O Congresso Nacional como servo das big techs em prejuízo do Brasil
Quando a ausência de regulação custa caro para a sociedade.
segunda-feira, 13 de julho de 2026
Atualizado às 16:33
Há uma cena que merece ser gravada na memória cívica brasileira. Em maio de 2026, veio a público que a Microsoft havia entregado ao Congresso dos Estados Unidos, mais precisamente, ao Comitê Judiciário da Câmara dos Representantes, em cumprimento a uma intimação (subpoena), e-mails, atas de reuniões e convites de servidores públicos holandeses, responsáveis por fiscalizar as grandes plataformas digitais, sem ao menos suprimir os nomes das pessoas nos documentos. Esses funcionários não haviam cometido nenhum crime. Seu único pecado era fazer seu trabalho: regular empresas americanas em território europeu.
Enquanto isso, no Brasil, o Congresso Nacional corria em sentido oposto. Em vez de elaborar uma lei que protegesse os dados e os direitos dos brasileiros diante dessas mesmas empresas, parte expressiva do Legislativo apresentava, em menos de duas semanas, ao menos 25 projetos para derrubar os decretos do presidente Lula (os decretos 12.975 e 12.976, de 20 de maio de 2026) que impunham regras mais rígidas às plataformas digitais, incluindo a obrigação de remoção de conteúdos criminosos e a exigência de representantes legais no país.
A anatomia de uma capitulação
O quadro institucional é desolador. O Brasil ainda não tem uma legislação abrangente que regule o conteúdo das plataformas digitais. O PL 2630/20, conhecido como PL das Fake News, saiu de pauta em 2024 e segue sem votação. Em seu lugar, o STF redefiniu a responsabilidade das plataformas ao julgar o art. 19 do Marco Civil da Internet, e o governo enviou ao Congresso o PL 4.675/25, focado na regulação econômica e concorrencial das big techs. Em 2026, o texto aguarda votação na Câmara e o debate sobre conteúdo segue em aberto.
Seis anos se passaram desde que o PL das Fake News foi apresentado. Seis anos em que as plataformas digitais capturaram bilhões em publicidade brasileira, coletaram dados de duzentos milhões de pessoas, alimentaram algoritmos com nossas opiniões, nossos medos e nossas relações afetivas, e nenhuma lei foi aprovada para regular qualquer disso.
O lobby das big techs foi decisivo para travar a votação de propostas como o PL das Fake News e o PL da inteligência artificial. Agora, com o respaldo do discurso internacional, a pressão aumentou. No documento que oficializa as tarifas ao Brasil, Trump afirma que o país estaria "censurando plataformas digitais" e ameaçando "eleições livres", ecoando os mesmos argumentos usados pelos executivos da Meta.
Repare na simetria perfeita: o Congresso americano usa o vocabulário das big techs para pressionar o Brasil, e parte do Congresso brasileiro usa o mesmo vocabulário para bloquear qualquer regulação doméstica. As empresas não precisaram nem trocar de roteiro.
A chantagem com nome e sobrenome
Trump foi explícito, em publicação no Truth Social de 25 de agosto de 2025 dirigida a todos os países com regras digitais (e não na carta ao Brasil): "Coloco todos os países com impostos digitais, legislações, regras ou regulações sob aviso de que, a menos que essas ações discriminatórias sejam removidas, imporei tarifas adicionais substanciais e instituirei restrições de exportação sobre nossa tecnologia altamente protegida e chips".
Isso não é política comercial, mas extorsão praticada à luz do dia. Um governo estrangeiro ameaça punir economicamente um país soberano por este ter criado leis para proteger sua própria população. E, mais grave ainda, a ameaça funciona, porque encontra aliados dentro do próprio Congresso brasileiro.
A CCIA - Computer & Communications Industry Association, grupo de lobby financiado pelas big techs americanas, cujos membros incluem Google, Meta, Amazon, Uber e Apple, está diretamente ligado à investigação sobre o Brasil conduzida pelo USTR. Para Washington, a LGPD impõe restrições excessivas à transferência de dados para fora do país, o que dificultaria o processamento de informações financeiras e de saúde dos brasileiros.
Dito de outro modo, os EUA consideram que os dados de saúde e financeiros dos brasileiros são um recurso que lhes pertence, e que qualquer lei que restrinja o acesso a esse recurso é uma agressão comercial. Esse é o argumento que parte do Congresso brasileiro, implícita ou explicitamente, tem legitimado ao travar toda e qualquer regulação das plataformas.
