A promessa de “soberania de dados” da Microsoft para a Europa vem com um asterisco. A partir de 17 de abril de 2026, a empresa começará a enviar os dados do Copilot para servidores estrangeiros para processamento.

Com a introdução do roteamento flexível para o Microsoft 365 Copilot, a inferência de modelo de linguagem de grande escala (LLM) — a etapa em que os seus dados são efetivamente processados — pode ocorrer nos EUA, no Canadá ou na Austrália quando a capacidade dos centros de dados europeus for insuficiente.

Estas alterações estão a ser aplicadas por predefinição. Para novas contas de clientes criadas depois de 25 de março de 2026, o roteamento flexível já está ativado. Para todos os outros, será ativado automaticamente, a menos que opte por desativá-lo. (Instruções sobre como fazer isso abaixo.)

Se a sua empresa estiver sediada na União Europeia ou na Associação Europeia de Comércio Livre (EFTA), esta não é uma pequena atualização técnica. O roteamento flexível altera se os seus fluxos de trabalho de IA permanecem na UE ou se saem dela sem o seu conhecimento. E destaca o que a ideia da Big Tech de soberania digital realmente significa para a Europa: eles continuam a ter o controlo.

O que é o roteamento flexível?

A inferência é o momento em que um modelo de IA processa o seu prompt para gerar uma resposta, seja resumindo um documento, respondendo a uma pergunta ou redigindo conteúdo. Quando isto acontece, os seus dados já foram reunidos. Mesmo que os seus dados estejam armazenados na Europa, agora podem ser processados noutro local — automaticamente, ao abrigo de uma jurisdição fora da UE.

Alojado na UE não significa processado na UE

A Microsoft deixa claro que os dados permanecerão encriptados(nova janela) em trânsito e em repouso. Isto pode tranquilizar alguns clientes. Mas, se a sua organização opera ao abrigo de enquadramentos como o Regulamento Geral sobre a Proteção de Dados(nova janela) (GDPR), a Diretiva relativa à segurança das redes e da informação (NIS2) ou o Digital Operational Resilience Act (DORA), proteger os dados em armazenamento e em transmissão não é suficiente.

É no processamento (ou inferência) que a exposição pode ocorrer. E, com o roteamento flexível, esse ponto pode agora mudar.

Para um modelo de IA executar inferência, os dados têm de ficar acessíveis para computação. Os seus prompts, e-mails, ficheiros e metadados são reunidos e enviados para o modelo. Com o roteamento flexível, esse pacote pode ser processado fora da UE.

Importa onde os seus dados são processados — mesmo que estejam encriptados à entrada e à saída.

O ónus da conformidade recai sobre si

A decisão da Microsoft de tornar o roteamento flexível uma funcionalidade predefinida é um sinal de alerta. A investigação mostra que a maioria das pessoas não se dá ao trabalho de verificar as suas predefinições nem de as atualizar. Se a soberania dos dados fosse algo com que a empresa realmente se preocupasse para os seus clientes europeus, não teria implementado o roteamento flexível automaticamente.

Também coloca o seu departamento de conformidade em alerta para o facto de os fornecedores poderem decidir subitamente alterar uma política importante. Agora, a responsabilidade é sua de monitorizar as atualizações dos fornecedores, interpretar as suas implicações e ajustar as definições para se manter em conformidade. Isto pode parecer injusto se escolheu um fornecedor sediado nos EUA na convicção de que a soberania dos seus dados era importante para esse fornecedor.

O que as empresas da UE podem fazer agora

  1. Desative o roteamento flexível. Se as suas políticas exigem processamento apenas na UE, não confie nas predefinições.
    • Inicie sessão no centro de administração do Microsoft 365 como administrador com o cargo de Administrador de IA(nova janela) atribuído.
    • Vá a Copilot -> Definições -> Inferência flexível durante períodos de pico de carga.
    • Selecione Não permitir o roteamento flexível
  2. Compreenda as implicações transfronteiriças. A sua configuração atual pode não cumprir os requisitos da sua empresa. Considere:
    • Obrigações de transferência de dados ao abrigo do GDPR e de regras específicas do setor
    • Políticas internas de residência de dados e compromissos contratuais
    • Acesso legal e supervisão em jurisdições fora da UE
  3. Audite de perto os fluxos de dados específicos de IA. A maioria das empresas sabe onde os dados são armazenados. Menos sabem onde são processados. Comece por questionar:
    • Onde os seus dados são processados
    • Se existem leis que possam obrigar à divulgação de dados a terceiros
    • Quem pode aceder aos dados durante o processamento e se isso pode mudar
  4. Escolha fornecedores que sejam transparentes quanto à forma como processam os seus dados. O assistente de IA(nova janela) da Proton processa os dados exclusivamente em servidores europeus e publica uma descrição detalhada do seu modelo de segurança.

O roteamento flexível revela algo mais profundo sobre a governação de dados

Se os seus fornecedores estão sediados nos EUA, está a depender de sistemas criados para uma realidade regulamentar diferente — uma realidade que não controla, mas à qual continua a ter de responder.

As decisões sobre atualizações de software, apoio ao cliente, políticas legais e preços são tomadas em Silicon Valley ou em Seattle. As regras que o seu fornecedor segue são definidas em Washington. Mas a sua empresa tem de cumprir normas europeias.

É por isso que cada vez mais empresas começam a considerar alternativas europeias à Big Tech(nova janela). Quando a sua infraestrutura, as suas políticas e o seu enquadramento jurídico estão alinhados com a região em que opera, a soberania dos dados torna-se exigível, não condicional.