A celeuma da CELEPAR no STF: Quando dado pessoal deixa de ser “ativo” e passa a ser infraestrutura pública
Persiste, no debate brasileiro sobre a desestatização de empresas públicas de tecnologia, um erro analítico recorrente. Tem prevalecido o tratamento do tema como se ele fosse, no essencial, matéria societária, patrimonial e/ou de eficiência administrativa. O voto cautelar do ministro Flávio Dino proferido na ADIn 7.896 Paraná, no caso CELEPAR, incomoda exatamente por deslocar o foco. O que está em disputa não é apenas a titularidade formal de uma companhia, mas o grau de controle público sobre a espinha dorsal informacional do Estado, com sistemas e bases que viabilizam políticas públicas e funções típicas de governo. O caso não se encerra na gramática da eficiência, porque nele se decide, em termos substanciais, quem sustenta e, especialmente, quem condiciona o funcionamento informacional do Estado.
O caso, em síntese, chega ao Supremo por meio de impugnação à lei paranaense 22.188/24, que autoriza a desestatização da CELEPAR, empresa de economia mista, fundada em 1964, responsável por desenvolver e gerir sistemas estratégicos, soluções digitais e a base de dados do governo estadual do Paraná. A petição inicial já formula o ponto sensível: sustenta afronta à competência privativa da União para legislar sobre proteção e tratamento de dados pessoais (art. 5º, inciso LXXIX), e acusa que o desenho normativo estadual produz riscos constitucionais ao permitir a transferência, a particulares, de sistemas e bancos de dados públicos, muitos considerados sensíveis. A decisão, por sua vez, opera menos como uma discussão sobre efetividade da privatização e mais como uma intervenção sobre condições de validade e sobre risco de irreversibilidade, especialmente quando estão em jogo dados e infraestruturas críticas.
Essa é o ponto nevrálgico: em vez de tratar “dados” como um insumo destacável, que pode ser protegido por cláusulas contratuais periféricas ou por um conjunto genérico de obrigações de confidencialidade, a decisão sugere que a discussão correta é de governança de infraestrutura pública. E isso aproxima o debate jurídico brasileiro de um diagnóstico que já amadureceu na literatura sobre economia digital: dados não são, primariamente, mercadoria; são infraestrutura. Elettra Bietti, professora de Direito e Ciência da Computação na Northeastern University, sustenta que, na economia atual, o papel dos dados é predominantemente infraestrutural, funcionando como conectores e como parte de pipelines produtivos, e que a tentativa de tratá-los como “coisa” separável produz falhas conceituais e políticas regulatórias redutivas1.
O deslocamento constitucional: De “alienação” para “tutela”
A decisão cautelar deixa clara que o debate não se esgota na esfera de organização administrativa do Estado. Ele toca o núcleo constitucional da proteção de dados e da privacidade. Na narrativa do processo, aparece explicitamente a alegação de que o ato normativo estadual invade competência privativa da União sobre proteção e tratamento de dados pessoais, além de tensionar direitos e deveres constitucionais correlatos. Essa perspectiva analítica importa porque bloqueia a redução da controvérsia a uma discussão meramente de modelo gerencial. Tendo em vista que a política pública se apoia, indiscutivelmente, em sistemas e bases de dados, o regime jurídico incidente passa igualmente pela tutela do interesse público sobre infraestrutura essencial.
Na petição movida pelo PT - Partido dos Trabalhadores e pelo PSOL - Partido Socialismo e Liberdade, há um trecho particularmente expressivo na descrição da controvérsia: sustenta-se que a lei em discussão afronta o direito fundamental à proteção de dados pessoais e o dever de tutela estatal sobre a segurança pública ao permitir a transferência a particulares de sistemas e bancos de dados sensíveis, inclusive de natureza fiscal, educacional, sanitária e policial. Esse enunciado, por si, já indica porque a régua decisória não pode ser a mesma de privatizações ordinárias. O tema não é apenas “quem presta”, mas “quem controla”, “com quais chaves”, “com quais limites” e “com qual capacidade de reversão” quando algo dá errado.
Risco de irreversibilidade: Privatizar pode ser rápido, desfazer não
O voto também é importante por reconhecer uma assimetria temporal. Processos de desestatização podem ser implementados com rapidez. Seus efeitos, quando envolvem sistemas críticos, tendem a ser de difícil reversão. A própria peça processual registra preocupação com medidas de difícil ou impossível reversão e com a ausência de balizas normativas claras, em especial quando se trata de controle e tratamento de dados pessoais sensíveis.
