"Soberania digital" está em todo lugar em 2026: em discurso, em manchete, em nome de evento. Mas o debate quase sempre para na superfície, no "vamos trazer os data centers e os dados para cá". Isso é a ponta do iceberg. O controle de verdade se decide em camadas que você nunca vê, e é nelas que mora a resposta para a pergunta que organiza tudo: quem controla, de fato, a infraestrutura da sua vida online? Vamos descer, do que dá para enxergar até o que ninguém te mostra.
Soberania digital é a capacidade de um país de controlar e decidir sobre a infraestrutura, os dados e as regras que sustentam o seu mundo digital, em vez de depender inteiramente de tecnologia, empresas e leis de fora. A parte visível dessa disputa é a mais fácil de contar. A invisível é a que decide o jogo.
O que você quase vê: o mundo físico
Comece pelo que tem cara de concreto. Os cabos submarinos no fundo do mar carregam quase todo o tráfego de internet entre continentes, e o caminho dos seus dados não é escolhido por você: ele depende de acordos de troca de tráfego entre redes (o chamado peering) e de um protocolo de roteamento chamado BGP.
Durante anos, boa parte do tráfego brasileiro dava um desvio pelos Estados Unidos antes de voltar, num fenômeno que engenheiros chamam de tromboneamento, resolvido só com o amadurecimento dos pontos de troca nacionais, como o IX.br, e de cabos como o EllaLink, que liga Fortaleza a Portugal desde 2021. Somam-se a isso os data centers, e aqui o Brasil processa cerca de 60% dos seus serviços digitais no exterior, além dos chips, onde a dependência é quase total: fabricar um processador moderno exige máquinas de litografia por ultravioleta extremo, produzidas hoje por uma única empresa no mundo. Ter nióbio no subsolo não é ter a fábrica.
Menos visível: os dados e a lei de quem os cerca
Desça um nível. Existe uma diferença técnica entre residência de dados (onde a informação está guardada) e soberania de dados (sob controle jurídico de quem ela está). Pela lei americana CLOUD Act, autoridades dos Estados Unidos podem exigir dados sob a guarda de empresas americanas mesmo que estejam num servidor no Brasil. E não adianta apenas criptografar: se quem guarda a chave é o próprio provedor, uma ordem legal força a entrega em texto aberto.
O Brasil tem a LGPD, a ANPD e o Marco Civil, mas ter a lei aqui não garante que o dado, nem a chave, estejam aqui. Nem o Estado escapa: mesmo com Serpro, Dataprev e a plataforma Gov.br, muitos órgãos rodam em nuvem estrangeira, o que alimenta a discussão sobre "nuvem soberana" e a meta de trazer dados críticos para dentro do país até 2030.
O que quase ninguém vê: as camadas invisíveis
Agora a parte que raramente aparece em coluna, e que é onde a soberania de fato se decide.
O caderno de endereços da internet
Todo site que você acessa depende do DNS, o sistema que traduz um nome, como canaltech.com.br, no número do servidor correspondente. A coordenação global desse sistema e a distribuição dos endereços foram, até 2016, uma função sob contrato do governo dos Estados Unidos, transferida só então para uma comunidade internacional. Aqui o Brasil tem um trunfo real e pouco celebrado: o domínio .br é gerido pelo NIC.br, e a distribuição de endereços na região passa pelo LACNIC, latino-americano. É soberania funcionando, ainda que invisível.
O cadeado do navegador
Aquele cadeado que aparece quando um site é "seguro" significa que uma autoridade certificadora atestou a identidade daquele endereço. O detalhe incômodo: quase todas as autoridades em que o seu navegador confia por padrão são estrangeiras. Se uma delas é invadida ou coagida, é possível forjar a identidade de qualquer site e interceptar uma comunicação sem que o cadeado sequer quebre. Já aconteceu: em 2011, o colapso de uma autoridade certificadora holandesa foi usado para espionar usuários. O Brasil tem a própria infraestrutura de chaves, a ICP-Brasil, mas não é ela que sustenta a confiança do seu navegador no dia a dia.
