Localizar o servidor no Brasil não é suficiente para soberania digital

Miriam Azevedo Hernandez Perez

Em outubro de 2025, a Anatel (Agência Nacional de Telecomunicações) lançou o White Paper Data Centers, resultado de dois anos de estudos de seu Comitê de Infraestrutura. Essa publicação marca a primeira vez que o regulador brasileiro considera a infraestrutura de processamento e armazenamento de dados como um componente estratégico do ecossistema digital, e não apenas um apêndice das redes de telecomunicações.

A preocupação central do documento é válida: cerca de 60% da carga digital brasileira é processada em data centers localizados no exterior, principalmente nos Estados Unidos. Uma interrupção nessa dependência pode comprometer serviços essenciais como o Pix, prontuários do SUS e sistemas de controle do transporte aéreo.

A proposta inclui expandir a capacidade nacional, criar incentivos fiscais — como o Redata, instituído pela MP nº 1.318/2025 —, desenvolver um Plano Nacional de Data Centers e fortalecer a colaboração entre Anatel, ANPD e GSI.

Embora essas medidas sejam necessárias, são insuficientes. A insuficiência é estrutural. O White Paper se preocupa com a localização do servidor, mas ignora quem pode acessar os dados armazenados. Informações estratégicas de empresas brasileiras, sejam estatais ou privadas, podem ser acessadas por governos estrangeiros sem aviso prévio, e a legislação brasileira não oferece proteção contra isso.

A exposição de dados estratégicos brasileiros ao acesso por governos estrangeiros não é uma hipótese distante. É uma consequência das decisões de infraestrutura tomadas diariamente pelo mercado, que ainda não foram reguladas adequadamente. Três categorias principais concentram esse risco.

Primeiramente, empresas públicas e sociedades de economia mista operam em setores críticos — como energia, defesa, saneamento, saúde e financeiro — e armazenam dados sensíveis em nuvem com jurisdição nos Estados Unidos. Isso significa que esses dados estão sujeitos à Cloud Act, que permite ao governo americano exigir dados de empresas com vínculo jurisdicional americano, independentemente da localização física dos dados. A estatal brasileira não é notificada, e o Poder Executivo não é consultado.

Uma empresa estatal pode ter seu data center em São Paulo, mas seus dados ainda podem estar acessíveis ao governo americano, caso o provedor de nuvem contratado seja americano.

A situação é ainda mais crítica no ecossistema de inovação. O Brasil investe anualmente dezenas de bilhões de reais em P&D (pesquisa e desenvolvimento) por meio de fundos setoriais e agências de fomento. Os resultados, como dados experimentais, modelos de IA, segredos industriais e pedidos de patente, são majoritariamente armazenados em nuvens estrangeiras.

A Lei de Inovação, a Lei do Bem e os regulamentos das agências de fomento não impõem exigências sobre a localização dos dados, quem pode acessá-los ou como agir em caso de solicitações de governos estrangeiros. Assim, dinheiro público brasileiro financia conhecimento que pode ser transferido para jurisdições estrangeiras sem que o Brasil tenha ciência.

O risco não se limita a quem recebe recursos do Estado. Qualquer empresa privada que contrate infraestrutura com nexo jurisdicional estrangeiro enfrenta o mesmo problema. O mercado não resolveu essa questão porque o risco é difuso e os custos de mitigação são imediatos. Para isso, existe a necessidade de regulação, algo que a política brasileira de data centers ainda não apresenta.

O que o Brasil já tem. E por que não é suficiente

O Brasil desenvolveu instrumentos importantes. O Marco Civil da Internet (Lei nº 12.965/2014) estabelece a aplicação da legislação brasileira a operações de tratamento de dados de brasileiros, mas não possui mecanismos de enforcement quando o acesso é solicitado por um governo estrangeiro ao provedor, e não à empresa brasileira. A LGPD (Lei nº 13.709/2018) protege dados pessoais nas relações entre agentes privados, mas não abrange dados estratégicos não pessoais — como segredos industriais e dados de P&D — nem transferências coercitivas de governos estrangeiros. O R-Ciber (Resolução Anatel nº 767/2024) e a Resolução nº 780/2025 avançam na segurança cibernética de data centers, mas não incluem a maioria das empresas que contratam infraestrutura para outros fins.

O Redata (MP nº 1.318/2025) reduziu a carga tributária sobre data centers de 52% para 18%, mas suas contrapartidas focam em sustentabilidade e P&D geral, sem exigir controle nacional efetivo ou proteção de dados estratégicos. A Lei de Inovação e a Lei do Bem não condicionam recursos públicos a exigências de proteção de dados. A Estratégia Nacional de Cibersegurança (Decreto nº 10.222/2020) estabelece diretrizes, mas carece de normas concretas para impor obrigações a operadores privados de data centers.

O Brasil possui um arcabouço normativo adequado para proteger dados pessoais em contextos entre privados, mas carece de instrumentos que protejam dados estratégicos diante de ordens de governos estrangeiros.

As lacunas que o White Paper não endereçou

Entendendo o problema e avaliando o arcabouço existente, é possível identificar o que o White Paper deveria ter proposto.

O documento ancora a soberania digital na localização física da infraestrutura, ignorando que a localização do servidor não define quem controla as decisões sobre os dados. Uma empresa brasileira, pertencente a um grupo multinacional, pode estar sujeita à legislação de seu controlador. Da mesma forma, uma empresa totalmente brasileira que contrate um provedor americano submete seus dados à jurisdição americana.

A solução não é proibir o capital estrangeiro, mas exigir que operadores de infraestrutura crítica demonstrem autonomia decisória local. Isso inclui gestão independente, custódia nacional das chaves criptográficas e obrigações contratuais que impeçam o cumprimento de ordens estrangeiras sem autorização judicial brasileira.

A Lei de Inovação e a Lei do Bem precisam incluir exigências de proteção de dados, como armazenamento em infraestrutura soberana ou com certificação de isolamento, criptografia com chaves custodiadas nacionalmente, e protocolos de notificação obrigatória em caso de ordens estrangeiras. Modelos como o Health Data Hub francês e a Gaia-X Sovereign Cloud alemã mostram que é possível criar ambientes computacionais soberanos para projetos financiados com recursos públicos.

Atualmente, o Brasil não possui mecanismos que obriguem operadores de data center a notificar autoridades nacionais sobre ordens estrangeiras, nem permite que o Estado as conteste antes do cumprimento. É necessário um instrumento similar à blocking statute europeia, que proíbe o cumprimento de decisões judiciais estrangeiras, impondo cláusulas contratuais obrigatórias em contratos de data center para setores críticos.

O White Paper trata data centers apenas como infraestrutura de armazenamento, sem abordar seu uso crescente