Soberania Digital brasileira vs. dependência corporativa global

Da Redação d'O estopim Tech
10 de jan.
8 min de leitura

A ilusão da Soberania Digital: como o Brasil investe em nuvem "soberana" enquanto entrega seus dados às Big Techs americanas

Enquanto o governo celebra a Nuvem de Governo como marco de autonomia, 60% dos dados brasileiros residem em servidores estrangeiros controlados por Google, Meta, Amazon e Microsoft. A promessa de inovação mascara uma transferência silenciosa de poder.

Da Redação d`O estopim Tech | Investigação em Tecnologia e Geopolítica Digital | 10 de janeiro de 2026

Bandeira brasileira em código binário | Foto: Reprodução

O Brasil inaugurou, com pompa, sua Nuvem de Governo Soberana em 2025. Infraestrutura de última geração, datacenters em Brasília e São Paulo, investimento de R$ 700 milhões. A narrativa era clara: autonomia tecnológica, proteção de dados estratégicos, independência das gigantes americanas.

Mas há um detalhe que desmente a história de soberania completa: os próprios servidores dessa nuvem "soberana" rodam em equipamentos das big techs—AWS, Google, Oracle, Microsoft—instalados em território brasileiro. E, mais importante, continuam sujeitos à legislação americana, particularmente ao Cloud Act de 2018, que autoriza o governo dos EUA a acessar qualquer dado armazenado em empresas americanas, independentemente de onde os servidores estejam fisicamente localizados.

Enquanto isso, aproximadamente 60% da carga digital do Brasil é executada em datacenters localizados fora do país, principalmente nos EUA. Para contexto: históricos bancários de 180 milhões de brasileiros, prontuários de pacientes, pesquisas de universidades, comunicações privadas—tudo sob controle de atores geopolíticos americanos, operando sob leis americanas.

O que o Brasil chama de "inovação tecnológica" é, de fato, uma transferência silenciosa de soberania.

Soberania Digital o arranjo que não é soberano

Quando especialistas falam sobre a Nuvem de Governo Soberana, citam frequentemente uma entrevista do presidente do Serpro em fevereiro de 2025. Nela, reconheceu que a infraestrutura opera com "equipamentos e tecnologia das maiores big techs do setor, como AWS, Google, Huawei, Oracle e Microsoft, instalados no seu datacenter em Brasília".

A justificativa oficial é que as estatais brasileiras operam a nuvem; as empresas americanas apenas fornecem a infraestrutura. Uma distinção jurídica que oculta três vulnerabilidades estruturais:

Código-fonte fechado: Os algoritmos que processam os dados não são auditáveis pelo Estado brasileiro. Se há brechas de segurança, o Brasil descobre quando terceiros exploram.
Controle de atualizações: As correções de segurança vêm de empresas americanas, seguindo cronogramas americanos, com prioridades americanas.
Jurisdição americana permanente: O Cloud Act torna irrelevante a localização física do servidor. Um arquivo confidencial do Ministério da Educação armazenado em servidores Microsoft no Rio de Janeiro pode ser requisitado por ordem judicial americana, sem notificação às autoridades brasileiras.

A União Europeia entendeu essa lição. Em 2024, aplicou multa histórica de €1,2 bilhão à Meta justamente por tentar transferir dados de cidadãos europeus para servidores americanos, onde estariam sujeitos ao Cloud Act e a programas de vigilância como o PRISM.

O Brasil? Continua operando a ilusão.

O Cloud Act: a lei que torna fronteiras irrelevantes

Poucos brasileiros ouviram falar do Cloud Act (Clarifying Lawful Overseas Use of Data Act). Ainda assim, ele molda a realidade digital em que vivemos.

Aprovado pelo Congresso americano em 2018, autoriza o governo dos EUA a exigir que empresas americanas forneçam dados, independentemente de onde estejam armazenados fisicamente. Isso significa que a Microsoft, a Amazon, o Google têm obrigação legal de cumprir ordens judiciais americanas, mesmo que o servidor esteja no Brasil, Índia ou Indonésia.

Investigadores federais americanos investigam um suspeito de terrorismo? Podem acessar todos os seus emails armazenados na nuvem Microsoft, ainda que o servidor esteja em São Paulo. Agências de inteligência suspeitam de espionagem? Podem usar o FISA para acessar dados sem supervisão judicial.

O Brasil, enquanto isso, gasta recursos em soberania de fachada. Entre 2014 e 2025, o governo federal investiu pelo menos R$ 23 bilhões em licenças de software, computação em nuvem e segurança digital. Grande parte flui para empresas americanas que respondem primeiro ao governo dos EUA, depois às leis brasileiras—quando é conveniente.

