Em 22 de fevereiro, o ministro Flávio Dino, do Superior Tribunal Federal (STF), determinou a suspensão do processo de desestatização da Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar), no âmbito da Ação Direta de Inconstitucionalidade 7896 (Leia a íntegra aqui).
O pleito é extremamente complexo e tensiona tanto a Lei Geral de Proteção e Dados Pessoais (LGPD) quanto o próprio Direito Administrativo. Dessa forma, sem a pretensão de esgotar todas a camadas do caso, propõe-se considerações a partir de dois eixos: (i) a proteção de dados pessoais; e (ii) a soberania digital e o papel do Estado na sociedade digitalizada.
Sobre o tópico de proteção de dados pessoais, o caso gravita em torno do artigo 4º, inciso III, da LGPD, que estabelece que referido diploma legal não se aplica, em sua maior parte, ao tratamento de dados pessoais realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Nos termos do art. 4º, § 2º, o tratamento de dados pessoais para tais fins deverá observar legislação específica, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos na LGPD, sendo vedado o tratamento por pessoa de direito privado sem procedimentos de tutela por pessoa jurídica de direito público. Por sua vez, o art. 4º, § 4º, estabelece que em nenhum caso a totalidade dos dados pessoais previsto no art. 4º, inciso III, poderá ser tratado por pessoa de direito privado, salvo aquela que possua capital integralmente constituído pelo poder público.
A partir da leitura dos dispositivos elencados, nota-se que a LGPD autorizou o tratamento de dados pessoais para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais por parte de pessoas jurídicas de direito privado, contanto que haja tutela de pessoa jurídica de direito público e que não haja a transferência da totalidade dos dados pessoais que compõem o banco. Essa é uma análise de legalidade, ontológica.
O ministro Flávio Dino, a partir de uma leitura da proteção de dados pessoais como direito fundamental, incluído pela Emenda Constitucional nº 115/2022, demonstrou preocupação com a “(…) ausência de balizas normativas claras sobre o controle o tratamento dos dados pessoais sensíveis, bem como daqueles inseridos na ressalva do inciso III do art. 4º, III, da LGPD” (Brasil, 2026, p. 21-22), razão pela qual determinou a suspensão do processo de desestatização da Celepar, de forma que o Estado do Paraná mantenha controle sobre as“(…) bases de dados pessoais sensíveis e classificados no rol do art. 4º, III, da LGPD, vedada a sua transferência integral a entes de natureza privada, exceto na hipótese em que o capital seja integralmente constituído pelo Estado” (Brasil, 2026, p. 22), bem como elabore Relatório de Impacto de Proteção de Dados Pessoais, entre outras medidas.
Em primeiro lugar, há de se ter em vista que tal decisão, monocrática, ocorreu em sede de cognição sumária, especificamente para o caso em tela, com base na livre convicção do ministro de que as informações eram insuficientes para uma tomada de decisão segura sobre um direito fundamental.
Feita a ressalva, é importante acompanhar os desdobramentos da ação para se verificar qual o entendimento da Corte Constitucional sobre uma nova hipótese de tratamento exclusivo nos termos do art. 4, § 4º, isto é, se tal vedação alcança não só as finalidades de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, mas também dados pessoais sensíveis, que possuem grande potencial de discriminação e lesão aos titulares (Venturini; Oliveira; Glassman, 2025).
Se a decisão do STF seguir essa linha haverá prestígio ao direito fundamental à proteção de dados pessoais, com maior rigor para o tratamento de dados pessoais sensíveis, mas poderá impactar o processo de adaptação dos entes federativos com base no parâmetro legal até então posto.
O segundo ponto relaciona-se com a necessidade de realização de Relatório de Impacto à Proteção de Dados Pessoais, instrumento previsto em lei para descrever os “(…) os tratamentos de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (Brasil, 2018), que deve conter “(…) no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados” (Brasil, 2018), cuja regulamentação está prevista na Agenda Regulatória da Agência Nacional de Proteção de Dados Pessoais (ANPD) para o biênio 2025-2026 (Brasil, 2025).
Tal instrumento é salutar para que o STF tenha subsídios para analisar, com o apoio técnico da ANPD, que figura como amicus curiae, exatamente o que será realizado com os dados pessoais nesse processo de desestatização, bem como os riscos envolvidos.