O CLOUD Act e o fantasma que assombra Brasília
O escândalo holandês é a demonstração prática de um arranjo jurídico cuidadosamente construído pelos Estados Unidos. O CLOUD Act permite que o governo norte-americano exija acesso a dados armazenados em servidores fora do território dos EUA, desde que estejam sob o controle de empresas americanas, como Google, Microsoft, Amazon e Meta.
Vale precisar o mecanismo, porque é nele que mora o perigo. O CLOUD Act - sigla de Clarifying Lawful Overseas Use of Data Act, de 2018, inscreveu no direito americano a regra de que o provedor sujeito à jurisdição dos Estados Unidos deve entregar os dados sob sua "posse, custódia ou controle", independentemente de estarem armazenados dentro ou fora do território americano. O critério é o controle empresarial, não a fronteira. E, em regra, o cliente sequer precisa ser avisado. A lei admite ordens de sigilo que proíbem a empresa de informar o titular dos dados. Do lado brasileiro, a LGPD só autoriza a transferência internacional nas hipóteses taxativas dos arts. 33 a 36 e incide sobre qualquer tratamento ligado ao país (art. 3º). O resultado é um conflito de leis em estado puro em que a mesma empresa que cumpre a ordem americana pode violar a lei brasileira, e vice-versa. A União Europeia já encarou o problema de frente, o art. 48 de seu regulamento de proteção de dados nega eficácia a ordens de autoridades estrangeiras que não se apoiem em acordo internacional, e o Tribunal de Justiça europeu, no caso Schrems II, chegou a derrubar um acordo inteiro de transferência de dados com os Estados Unidos por causa, precisamente, do alcance da vigilância americana. O Brasil não tem nada parecido.
A consequência para o Brasil é direta e imediata. Mesmo com dados armazenados fisicamente no Brasil, o CLOUD Act permite que o governo americano exija acesso a essas informações sem necessidade de notificar o cliente final. Uma empresa brasileira pode ter seus dados bloqueados por decisão estrangeira, impedindo o acesso a sistemas financeiros ou informações de clientes. Um órgão público pode ter suas comunicações de e-mail interceptadas por causa de sanções impostas a um provedor no exterior.
Os reguladores holandeses usavam o Microsoft Teams, usavam o Outlook, seus e-mails estavam nos servidores da Microsoft, sujeitos à jurisdição americana, e foram entregues. Quantos servidores do Ministério da Fazenda, da ANPD, do CADE, do Banco Central usam as mesmas ferramentas hoje? Quantas reuniões estratégicas sobre regulação digital, sobre o Pix, sobre a política de concorrência, trafegam por plataformas cujos dados pertencem, juridicamente, ao alcance de Washington?
E o problema não se esgota nos e-mails de servidores. Ele alcança o sistema financeiro, hoje uma das maiores concentrações de dados sensíveis do país. O Open Finance transformou o histórico bancário de milhões de brasileiros em ativo compartilhável. O Pix registra, em tempo real, quem paga a quem, quanto e quando. Boa parte dessa infraestrutura roda em nuvem contratada de provedores americanos. A própria regulação prudencial reconhece o risco. A resolução CMN 4.893/21 exige, para serviços relevantes prestados no exterior, convênio de troca de informações entre o Banco Central e o supervisor estrangeiro, e, em dezembro de 2025, as resoluções CMN 5.274 e BCB 538 passaram a exigir que os ambientes do Pix e do sistema de transferência de reservas operem em instâncias de nuvem dedicadas e isoladas. São salvaguardas técnicas bem-vindas, mas nenhuma delas neutraliza a premissa do CLOUD Act, que é justamente esta: não importa onde o dado está; importa quem o controla.
Essa não é uma pergunta retórica, é uma questão de segurança nacional que o Congresso brasileiro preferiu ignorar para preservar as prerrogativas comerciais de empresas estrangeiras.
O parlamento brasileiro trabalha para quem?
A reação de parte do Congresso Nacional aos decretos do presidente Lula para ampliar a responsabilização das big techs ocorreu sem que o Legislativo tivesse conseguido avançar, nos últimos anos, em uma regulamentação mais ampla das plataformas digitais. Não há perspectiva de que um texto nesse sentido seja aprovado até o final de 2026, ainda mais com a proximidade das eleições.
