Data Centers e a Soberania Nacional
Num mundo de conteúdo criado automaticamente, agentes digitais e decisões tomadas por algoritmos, o maior ativo será sempre a confiança
Por Tatiana Coutinho* e Rafa Marques*
A soberania nacional, em um mundo interconectado depende de uma infraestrutura sólida, segura e estrategicamente gerida. Nesse cenário, os data centers públicos ocupam posição central na conformação da Infraestrutura Nacional de Dados, funcionando como o ambiente técnico para a operação segura de serviços digitais, o processamento de grandes volumes de informação e a proteção de dados, informações e dados pessoais, inclusive, dados pessoais sob a responsabilidade do Estado, sendo elemento essencial para garantir a segurança, soberania e conformidade no tratamento e gestão destas informações.
A gestão desses ambientes envolve decisões críticas sobre sua arquitetura e modelo de operação. Atualmente, a administração pública pode contar com data centers tradicionais instalados internamente em suas estruturas físicas próprias, soluções em nuvem providas por terceiros ou modelos híbridos que combinam elementos dos dois formatos[1]. A adoção destas tecnologias deve observar as orientações e diretrizes apresentadas pela Portaria SGD/MGI nº.5.950/2023, que define um modelo específico para contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação – SISP do Poder Executivo Federal.
Ainda que o debate gire em torno da soberania do Estado Brasileiro no contexto de governança digital, cumpre reconhecer o papel do setor privado na consolidação de uma infraestrutura informacional segura e eficiente. Os programas de governança e gestão de dados implementados por entes privados devem ir além das exigências gerais estabelecidas na Lei Geral de Proteção de Dados Pessoais (LGPD), incorporando normas setoriais específicas aplicáveis a suas atividades. No mercado financeiro, por exemplo, a Resolução BCB nº 85/2021 estabelece diretrizes claras para a contratação de serviços de nuvem, com ênfase na gestão de riscos, na segurança cibernética e na continuidade das operações.
Mesmo na ausência de exigência regulatória direta, é recomendável a adoção de padrões técnicos internacionalmente reconhecidos, como a ISO/IEC 27001, voltada à gestão da segurança da informação, e a ISO/IEC 27017, que trata de controles específicos para ambientes em nuvem. A transferência de dados para estruturas externas, sobretudo no contexto de serviços terceirizados ou em nuvem, demanda atenção redobrada, já que os riscos incluem perda de controle, possibilidade de incidentes de segurança que resultem em vazamento de informações e dados pessoais, falhas de autenticação e eventual submissão a legislações estrangeiras. Os impactos decorrentes dessas vulnerabilidades transcendem ao campo jurídico, podendo comprometer a continuidade operacional, a confiança do mercado e a reputação institucional.
A discussão sobre soberania nacional não deve se restringir à infraestrutura física ou à localização dos dados em relação aos data centers. É preciso ampliar a análise para incluir a governança das informações, dados e dados pessoais extraídos, processados, inferidos e armazenados, especialmente aquelas relacionadas às dimensões subjetivas da mente humana, que exija uma atuação mais responsiva[2], coordenada e propositiva por parte do Estado brasileiro.
Retomando, a consolidação da soberania nacional exige mais do que medidas administrativas e técnicas aptas a mitigar eventuais incidentes e a reduzir a exposição de dados pessoais. Requer a construção de um arcabouço normativo que reconheça os data centers como infraestrutura crítica e os submeta a regras específicas, principalmente no que diz respeito ao seu uso no contexto da inteligência artificial.
É nesse sentido que o Projeto de Lei nº 3018, de 2024, de autoria do Senador Styvenson Valentim,[3] surge como proposição legislativa estratégica. O prevê a regulamentação dos data centers destinados à inteligência artificial no Brasil, estabeleciendo requisitos objetivos para sua instalação, operação, localização e supervisão estatal.
Este debate ganha ainda mais relevância diante da crescente inserção do Brasil no cenário global de desenvolvimento e pesquisa em inteligência artificial. O país já abriga 144 unidades de pesquisa dedicadas ao tema e ocupa a 15ª posição mundial em número de publicações científicas na área.[4]
Esse debate exige, ainda, uma reflexão aprofundada sobre os impactos da criação de um regime jurídico específico para data centers. Pois a utilização dos serviços de computação em nuvem oferecidos por multinacionais, muitas vezes com data centers sediados em outras jurisdições, impõe ao legislador brasileiro o desafio de conciliar a promoção da soberania nacional com a preservação da atratividade e competitividade do ambiente regulatório nacional.
Torna-se, assim, imperioso pensar em mecanismos normativos que assegurem o cumprimento das exigências legais relativas à proteção de dados pessoais, à interoperabilidade e à portabilidade das informações, sem, contudo, inviabilizar modelos de negócio amplamente adotados tanto pela iniciativa privada quanto por entes da administração pública. Trata-se de u equilíbrio delicado entre a afirmação da autonomia regulatória do Estado e a necessidade de integração funcional com ecossistemas digitais transnacionais.
Vale destacar que o PL 3018/2024 pretende regular estruturas ainda inexistentes no Brasil, os chamados “data centers dedicados integralmente à inteligência artificial”. Essas unidades, caracterizadas por alta densidade computacional, demandam exigências extremas de energia, refrigeração e conectividade[5], o que indica que sua implementação no país ainda depende de condições estruturais que só devem se tornar viáveis no país em um horizonte de futuro.
