Política,Segurança |
09/08/2025

Resumo

O Clarifying Lawful Overseas Use of Data Act (CLOUD Act) é uma lei norte-americana promulgada em 2018, que obriga empresas de tecnologia sediadas nos Estados Unidos a fornecer dados solicitados por autoridades judiciais, mesmo quando armazenados fora do território nacional. Esta legislação surgiu como resposta a lacunas jurídicas na obtenção de provas digitais transfronteiriças, notadamente após o caso Microsoft Corp. v. United States. O presente artigo analisa o contexto histórico do CLOUD Act, seus principais dispositivos, os acordos bilaterais possibilitados, bem como suas implicações para a soberania de dados e a proteção da privacidade. A pesquisa se fundamenta em revisão bibliográfica de documentos legais, decisões judiciais e artigos especializados, buscando compreender os impactos dessa legislação no cenário internacional e discutir possíveis conflitos com normativas de proteção de dados, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.

Introdução

A transformação digital ampliou a circulação de dados em escala global, criando um cenário em que informações pessoais e corporativas são frequentemente armazenadas em servidores distribuídos por diferentes países. Essa realidade gerou desafios para o cumprimento de mandados judiciais envolvendo dados em nuvem, especialmente quando as jurisdições envolvidas possuem legislações divergentes. Nesse contexto, os Estados Unidos promulgaram, em março de 2018, o Clarifying Lawful Overseas Use of Data Act (CLOUD Act), visando garantir que empresas sob jurisdição americana entreguem dados requisitados, independentemente da localização física dos servidores (ORRICK, 2018).

A lei modificou o Stored Communications Act (SCA), integrante da Electronic Communications Privacy Act (ECPA) de 1986, adaptando-a às demandas contemporâneas da investigação digital. Ao mesmo tempo, levantou preocupações sobre privacidade, direitos civis e soberania de dados, especialmente entre países que mantêm legislações rígidas de proteção da informação, como os membros da União Europeia.

Desenvolvimento

1. Contexto histórico e origem

O marco inicial para a criação do CLOUD Act foi o caso Microsoft Corp. v. United States (2013), no qual a Microsoft recusou-se a fornecer e-mails armazenados em servidores na Irlanda, sob alegação de que a legislação americana então vigente não tinha alcance extraterritorial (MICROSOFT, 2018). A disputa judicial chegou à Suprema Corte dos EUA, mas foi encerrada com a entrada em vigor do CLOUD Act, que tornou o pedido legalmente viável (ENWIKIPEDIA, 2024).

2. Estrutura e principais dispositivos

O CLOUD Act introduziu três pilares fundamentais:

  1. Obrigatoriedade de entrega de dados: empresas com “posse, custódia ou controle” de informações devem cumprir ordens judiciais válidas, mesmo que os dados estejam fora dos EUA.

  2. Acordos executivos bilaterais: o governo americano pode firmar acordos que permitem a troca direta de dados entre países, sem necessidade de tratados de assistência jurídica mútua (MLAT).

  3. Mecanismos de contestação: empresas podem contestar solicitações quando houver conflito legal com o país onde os dados estão armazenados.

3. Reações internacionais

Empresas de tecnologia como Google, Apple, Microsoft e Facebook apoiaram a medida, por trazer clareza às regras de atendimento de ordens judiciais (KITEWORKS, 2024). Por outro lado, entidades como a Electronic Frontier Foundation (EFF) e a American Civil Liberties Union (ACLU) criticaram a lei por ampliar a vigilância governamental e fragilizar garantias constitucionais (EFF, 2018). Na Europa, órgãos como o European Data Protection Supervisor destacaram a incompatibilidade com o GDPR, reforçada pela decisão Schrems II da Corte de Justiça da União Europeia (EUROPEAN UNION, 2020).

