A segurança de pagamentos na Europa adquiriu uma nova dimensão legal na sequência dos acórdãos Schrems II e das decisões das Autoridades de Proteção de Dados europeias. Armazenar dados de cartão em servidores fora da UE já não é apenas uma questão técnica: é um risco legal concreto que pode expor a empresa a sanções RGPD mesmo sem que tenha havido uma violação de dados. A residência de dados na UE para os pagamentos tornou-se um requisito de facto para qualquer empresa que queira operar em conformidade com o quadro normativo europeu.
Schrems II e os dados de cartão: o problema legal dos vault fora da UE
O acórdão Schrems II de julho de 2020 invalidou o Privacy Shield UE-EUA e estabeleceu que as transferências de dados pessoais para os Estados Unidos são lícitas apenas com as garantias adequadas (Cláusulas Contratuais-Tipo mais medidas suplementares) verificadas caso a caso. Os dados de cartões de pagamento enquadram-se na definição de dados pessoais segundo o RGPD: o PAN associado a um nome e a uma morada de faturação identifica um indivíduo específico.
O Data Privacy Framework UE-EUA de 2023 resolveu parcialmente a questão para as transferências para empresas certificadas, mas a sua solidez jurídica continua a ser objeto de debate legal. A Autoridade de Proteção de Dados italiana e outras Autoridades europeias já iniciaram procedimentos contra empresas que transferiam dados para os EUA sem as garantias adequadas. Para um vault de dados de cartão, que por definição contém dados pessoais de elevada sensibilidade, o risco de uma transferência extra-UE não certificada é concreto e quantificável.
Residência de dados na UE e PCI DSS: o que diz a legislação
O PCI DSS não prescreve explicitamente a localização geográfica dos dados de cartão: um padrão global não pode impor uma jurisdição específica. No entanto, a opção de armazenar os dados na Europa não é apenas uma questão RGPD. É também uma decisão de governação do risco: os vault localizados na UE estão sujeitos à legislação europeia sobre segurança das redes e dos sistemas de informação (NIS2), à supervisão das Autoridades de Proteção de Dados europeias e às normas técnicas da EBA para pagamentos digitais.
Muitos adquirentes e parceiros comerciais europeus incluem nos seus contratos cláusulas sobre residência de dados. Algumas categorias de comerciantes, especialmente os que operam em setores regulados como a banca, os seguros e a saúde, têm obrigações adicionais de localização de dados que tornam um vault fora da UE incompatível com os requisitos normativos do setor. A soberania dos dados, ou seja, o controlo sobre os dados dentro dos limites da própria jurisdição, é um tema cada vez mais presente nos concursos públicos e nos contratos empresariais.
PCI Proxy EU: vault europeu com certificações completas
A PCI Proxy EU armazena todos os dados de cartão em infraestrutura fisicamente localizada na Europa, em centros de dados certificados ISO 27001 e conformes com as normas técnicas da EBA. O vault opera sobre hardware HSM certificado FIPS 140-2, com chaves criptográficas que nunca saem do perímetro europeu. A certificação PCI DSS Level 1 é renovada anualmente com auditoria QSA independente, e os relatórios de conformidade estão disponíveis para os clientes nas suas atividades de due diligence.
Do ponto de vista contratual, a PCI Proxy EU opera como Subcontratante segundo o RGPD, com um Acordo de Tratamento de Dados conforme ao artigo 28.º que define de forma transparente as responsabilidades de ambas as partes. Não há transferências de dados para países terceiros, não há subcontratantes fora da UE e não há acessos por parte de entidades sujeitas a legislações extraterritoriais como o CLOUD Act norte-americano. Para um comerciante europeu, isto traduz-se numa redução concreta do risco legal e reputacional.
Perguntas frequentes
Se os meus dados de cartão estiverem nos EUA, tenho um problema legal?
Depende das garantias contratuais em vigor. Se o vault norte-americano estiver certificado no âmbito do Data Privacy Framework e dispuser de Cláusulas Contratuais-Tipo válidas, a transferência pode ser lícita. No entanto, a solidez destas garantias depende de uma análise caso a caso, e muitas empresas preferem eliminar o risco pela raiz escolhendo um vault localizado na Europa.
A residência na UE é obrigatória para os pagamentos ou apenas recomendada?
Não é obrigatória por lei de forma absoluta, mas torna-se obrigatória implicitamente em muitos contextos: contratos com parceiros que incluem cláusulas de localização, setores regulados com requisitos específicos, contratos públicos e operações bancárias. Para um comerciante que queira uma conformidade RGPD sólida e documentável, a residência na UE elimina uma classe de riscos difíceis de gerir de outra forma.
Onde estão fisicamente os servidores da PCI Proxy EU?
Os servidores da PCI Proxy EU estão localizados em centros de dados certificados ISO 27001 dentro da União Europeia. A localização exata não é divulgada por razões de segurança operacional, mas a documentação contratual e o DPA confirmam a residência dos dados em território da UE. Os clientes podem solicitar prova escrita da localização durante a due diligence contratual.
Quer um vault de dados de cartão com residência confirmada na Europa, certificações completas e zero riscos de transferência extra-UE? Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos