Soberania Digital e Infraestrutura Crítica de Informação Conceito de soberania digital A soberania digital é a capacidade de um Estado de exercer controle efetivo sobre a infraestrutura, os fluxos de dados e os processos decisórios que ocorrem no ambiente digital, nos limites de seu território e de sua jurisdição, de modo a garantir sua autonomia política, sua segurança econômica e a proteção dos direitos de seus cidadãos. O conceito expandiu-se enormemente após as revelações de Edward Snowden, em 2013, de que a Agência de Segurança Nacional dos Estados Unidos (NSA) havia interceptado comunicações de chefes de Estado e de governo de dezenas de países, incluindo a Presidenta Dilma Rousseff e a Petrobras. O episódio funcionou como um catalisador para que o Brasil reposicionasse o tema da governança da internet e da proteção de dados como prioridade de sua política externa e de defesa. A soberania digital desdobra-se em ao menos quatro dimensões: Soberania sobre a infraestrutura física: capacidade de construir, hospedar e proteger os ativos de rede — cabos submarinos, datacenters, torres, satélites —, reduzindo a dependência de fornecedores e jurisdições estrangeiras. Soberania sobre os dados: também chamada de data sovereignty, envolve a prerrogativa de decidir onde os dados de cidadãos e do governo são armazenados e processados, e sob quais leis (debate central da LGPD). Soberania normativa/regulatória: capacidade de o Estado legislar e fazer cumprir suas leis no ambiente digital, inclusive sobre plataformas globais (ex.: regulação de conteúdo, moderação, antitruste digital). Soberania operacional: capacidade de atuar no ciberespaço com seus próprios meios (equipes de resposta a incidentes, centros de defesa cibernética) sem depender de terceiros. As três camadas da internet e a distribuição do poder A internet pode ser compreendida em três camadas analíticas, conforme a literatura de governança (Lawrence Solum, Yochai Benkler): 2.1 Camada física (infraestrutura) É a camada composta por cabos submarinos de fibra óptica, datacenters, torres de transmissão, satélites, roteadores e servidores. É a camada mais tangível e onde a soberania territorial do Estado se exerce com maior intensidade: as leis nacionais aplicam-se diretamente aos equipamentos situados dentro de suas fronteiras. Contudo, a propriedade dessa infraestrutura é em grande parte privada e transnacional, o que tensiona a soberania. 2.2 Camada lógica (protocolos e padrões) Compreende os protocolos de comunicação (TCP/IP), o sistema de nomes de domínio (DNS), os padrões de roteamento e os softwares básicos que fazem a internet funcionar. Essa camada é governada, em larga medida, por organizações multissetoriais (multistakeholder), como a ICANN (Internet Corporation for Assigned Names and Numbers) — responsável pela gestão dos nomes de domínio e endereços IP — e a IETF (Internet Engineering Task Force), que define padrões técnicos. A soberania estatal, nessa camada, é indireta e se manifesta pela participação ativa nesses fóruns. 2.3 Camada de conteúdo e aplicações É a camada visível ao usuário: plataformas de redes sociais (Meta, X, TikTok), serviços de nuvem (AWS, Google Cloud, Microsoft Azure), sistemas de busca e aplicativos. Aqui, a soberania do Estado se exerce por meio da regulação (leis de proteção de dados, deveres de moderação, obrigações de representação legal no território). A extrema concentração de poder nessa camada — as chamadas Big Techs (GAFAM), às quais se somam as chinesas (BAT) — suscita o debate sobre a chamada soberania regulatória. Cabos submarinos: as artérias da internet global Mais de 95% do tráfego internacional de dados trafega por cabos submarinos de fibra óptica. O Brasil possui mais de 25 cabos submarinos ativos ou em fase final de implantação, que o conectam à América do Norte, Europa, África e América do Sul. Esses cabos são infraestruturas críticas por excelência, vulneráveis a sabotagem, interceptação e danos acidentais (arrasto de âncoras, deslizamentos submarinos). O marco mais recente e estratégico foi a ativação, em 2021, do EllaLink, primeiro cabo submarino de alta capacidade conectando diretamente o Brasil (Fortaleza) à Europa (Portugal), com ramificações para a Ilha da Madeira (Portugal), Ilhas Canárias (Espanha), Cabo Verde e Marrocos (Casablanca). Antes do EllaLink, o tráfego de dados entre Brasil e Europa passava obrigatoriamente pelos Estados Unidos, onde podia ser submetido a interceptação legal pelas agências de inteligência americanas (Seção 702 do FISA, PRISM). O EllaLink, ao desviar dos EUA, representa uma materialização concreta da política brasileira de soberania digital, reduzindo a exposição a uma jurisdição estrangeira. Outros cabos de interesse estratégico: Monet, Seabras-1 e AMX-1: conectam Brasil aos EUA (atlântico norte); SACS (South Atlantic Cable System): conecta o Brasil (Fortaleza) a Angola (Luanda), inaugurando uma rota digital direta no Atlântico Sul; Firmina (Google): cabo de última geração que conecta a costa leste dos EUA ao Brasil (Praia Grande, SP), com capacidade para alimentar os serviços de nuvem e streaming; Cabos no trecho Santos–Fortaleza, que interligam a costa brasileira. A proteção física dos cabos envolve monitoramento da Marinha (SISGAAz), cooperação com empresas de telecomunicações e vigilância contra embarcações não autorizadas nas áreas de exclusão. Governança da internet no Brasil 4.1 Comitê Gestor da Internet no Brasil (CGI.br) Criado pelo Decreto nº 4.829, de 3 de setembro de 2003, o CGI.br é a instância máxima de governança da internet no país. Sua composição reflete o modelo multissetorial (multistakeholder): 9 representantes do governo federal, 4 do setor empresarial, 4 do terceiro setor, 3 da comunidade científica e tecnológica e 1 representante de notório saber em assuntos de internet. O CGI.br não é um órgão regulador nos moldes da Anatel ou da ANPD; sua função é coordenar e integrar as iniciativas de serviços de internet no Brasil, promover estudos, recomendar padrões e zelar pela estabilidade e segurança da rede. 4.2 Núcleo de Informação e Coordenação do Ponto BR (NIC.br) O NIC.br é o braço executivo do CGI.br. Suas atribuições incluem: Administrar o registro de domínios sob o “.br” (Registro.br); Distribuir endereços IP na região (em colaboração com a LACNIC); Operar os pontos de troca de tráfego (IX.br), que melhoram a eficiência e a resiliência da internet brasileira; Coletar e publicar estatísticas sobre o uso da internet (Cetic.br); Abrigar o CERT.br, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, que é o CSIRT (Computer Security Incident Response Team) de referência para a comunidade brasileira. 4.3 NETmundial (2014) Em abril de 2014, apenas alguns meses após as revelações de Snowden, o Brasil sediou em São Paulo o Encontro Multissetorial Global sobre o Futuro da Governança da Internet (NETmundial). Reunindo representantes de governos, setor privado, sociedade civil, academia e comunidade técnica de mais de 90 países, o encontro produziu uma Declaração de Princípios e um Roteiro para a Evolução Futura da Governança da Internet, que reafirmaram a natureza aberta, descentralizada e multissetorial da rede e rechaçaram a vigilância massiva indiscriminada. A NETmundial foi um marco da diplomacia brasileira e um ponto de inflexão no debate global sobre a governança da internet, consolidando a posição brasileira de que a soberania digital não se exerce pelo isolamento tecnológico, mas pela participação ativa nos foros de governança. Marco Civil da Internet — Lei nº 12.965, de 23 de abril de 2014 O Marco Civil é a “constituição da internet brasileira”. Sancionado em 2014 após ampla consulta pública, estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil. Seus pilares são: 5.1 Princípios (art. 3º) Garantia da liberdade de expressão, comunicação e manifestação do pensamento (inciso I); Proteção da privacidade e dos dados pessoais (incisos II e III); Neutralidade de rede (inciso IV e art. 9º): o provedor de conexão deve tratar todo e qualquer pacote de dados de forma isonômica, sendo vedada a discriminação por conteúdo, origem, destino, serviço ou aplicação. Exceções: requisitos técnicos indispensáveis e priorização de serviços de emergência. Preservação da estabilidade, segurança e funcionalidade da rede (inciso V). Responsabilização dos agentes de acordo com suas atividades (inciso VI). 