Dados de brasileiros nas mãos de americanos | Foto: Reprodução

60% dos Dados Brasileiros No Exterior

Uma estatística pouco divulgada revela a extensão da dependência: aproximadamente 60% da carga digital do Brasil é executada em datacenters localizados nos EUA e em países estrangeiros. O restante, frequentemente, também está sob controle de empresas americanas, mesmo quando fisicamente no Brasil.

Esse número não é abstrato. Representa:

Históricos bancários de milhões de brasileiros processados em servidores da AWS
Prontuários médicos de pacientes guardados em infraestrutura Google
Pesquisas acadêmicas de universidades federais em datacenters Microsoft
Comunicações privadas de cidadãos transitando por redes de empresas americanas

Um especialista foi direto: "Aproximadamente 40% dos dados gerados por brasileiros são processados no exterior por falta de capacidade instalada em território nacional. Esse cenário amplifica a dependência tecnológica, eleva riscos à soberania digital e contribui para o déficit de US$ 6,8 bilhões registrado na balança comercial de TI em 2024."

A vulnerabilidade não é teórica. Em agosto de 2025, após Trump anunciar tarifas de 50% sobre produtos brasileiros, o Brasil experimentou: aumento de 30% em tentativas de invasão cibernética com origem nos EUA, especialmente contra infraestruturas críticas.

O Supremo Tribunal Federal registrou mais de 750 milhões de tentativas de ataque em meses subsequentes.

Samsung, Google e a extração de dados em escala massíva

Em janeiro de 2026, a Samsung fez anúncio pouco notado pela maioria dos brasileiros, mas que ilustra perfeitamente como a dependência opera: dobraria o número de smartphones equipados com Gemini, a inteligência artificial do Google, passando de 400 milhões para 800 milhões de aparelhos até o final do ano.

O Brasil não tem alternativa competitiva. Não há IA brasileira com escala global. Não há smartphone brasileiro que dispute mercado. A Samsung domina o mercado brasileiro, e agora integra massivamente a IA do Google.

Essa integração não é meramente técnica. É um mecanismo de coleta de dados estruturado. O co-CEO da Samsung afirmou: "Vamos aplicar IA a todos os produtos, todas as funções e todos os serviços o mais rápido possível."

Cada interação do usuário brasileiro com Gemini—busca de informação, consumo de mídia, até reconhecimento de objetos pela câmera—alimenta a máquina de treinamento do Google. O Google ganha acesso a dados de 800 milhões de dispositivos em tempo real, vindos de um mercado de 180 milhões de pessoas.

O que o Brasil ganha? Dependência aprofundada.

Meta é dona do Facebook, do Instagram e do WhatsApp | Foto: JN

Meta e o episódio da ANPD: uma "vitória" que desmente a Soberania

Em junho de 2024, a Meta anunciou atualização na política de privacidade autorizando o uso de dados publicamente disponíveis de usuários brasileiros para treinar sua inteligência artificial generativa.

A ANPD reagiu rapidamente. Em 2 de julho de 2024, emitiu medida preventiva suspendendo a prática, impondo multa diária de R$ 50 mil por descumprimento.

Mas em setembro de 2024, após a Meta recorrer, a ANPD reverteu a decisão preventiva, permitindo que o uso de dados prosseguisse com restrições administrativas.

O que esse episódio revela é fundamental: a regulação brasileira não consegue bloquear práticas corporativas; consegue, no máximo, negociar suas condições.

Enquanto a União Europeia implementou o GDPR, que estabelece direitos com mecanismos de enforçamento reais, o Brasil negocia planos de conformidade que funcionam como exercícios de convencimento público, não de proteção efetiva.

Com salário de mais de R$ 3 milhões ao ano, cargo de ‘Head of Preparedness’ da OpenAI terá foco em saúde mental, cibersegurança e riscos extremos Foto: Michael Dwyer/AP — Com salário de mais de R$ 3 milhões ao ano, cargo de ‘Head of Preparedness’ da OpenAI terá foco em saúde mental, cibersegurança e riscos extremos *Foto: Michael Dwyer/AP*

OpenAI: a vigilância silenciosa que ninguém legisla

Milhões de brasileiros usam ChatGPT diariamente. Poucos sabem exatamente o que acontece com seus dados.

Segundo a política de privacidade da OpenAI, a empresa processa dados pessoais em servidores localizados em várias jurisdições, incluindo tratamento nos EUA. Dados técnicos coletados—endereço IP, tipo de navegador, padrões de interação—alimentam o treinamento de modelos.

A empresa compartilha dados com "fornecedores e prestadores de serviços," inclusive para "computação em nuvem" e "segurança." A cadeia de custódia dos dados brasileiros não é transparente. Quantos terceiros tocam esses dados? Quem são? Qual é seu vínculo com o governo americano?

Ninguém sabe. E o Brasil não legislou sobre isso.