Contudo, a discussão precisa avançar para além do arcabouço regulatório existente para um debate sobre a soberania digital e qual o papel do Estado na sociedade digitalizada, em que os dados, mais particularmente, os dados pessoais, figuram no centro do que se denominou como Quarta Revolução Industrial (Cassiolato et. al, 2025; Schwab, 2017), em um processo de constante dataficação da sociedade, isto é, o funcionamento da sociedade com base nos dados, com impacto no comportamento das pessoas, em como o mercado opera e nas funções do governo (Cukier; Mayer-Schoenberger, 2013; Tavares, 2024).
É nesse âmbito de novas formas de comunicação e digitalização que surgiram modelos de negócios centrados no tratamento de dados pessoais, a exemplo das grandes plataformas digitais (Tavares, 2024), cenário em que as “Empresas tecnológicas possuem maior acesso aos dados dos cidadãos que Governos” (World Economic Forum, 2025, p. 38, tradução livre), enquanto os titulares de dados permanecem desavisados de como os seus dados são tratados. Controlar dados, infraestruturas e conhecimentos relacionados à inteligência artificial, por exemplo, são preocupações relacionadas com o “[…] cenário da geopolítica e da economia atual” (Cassiolato et al., 2025, p. 148; Silveira, 2025, p. 10, WEF, 2026, p. 60).
Mesmo considerando o marco legal e regulatório em construção no país, como o Marco Civil da Internet, a própria LGPD, o Estatuto Digital da Criança e do Adolescente, discussões de regulação sobre inteligência artificial (PL 2.338, de 2023), bem como políticas governamentais como a Estratégia Nacional de Governo Digital (Lei 14.129, de 2021) e o Plano Nova Indústria Nacional, a doutrina aponta cenário preocupante em termos de soberania e controle de dados pessoais.
Órgãos e entidades do Estado brasileiro, em diversos poderes e instâncias federativas, adotam soluções tecnológicas de empresas estrangeiras que implicam em transmissão de dados pessoais e estratégicos, armazenados em diversos lugares do mundo (Matos; Lemos; Arroio, 2025; Grohmann; Costa Barbosa, 2025). Embora tais contratações possam ser, em um primeiro momento, economicamente mais vantajosas, não podemos cair na armadilha do ‘eficientismo’ e esquecer de outros valores constitucionalmente previstos (Oliveira; Zaccariotto, 2025; Mazzucato, 2025).
Tal preocupação se agrava face a existência de legislação estadunidense, The Clarifyng Lawful Overseas Use of Data (Cloud) Act, que autoriza autoridades a acessar dados pessoais tratados por empresas estadunidenses, mesmo que tais dados estejam fora do território dos Estados Unidos. Tudo isso em um cenário de aplicação de sanções a autoridades brasileiras e ingerência externa nos assuntos nacionais, particularmente relacionados às iniciativas de regulação de grandes plataformas.
É nesse contexto que se insere o tema da soberania digital, conceito relacionado com a autonomia de uma nação ou região sobre decisões relacionadas ao ambiente digital, infraestruturas digitais e desenvolvimento tecnológico, com preocupações contemporâneas crescentes sobre segurança nacional e jurisdição, autonomia econômica e desenvolvimento e proteção de direitos, notadamente àqueles relacionados à proteção de dados pessoais (Pohle; Thiel, 2020).
Diante de nós surge uma escolha: (1) permanecer na condição de consumidores de tecnologias alimentadas com nossos próprios dados, perpetuando uma lógica de desigual divisão internacional de trabalho (Jiang; Belli, 2025; Silveira, 2025), com o comprometimento da soberania digital e da autonomia para implementação de políticas públicas (Cassiolato et al., 2025), ou (2) repensar a presença digital do Estado, reestruturar o marco regulatório, desenvolver infraestrutura digital e adotar a postura de dados pessoais como um ativo estratégico para se assegurar o desenvolvimento do mercado interno e a consolidação de direitos humanos (Tavares, 2024).