Uma alternativa estratégica seria a adoção de modelos voluntários de fomento baseados em boas práticas, a exemplo do European Code of Conduct for Energy Efficiency in Data Centres[6], promovido pelo Joint Research Centre da União Europeia. Essa abordagem, já adotada por países com maior maturidade digital, permite antecipar diretrizes desejáveis sem engessar o desenvolvimento tecnológico ou impor barreiras regulatórias prematuras. Em vez de impor obrigações irreais, o código europeu estimula operadores a adotar práticas sustentáveis, auditáveis e eficientes, com reconhecimento público e incentivos econômicos. Esse modelo demonstra que soberania e inovação podem caminhar juntas, desde que a regulação esteja alinhada à capacidade técnica instalada e orientada por uma visão de longo prazo. Para o Brasil, construir soberania nacional significa reconhecer o tempo adequado para intervir, valorizar o acervo normativo já existente e estruturar o que ainda falta com base em escuta técnica, coordenação institucional e estímulo à eficiência, não pela via da sobreposição normativa ou de uma regulação desconectada das condições concretas do país.
Pensar em uma lei específica como o PL 3018/2024, com o objetivo de garantir a soberania nacional frente à crescente demanda por data centers, exige mais do que boa vontade legislativa. É preciso reconhecer que esse tipo de proposta impacta conceitos fundamentais sobre quem realmente deve ser regulado, em que momento e com quais capacidades Institucionais. Não se trata apenas de editar uma norma, mas de avaliar se o país dispõe, hoje, das condições técnicas, energéticas e institucionais necessárias para sustentar esse tipo de infraestrutura de forma eficiente, segura e estratégica. Tentar regular algo cuja gestão ainda não alcançamos com maturidade pode produzir efeitos contrários aos desejados, como o afastamento de investimentos, sobrecarregar atores que não ocupam posição central no ecossistema e criar impor obrigações normativas desconectadas da realidade.
O verdadeiro desafio está em construir uma regulação que, de fato, seja capaz de promover o desenvolvimento nacional, atrair inovação tecnológicas e reforçar a soberania nacional de forma inteligente, pragmática, ética e institucionalmente responsável.
Sobre a Coordenação
Tatiana Coutinho é Sócia do Lima Feigelson Advogados, gerencia a equipe de Proteção de Dados Pessoais, Cibersegurança e Inteligência Artificial. Mestranda em Direito Regulatório pela Fundação Getúlio Vargas no Rio de Janeiro (FGV Rio). Possui LL.M. em Privacidade e Proteção de Dados Pessoais pela Universidade de Lisboa (ULisboa) e especialização em Processo Civil pela Pontifícia Universidade Católica do Rio de Janeiro (PUC Rio), Governança em Tecnologia da Informação pela Faculdade Única e Direito Digital pela Universidade do Estado do Rio de Janeiro (UERJ). Pesquisadora no Ethics4AI. Membro do Berkeley Center on Comparative Equality & Anti-Discrimination Law (BCCE) e da Coalizão Dinâmica sobre Governança de Dados e Inteligência Artificial do IGF da ONU pela Fundação Getúlio Vargas (FGV).
Rafael Marques é advogado especializado em Direito Empresarial, Direito Digital, Privacidade e Proteção de Dados Pessoais, com certificações CIPM e CDPO/BR. Professor convidado em cursos de pós-graduação em Direito Digital, Proteção de Dados e Inteligência Artificial. Coordenador do curso Privacy Operations na Future Law. Atualmente cursando MBA em Data Science e Analytics na USP/Esalq. Membro da Comissão de Direito Digital da OAB SP, membro da Forbes BLK, Pesquisador no GITEC/FGV-SP e host do Flycast.
[1] Brasil - Data Centers – [...] “Os data centers tradicionais: oferecem maior controle sobre a infraestrutura, mas exigem alto investimento em energia, resfriamento, manutenção e segurança. Data Center Hibrido: é a adoção de um modelo híbrido, que combina data centers tradicionais e serviços em nuvem. Isso permite que determinadas cargas de trabalho permaneçam em ambientes internos, enquanto outras sejam migradas para a nuvem, garantindo maior eficiência e resiliência.” Disponível em: https://www.gov.br/governodigital/pt-br/infraestrutura-nacional-de-dados/ambiente-tecnologico/data-centers/imagens/banner-data-centers.png/view
[2] COUTINHO, Tatiana. Entre algoritmos e sinapses: os desafios regulatórios das neurotecnologias à luz do radar da ANPD. JOTA, 21 jun. 2025. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/regulacao-e-novas-tecnologias/entre-algoritmos-e-sinapses.
[3] PL Nº 3018/2024 – “Dispõe sobre a regulamentação dos data centers de inteligência artificial.” Disponível em: https://www25.senado.leg.br/web/atividade/materias/-/materia/164831
[4] Centro de Gestão e Estudos Estratégicos – CGEE. Inteligência Artificial no Brasil: subsídios para políticas públicas. Brasília: CGEE, 2021. Disponível em: https://www.cgee.org.br/documents/10195/40247572/CGEE_Relat_brazilian_landscape_STI-AI.pdf
[5] MARANHÃO, Juliano; MENEZES, Josie. Faz sentido a regulação de data centers para IA no Brasil? JOTA, 20 fev. 2025. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/faz-sentido-a-regulacao-de-data-centers-para-ia-no-brasil
[6] JOINT RESEARCH CENTRE – EUROPEAN COMMISSION. European Code of Conduct for Energy Efficiency in Data Centres. European Commission, 2023. Disponível em: https://joint-research-centre.ec.europa.eu/scientific-activities-z/energy-efficiency/energy-efficiency-products/code-conduct-ict/european-code-conduct-energy-efficiency-data-centres_en