Close
PUBLICADO 07.05.2026 · ATUALIZADO 01.05.2026 · VERSÃO 1.0
Clarifying Lawful Overseas Use of Data Act, lei federal americana adotada em 23 de março de 2018, que (i) clarifica que provedores de serviços eletrônicos sob jurisdição americana são obrigados a entregar dados sob seu controle, independentemente de o dado estar armazenado nos EUA ou no exterior, mediante warrant adequado; e (ii) autoriza o governo americano a celebrar acordos executivos bilaterais com governos estrangeiros para acesso recíproco a dados, sem necessidade de MLAT. Foi adotada em resposta ao caso Microsoft Ireland (2013-2018), em que Microsoft contestou warrant americano para entrega de dados armazenados em datacenter na Irlanda. CLOUD Act reformou Stored Communications Act (SCA) e estabeleceu novo regime para acesso transnacional a dados eletrônicos. Acordos executivos vigentes: EUA-Reino Unido (2020), EUA-Austrália (2021). EUA-Canadá em ratificação. Brasil não tem acordo CLOUD Act com EUA.Definição
CLOUD Act é referência regulatória central no acesso transnacional a dados eletrônicos, com implicações profundas para soberania, cooperação e direitos fundamentais.
(i) Microsoft Ireland — caso fundador: em dezembro de 2013, governo americano emitiu warrant ao Microsoft para entrega de e-mails de conta. Microsoft descobriu que dados estavam em datacenter em Dublin (Irlanda) e contestou warrant, argumentando que warrant SCA não tem alcance extraterritorial. 2nd Circuit decidiu a favor da Microsoft em julho de 2016.
Caso foi aceito pelo Supreme Court em outubro de 2017. Em março de 2018, Congresso americano aprovou CLOUD Act, alterando SCA explicitamente para confirmar alcance extraterritorial. Supreme Court declarou caso moot em abril de 2018.
(ii) Mecânica do CLOUD Act: lei estabelece que (a) provedor americano deve entregar dados sob seu controle, regardless of whether such communication is located within or outside of the United States; (b) provedor pode mover para suprimir o warrant se entrega criar conflito material com lei de país com qualifying foreign government; (c) governo americano pode entrar em acordos executivos com qualifying foreign governments para acesso recíproco direto a provedores em jurisdição estrangeira.
(iii) Acordos executivos vigentes: (a) EUA-Reino Unido — em vigor desde outubro de 2022, opera ativamente; (b) EUA-Austrália — em vigor desde 2021; (c) EUA-Canadá — assinado em 2024, em ratificação; (d) EUA-União Europeia — negociações em curso desde 2019, sem conclusão até 2026 em razão de tensões com GDPR (art. 48).
(iv) Brasil e CLOUD Act: Brasil não tem acordo com EUA. Investigações brasileiras dependem de (a) MLAT 2001 — lento; (b) Convenção de Budapeste — preservação expedita, mas não acesso pleno; (c) cooperação informal — dependente de cooperação voluntária dos provedores.
Vantagens hipotéticas de acordo CLOUD Act seriam (a) acesso direto a provedores americanos em ~24-72 horas; (b) eliminação da fricção MLAT; (c) reciprocidade — autoridades americanas poderiam acessar dados em provedores brasileiros (com salvaguardas). Discussão sobre adesão é objeto de debate institucional.
(v) Tensão CLOUD Act vs GDPR: ponto regulatório central. GDPR art. 48 estabelece que ordens judiciais de Estados não-UE só podem fundamentar transferência de dados quando baseadas em acordo internacional. CLOUD Act warrants emitidos diretamente a provedores na UE potencialmente violam GDPR. Solução prevista — acordo CLOUD Act EUA-UE — não foi concluída até 2026. Resultado é zona cinzenta jurídica, com casos crescentes de empresas americanas com operações na UE em conflito normativo.
(vi) Anton Carniaux Microsoft France — junho de 2025: caso emblemático recente. Em hearing perante Senado francês, Anton Carniaux (Chief Legal Counsel, Microsoft France) declarou que Microsoft não pode garantir que dados de autoridades europeias não sejam transferidos ao governo americano, confirmando aplicabilidade prática de CLOUD Act mesmo com infraestrutura europeia. Reacendeu debate europeu sobre soberania digital.