Daí a importância das obras de Mariana Mazzucato (2024, 2025; Mazzucato; Kattel, 2026), que nos revelam que a retirada do Estado de setores estratégicos ocasiona a diminuição de sua capacidade de inovar, acumular aprendizado, implementar políticas públicas e resolver problemas complexos, como aqueles relacionados à área tecnológica.
O Estado perde a capacidade de planejar o desenvolvimento (Bercovici, 2019), para se tornar um mero supervisor contratual (Mazzucato; Kattel, 2026). Urge reformular o papel do Estado para além de um “(…) agente passivo de regulação de mercado, mas como um agente ativo e orientado para uma missão, capaz de moldar e cocriar valor público diante de desafios sociais complexos” (Mazzucato; Kattel, 2026, p. 18, tradução livre).
É necessário rememorar a função do Estado como catalisador de transformações (Gomide; Lotta, 2024), para induzir a transformação digital e aprimorar a infraestrutura pública nacional, a partir, por exemplo, de uma revisão da governança das empresas estatais para um planejamento orientado por missões (Mazzucato, 2024).
Convém aproveitar o momento em que a proteção de dados pessoais se encontra no centro do debate jurídico e institucional para avançar nas discussões sobre a soberania digital do país, de forma pragmática, para além da soberania utilizada como argumento ou discurso (Grohmann; Costa Barbosa, 2025; Santaniello, 2024). Se esse é o caminho que o país escolher, será necessário reestruturar nosso marco regulatório e repensar o papel do Estado na atual sociedade, para que possa promover o desenvolvimento e assegurar direitos fundamentais, como um país soberano.
BRASIL. Autoridade Nacional de Proteção de Dados (ANPD). Resolução CD/ANPD nº 31, de 22 de dezembro de 2025. Altera a Agenda Regulatória para o biênio 2025-2026. Diário Oficial da União: Seção 1, Brasília, DF, p. 858, 24 dez. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Diário Oficial da União: Seção 1, Brasília, DF, 15 ago. 2018.
BRASIL. Supremo Tribunal Federal. Ação Direta de Inconstitucionalidade n. 7.896/PR. Relator: Min. Flávio Dino. Decisão de 22 fev. 2026. Brasília, DF: Supremo Tribunal Federal, 2026. Disponível em: https://portal.stf.jus.br/processos/downloadPeca.asp?id=15384207872&ext=.pdf. Acesso em: 4 mar. 2026.
BELLI, L.; JIANG, M. Conclusion: digital sovereignty in the BRICS: structuring selfdetermination, cybersecurity, and control. In: JIANG, M.; BELLI, L. (Ed.). Digital sovereignty in the BRICS countries: how the global South and emerging power alliances are reshaping digital governance. Cambridge: Cambridge University Press, 2025. p. 214–238.
BERCOVICI, Gilberto. A soberania econômica e o desmonte do Estado no Brasil. Desmonte do Estado e subdesenvolvimento: riscos e desafios para as organizações e as políticas públicas federais. Brasília: Associação dos Funcionários do IPEA, 2019. Disponível em: http://afipeasindical.org.br/content/uploads/2019/11/Desmonte-do-Estado-e-Subdesenvolvimento.pdf. Acesso em: 01 mar. 2026.
CASSIOLATO, J. E. et al. Grandes Corporações Digitais e Financeirização: que espaço para a busca de soberania digital? In: LASTRES, Helena Maria Martins; CASSIOLATO, José Eduardo; DANTAS, Marcos (orgs.). Economia política de dados e soberania digital: conceitos, desafios e experiências no mundo. Avaré: Editora Contracorrente, 2025. p. 101-152.
CUKIER, Kenneth; MAYER-SCHÖENBERGER, Viktor. The Rise of Big Data: How It’s Changing the Way We Think About the World. Foreign Affairs, v. 92, n. 3, p. 28–40, May/June 2013. Disponível em: https://www.jstor.org/stable/23526834. Acesso em: 1 mar. 2026.
GOMIDE, Alexandre; LOTTA, Gabriela. Building Resilience, Agility, and Trust: The Neo-Weberian State as a Referential Model for Brazilian Public Administration. Journal of Policy Studies, v. 39, n. 3, p. 45-55, Sep. 2024. DOI: 10.52372/jps39304. Acesso em: 15 nov. 2025.
