A soberania digital não é um lema de retórica política. É a capacidade, escassa e frágil em grande parte da Europa, de um Estado manter controlo sobre os seus próprios dados, sistemas críticos e infraestruturas tecnológicas sem depender de empresas estrangeiras sujeitas a leis de terceiros. Nos últimos sete dias de junho, Portugal tomou uma decisão que marca uma viragem nesta matéria: o Governo aprovou a Resolução do Conselho de Ministros número 102/2026, que institui o Plano Nacional de Nuvem Soberana (PNCS). Esta decisão não é um ornamento comunicativo. É uma opção estratégica pela autonomia, e merecia bem mais atenção pública do que recebeu.

Para compreender por que razão isto importa, é necessário primeiro observar a realidade que o Governo acaba de reconhecer de forma oficial. Aproximadamente setenta por cento da infraestrutura em nuvem pública na Europa pertence a três empresas americanas: AWS, Microsoft Azure e Google Cloud. Este número sobe a valores próximos dos noventa por cento quando contabilizamos toda a infraestrutura digital europeia, incluindo computação, armazenamento e análise de dados. A dependência não é acidental. É estrutural. Quando a Europa regulamentou dados pessoais através do Regulamento Geral sobre a Proteção de Dados (RGPD), quando aprovou o Digital Markets Act e mais recentemente o AI Act, demonstrou capacidade legislativa que não é inferior à de qualquer jurisdição global. O problema é que legisla sobre tecnologias que outros constroem, controlam e operacionalizam. Há algo de profundamente ilusório na ideia de soberania quando a infraestrutura sobre a qual os dados nacionais pousam está sujeita ao CLOUD Act americano, a mecanismos de vigilância estrangeira, e a prioridades geopolíticas que não são as de Portugal ou da União Europeia.

A Resolução 102/2026 vem responder a isto de forma frontal. O Plano Nacional de Nuvem Soberana tem um objetivo claro expresso no diploma: reforçar a soberania digital do Estado português, aumentar a resiliência das infraestruturas críticas, e garantir maior controlo sobre os dados e sistemas da Administração Pública. Isto não significa isolar Portugal da nuvem global, mas sim assegurar que informação estratégica, dados de cidadãos, registos de saúde e educação, e sistemas de gestão estatal operem num ambiente tecnológico onde o Estado português exerce efetivamente controlo.

O enquadramento regulatório explica a urgência. O Decreto-Lei número 125/2025, publicado em dezembro passado e entrado em vigor no dia três de abril do corrente ano, transpôs a Diretiva Europeia NIS2 (Network and Information Systems Directive 2) para a lei portuguesa. O novo Regime Jurídico da Cibersegurança aplica-se agora a entidades essenciais e importantes de dezoito setores distintos, desde energia e transportes até saúde, água potável, infraestruturas digitais e espaço. Algumas destas entidades ainda permanecem com percentagens de serviços críticos dependentes de fornecedores externos sobre os quais têm visibilidade limitada e controlo nulo. A NIS2 em Portugal impõe a estas entidades a obrigação de implementar medidas de segurança progressivamente mais rigorosas, de reportar incidentes significativos, e de demonstrar gestão de risco. Uma nuvem soberana não é apenas uma resposta à soberania, é uma resposta à conformidade regulatória. É o instrumento que permitirá ao Estado oferecer às suas entidades críticas a garantia técnica de que dados sensíveis operam em território nacional, sob lei portuguesa, com controlo total do próprio Estado.

O Plano de Ação da Estratégia Digital Nacional para 2026-2027, aprovado via Resolução 214/2025, consolida isto numa visão mais ampla. Portugal compromete-se a posicionar-se entre os dez países mais avançados da União Europeia em matéria de transformação digital até 2030, alinhado com os objetivos da Década Digital Europeia. Este não é um objetivo modesto. Portugal subiu recentemente para oitavo lugar no European e-Government Benchmark 2025, reconhecimento que reflete a qualidade dos serviços públicos digitais e da interoperabilidade de sistemas implementados nos últimos anos. Mas há ainda significativo espaço de avanço. O Plano de Ação 2026-2027 estrutura-se em dez grandes áreas de intervenção: competências digitais, transformação de empresas, serviços públicos, infraestruturas, dados, interoperabilidade, inovação no Estado, inteligência artificial, e evidentemente soberania e segurança.

