Entenda o que está em jogo na regulamentação de data centers

A economia digital brasileira opera sobre um paradoxo. O país processa volumes crescentes de dados, hospeda infraestrutura crítica para empresas de todos os portes e depende cada vez mais da nuvem para suas operações essenciais. Mas faz tudo isso sem um marco regulatório que reconheça data centers como aquilo que eles de fato são: a espinha dorsal da transformação digital. Enquanto outras jurisdições tratam o tema como política de Estado, articulando incentivos fiscais, regulação energética e segurança jurídica, o Brasil ancora sua estratégia em medidas provisórias de vigência incerta e em um mosaico de normas que tangenciam o setor sem nunca o tratá-lo diretamente.

Essa indefinição não é apenas conceitual. Ela se traduz em riscos concretos para quem investe, em custos elevados para quem contrata e em decisões estratégicas tomadas mais por medo do que por racionalidade econômica. Com a Medida Provisória 1.318/2025, que instituiu o REDATA, prestes a caducar em 25 de fevereiro, o debate sobre regulamentação de data centers deixou de ser uma discussão técnica para se tornar uma questão urgente de competitividade e soberania. O que está em jogo não é apenas a prorrogação de um benefício fiscal, mas a definição do papel que o Brasil quer ocupar na arquitetura digital global.

O Brasil não possui um marco regulatório dedicado aos data centers. O que existe é um conjunto disperso de normas — LGPD, Marco Civil da Internet, Código de Defesa do Consumidor, regras tributárias e de telecomunicações — que tocam o setor de forma indireta e muitas vezes contraditória. É o que explica Gabriela Duque, sócia no DUQ Advogados. "A principal iniciativa legislativa com foco em data centers foi o REDATA. Apesar de representar uma ação governamental importante, ainda há relevante insegurança jurídica. A própria conversão da MP em lei ainda é uma dúvida."

Essa fragmentação cria um ambiente de baixa previsibilidade. Bianca Bez, advogada da área de Contencioso e Arbitragem do BBL Advogados, é direta: "Falta clareza sobre enquadramento regulatório, sobre deveres mínimos de continuidade, sobre padrões de responsabilidade e sobre a coordenação entre política energética, política industrial e política de dados. O resultado é baixa previsibilidade para quem investe e risco elevado para quem contrata."

Na ausência de regras claras, os contratos se tornam o principal instrumento de alocação de riscos. O problema é que nem sempre as partes têm condições de mapear adequadamente esses riscos ou de negociar em condições equilibradas.

Gabriela Duque aponta que a instabilidade normativa afeta diretamente a viabilidade dos projetos. "A instabilidade altera a percepção de risco de investidores e pode afetar a sustentabilidade econômico-financeira dos projetos e, consequentemente, os custos dos serviços. A ausência de normas específicas que tratem, com precisão, de disponibilidade, janelas de manutenção, penalidades, RTO/RPO, auditoria e resposta a incidentes implicam riscos relacionados à segurança e disponibilidade dos serviços."

A advogada ainda destaca os riscos em estruturas transnacionais. "Também não se pode deixar de considerar os riscos associados à jurisdição e localização de dados, especialmente em estruturas transnacionais, pois entram em jogo discussões acerca da lei aplicável, foro, cumprimento de obrigações locais e tensões entre normas como a LGPD e regras de aplicação extraterritorial, como o CLOUD Act, dos EUA."

Bianca Bez reforça o ponto: "Sem parâmetros legais objetivos, cláusulas sobre nível de serviço, continuidade, redundância, local de armazenamento e resposta a incidentes passam a ser negociadas caso a caso, muitas vezes com assimetria informacional significativa."

Quando ocorre um vazamento de dados ou uma interrupção prolongada de serviços, a ausência de parâmetros regulatórios específicos empurra a discussão para o terreno da responsabilidade civil geral, com todas as suas incertezas.

