No entanto, isso não significa que apenas os fornecedores europeus possam oferecer soluções de nuvem soberanas. Os fornecedores americanos também poderão proteger os dados dos clientes do acesso do governo dos Estados Unidos através de medidas técnicas, tais como encriptação do lado do cliente, encriptação com gestão de chaves de terceiros ou computação confidencial. Se implementado de forma segura, o fornecedor americano só poderá divulgar dados na sua forma encriptada. Além disso, a lei dos Estados Unidos permite que os provedores de nuvem contestem ordens de produção sob determinadas circunstâncias, inclusive com base na cortesia. Se tais medidas podem reduzir o risco de acesso de governos estrangeiros a um nível aceitável depende da natureza dos dados e do caso de utilização específico.
Hosken: Na Broadcom, observamos um interesse crescente dos clientes na construção de nuvens soberanas em toda a Europa. O que está impulsionando essa demanda?
Michels: Vejo a regulamentação como um dos principais impulsionadores para os clientes europeus que procuram proteger os seus dados na nuvem. Isto é particularmente verdadeiro no caso do RGPD, dado o elevado nível de potenciais multas. É certo que a UE e os Estados Unidos realizaram progressos nas transferências internacionais de dados e no aumento do nível de proteção dos dados pessoais europeus, nomeadamente através do Quadro de Privacidade de Dados UE-EUA. No entanto, continua a existir um certo nível de incerteza jurídica quanto à capacidade dos fornecedores americanos de fornecer um nível adequado de segurança e de oferecer garantias suficientes de conformidade quando atuam como subcontratantes de dados pessoais europeus. Um exemplo desta incerteza é a ação coerciva da Autoridade Europeia para a Proteção de Dados relativamente à utilização do Microsoft 365 pela Comissão Europeia. Em França, a CNIL (Comissão Nacional de Informática e Liberdade) também levantou repetidamente preocupações sobre a utilização de fornecedores de nuvem americanos.
Este problema aplica-se especialmente aos chamados dados de categorias especiais, como os relativos à saúde e à etnia, que estão sujeitos a regras estritas ao abrigo do RGPD.
Alguns Estados-Membros também têm requisitos legais nacionais para a nuvem soberana, que se aplicam a nível nacional. Estas aplicam-se normalmente ao setor público e aos operadores de infraestruturas críticas, como acontece com o esquema francês SecNumCloud. Dito isto, a regulamentação não é o único impulsionador. Muitos clientes também procuram proteger informações comercialmente sensíveis e segredos comerciais do acesso de governos estrangeiros.
Hosken: Irão as organizações europeias transferir todos os seus dados para nuvens soberanas ou há motivos para multi-cloud?
Michels: Os clientes europeus continuarão a utilizar os serviços de nuvem tradicionais dos hiperscaladores americanos. Mas muitas organizações também precisam pensar de forma mais estratégica sobre quais dados pertencem a cada ambiente de TI. Diferentes ambientes atendem a diferentes cargas de trabalho, dependendo dos requisitos técnicos e de segurança, do custo e da conformidade regulatória. Por exemplo, algumas cargas de trabalho se beneficiam da escalabilidade e da funcionalidade que os hiperescaladores americanos oferecem, enquanto outros dados mais confidenciais exigem proteção adicional. Portanto, para alguns clientes, há fortes argumentos para implantações de nuvem que combinem a nuvem tradicional em hiperescala com soluções de nuvem soberanas.