Os porteiros do seu celular
Entre você e qualquer aplicativo existem dois portões: a App Store e a Google Play. Duas empresas estrangeiras decidem o que pode existir no seu telefone e ficam com uma fatia de cada transação feita ali dentro. Um país não consegue simplesmente colocar um app na mão dos cidadãos sem passar por elas. É um ponto de controle acima até do sistema operacional.
O castelo de cartas das dependências
O aplicativo do seu banco e os sistemas do governo não são escritos do zero: são montados sobre milhares de peças de software abertas, hospedadas em repositórios estrangeiros e mantidas, muitas vezes, por voluntários espalhados pelo mundo. Em 2016, um programador removeu um trecho de onze linhas de um desses componentes e travou serviços e sistemas mundo afora. Se uma peça lá no topo some ou é adulterada, o efeito desce até aqui, e quase ninguém tinha aquele pedaço no radar.
Quem escreve as regras do protocolo
Antes das leis existem os padrões técnicos, definidos por comitês internacionais, e quem escreve o padrão molda o que é possível. Não é abstrato: um algoritmo de criptografia padronizado nos Estados Unidos foi, anos depois, apontado como portador de uma fragilidade proposital e acabou retirado. Quando o padrão é de poucos, a confiança de todos fica nas mãos deles.
A camada mais invisível de todas
Há ainda a camada que estudo de perto: quem decide o que os sistemas conseguem ver e reconhecer. Um reconhecimento facial transforma o seu rosto num vetor de números (um embedding) e o projeta num espaço matemático para compará-lo com outros. Se esse espaço foi calibrado sobre bases de imagem majoritariamente brancas, rostos negros caem nas margens, e o erro é medível: testes de referência internacionais, como os do NIST, já registraram taxas de falso positivo mais altas para determinados grupos. E isso vale para além dos rostos.
Os grandes modelos de IA, assim como as regras de moderação das plataformas, chegam ao Brasil prontos, decididos fora, com valores e prioridades já embutidos que ninguém aqui debateu. Até a forma como esses modelos fatiam o português (a chamada tokenização) os torna mais caros e mais imprecisos com a nossa língua. Soberania, nessa camada, não é sobre onde os dados moram. É sobre quem define o que conta como conhecimento, e quem paga a conta quando a máquina erra.
Dois exemplos para fixar a ideia
O Pix roda em trilhos controlados pelo Banco Central: é infraestrutura nacional e, por isso, é o país que decide as regras, os custos e quem participa. Já o seu e-mail, o streaming que você assiste e o armazenamento da sua empresa normalmente rodam em infraestrutura estrangeira: funciona muito bem, mas as decisões de fundo, como preço, disponibilidade e o que acontece num atrito diplomático, são tomadas fora. Não se trata de um ser bom e o outro ruim. Trata-se de onde está o controle.
Junte as camadas e o retrato aparece. Boa parte delas está concentrada em três ou quatro empresas de um mesmo país, o que transforma qualquer decisão administrativa lá fora em risco de serviço aqui. E um índice internacional de soberania digital de 2026 colocou o Brasil na 48ª posição entre 86 países avaliados: temos leis e instituições relevantes, mas pouco controle sobre o que roda por baixo delas, sobretudo nas partes que ninguém vê.
Soberania digital, no fim, não é um slogan de especialista. É a soma de perguntas concretas sobre cada uma dessas camadas: quem roteia, quem guarda a chave, quem emite o cadeado, quem é dono do portão e quem define o que a máquina enxerga. No próximo texto, desço até onde essa disputa toca o chão de forma mais literal: os data centers que estão chegando ao Brasil e brigando pela sua água e pela sua energia.
Aprofunde o tema da coluna lendo também sobre a nova matriz de competências para uso de IA lançada pelo governo federal e por que o open source é o caminho para o Brasil não depender de IA estrangeira.
{{WHATSAPP_CHANNEL}}