GROHMANN, Rafael; COSTA BARBOSA, Alexandre. Sovereignty-as-a-service: how big tech companies co-opt and redefine digital sovereignty. Media, Culture & Society, London, v. 47, n. 3, p. 1-18, 2025.
OLIVEIRA, Gustavo Justino de; ZACCARIOTTO, Caio Augusto Santos. O eficientismo administrativo e seu remédio. Consultor Jurídico, 12 out. 2025. Disponível em: https://www.conjur.com.br/2025-out-12/o-eficientismo-administrativo-e-seu-remedio/. Acesso em: 4 mar. 2026.
MATOS, M. G. P.; LEMOS, C; ARROIO, Ana. Panorama e perspectivas do Brasil e a Economia de Dados. In: LASTRES, Helena Maria Martins; CASSIOLATO, José Eduardo; DANTAS, Marcos (orgs.). Economia política de dados e soberania digital: conceitos, desafios e experiências no mundo. Avaré: Editora Contracorrente, 2025. p. 439-480.
MAZZUCATO, Mariana (ed.). State Transformation in Brazil: Designing mission-oriented public procurement, state-owned enterprises and digital public infrastructure to advance sustainable and inclusive growth. UCL Institute for Innovation. Londres: UCL Institute for Innovation and Public Purpose, Policy Report 2024. Disponível em: https://www.ucl.ac.uk/bartlett/sites/bartlett/files/transformacao_do_estado_no_brasil.pdf. Acesso em: 15 nov. 2025.
MAZZUCATO, Mariana. Efficiency at what and for whom? How DOGE represents the latest chapter in the fifty year project to dismantle the state. Mission Economics, 1 ago. 2025. Disponível em: https://marianamazzucato.substack.com/p/efficiency-at-what-and-for-whom?r=2e6t1. Acesso em: 1 mar. 2026.
MAZZUCATO, Mariana; KATTEL, Rainer. Market-Shaping States: A new theory of public sector capacities and capabilities. UCL Institute for Innovation and Public Purpose, Working Paper Series (IPP WP 2026-03). Disponível em: https://www.ucl.ac.uk/bartlett/publications/2026/feb/market-shaping-states-new-theory-public-sector-capacities-and-capabilities. Acesso em: 28 fev. 2026.
POHLE, J.; THIEL, T. Digital sovereignty. Internet Policy Review, 9(4). 2020. https://doi.org/10.14763/2020.4.1532. Acesso em: 11 fev. 2026.
SANTANIELLO, Mauro. Atributes of digital sovereignty: a conceptual framework. Internet Policy Review, Berlin, v. 13, n. 1, p. 1-21, 2024.
SILVEIRA, Sério Amadeu da. Prefácio. In: LASTRES, Helena Maria Martins; CASSIOLATO, José Eduardo; DANTAS, Marcos (orgs.). Economia política de dados e soberania digital: conceitos, desafios e experiências no mundo. Avaré: Editora Contracorrente, 2025. p. 9 – 14.
SCHWAB, Klaus. The Fourth Industrial Revolution. Nova York: Portfolio Penguin, 2017.
TAVARES, André Ramos. A nova Matrix: Direito (re)programando na sociedade plataformizada. São Paulo: Etheria, 2024.
VENTURINI, Otávio; OLIVEIRA, Gustavo Justino de; GLASSMAN, Guillermo. Vazamento de dados sensíveis de HIV/AIDS e a responsabilização do Estado. CartaCapital, 02 out. 2025. Disponível em: https://www.cartacapital.com.br/opiniao/vazamento-de-dados-sensiveis-de-hiv-aids-e-a-responsabilizacao-do-estado/. Acesso em: 15 nov. 2025.
WORLD ECONOMIC FORUM. The Global Risks Report 2025. Genebra: World Economic Forum, jan. 2025. Disponível em: https://reports.weforum.org/docs/WEF_Global_Risks_Report_2025.pdf. Acesso em: 13 mar. 2026.
WORLD ECONOMIC FORUM. The Global Risks Report 2026. Genebra: World Economic Forum, jan. 2025. Disponível em: https://reports.weforum.org/docs/WEF_Global_Risks_Report_2026.pdf. Acesso em: 13 mar. 2026.