Há aqui uma perversão institucional que precisa ser nomeada com clareza. O Congresso que se recusa a legislar sobre big techs não está omisso por incapacidade técnica, está omisso por captura. A perspectiva de algum avanço regulatório na área de tecnologia está hoje restrita à discussão sobre inteligência artificial, com o presidente da Câmara, Hugo Motta, pressionando pelo parecer do relator Aguinaldo Ribeiro sobre o tema, parecer que, até junho de 2026, sequer havia sido apresentado. Mesmo aqui, a expectativa é modesta.
Enquanto isso, os acordos bilaterais negociados pelos EUA com outros países incluem cláusulas de "livre transferência de dados" e eliminação de "barreiras discriminatórias" sobre serviços digitais. Como advertem especialistas, "esses acordos fazem os países ficarem ainda mais dependentes de serviços digitais dos EUA e, consequentemente, perderem a capacidade de regulá-los". O padrão se repetiu na América Latina: Argentina, El Salvador, Equador e Guatemala já firmaram compromissos nesse sentido (acordos-quadro anunciados pelo USTR em novembro de 2025). O Brasil pode ser o próximo, e o Congresso, nesse cenário, não seria vítima, e sim cúmplice.
"Servos digitais": A expressão que o STF usou
Em meio ao silêncio do Parlamento, foi o próprio Supremo Tribunal Federal que nomeou o problema com uma franqueza incomum. O ministro Alexandre de Moraes afirmou, em discurso no XIV Fórum de Lisboa, em 1º de junho de 2026, que as plataformas utilizam algoritmos para manipular opiniões nas redes sociais e que, "nessa ingenuidade, não percebemos que as big techs pegaram dados de todos sem autorização. A partir dos algoritmos não randômicos, faz-se uma manipulação de dados para realizar uma verdadeira lavagem cerebral nas chamadas bolhas".
O decano Gilmar Mendes, no mesmo evento, foi ainda mais preciso ao dizer que "os cidadãos assumem a condição de servos digitais. As empresas pagam taxas para operar nas plataformas administradas pelos novos ‘senhores da terra’, as big techs, que hoje pretendem subjugar e ver curvados diante de si os próprios Estados".
Não é linguagem de militante, mas de magistrado. E foi necessário que o Judiciário dissesse o que o Legislativo se recusou a reconhecer.
Soberania não é simples retórica
O debate sobre soberania digital tende a ser tratado, no Brasil, como preocupação de especialistas ou argumento panfletário de esquerda. Não é nem uma coisa nem outra. É uma questão de direito constitucional, de segurança do Estado e de proteção elementar dos cidadãos.
Setores estratégicos como o financeiro, a saúde, a energia e o governo começam a adotar políticas que priorizam provedores com infraestrutura no Brasil. Há expectativa de novas diretrizes sobre transferência internacional de dados, com foco em transparência e rastreabilidade. Mas "expectativa" não constrói infraestrutura, e infraestrutura sem lei é só tecnologia à espera de ser capturada.
A Europa foi mais longe, e pagou por isso com a exposição de seus próprios reguladores a um Congresso estrangeiro. O Brasil ainda tem tempo de aprender com o escândalo alheio, mas esse tempo se esgota a cada sessão que o Congresso dedica a derrubar decretos do Executivo sem apresentar uma linha de legislação própria sobre o tema.
O que falta ao Brasil não é diagnóstico, é lei. A Europa respondeu ao dilema com instrumentos concretos. O Data Act obriga provedores a barrar o acesso de governos estrangeiros a dados mantidos no bloco sem amparo em acordo internacional, e iniciativas de nuvem soberana, como o Gaia-X, tentam reduzir a dependência. Aqui, há embriões, a regulação da ANPD sobre transferência internacional de dados, o reconhecimento de adequação mútua com a União Europeia em 2026, o regime de incentivo a data centers e a Nuvem de Governo do Serpro e da Dataprev, mas dispersos e quase todos infralegais, pois vivem da caneta do Executivo e do regulador, não de um compromisso do Parlamento.
Seria preciso uma lei de soberania de dados capaz de fazer três coisas, nenhuma delas exótica: exigir residência e jurisdição nacionais para os dados críticos do Estado e de setores estratégicos; criar, à maneira do art. 48 europeu, uma trava à entrega de dados a autoridades estrangeiras sem cooperação jurídica formal; e vincular tudo isso a uma estratégia de nuvem soberana com prazo e orçamento. Nada disso depende de Washington, depende do Congresso.