(vii) Garantias do CLOUD Act: lei estabelece (a) requisito de probable cause para warrant de conteúdo; (b) independent judicial review; (c) direito do provedor de contestar quando há conflito legal material; (d) acordos executivos sujeitos a standards de proteção (privacy, civil liberties); (e) target person não pode ser US person sob CLOUD Act executive agreement.
(viii) Crítica garantista: ponto sensível. CLOUD Act é criticado por (a) alcance extraterritorial unilateral — afirma jurisdição sobre dados em territórios soberanos estrangeiros; (b) bypass de processos jurisdicionais estrangeiros — em alguns casos, exclui tribunais do país de armazenamento; (c) garantias inferiores a regimes europeus em alguns aspectos (notificação, prazo, escopo); (d) dependência de cooperação voluntária do provedor para contestar. Comissão Europeia e EDPB têm sido críticos consistentes.
(ix) Impacto sobre cloud sovereignty: CLOUD Act alimenta debate europeu sobre soberania digital — necessidade de infraestrutura de cloud nativamente europeia, fora de jurisdição americana. Iniciativas como GAIA-X e OVHCloud ganharam tração pós-2018. Brasil tem debate análogo, embora menos institucionalizado.
(x) Implicações dogmáticas brasileiras: o cenário coloca Brasil em dilema operacional — sem acordo CLOUD Act, investigações dependem de MLAT lento; com acordo, garantias domésticas podem ser comprometidas. Equilíbrio adequado exigiria modernização instrumental cuidadosa que preserve LGPD, controle judicial específico brasileiro, proteção de dados de cidadãos. A categoria é objeto de construção doutrinária e política em curso, com necessidade de marco normativo que articule eficácia investigativa e proteção de direitos.
EUA: CLOUD Act (Public Law 115-141, Division V, 2018). Stored Communications Act (18 U.S.C. §§ 2701-2712). 18 U.S.C. § 2703 (warrants e ordens). 18 U.S.C. § 2713 (alcance extraterritorial). UK: Crime (Overseas Production Orders) Act 2019. UE: GDPR — art. 48; E-Evidence Regulation (Regulamento UE 2023/1543).
No Brasil: MLAT Brasil-EUA (Decreto 3.810/2001). Convenção de Budapeste. Marco Civil da Internet. LGPD.
Clarifying Lawful Overseas Use of Data Act.
General Data Protection Regulation — Regulamento Geral de Proteção de Dados da União Europeia.
Regulamento sobre ordens europeias de produção e ordens europeias de conservação de provas eletrônicas em matéria penal — E-Evidence (Ementa oficial: "Regulamento relativo às ordens europeias de entrega e às ordens europeias de conservação de provas eletrónicas em matéria penal e à execução de penas privativas de liberdade na sequência de processos penais").
Promulga o Acordo de Assistência Judiciária em Matéria Penal entre Brasil e Estados Unidos — MLAT EUA-Brasil (Ementa oficial: "Promulga o Acordo de Assistência Judiciária em Matéria Penal entre o Governo da República Federativa do Brasil e o Governo dos Estados Unidos da América, celebrado em Brasília, em 14 de outubro de 1997, corrigido em sua versão em português, por troca de Notas, em 15 de fevereiro de 2001").
Tratado internacional sobre crimes cibernéticos do Conselho da Europa.
Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Lei Geral de Proteção de Dados Pessoais.
Verbetes correlatosContinue a leitura por conexão
BIERRENBACH, Juliana. CLOUD Act. Arquivo Conceitual. TechCrime.Project. Bier.Tech, 7 maio 2026. Disponível em: https://firebrick-eel-641877.hostingersite.com/arquivo-conceitual/c/cloud-act/. Acesso em: [data de acesso].Como citar este verbeteReferência ABNT
ABNT NBR 6023
Toda semana, leitura crítica do que importa em direito penal e tecnologia, com os verbetes em construção comentados pela autora.Receber a LetterNovos verbetes chegam antes aos assinantes da TechCrime.Letter