5.2 Responsabilidade dos provedores (art. 18 a 21) Provedores de conexão (ex.: operadoras de banda larga) não são civilmente responsáveis por danos decorrentes de conteúdo gerado por terceiros. Provedores de aplicações (ex.: redes sociais, plataformas de vídeo) só poderão ser responsabilizados civilmente por danos decorrentes de conteúdo gerado por terceiro após o descumprimento de ordem judicial específica que determine a remoção do conteúdo (art. 19). A exceção é o conteúdo de nudez ou atos sexuais não consentidos (art. 21, conhecido como “revenge porn”), para o qual basta a notificação extrajudicial do ofendido. 5.3 Guarda de registros Registros de conexão (IP, data e hora): devem ser guardados por 1 ano pelo provedor de conexão (art. 13); Registros de acesso a aplicações (logs): devem ser guardados por 6 meses pelo provedor de aplicação (art. 15). O acesso a esses registros depende de ordem judicial. O Marco Civil foi um modelo para legislações de outros países e expressa a visão brasileira de que a internet deve ser um espaço de direitos, e não apenas de consumo ou vigilância. LGPD — Lei Geral de Proteção de Dados (Lei nº 13.709, de 14 de agosto de 2018) Inspirada no Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), a LGPD entrou em vigor em setembro de 2020 (sanções administrativas a partir de agosto de 2021). Regula o tratamento de dados pessoais por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade. 6.1 Conceitos fundamentais (art. 5º) Dado pessoal: informação relacionada a pessoa natural identificada ou identificável. Dado sensível: origem racial/étnica, convicção religiosa, opinião política, filiação sindical/partidária, dados de saúde, vida sexual, genéticos ou biométricos. Controlador: quem toma as decisões sobre o tratamento. Operador: quem realiza o tratamento em nome do controlador. Encarregado (DPO): canal de comunicação com titulares e com a ANPD. 6.2 Princípios (art. 6º) Finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas (accountability). 6.3 Bases legais para tratamento (arts. 7º e 11) Para dados comuns, 10 bases legais, como consentimento, obrigação legal, execução de políticas públicas, interesses legítimos, entre outras. Para dados sensíveis, o rol é mais restrito e não admite o “legítimo interesse”. 6.4 Tratamento pelo poder público (arts. 23 a 32) Dados tratados por órgãos públicos devem atender a finalidade pública, na persecução do interesse público. O compartilhamento entre órgãos é possível para políticas públicas, mas é vedado o compartilhamento com entes privados, salvo em hipóteses legais (como execução descentralizada de atividade pública). 6.5 ANPD — Autoridade Nacional de Proteção de Dados A ANPD passou por uma importante evolução institucional. Originariamente, a Lei nº 13.853, de 8 de julho de 2019, ao alterar a LGPD, criou a ANPD como órgão integrante da Presidência da República, sem personalidade jurídica própria. Posteriormente, a Lei nº 14.460, de 25 de outubro de 2022 (resultado da conversão da Medida Provisória nº 1.124/2022), transformou a ANPD em autarquia de natureza especial, com personalidade jurídica de direito público, autonomia administrativa, financeira e técnica, consolidando sua independência. Com a reestruturação ministerial promovida pela Lei nº 14.600, de 19 de junho de 2023, e o Decreto nº 11.348, de 1º de janeiro de 2023, a ANPD passou a ser vinculada ao Ministério da Gestão e da Inovação em Serviços Públicos (MGI). Essa mudança é relevante: a proteção de dados pessoais deixa de ser tratada no âmbito da Justiça ou da Presidência e se insere no contexto mais amplo da transformação digital dos serviços públicos, sob a mesma pasta que coordena a Plataforma Gov.br e a política de governo digital. A ANPD tem competência para regulamentar, fiscalizar e sancionar, podendo aplicar multas de até 2% do faturamento da pessoa jurídica, limitadas a R$ 50 milhões por infração. Política Nacional de Segurança da Informação (PNSI), PNSIC e evolução para a Cibersegurança 7.1 PNSI — Decreto nº 9.637, de 26 de dezembro de 2018 Instituiu a Política Nacional de Segurança da Informação, com coordenação do Gabinete de Segurança Institucional da Presidência da República (GSI/PR). A PNSI abrange segurança da informação, segurança cibernética, defesa cibernética, segurança física e proteção de dados, segurança das infraestruturas críticas e segurança da informação sigilosa. Seus pilares são governança, resiliência, capacitação e cooperação. A PNSI estabelece o Comitê Gestor da Segurança da Informação (CGSI), responsável pela articulação entre os órgãos federais. 