4. Implicações para soberania de dados

O CLOUD Act intensificou debates sobre soberania digital, levando governos a adotar políticas de hospedagem local e criação de provedores nacionais para reduzir a dependência de empresas americanas (TECHRADAR, 2024). No Brasil, embora não haja legislação específica que proíba a cooperação com base no CLOUD Act, a Lei Geral de Proteção de Dados (LGPD) cria barreiras para transferência internacional de dados, exigindo garantias adequadas de proteção.

Conclusão

O CLOUD Act é um marco na legislação digital internacional, ao oferecer uma solução para o acesso a dados transfronteiriços por autoridades judiciais dos EUA. Contudo, sua implementação suscita conflitos com outras legislações de proteção de dados, levanta questionamentos sobre a privacidade e estimula o fortalecimento de políticas de soberania digital. No cenário global, a tendência é de aumento da complexidade regulatória, exigindo das empresas estratégias jurídicas e técnicas para conciliar obrigações legais distintas.

A reflexão sobre o CLOUD Act demonstra que a governança de dados na era digital depende de um equilíbrio delicado entre segurança pública, cooperação internacional e proteção dos direitos individuais, sendo necessário um diálogo constante entre países e empresas para evitar a fragmentação da internet e a erosão da confiança digital.

Referências

  1. EFF – Electronic Frontier Foundation. The CLOUD Act: A Dangerous Expansion of Police Snooping on Cross-Border Data. 2018. Disponível em: https://www.eff.org/deeplinks/2018/03/cloud-act-dangerous-expansion-police-snooping-cross-border-data. Acesso em: 9 ago. 2025.
  2. ENWIKIPEDIA. CLOUD Act. 2024. Disponível em: https://en.wikipedia.org/wiki/CLOUD_Act. Acesso em: 9 ago. 2025.
  3. EUROPEAN UNION. Case C-311/18 Data Protection Commissioner v Facebook Ireland and Maximillian Schrems. 2020. Disponível em: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CJ0311. Acesso em: 9 ago. 2025.
  4. KITEWORKS. What Is the U.S. CLOUD Act?. 2024. Disponível em: https://www.kiteworks.com/risk-compliance-glossary/us-cloud-act/. Acesso em: 9 ago. 2025.
  5. MICROSOFT. Microsoft Corp. v. United States. 2018. Disponível em: https://blogs.microsoft.com. Acesso em: 9 ago. 2025.
  6. ORRICK. The CLOUD Act Explained. 2018. Disponível em: https://www.orrick.com/en/Insights/2018/04/The-CLOUD-Act-Explained. Acesso em: 9 ago. 2025.
  7. TECHRADAR. Cloud sovereignty in Europe and beyond: a tipping point?. 2024. Disponível em: https://www.techradar.com/pro/cloud-sovereignty-in-europe-and-beyond-a-tipping-point. Acesso em: 9 ago. 2025.

Sobre o Autor

Paulo Sérgio Granato

Possui graduação em Tecnologia em Informática pelo Instituto Paulista de Ensino e Pesquisa (2002) e Especialização em Redes (2005), Especialização em Metodologias Ativas (2017), Especialização em História e Filosofia (2017), Especialização em Gestão Pública (2019), Especialização em Democracia e Pensamento Contemporâneo (2021) e em andamento Especialização em andamento em Gestão, Inovação e Transformação Digital (2022). Desde agosto de 2009 é professor universitário da Faculdade Maxplanck, no curso de Redes de Computadores, Administração e Engenharia da Produção, hoje como Unieduk, na cidade de Indaiatuba-SP. Também atua como servidor público na Autarquia Serviço Autônomo de Água e Esgotos (SAAE) de Indaiatuba como Administrador de Redes desde 2010. Procura sempre levar novas tecnologias aos alunos com o intuito de cada vez mais eles estarem participando do mercado de trabalho. “Lembre-se que a informática, não trabalha com máquinas e sim com pessoas” (Paulo Sérgio Granato)

See author's posts