Gabriela Duque explica como funciona a análise em casos de incidentes. "A responsabilidade civil em casos de incidentes de segurança, como vazamento de dados, é tratada pela LGPD. Esta Lei atribui responsabilidade objetiva aos agentes de tratamento, controladores e operadores, o que inclui tanto a empresa contratante quanto o data center. O artigo 42 da LGPD determina que ambos são responsáveis por reparar danos patrimoniais, morais, individuais ou coletivos causados em violação à legislação de proteção de dados."

A advogada destaca ainda uma decisão importante do STJ: "Uma decisão crucial do Superior Tribunal de Justiça consolidou o entendimento de que o dano moral decorrente do vazamento de dados pessoais é presumido. Isso significa que, para o prejudicado obter a indenização, basta a comprovação do vazamento e do nexo causal, não sendo necessária a demonstração de abalo psicológico concreto."

Bianca Bez alerta para a judicialização crescente. "Na ausência de um regime específico para data centers, a tendência é a judicialização com base em conceitos amplos de culpa, risco da atividade e responsabilidade objetiva, o que aumenta o custo jurídico ex ante e a incerteza ex post. Interrupções prolongadas podem gerar danos sistêmicos, e hoje não há parâmetros claros sobre quando esses danos devem ser tratados como meros descumprimentos contratuais ou como falhas de infraestrutura crítica."

A decisão sobre onde localizar fisicamente um data center vai muito além de questões técnicas ou de latência. A tributação pode tornar inviável economicamente uma operação doméstica ou criar armadilhas fiscais em contratações internacionais.

Verônica Melo de Souza, sócia da área Tributária no Gaia Silva Gaede Advogados, detalha a carga tributária sobre serviços no exterior. "A carga tributária incidente na contratação de um data center localizado no exterior é mais elevada se comparada à da contratação de um data center no Brasil. No exterior, a tributação dependerá da classificação da licença. Se a contratação for para uso próprio, no modelo SaaS, a Receita Federal entende que se trata de prestação de serviços, com a incidência de IRRF (15%), CIDE (10%) e PIS/COFINS (9,25%)."

Gabriela Duque amplia a análise. "As implicações tributárias da localização física dos data centers dependerão diretamente da legislação tributária de cada país. Na corrida pela atração de investimentos nessa espécie de negócio, países como Cingapura, Irlanda, Canadá e alguns estados dos EUA instituíram incentivos fiscais relevantes para a implantação de infraestruturas de data center em seus territórios."

Bianca Bez resume o dilema: "A decisão entre hospedar dados no Brasil ou fora dele acaba sendo menos estratégica e mais defensiva, guiada por tentativas de minimizar riscos fiscais e regulatórios, e não por eficiência econômica."

O Regime Especial de Tributação para Serviços de Data Centers surgiu como uma tentativa de tornar o Brasil mais competitivo na atração de investimentos no setor. Mas especialistas apontam que, sozinho, o REDATA não resolve os problemas estruturais.

Sobre a competitividade internacional do regime, Gabriela Duque é enfática: "O REDATA entra na disputa global como instrumento de competitividade no investimento, mas sua efetividade depende do 'entorno' regulatório e econômico (previsibilidade, licenciamento, energia e rede), especialmente considerando que operar um data center no Brasil é, em média, 30% mais caro do que em outros países da região."

Verônica Melo de Souza contextualiza o modelo: "O REDATA foi concebido para baratear os investimentos em CAPEX na implementação e expansão dos projetos de data center no país, através da desoneração de PIS/COFINS-Importação e IPI na aquisição de equipamentos."

Bianca Bez faz uma crítica mais contundente. "Enquanto outros mercados tratam data centers como política de Estado, o Brasil ainda os trata como exceção tributária temporária, sujeita a prorrogações incertas e a mudanças de humor fiscal."

Com a caducidade da MP 1.318/2025 prevista para 25 de fevereiro, o setor vive um momento de definição. Projetos que foram estruturados considerando os benefícios do REDATA precisam agora avaliar cenários alternativos.