7.2 PNSIC — Decreto nº 9.573, de 22 de novembro de 2018 Instituiu a Política Nacional de Segurança de Infraestruturas Críticas. Define infraestruturas críticas como instalações, serviços, bens e sistemas cuja interrupção, destruição ou paralisação, total ou parcial, provoque sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade. Setores prioritários da PNSIC: Energia (geração, transmissão, distribuição; petróleo, gás, nuclear); Transportes (portos, aeroportos, ferrovias, rodovias); Águas (barragens, captação, distribuição); Comunicações (telecomunicações, redes de dados, satélites); Finanças (sistemas de pagamento, Banco Central, bolsas de valores); Biossegurança; Defesa (instalações militares, BID). A coordenação central da PNSIC é do GSI/PR, com comitês setoriais em cada área. 7.3 Política Nacional de Cibersegurança (PNCiber) — Decreto nº 11.856, de 27 de dezembro de 2023 O Decreto nº 11.856/2023 instituiu a Política Nacional de Cibersegurança (PNCiber) e criou o Comitê Nacional de Cibersegurança (CNCiber). Trata-se de um avanço normativo que amplia e atualiza o arcabouço de governança antes concentrado no GSI/PR, envolvendo múltiplos ministérios e órgãos na estratégia nacional de segurança cibernética. A PNCiber estabelece diretrizes para a proteção das redes e sistemas de informação críticos, a promoção da resiliência cibernética nacional e a coordenação intersetorial de respostas a incidentes, e é considerada um passo importante na consolidação de uma governança cibernética mais transversal e robusta. Datacenters e localização de dados A localização física dos dados (data localization) é uma das dimensões mais sensíveis da soberania digital. O Marco Civil e a LGPD não impõem uma obrigação geral de armazenamento local de dados, mas permitem que regulamentações setoriais o façam — como no caso do Decreto nº 8.135/2013, que determinava que dados de órgãos federais fossem armazenados em datacenters próprios ou contratados no Brasil. O Brasil vem buscando atrair investimentos para se tornar um hub regional de datacenters, aproveitando sua matriz energética limpa e a capacidade instalada de cabos submarinos. Estados como Ceará (com a chegada de cabos transatlânticos), Rio de Janeiro e São Paulo concentram os principais datacenters. Incentivos fiscais (REIDI) e a segurança jurídica da LGPD são trunfos para competir com outros polos (Miami, Amsterdam, Singapura). Plataformas, desinformação e soberania regulatória O debate contemporâneo sobre soberania digital também se trava no campo da regulação de plataformas. As Big Techs (Meta, X, Google, ByteDance) concentram poder sem precedentes sobre a esfera pública, e a capacidade dos Estados nacionais de impor regras a essas empresas — transparência algorítmica, deveres de moderação, combate à desinformação — tornou‑se um teste concreto para a soberania regulatória. O Brasil tem sido um ator relevante nesse debate: O TSE e o STF determinaram a remoção de conteúdos e perfis em investigações sobre desinformação eleitoral e ataques às instituições democráticas; O PL 2.630/2020 (PL das Fake News), cujo debate legislativo evoluiu para incorporar com centralidade a responsabilidade civil das plataformas frente a conteúdos gerados por Inteligência Artificial — tema que dominou a pauta regulatória a partir de 2025, com o avanço das tecnologias de IA generativa e a multiplicação de deepfakes e desinformação sintética; O Marco Legal da Inteligência Artificial (PL 2.338/2023), em análise no Senado, propõe a regulação de sistemas de IA com base em níveis de risco (inspirado no AI Act europeu), proibindo sistemas de risco excessivo (ex.: social scoring, armas autônomas letais). Inteligência cibernética e CTIR.gov O Centro de Tratamento de Incidentes de Segurança de Redes de Governo (CTIR.gov), vinculado ao Departamento de Segurança da Informação (DSI) do GSI/PR, é o CSIRT (Computer Security Incident Response Team) federal. Suas funções incluem: Coordenar a resposta a incidentes cibernéticos nos órgãos da Administração Pública Federal; Emitir alertas e recomendações; Cooperar com CSIRTs de outros países e com o CERT.br; Integrar o FIRST (Forum of Incident Response and Security Teams), rede mundial de CSIRTs. A estrutura brasileira de resposta a incidentes é federativa: cada setor (financeiro, telecomunicações, energia) possui seus CSIRTs setoriais, que se articulam com o CTIR.gov e o