sobre CLOUD Act aplicado a dados de cidadão brasileiro. Em caso de conflito direto, o resultado é imprevisível.

OFAC, sanções, contratos rescindidos

A segunda camada de risco geopolítico é menos óbvia. O Office of Foreign Assets Control (OFAC), parte do Tesouro americano, mantém listas de pessoas, empresas e governos sob sanção. Empresas americanas são proibidas de fazer negócio com listados.

Quando AWS, Azure ou GCP atualizam suas sanctions lists (semanalmente, automaticamente), eles cortam contas de clientes que entraram na lista. Sem aviso prévio, sem direito a resposta.

Casos reais documentados:

• Parler (2021): AWS desligou o cliente após o ataque ao Capitólio. Discussão extensiva sobre justiça da decisão à parte, o fato técnico é que AWS exerceu cláusula contratual e desligou em 24h.
• Empresas russas pós-fevereiro 2022: AWS, Microsoft Azure e GCP suspenderam contas de empresas russas em massa. Algumas eram subsidiárias de empresas globais que perderam infra sem aviso prévio.
• Bancos iranianos: setor inteiro de cloud público fechado pra clientes iranianos desde 2010.
• Vagner Group, indivíduos sancionados: desativação automática de contas pessoais.

Pra empresa brasileira “normal”, risco direto é baixo. Mas:

• Se você opera em setor que pode entrar em sanções secundárias (defesa, tecnologia dual-use, energia em parceria com país sancionado)
• Se você tem sócios estrangeiros que entrem em sanções
• Se sua atividade entre em escrutínio geopolítico futuro

…você fica exposto a desligamento sem aviso. Esse risco é zero quando o provider está sob jurisdição brasileira.

GDPR vs LGPD: arbitragem em incidente de privacidade

Quando há incidente de privacidade (vazamento, breach, processamento indevido), três jurisdições podem reivindicar:

1. A jurisdição do titular dos dados (onde o cidadão está)
2. A jurisdição do controlador (sua empresa, a que coletou)
3. A jurisdição do operador (o provider que armazena/processa)

Se as três coincidem (cidadão BR + empresa BR + provider BR), arbitragem é simples: tudo na ANPD.

Quando misturam, vira complexo:

• Cidadão BR + empresa BR + AWS US: ANPD e FTC podem reivindicar. Em geral, fica com quem se mover primeiro. ANPD investiga o controlador (sua empresa); FTC pode investigar a AWS.
• Multa-se duas vezes? Em teoria não (princípio do non bis in idem), na prática às vezes sim, porque jurisdições diferentes não se coordenam.

Pra controlador brasileiro lidando com provider estrangeiro: você responde na ANPD primeiro, sempre. ANPD pode multar você porque você escolheu provider sob jurisdição estrangeira sem garantia de portabilidade/eliminação de dados conforme Art. 18 da LGPD.

Detalhamos os direitos do titular em LGPD para times técnicos: checklist prático e o post inaugural LGPD na sua PaaS.

Como diversificar (não é “tudo em casa”)

A conclusão não é “rode tudo on-premise no Brasil porque cloud público é mal”. Isso é exagero.

A conclusão técnica é: diversifique risco de provedor como diversifica qualquer outro risco corporativo. Você não bota 100% do seu cash em um banco; não bote 100% da sua infra em uma jurisdição.

Estratégias práticas:

Estratégia 1: Dados sensíveis no Brasil, edge global onde fizer sentido

• Dados de cliente brasileiro (PII, financeiros, médicos): provider BR
• Frontend cacheável, CDN global, edge functions stateless: provider global (Cloudflare, Vercel Edge)
• Vantagem: você cumpre LGPD com folga, e ainda tem alcance global pra audiência internacional

Estratégia 2: Multi-cloud por workload

• Compute principal e database: provider BR
• Workloads burstáveis (jobs ML, processing pesado): cloud público (preço por hora)
• Backup: terceiro provider, jurisdição diferente
• Vantagem: nenhum vendor te derruba sozinho

Estratégia 3: Single-provider BR + hedge legal

• Tudo no provider BR
• Contrato com cláusulas de portabilidade explícita (você pode tirar tudo em 30 dias com formato standard)
• Backup contínuo em formato neutro (Postgres dump, S3-compatible export)
• Vantagem: simplicidade operacional + portabilidade técnica
• Esse é o caso típico que recomendamos pra startup BR no Upuai

Estratégia 4: Critical workload soberano + resto flex

• Identity, billing, dados pessoais críticos: provider BR
• Tudo o resto: o que for mais barato/conveniente
• Vantagem: foco em risco real, custo otimizado pro resto

A escolha depende de tamanho, setor regulado, perfil de risco. Não existe one-size-fits-all.