Gabriela Duque atualiza o cenário político: "As discussões regulatórias estão em um momento decisivo. Diante da iminente caducidade da MP, o foco se voltou para a aprovação de um Projeto de Lei que substitua a medida provisória. Em 5 de fevereiro de 2026, o Presidente da Câmara dos Deputados, Hugo Motta, anunciou que a aprovação do REDATA é uma pauta prioritária."

Sobre as alternativas caso a conversão não ocorra, ela aponta caminhos. "Se o REDATA não for convertido em lei e perder eficácia em fevereiro, a alternativa jurídica mais direta para projetos em andamento é a continuidade do regime por via legislativa, com a tramitação de um Projeto de Lei que incorpore o conteúdo do REDATA e reduza o risco de descontinuidade. Nesse contexto, já foi apresentado o PL 278/2026 neste mês de fevereiro."

Verônica Melo de Souza traz um dado importante: "No caso do REDATA, os projetos ainda não foram aprovados, pois o governo ainda não regulamentou quais equipamentos estarão abarcados pelo benefício. Dessa forma, pode-se afirmar juridicamente que nenhum projeto foi beneficiado até o momento. Se a MP caducar, os investidores terão que aguardar a aprovação do Projeto de Lei."

O debate sobre regulamentação de data centers frequentemente esbarra na questão da soberania digital. Como garantir controle e segurança sobre dados críticos sem inviabilizar modelos de nuvem globais que são, por natureza, distribuídos?

Gabriela Duque oferece uma visão equilibrada: "Esse é um tema espinhoso para toda a 'cadeia de dados' e não apenas para os data centers. Temas regulatórios misturam-se com questões geopolíticas. A soberania muitas vezes é utilizada como argumento retórico para justificar decisões econômicas e de mercado."

Ela propõe um modelo híbrido. "Diante da conformação geopolítica atual, é impossível eliminar por completo o dilema soberania digital e serviços em nuvem globais. A solução para mitigá-lo deve se apoiar em um modelo híbrido. A abordagem não deve focar apenas na localização dos dados, mas contemplar um modelo regulatório que enderece a concentração de mercado e os riscos oriundos de dependências técnicas."

Bianca Bez concorda. "Regulamentar não é fechar o país para serviços globais, nem impor uma falsa escolha entre segurança e eficiência. O desafio é criar regras que garantam rastreabilidade, proteção de dados e continuidade de serviços críticos, sem inviabilizar modelos de nuvem distribuída que são, por definição, globais. Soberania digital não se constrói com isolamento, mas com capacidade regulatória, previsibilidade jurídica e integração inteligente às cadeias internacionais de tecnologia."

A regulamentação de data centers no Brasil está em um ponto de inflexão. As próximas semanas definirão não apenas o destino do REDATA, mas a sinalização que o país dá sobre o tratamento desse setor estratégico.

Gabriela Duque destaca as lacunas que ainda precisam ser endereçadas. "São diversas as lacunas legislativas que merecem tratamento. Governança, fiscalização, regulação energética para demanda concentrada e níveis de confiabilidade e disponibilidade dos serviços são temas que ainda carecem de regulamentação e têm impacto direto tanto para quem contrata como para quem oferece serviços de armazenamento de dados."

Bianca Bez resume o momento: "O estágio atual das discussões regulatórias ainda é de transição. Há diagnósticos, grupos de trabalho e propostas em circulação, mas não um cronograma fechado nem uma visão integrada entre política digital, energética e tributária. Isso significa que, no curto prazo, o jogo continua sendo jogado no campo da antecipação: quem consegue ler melhor os sinais regulatórios, estruturar contratos mais robustos e internalizar riscos de forma consciente sai na frente. A regulamentação virá. A pergunta relevante não é se, mas quando e com qual custo para quem não se preparou antes."