CERT.br. Jurisprudência relevante: ADPF 403 e ADI 5527 — bloqueio do WhatsApp e criptografia A discussão sobre soberania digital no Brasil foi marcada por um embate concreto entre as exigências das investigações criminais e a garantia de serviços de comunicação. O caso paradigmático foi o bloqueio do aplicativo WhatsApp, determinado por juízes criminais de primeira instância em 2015 e 2016, como medida coercitiva para compelir a empresa (então Facebook, hoje Meta) a fornecer dados de investigados, dados esses que a empresa alegava não possuir por serem protegidos por criptografia de ponta-a-ponta. A questão foi submetida ao Supremo Tribunal Federal na ADPF 403 e na ADI 5527. Em maio de 2024, o Plenário do STF julgou definitivamente o mérito dessas ações e fixou um entendimento fundamental para a soberania digital brasileira: Confirmou, em definitivo, que é inconstitucional o bloqueio de serviços de mensagens (como WhatsApp, Telegram) como sanção pelo descumprimento de ordens judiciais de interceptação de dados protegidos por criptografia ponta-a-ponta. A medida foi considerada desproporcional, pois sacrifica o direito de comunicação de milhões de brasileiros e não atinge o objetivo pretendido (obter os dados). Fixou a tese de que o Poder Judiciário não pode ordenar o enfraquecimento da criptografia, nem compelir empresas a criar “portas dos fundos” (backdoors) em seus sistemas, porque isso comprometeria a segurança de todos os usuários e violaria o direito fundamental à privacidade (art. 5º, X e XII, CF), à autodeterminação informativa (art. 5º, LXXIX, CF, incluído pela EC 115/2022) e à liberdade de comunicação (art. 5º, IX, e art. 220, CF). Reconheceu que a criptografia é um instrumento de defesa da soberania nacional, pois protege as comunicações de agentes públicos, cidadãos e instituições contra interceptações ilegais por atores estatais e não estatais de outras jurisdições. A ADPF 403/ADI 5527 é relevante para o tema da soberania digital porque demonstra os limites do poder estatal sobre as plataformas e, ao mesmo tempo, afirma que a proteção da privacidade e da criptografia são valores que integram a noção de soberania no mundo digital. A decisão também sinaliza que o Judiciário brasileiro compreendeu que a internet não é uma “utilidade pública” que pode ser desligada a critério do juiz, mas um ecossistema de direitos fundamentais que deve ser preservado. Para a prova Soberania digital: capacidade estatal de controlar infraestrutura, dados e regulação no ambiente digital. Disparador: caso Snowden (2013). Três camadas: física (cabos, datacenters), lógica (DNS, ICANN, IETF) e de conteúdo/aplicações (Big Techs). EllaLink (2021): primeiro cabo direto Brasil–Europa, desvia dos EUA, reduzindo exposição à interceptação. Ramificações para Madeira, Canárias, Cabo Verde e Marrocos. O Brasil conta com mais de 25 cabos submarinos ativos ou em fase final de implantação (2026). CGI.br (Decreto 4.829/2003): modelo multissetorial; NIC.br é seu braço executivo (Registro.br, CERT.br, Cetic.br). NETmundial (2014): encontro multissetorial em São Paulo; declaração de princípios contra vigilância massiva. Marco Civil (Lei 12.965/2014): liberdade de expressão, privacidade, neutralidade de rede, responsabilidade de provedores após ordem judicial (art. 19). Guarda de logs: conexão — 1 ano; aplicação — 6 meses. LGPD (Lei 13.709/2018): proteção de dados pessoais; 10 princípios; ANPD — criada pela Lei 13.853/2019, transformada em autarquia de natureza especial pela Lei 14.460/2022, vinculada ao MGI desde a reestruturação de 2023 (Lei 14.600/2023 e Decreto 11.348/2023); poder sancionador (multa de até 2% do faturamento, limitada a R$ 50 mi). PNSI (Dec. 9.637/2018), PNSIC (Dec. 9.573/2018) e PNCiber (Dec. 11.856/2023): segurança da informação, de infraestruturas críticas e cibersegurança; governança transversal com o CNCiber. CTIR.gov: CSIRT federal; CERT.br: CSIRT da comunidade brasileira (NIC.br). Jurisprudência: ADPF 403 e ADI 5527 (STF, mérito julgado em maio de 2024) — inconstitucionalidade definitiva do bloqueio de serviços de mensagens; proibição de ordens judiciais de enfraquecimento da criptografia; criptografia como instrumento de soberania digital e proteção da privacidade. Regulação de plataformas: PL 2.630/2020 (responsabilidade civil por conteúdo de IA) e Marco Legal da IA (PL 2.338/2023).