O que está em jogo
Quando um parlamentar brasileiro assina um projeto para derrubar os decretos digitais de Lula, sem oferecer nenhuma alternativa legislativa, ele não está defendendo a liberdade de expressão, está garantindo que empresas americanas continuem operando no país sem obrigação de transparência, sem representação legal efetiva, sem accountability sobre os algoritmos que moldam a opinião pública e sem qualquer barreira à entrega de dados dos brasileiros a governos estrangeiros.
Está, em suma, escolhendo Washington em vez do eleitor que o mandatou. O escândalo da Microsoft e a Holanda é um espelho, o que ele reflete, do lado de cá do Atlântico, é um Congresso que hesita em regular aquilo que já regula o próprio Congresso, os fluxos de informação, os algoritmos de visibilidade, as bolhas que elegem e derrubam. Há algo de profundamente antirepublicano nessa hesitação. E há algo de colonizado nessa deferência sistemática a empresas e governos estrangeiros que jamais devolverão o favor.
O Brasil não pode ser uma colônia informacional. Mas colônias raramente se emancipam sem que alguém, dentro delas, decida que a emancipação vale mais do que o conforto da dependência.
_____
Caso Microsoft–Holanda: NL Times, "Microsoft accused of leaking Dutch civil servants’ names to U.S. government" (22/05/2026); Builtin EU, "Microsoft Handed Names of Dutch Regulators to a US House Committee Probing the DSA" (mai. 2026). Subpoenas: U.S. House Judiciary Committee, "Chairman Jordan Subpoenas Big Tech…" (26/02/2025); CNBC (27/02/2025).
CLOUD Act: Clarifying Lawful Overseas Use of Data Act, Pub. L. 115-141 (23/03/2018); 18 U.S.C. §§ 2713, 2703(h) e 2705(b); Congressional Research Service, R45173.
União Europeia: RGPD (Reg. UE 2016/679), art. 48; parecer conjunto EDPB/EDPS de 10/07/2019; TJUE, Schrems II, Proc. C-311/18 (16/07/2020); Decisão de Execução (UE) 2023/1795 - EU–US Data Privacy Framework (10/07/2023); Reg. (UE) 2023/2854 (Data Act), art. 32; Tribunal Geral, Latombe v Comissão, T-553/23 (03/09/2025, sob recurso).
Pressão dos EUA: carta de Donald Trump a Lula, 09/07/2025 (íntegra/tradução: Poder360); post no Truth Social de 25/08/2025 sobre tarifas e restrições a tecnologia/chips (CNBC; Bloomberg, 25–26/08/2025).
Investigação Seção 301: USTR - abertura no Federal Register de 18/07/2025 (90 FR 34069) e determinação de jun. 2026; comentários da CCIA (ago. 2025); lista de membros: ccianet.org/about/members.
STF, art. 19 do Marco Civil (Lei 12.965/2014): RE 1.037.396 (Tema 987, rel. min. Dias Toffoli) e RE 1.057.258 (Tema 533, rel. min. Luiz Fux), julgamento concluído em 26/06/2025 (8 × 3).
XIV Fórum de Lisboa (01/06/2026): discurso de abertura do min. Gilmar Mendes (íntegra: Poder360); fala do min. Alexandre de Moraes (CNN Brasil).
Decretos digitais: Decretos nº 12.975 e nº 12.976, de 20/05/2026 (Planalto; Casa Civil). Reação do Congresso: CNN Brasil (01 e 09/06/2026); Conexão Política (22/05/2026).
Projetos em curso: PL 4675/2025 (regulação concorrencial das plataformas; Câmara dos Deputados); PL 2338/2023 (marco legal da IA; rel. dep. Aguinaldo Ribeiro).
Acordos na América Latina: acordos-quadro EUA–Argentina, El Salvador, Equador e Guatemala (USTR, 13/11/2025); análise crítica: Public Citizen (18/12/2025).
Proteção de dados: LGPD (Lei 13.709/2018), arts. 3º, 7º, 11 e 33–36; Resolução CD/ANPD nº 19/2024 (transferência internacional) e nº 32/2026 (adequação mútua com a UE).
Setor financeiro: Resolução CMN nº 4.893/2021 (segurança cibernética e nuvem); Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 (isolamento de ambientes Pix/STR); Open Finance (Resolução Conjunta CMN/BCB nº 1/2020); Pix (Resolução BCB nº 1/2020).
Soberania de infraestrutura: regime ReData / Política Nacional de Data Centers (MP 1.318/2025); Nuvem de Governo (Serpro/Dataprev)

