O Brasil quer ser o hub de dados da América Latina. Mas será que a infraestrutura e a legislação estão prontas para essa carga, ou estamos abrindo uma nova superfície de ataque?

Alessandro Molon, figura central na criação do Marco Civil da Internet, agora comanda a Aliança pela Infraestrutura Digital e Internet Aberta (Dig.ia). O objetivo é claro: pavimentar o caminho regulatório para a instalação massiva de data centers de gigantes como Google, Meta, Amazon e Microsoft em solo brasileiro, prometendo um fluxo robusto de capital e dados.

Concentração de Dados: O Preço da Centralização e a Superfície de Ataque Ampliada

A promessa de menor latência e maior velocidade de acesso aos serviços digitais é o chamariz principal para a instalação de data centers em solo nacional. No entanto, para um engenheiro de cibersegurança, essa proximidade física dos dados levanta uma série de questões críticas que vão muito além da conveniência do usuário. A centralização massiva de informações em poucos pontos geográficos, mesmo que dentro das fronteiras brasileiras, cria alvos de alto valor para ataques cibernéticos.

Imagine a superfície de ataque que se expande exponencialmente. Um único data center pode hospedar dados de milhões de usuários e centenas de empresas. Uma violação bem-sucedida não resultaria apenas em um vazamento de dados, mas em uma catástrofe de proporções nacionais, comprometendo a privacidade de cidadãos e a integridade de operações críticas. A ilusão de "soberania de dados" é frágil quando a infraestrutura subjacente é controlada por corporações multinacionais, cujas políticas e jurisdições podem entrar em conflito com as leis locais.

A Aliança pela Infraestrutura Digital e Internet Aberta (Dig.ia), liderada por Molon e composta por gigantes como Google, Meta, Amazon e Microsoft, argumenta que esses investimentos impulsionam a economia digital. Contudo, a presença dominante dessas big techs na infraestrutura pode minar os princípios de uma "internet aberta" e "rede neutra". A concentração de poder de processamento e armazenamento nas mãos de poucos players pode levar a um cenário de "vendor lock-in", onde a migração para outros provedores se torna proibitivamente cara e complexa, sufocando a concorrência e a inovação de startups locais.

A questão da privacidade é igualmente preocupante. Embora a localização física dos dados no Brasil possa, em tese, facilitar a aplicação de leis como a LGPD, ela também pode expor esses dados a requisições governamentais e a vetores de ameaça internos. A arquitetura de segurança desses data centers, por mais robusta que seja, nunca é impenetrável. Cada novo nó na rede, cada novo servidor, cada nova conexão é um ponto potencial de falha ou exploração. A dependência de tecnologias e padrões de segurança definidos por essas corporações globais levanta a questão: estamos realmente no controle da nossa infraestrutura digital ou apenas alugando espaço em um ecossistema controlado por terceiros?

Os incentivos fiscais, embora atraentes para as empresas, podem distorcer o mercado e criar uma infraestrutura que não é orgânica, mas sim artificialmente sustentada por subsídios. Isso levanta dúvidas sobre a sustentabilidade a longo prazo e a verdadeira resiliência de um ecossistema digital construído sobre tais bases. A infraestrutura crítica de um país não deveria ser um jogo de incentivos, mas sim uma prioridade estratégica com um planejamento de segurança e soberania digital robusto e independente.

Arquitetura de Rede e o Dilema Regulatório: Incentivos Fiscais vs. Soberania Digital

A discussão sobre a infraestrutura digital no Brasil não pode se limitar a promessas de investimento; é imperativo mergulhar na arquitetura de rede e nos mecanismos regulatórios que a sustentam. A extinta MP 1.318/2025 e o atual PL 278/2026 são exemplos claros de como o governo tenta pavimentar o caminho para a atração de data centers através de regimes especiais de tributação, como o Redata. Estes regimes visam suspender a cobrança de tributos federais, como PIS/COFINS, IPI e Imposto de Importação, para a aquisição de máquinas e equipamentos essenciais a esses centros de processamento de dados.

Tecnicamente, a redução de custos de importação é um fator relevante, dado que a maioria dos equipamentos de ponta para data centers – servidores, storages, switches de alta capacidade, sistemas de refrigeração e power distribution units (PDUs) – é importada. No entanto, a mera desoneração fiscal não garante a resiliência ou a segurança da infraestrutura. A matriz energética brasileira, frequentemente citada como "limpa", é um ponto positivo, mas a estabilidade e a redundância do fornecimento de energia para data centers de nível Tier III ou IV exigem investimentos massivos em geradores a diesel, bancos de baterias (UPS) e múltiplas linhas de alimentação, que vão muito além da fonte primária.

A arquitetura de um data center moderno é complexa, envolvendo não apenas o hardware de computação e armazenamento, mas também sistemas avançados de refrigeração (CRAC/CRAH), detecção e supressão de incêndio, controle de acesso físico rigoroso, e uma infraestrutura de rede interna com topologias redundantes para garantir alta disponibilidade. A segurança física é tão crítica quanto a lógica, com múltiplas camadas de autenticação, vigilância por vídeo e barreiras perimetrais. A questão é: esses padrões de segurança serão impostos ou apenas esperados? E quem fiscalizará a conformidade?

A integração desses data centers com a rede global depende diretamente da infraestrutura de cabos submarinos. O Brasil já possui uma rede considerável, mas a capacidade e a resiliência dessas conexões são vitais para o desempenho dos data centers locais. A estratégia de "edge computing", que busca aproximar o processamento de dados da fonte geradora para reduzir a latência, é um desdobramento natural. Contudo, a proliferação de pequenos "data centers de borda" também multiplica os pontos de vulnerabilidade e a complexidade da gestão de segurança.

A competição regional é acirrada. Países como Chile e Colômbia também buscam atrair esses investimentos, muitas vezes oferecendo pacotes de incentivos semelhantes. O diferencial técnico do Brasil, além da energia, precisa ser robusto: mão de obra qualificada em cibersegurança e operações de data center, um ambiente regulatório estável e, crucialmente, uma política de soberania digital que vá além da mera atração de capital. A dependência excessiva de incentivos fiscais pode criar uma infraestrutura frágil, suscetível a mudanças políticas e econômicas, sem garantir a verdadeira autonomia e segurança dos dados nacionais.

A discussão sobre a Política Nacional de Data Centers, defendida pelo presidente Lula, precisa ir além da visão econômica. É uma questão de segurança nacional e infraestrutura crítica. A alocação de bilhões no PLOA 2026 para o Redata, por exemplo, demonstra o interesse, mas a efetividade desses gastos e a garantia de que a infraestrutura resultante será segura, resiliente e alinhada aos interesses soberanos do Brasil ainda são pontos de interrogação. A previsibilidade regulatória é importante, mas a segurança e a soberania digital são inegociáveis.

A aprovação do PL 278/2026 no Senado definirá o próximo capítulo dessa estratégia de infraestrutura digital.