Portaria 5960 e a brecha da segurança aparente

Em resposta às vulnerabilidades, o governo aprovou a Portaria 5960/2023, que estabelece o modelo de contratação de software para órgãos públicos federais.

A norma exige que dados sensíveis permaneçam em "nuvem de governo," com armazenamento em datacenters brasileiros.

Mas contém brecha significativa: permite o uso de equipamentos das big techs americanas dentro de datacenters brasileiros, desde que o isolamento lógico e físico seja assegurado.

Um servidor da AWS dentro do Brasil continua sendo um servidor da AWS—sujeito à legislação americana.

PL 2790: uma lei simbólica mas necessária

Em abril de 2025, o Congresso Nacional aprovou o Projeto de Lei 2790/2022, que estabelece que todos os dados eleitorais devem permanecer no Brasil, sob gestão de órgãos públicos eleitorais.

O relator argumentou que a medida "reforça o conceito de soberania digital, alinhando-se aos princípios constitucionais".

A lógica é impecável. Mas a aprovação desse projeto ilustra o problema central: o Brasil precisa legislar sobre dados específicos (eleitorais) porque a soberania geral foi cedida. É como colocar segurança redobrada em uma sala de um prédio cujas outras portas estão escancaradas.

Logo Abin | Foto: Gov.br

O alerta da Abin: vulnerabilidade caracterizada como estratégica

Em dezembro de 2025, a Agência Brasileira de Inteligência (Abin) emitiu relatório alertando para a "dependência estrutural de hardwares estrangeiros e concentração de poder em big techs" como ameaça crítica.

O documento destacou que a IA pode se transformar em "agente ofensivo autônomo, capaz de planejar, executar e adaptar ataques," elevando o risco de ciberconflitos evoluírem para confrontos militares.

A Abin caracterizou a dependência como "vulnerabilidade estratégica severa" capaz de facilitar interferência externa, incluindo "guerra cognitiva"—campanhas de desinformação catalisadas por algoritmos estrangeiros.

A ilusão da inovação: de quem é o benefício?

Quando Samsung anuncia 800 milhões de smartphones com Gemini, celebra-se como avanço. Quando Meta treina IA com dados brasileiros, fala-se de "ferramentas inteligentes." Quando Google oferece educação gratuita, celebra-se "inclusão digital."

Nenhuma narrativa é falsa em si. Há inovação real. Mas estão encapsuladas em modelo onde a proprietária dos dados e do algoritmo não é brasileira, não responde ao Estado brasileiro e não pode ser impedida de mudar de rumo.

A "inovação" brasileira tornou-se, em realidade, consentimento gerenciado ao imperialismo de dados.

Um especialista resumiu: "Os dados do setor público não podem estar na mão das big techs, ainda mais quando elas são linha de frente do poder político de Trump." Mas estão.

O custo material da dependência

Entre 2014 e 2025, o governo brasileiro despendeu pelo menos R$ 23 bilhões em licenças de software, nuvem e segurança. Para 2025-2026, estão previstos R$ 6 bilhões adicionais em licenças, R$ 9 bilhões em nuvem e R$ 1,9 bilhão em segurança digital.

Esses não são gastos em inovação ou capacidade brasileira. São aluguel perpétuo de infraestrutura que não pertence ao Brasil. É dinheiro público abastecendo o caixa das corporações que moldam as relações de poder no século 21.

Comparativamente, o Chile oferece terreno gratuito e isenção fiscal por dez anos para data centers. O Brasil oferece mercado de 180 milhões de consumidores para ser extraído.

A janela de oportunidade que se fecha

O Brasil ainda possui janela para reverter parte dessa trajetória. Mas há urgência.

A consultoria Eurasia alertou que "o Brasil está exposto a mudanças repentinas no apetite global por risco, com espaço limitado para amortecer choques."

Especialmente em contexto onde o governo americano se sente empoderado para exercer extraterritorialidade de forma cada vez mais agressiva. Trump 2.0 não responde a apelos diplomáticos; responde a poder.

A soberania não é decorativa

A Nuvem de Governo Soberana é passo real e necessário. Mas é insuficiente enquanto a infraestrutura global continuar controlada por atores estrangeiros.

Enquanto legislações como o Cloud Act operarem sem contrapartida brasileira. Enquanto o Brasil legislar apenas sobre dados eleitorais porque perdeu autonomia sobre os demais.

Nações que confundem inclusão digital com dependência digital invariavelmente acordam tarde demais em futuro onde suas decisões podem ser constrangidas por poderes que já não controlam.

Para o Brasil, a questão é simples: será que conseguirá construir autonomia genuína antes que as cadeias invisíveis se tornem correntes explícitas? Ou continuará celebrando a inovação enquanto entrega sua soberania?

Investigação em Tecnologia e Geopolítica Digital