A promessa de “soberania de dados” da Microsoft para a Europa vem com um asterisco. A partir de 17 de abril de 2026, a empresa começará a enviar dados do Copilot para servidores estrangeiros para processamento.

Com a introdução do flex routing no Microsoft 365 Copilot, a inferência do modelo de linguagem de grande porte (LLM) — a etapa em que seus dados são realmente processados — pode ocorrer nos EUA, no Canadá ou na Austrália quando a capacidade dos data centers europeus for insuficiente.

Essas mudanças estão sendo aplicadas por padrão. Para novas contas de clientes criadas após 25 de março de 2026, o flex routing já está ativado. Para todos os demais, ele será ativado automaticamente, a menos que você desative essa opção. (Instruções sobre como fazer isso abaixo.)

Se sua empresa tem sede na União Europeia ou na Associação Europeia de Livre Comércio (EFTA), esta não é uma pequena atualização técnica. O flex routing determina se seus fluxos de trabalho de IA permanecem dentro da UE ou saem dela sem que você saiba. E isso destaca o que a versão da Big Tech de soberania digital realmente significa para a Europa: ela ainda está no controle.

O que é flex routing?

A inferência é o momento em que um modelo de IA processa seu prompt para gerar uma resposta, seja resumindo um documento, respondendo a uma pergunta ou redigindo conteúdo. Quando isso acontece, seus dados já foram reunidos. Mesmo que seus dados estejam armazenados na Europa, eles agora podem ser processados em outro lugar — automaticamente, sob uma jurisdição fora da UE.

Hospedado na UE não significa processado na UE

A Microsoft deixa claro que os dados permanecerão criptografados(nova janela) em trânsito e em repouso. Isso pode tranquilizar alguns clientes. Mas, se você opera sob estruturas como o Regulamento Geral sobre a Proteção de Dados(nova janela) (GDPR), a Diretiva de Segurança de Redes e Informações (NIS2) ou o Regulamento de Resiliência Operacional Digital (DORA), proteger os dados em armazenamento e durante a transmissão não é suficiente.

O processamento (ou a inferência) é onde a exposição pode ocorrer. E, com o flex routing, esse ponto agora pode mudar.

Para um modelo de IA realizar inferência, os dados precisam ficar acessíveis para computação. Seus prompts, e-mails, arquivos e metadados são reunidos e enviados ao modelo. Com o flex routing, esse pacote pode ser processado fora da UE.

Importa onde seus dados são processados — mesmo que eles estejam criptografados na entrada e na saída.

A responsabilidade pela conformidade é sua

A decisão da Microsoft de tornar o flex routing um recurso padrão é um sinal de alerta. Pesquisas mostram que a maioria das pessoas não se dá ao trabalho de verificar as configurações padrão ou atualizá-las. Se a soberania de dados fosse algo com que a empresa realmente se importasse para seus clientes europeus, ela não teria implementado o flex routing automaticamente.

Isso também coloca o seu departamento de conformidade em alerta de que fornecedores podem decidir repentinamente mudar uma política importante. Agora, você é responsável por monitorar as atualizações dos fornecedores, interpretar as implicações delas e ajustar as configurações para continuar em conformidade. Isso pode parecer injusto se você selecionou um fornecedor sediado nos EUA acreditando que a soberania dos seus dados era importante para ele.

O que as empresas da UE podem fazer agora

  1. Desative o flex routing. Se suas políticas exigirem processamento apenas na UE, não confie nas configurações padrão.
    • Inicie a sessão no centro de administração do Microsoft 365 como um administrador ao qual foi atribuída a função de Administrador de IA(nova janela).
    • Vá para Copilot -> Configurações -> Inferência flexível durante períodos de pico de carga.
    • Selecione Não permitir flex routing
  2. Entenda as implicações transfronteiriças. Sua configuração atual pode não atender aos requisitos da sua empresa. Considere:
    • Obrigações de transferência de dados nos termos do GDPR e de regras específicas do setor
    • Políticas internas de residência de dados e compromissos contratuais
    • Acesso legal e supervisão em jurisdições fora da UE
  3. Audite de perto os fluxos de dados específicos de IA. A maioria das empresas sabe onde os dados ficam armazenados. Menos empresas sabem onde eles são processados. Comece a questionar:
    • Onde seus dados são processados
    • Se existem leis que podem obrigar terceiros a divulgar dados
    • Quem pode acessar os dados durante o processamento e se isso pode mudar
  4. Escolha fornecedores que sejam transparentes sobre como processam seus dados. O assistente de IA(nova janela) da Proton processa dados exclusivamente em servidores europeus e publica uma descrição detalhada do seu modelo de segurança.

O flex routing revela algo mais profundo sobre a governança de dados

Se os seus fornecedores estão sediados nos EUA, você está contando com sistemas criados para uma realidade regulatória diferente — uma realidade que você não controla, mas à qual ainda precisa responder.

As decisões sobre atualizações de software, suporte, políticas legais e preços são tomadas no Vale do Silício ou em Seattle. As regras que seu fornecedor segue são definidas em Washington. Mas sua empresa precisa cumprir padrões europeus.

É por isso que mais empresas estão começando a considerar alternativas europeias à Big Tech(nova janela). Quando sua infraestrutura, suas políticas e seu arcabouço jurídico estão alinhados com a região em que você opera, a soberania de dados passa a poder ser garantida, e não a depender de condições.