O objetivo da Comissão Europeia de triplicar, em cinco a sete anos, o mercado de centros de dados da UE seria impossível sem uma forte intervenção no mercado, e é precisamente isso que a CADA faz.
A Comissão Europeia apresentou recentemente a sua proposta para a Lei do Desenvolvimento da Cloud e da IA (CADA), que visa dinamizar a indústria europeia da cloud e da inteligência artificial, reconfigurando as infraestruturas, o mercado europeu da cloud e a forma como as entidades do sector público poderão funcionar no futuro.
PUBLICIDADE
PUBLICIDADE
A CADA assenta em três grandes pilares: investimento em investigação, desenvolvimento e inovação, reforço de capacidade, com o objetivo de triplicar o mercado europeu de centros de dados nos próximos cinco a sete anos, e um quadro abrangente de autonomia, que define quatro níveis de soberania e segurança e novas obrigações para os Estados-Membros da UE.
CADA gera reações mistas
Até agora, a proposta tem suscitado avaliações divergentes. Associações empresariais como a CCIA Europe classificam-na como discriminatória, uma vez que a CADA obrigaria os Estados-Membros da UE a avaliar que casos de utilização exigem níveis específicos de sobernaia que os fornecedores de países terceiros «não conseguiriam cumprir por defeito».
O jurista polaco especializado em tecnologia Mikolaj Barcenciewicz já defendeu que a CADA deveria assentar no risco e não em categorias rígidas, preservando a abordagem própria e o princípio da subsidiariedade de cada Estado-Membro, em vez de os generalizar.
Eurodeputado sueco, Jörgen Warborn partilhou recentemente no LinkedIn as suas posições sobre a proposta da CADA, defendendo que os objetivos europeus de soberania digital devem ser acompanhados por uma maior simplificação e por melhores condições de negócio, com uma perspetiva reforçada de retorno do investimento.
Sublinhou ainda que, embora os objetivos de soberania da UE devam ser reforçados nas aplicações nacionais relacionadas com a segurança nacional, as áreas menos sensíveis devem permanecer abertas ao investimento direto estrangeiro, já que «a esmagadora maioria da riqueza mundial se encontra fora da UE» e a União deve procurar atrair esse investimento, e não afastá-lo.
A eurodeputada finlandesa Aura Salla, por seu lado, defendeu uma abordagem ainda mais centralizada, tanto para realizar testes de esforço às dependências tecnológicas como para avaliar os riscos ao nível de cada Estado-Membro.
Por fim, algumas partes interessadas, como o fornecedor de software alemão Nextcloud, consideram que a proposta atual não é suficientemente ambiciosa e deveria abranger também o sector privado.
Limite de 12 meses para licenças, mas mais exigências
O Título III da CADA define dois mecanismos principais para expandir rapidamente a capacidade de centros de dados na UE: as Zonas de Aceleração de Centros de Dados e os Projetos Estratégicos de Centros de Dados.
No prazo de seis meses após a entrada em vigor do regulamento, cada Estado-Membro terá de designar pelo menos uma zona de aceleração, integrada nos planos urbanos e de ordenamento locais, tendo em conta a disponibilidade da rede elétrica, a capacidade das infraestruturas de comunicação e uma clara preferência por áreas já utilizadas (brownfield).
Quer o projeto se situe numa destas zonas pré-aprovadas, quer receba uma designação individual como projeto estratégico, beneficiará de um «corredor verde» que limita o procedimento de concessão de licenças a um máximo de 12 meses.
Mas a lista de requisitos de conformidade da CADA é exigente: os operadores de infraestruturas terão de adotar indicadores de sustentabilidade normalizados a nível da UE e a afetação de recursos locais será rigorosamente controlada para evitar reservas especulativas ou bloqueios anticoncorrenciais.
Na prática, isto dá aos Estados-Membros uma janela reduzida de seis meses para definirem zonas conformes dentro de enquadramentos locais de planeamento complexos, seguida de um prazo igualmente comprimido de 12 meses para aprovar cada licença.
A construção propriamente dita de centros de dados já enfrenta fortes estrangulamentos físicos: apenas um número reduzido de construtores especializados dispõe das certificações necessárias, cada fase do projeto é sujeita a auditorias rigorosas e mesmo instalações de menor dimensão podem demorar anos a ficar concluídas.
Ao acumular novas obrigações de conformidade para Estados-Membros e fornecedores de infraestruturas, os decisores políticos da UE arriscam transformar o limite de «12 meses no máximo» para a concessão de licenças num objetivo secundário e pouco relevante num processo estruturalmente complexo.
Grandes mudanças na contratação pública
O Título IV da CADA e os respetivos anexos traçam um novo quadro rígido que define com precisão os tipos de software e serviços de computação em cloud que os Estados-Membros da UE podem adquirir.
A procura do sector público passará a ser rigidamente associada aos quatro níveis de garantia previstos no Anexo II da CADA.
O nível 1 abrange requisitos básicos de soberania e segurança, permitindo a propriedade empresarial por entidades de países terceiros.
O nível 2 diz respeito a uma soberania digital substancial: a propriedade por empresas de países terceiros continua a ser permitida, desde que todas as operações, infraestruturas, pessoal e apoio permaneçam estritamente dentro da UE, que existam certificações de cibersegurança consideradas «substanciais» e que os dados dos clientes não possam ser utilizados para treinar sistemas de IA em países terceiros.
O nível 3 corresponde a uma elevada soberania e à proteção da segurança nacional, com o controlo por empresas de países terceiros proibido por defeito, salvo raras exceções autorizadas pela Comissão Europeia, enquanto o nível 4 representa a autonomia máxima e a segurança crítica, com o controlo por empresas de países terceiros completamente vedado.
Como deverão os Estados-Membros da UE operacionalizar o novo quadro da CADA? Em primeiro lugar, nomeando uma ou mais autoridades nacionais competentes para fazer cumprir as regras, auditar fornecedores e analisar pedidos de reconhecimento de prestadores de serviços em cloud.
No prazo de um ano, os Estados-Membros terão de realizar avaliações de risco, a repetir de dois em dois anos, para identificar que atividades do sector público dependem de serviços em cloud e para determinar o nível adequado de garantia de segurança.
A proposta atual de CADA alteraria profundamente a forma como tem funcionado até agora a contratação pública de serviços em cloud.
Até aqui, as entidades públicas dos Estados-Membros podiam escolher livremente os prestadores de serviços em cloud com base no preço, na qualidade do serviço, nas necessidades organizacionais e na legislação em vigor sobre gestão de dados e riscos de soberania.
Enquanto os concursos públicos eram até agora fortemente dominados pelo preço e por especificações técnicas padrão, os Estados-Membros teriam agora de avaliar também critérios não relacionados com o preço, como a medida em que um fornecedor contribui para o ecossistema digital europeu.
Este artigo foi publicado pela primeira vez em EU Tech Loop (fonte em inglês) e é partilhado na Euronews ao abrigo de um acordo.