O caso Upuai: provider brasileiro, jurisdição brasileira, ANPD direta

A Upuai é constituída no Brasil, opera bare metal próprio em datacenter brasileiro, contrato sob lei brasileira, foro de Belo Horizonte/MG.

Implicações concretas:

• CLOUD Act não se aplica. Não somos empresa americana nem subsidiária; autoridades americanas não têm jurisdição direta sobre nossa infra.
• OFAC não se aplica diretamente. Sanções secundárias dos EUA não nos obrigam.
• ANPD tem jurisdição direta. Em qualquer incidente, a coordenação é interna BR.
• DPA padrão alinhado com LGPD. Sem cláusulas de “transferência internacional”.
• Foro brasileiro pra litígios. Custas em real, advogados brasileiros, tempo razoável.

Não é mágica nem fim do risco. Risco brasileiro existe (instabilidade política, mudança regulatória, etc.). Mas é o risco que sua empresa já assume operando aqui. Não é risco adicional.

Detalhamos a arquitetura física em Bare metal próprio vs cloud terceirizada e O datacenter em Belo Horizonte.

Quando soberania não é prioridade

Pra completar a honestidade, casos em que soberania não é alavanca real:

• Empresa B2C global desde o dia 1: audiência majoritária fora do Brasil; soberania BR é menos relevante que alcance global.
• Setor não-regulado, dados não-sensíveis: blog público, ferramenta open-source, conteúdo não-PII. Risco é baixo, decide por custo/conveniência.
• MVP em fase de validação: ainda não tem cliente pagante, não tem dados sensíveis. Otimize pra velocidade de iteração. Soberania entra quando tracking real começar.
• Workloads stateless: edge functions, CDN, compute efêmero sem dados — onde estão importa menos.

Pra esses casos, otimize por outras alavancas. Pra os outros (B2B BR, SaaS com PII brasileira, fintech, healthtech, edtech, govtech), soberania é alavanca real.

Perguntas frequentes

Eu sou empresa pequena, soberania importa pra mim? Depende do que você processa. Se você tem dados de pessoas físicas brasileiras (CPF, endereço, financeiro, médico), sim importa — e a LGPD te coloca como responsável independente do porte. Se você processa só dados não-pessoais (logs anônimos, dados públicos), o tema é menos urgente.

Posso ter provider americano se eu fizer contrato negociado com cláusula de foro BR? Você pode tentar negociar. Empresas grandes conseguem. Pra contrato padrão (signup-online), não — termo é “take it or leave it”. E mesmo com cláusula de foro BR, o “master agreement” e CLOUD Act federal continuam aplicáveis em algumas circunstâncias.

Não dá pra confiar em qualquer provider? Como saber se a Upuai não me derruba? Você não sabe — você lê o contrato e avalia o risco. Os diferenciais da Upuai (jurisdição BR, ANPD direta, foro BR) são contratuais, verificáveis. Nossa estrutura de “termo do cliente” é pública. Em caso de disputa, o caminho é claro.

LGPD basta pra garantir soberania? LGPD garante alguns direitos do titular dos dados, mas não obriga que o controlador hospede no Brasil. É possível cumprir LGPD com provider americano (com DPA específico, transferência internacional documentada, etc.). Só que fica mais frágil — depende mais de promessas contratuais do provider.

Setores regulados (banco, saúde) podem hospedar fora do Brasil? Em geral, Bacen, Susep e ANVISA têm exigências específicas. Banco tem regras explícitas sobre dados em território nacional. Saúde tem CFM + LGPD + Marco Civil. Vale consulta jurídica setorial — provider BR simplifica muito o cumprimento.

Multi-cloud é a única forma de hedge? É a forma mais técnica. Outras: backup contínuo em formato portável, contrato com cláusulas explícitas de portabilidade, due diligence do provider (financeira, operacional). Pra startup, cláusula de portabilidade + backup independente cobre 80% do risco a um custo baixo.

---

Soberania é uma das várias dimensões de uma decisão de provider. Pra ver as outras, leia Bare metal próprio vs cloud terceirizada, LGPD na sua PaaS e LGPD para times técnicos: checklist prático.