Em outro ponto, ao tratar do contexto infraconstitucional, registra-se que a controvérsia envolve a LGPD e a lei estadual correlata, e que o debate não se reduz a “proteção de dados” em abstrato, mas à infraestruturação da organização administrativa do Estado. Na sequência, a decisão menciona a dependência estrutural de “sistemas críticos” desenvolvidos e operados pela CELEPAR. Ao fim e ao cabo, sistemas não são apenas “ativos”. São arranjos sociotécnicos que carregam arquitetura, integrações, rotinas, logs, padrões de segurança, dependências de fornecedor, pessoal qualificado, continuidade operacional e capacidade de resposta a incidentes. Quando isso muda de mãos, o Estado pode manter a titularidade jurídica de bases, mas perder, na prática, governança sobre a infraestrutura que dá sentido a essas bases.
O encontro com Bietti: dados como conectores e infraestrutura crítica
É aqui que a leitura do artigo “Dado é Infraestrutura (2025)” de Bietti ilumina o voto. Ela argumenta que a função dos dados, na economia digital, é mais próxima de cabos, canos e conectores do que de objetos fungíveis: dados conectam cadeias e redes, operam em escala e são inseparáveis de estruturas materiais e digitais, como protocolos, sistemas algorítmicos, servidores e nuvem. O efeito regulatório desse diagnóstico é direto: regular “dados” exige regular o conjunto infraestrutural do qual os dados dependem, e não apenas insistir em remédios estreitos centrados em controle individual ou em separações artificiais.
Transposto para o Estado, o raciocínio tem consequência ainda mais dura. Se, no setor privado, a governança de dados já não se resolve com o fetiche de “propriedade” ou com consentimentos formais, no setor público a inadequação é maior, porque os dados e sistemas sustentam direitos sociais, fiscalização, arrecadação, segurança e continuidade do serviço. O voto do ministro Flávio Dino opera como um lembrete institucional: quando a infraestrutura informacional é pública, o interesse público não é um adjetivo retórico; é um requisito de arquitetura e de governança.
Daí o núcleo opinativo: o voto importa menos pelo detalhe societário e mais por introduzir, no debate constitucional brasileiro, a ideia de que há privatizações cujo objeto real é infraestrutura pública crítica. Nesses casos, não existe neutralidade. Há, no mínimo, uma obrigação reforçada de demonstrar que o Estado manterá comando verificável sobre padrões, auditoria, continuidade, gestão de risco e responsabilização.
A decisão como “porta estreita”: interpretação conforme e centralidade da LGPD
O voto produz efeitos jurídicos relevantes ao fixar balizas para processos de desestatização, ainda que não imponha vedação geral. Nessa linha, é pertinente o encaminhamento de orientação interpretativa, de modo que a desestatização se realize em observância à legislação aplicável de proteção de dados pessoais, especialmente à LGPD.
Em conclusão, a mensagem é: ainda que se admita o caminho político da desestatização, ele não pode funcionar como atalho institucional para deslocar, para fora do controle público robusto, o tratamento de dados, o atendimento aos direitos do titular e a operação de sistemas essenciais.
Isso se relaciona diretamente com o argumento de Bietti de que “dados” não podem ser governados como se fossem entidades isoladas, separáveis e plenamente portáveis; ao contrário, a governança efetiva exige olhar para pipelines, para materialidades e para o modo como a infraestrutura sistematiza usos, riscos e assimetrias.
No caso CELEPAR, a “infraestrutura” é literalmente a engrenagem administrativa. O que se desloca não é só execução. É capacidade estatal.
Conclusão: Se insistir em modelos privados, o Estado terá de aprender a regular infraestrutura
A decisão do ministro Flávio Dino empurra o Brasil para uma escolha institucional mais clara: ou o Estado reconhece que certas camadas informacionais são infraestrutura pública e as trata como tal, com governança, capacidade técnica, planejamento e accountability, ou aceitará a transferência progressiva de poder organizacional para estruturas privadas que passam a condicionar o próprio funcionamento do governo.
Se o caminho político for a participação privada, o preço jurídico pode ser alto: internalizar governança de infraestrutura. Isso significa controles públicos verificáveis, padrões de segurança e continuidade, rastreabilidade, auditorias, gestão de dependência, regras de reversibilidade e arranjos que não reduzam proteção de dados a uma promessa contratual genérica. A decisão cautelar, ao expor o risco de irreversibilidade e a falta de balizas claras, reafirma que delegação sem salvaguardas equivale a renúncia de capacidade estatal.
O caso CELEPAR tende a ser lembrado menos como uma disputa sobre o “tamanho do Estado” e mais como um marco de enquadramento: dado e sistema, no Estado, não são ativos facilmente negociáveis; são infraestrutura pública. E infraestrutura, por definição, se submete a governança estável, a controles verificáveis e a responsabilidade institucional.
_______
1 BIETTI, Elettra. Data is infrastructure. Theoretical Inquiries in Law, v. 26, p. 55-, 2025. Northeastern University School of Law Research Paper, n. 486. Disponível em: https://ssrn.com/abstract=5041965. DOI: 10.2139/ssrn.5041965.