As metas são concretas. No setor empresarial, o objetivo é que noventa por cento das pequenas e médias empresas atinjam um nível básico de intensidade digital e que setenta e cinco por cento adotem serviços de computação em nuvem. Atualmente Portugal encontra-se em trinta e dois por cento, o que significa que o caminho é significativo mas exequível em quatro anos. Na cobertura de rede móvel de alta velocidade, a meta é cobrir a totalidade das áreas povoadas do território nacional com redes 5G de alta capacidade, começando de um baseline já elevado de noventa e oito por cento.

O que distingue o esforço português é que este não é um documento de intenções diluídas em convocatória europeia genérica. Há estruturas de governação definidas. O Centro Nacional de Cibersegurança (CNCS) e a Agência para a Reforma Tecnológica do Estado (ARTE), entidades que já existem mas cujos mandatos e poderes se reforçam agora, passam a monitorizar o Plano Nacional de Nuvem Soberana em conjunto. Ambas dispõem de noventa dias, contados desde a aprovação da resolução, para definir os requisitos técnicos concretos e as metodologias de qualificação de soluções de nuvem soberana. Isto não é burocracia. É a diferença entre um plano que fica em papel e um plano que tem valor operacional.

O mesmo diploma de junho prevê um esforço de capacitação que é porventura o mais invisível mas também o mais crucial. O Governo compromete-se a formar pelo menos dez por cento dos especialistas de informática da Administração Pública em soberania digital até 2028. Isto parece um número pequeno até compreendermos que significa transformar a mentalidade de um conjunto relevante de tecnólogos do Estado, ensinar-lhes a pensar em termos de autonomia tecnológica, em mitigação de risco de dependência, em avaliação crítica de fornecedores baseada em controlo e transparência. O Plano também capacita mais de mil dirigentes e gestores de projeto até 2030 com conhecimento prático sobre soberania digital. A investida é formativa, não apenas infraestrutural.

Há aqui uma escolha clara de modelo. Portugal não está a tentar construir um hyperscaler nacional que compita com AWS, Azure e Google Cloud em escala global. Seria uma ilusão económica. Está a tentar fazer o que alguns países europeus já começaram a fazer. A França avançou com a SecNumCloud, um catálogo de soluções cloud certificadas como soberanas e conformes com a regulação europeia, e investiu seriamente na OVHcloud, operador franco-europeu de infraestrutura. A Alemanha focou-se em cloud soberana para administração pública. A União Europeia como um todo tentou com o GAIA-X, iniciativa para criar um ecossistema federado de infraestrutura de dados sob valores europeus, interoperável e transparente. O GAIA-X continua ativo, com o Banco Central Europeu a ter-se integrado formalmente no consórcio, mas a execução tem sido lenta e fragmentada, e a presença dos próprios hyperscalers americanos no projeto levanta questões legítimas sobre se conseguirá produzir uma alternativa real ou se se tornará apenas um fórum de boas intenções.

Portugal observou isto e fez uma escolha diferente. O PNCS não aposta numa só solução tecnológica nem numa só entidade fornecedora. Aposta num modelo que combina infraestrutura própria, parcerias com operadores europeus certificados, e conformidade verificável com padrões europeus de soberania. Isto abre espaço para que operadores como a OVHcloud, por exemplo, possam servir a Administração Pública portuguesa, oferecendo capacidade de cloud com transparência total sobre onde dados residem e sob que jurisdição operam. Abre espaço para que soluções de código aberto, internacionalmente respeitadas, possam ser adotadas em lugar de soluções proprietárias americanas. Isto não é isolacionismo. É pragmatismo centrado no controlo.

A crítica mais comum que se levanta a iniciativas de soberania digital é o risco do que Cristina Caffarra, fundadora da Eurostack Foundation, chama "sovereignty washing". A crítica é válida. Colocar datacenters em solo europeu ou estabelecer parcerias com operadores locais não resolve fundamentalmente se a empresa-mãe é americana e, portanto, sujeita ao CLOUD Act, o instrumento legal que permite ao Estado americano exigir acesso a dados sob custódia de empresas americanas, independentemente de onde fisicamente os dados residem. É uma crítica que vale a pena tomar a sério. O Plano Nacional de Nuvem Soberana português precisa de ser rigoroso na avaliação de fornecedores para garantir que operadores certificados como soberanos cumprem efectivamente esse critério. O CNCS, como autoridade nacional de cibersegurança, tem responsabilidade nessa verificação.

Mas a crítica também pode ser lida de outro modo. Nenhuma solução é perfeita. A verdadeira questão é se Portugal está numa posição melhor ao investir em nuvem soberana do que ao deixar infraestruturas críticas nacionais inteiramente dependentes de fornecedores sobre os quais exerce zero controlo. A resposta é claramente sim. Há um espetro de autonomia. No pior cenário, o Estado português depende totalmente de fornecedores americanos e tem de aceitar qualquer restrição que lhe imponham. No melhor cenário que a tecnologia oferece, o Estado português controla completamente a sua infraestrutura crítica operando sob lei nacional. A nuvem soberana é a zona intermédia em que se consegue autonomia significativa com prática e realismo.

O contexto de ameaça torna isto ainda mais premente. O Plano Nacional de Nuvem Soberana menciona explicitamente os riscos associados a cibercrime em larga escala, fenómenos meteorológicos extremos que afetam datacenters em certos pontos geográficos, e guerra eletrónica, termo que a documentação não define mas que no contexto geopolítico atual refere-se a campanha de ataque cibernético coordenado contra infraestruturas críticas de um Estado. Quando o Estado português garante a continuidade operacional do Estado e a proteção da informação estratégica, reconhece que estas ameaças são reais. Uma nuvem soberana, com redundância em solo nacional, oferece resiliência que dependência total não oferece. Se conflito geopolítico levasse a bloqueio de acesso a serviços cloud fornecidos a partir de jurisdição estrangeira, um Estado com nuvem soberana poderia mantém operacionais os seus serviços críticos de saúde, energia e administração. Um Estado inteiramente dependente estaria paralisado.

O investimento económico ainda não foi totalmente delineado em público, mas a resolução do Governo é clara quanto ao propósito e cronograma. O Plano será monitorizado por ARTE e CNCS, com reportes periódicos, e está enquadrado na Estratégia Digital Nacional que corre até 2030. Isto significa que Portugal tem seis anos para implementar uma transformação que alguns países europeus levaram dez anos a começar.

Do ponto de vista de política industrial, há ainda uma oportunidade que não é suficientemente reconhecida. Uma nuvem soberana portuguesa, bem implementada, é um mercado aberto para tecnólogos portugueses. Startups e empresas de tecnologia nacional conseguem posicionar-se como integradores, como fornecedores de serviços de valor acrescentado, como especialistas em implementação e operação. O mercado de cloud pública não é fechado apenas para Portugal. É fechado para praticamente qualquer empresa europeia que não seja hyperscaler. Mas um mercado de cloud soberana, operando com critérios europeus, é espaço onde a capacidade técnica portuguesa pode desenvolver-se e gerar valor.

O Plano Nacional de Nuvem Soberana também se articula com outra iniciativa que mereceria mais visibilidade. A Agenda Nacional de Inteligência Artificial, que é integrada na Estratégia Digital Nacional, reconhece que treinar modelos de linguagem de grande escala, como a arquitetura de tecnologia generativa que mudou o setor no último biénio, requer capacidade de computação massiva. Portugal está a investir em capacidade de computação para poder desenvolver competência em inteligência artificial de forma autónoma. Sem infraestrutura de cloud soberana com capacidade de computação adequada, esse investimento em IA fica limitado.

A avaliação honesta é que isto é ambicioso, exigente, e requer execução consistente. Há risco de que o plano fique parcialmente implementado, ou que a supervisão se relaxe quando prioridades políticas mudam. Há risco de que fornecedores de nuvem soberana qualificados não alcancem a maturidade técnica em horizonte esperado. Há risco também de captura regulatória, em que operadores certificados como soberanos operem com padrões substancialmente inferiores aos que seriam exigidos em competição aberta. Todos estes riscos precisam de vigilância ativa por parte de quem governa e por parte da comunidade técnica portuguesa.

Mas o esforço do Governo em colocar isto no topo da agenda é correto. Portugal não pode ficar indefinidamente a reboque de decisões de silício americano. A transformação digital do Estado português passa por ter infraestrutura digital própria sobre a qual o Estado exerce controlo real. O Plano Nacional de Nuvem Soberana é o instrumento que falta para tornar essa transformação possível.

A Resolução 102/2026 merecia ter sido manchete de primeira página em todos os órgãos de imprensa tecnológica portuguesa. Não foi. Mas o seu impacto operacional nos próximos cinco anos determinará se Portugal consegue realmente posicionar-se entre os dez líderes europeus em transformação digital até 2030, ou se fica preso na dependência que caracteriza a maior parte do continente.