Em tempos de crescente demanda por infraestrutura digital e protagonismo da Inteligência Artificial (IA), um novo projeto de lei começa a ganhar destaque no Brasil: o PL 3.018/2024.
A proposta, atualmente em tramitação no Senado, pretende regulamentar a operação de data centers voltados ao processamento de aplicações baseadas em IA, com foco na segurança, na eficiência tecnológica e na sustentabilidade.
Para entender os impactos e as controvérsias por trás do projeto, conversamos com Henrique Fabretti, mestre em Direito e Tecnologia e CEO do escritório Opice Blum Advogados, referência na área de regulação digital.
Acompanhe mais sobre o tema a seguir!
PL de data centers: uma definição que não se sustenta
O primeiro ponto de atenção para a PL de data centers, segundo Fabretti, está justamente na forma como o projeto define o objeto de sua regulamentação.
“O PL 3.018/2024 não define o papel da IA na gestão do data center, mas sim regulamenta o data center cuja finalidade é servir a aplicações de IA”, sintetiza o advogado.
Ele prossegue dizendo que: “O foco da lei não é em como a IA pode otimizar um data center, ela tenta criar regras para a infraestrutura física que hospeda aplicações de IA. Essa abordagem soa superficial e revela uma complexidade operacional imensa que parece não ter sido levada em consideração”.
Na prática, explica ele, data centers modernos operam com estruturas altamente virtualizadas, em que cargas de trabalho são dinâmicas e compartilhadas.
“Isolar um servidor ou um rack e rotulá-lo como ‘de IA’ é, na maioria dos casos, inviável”, pontua o especialista.
Segundo Fabretti, para operadores de colocation — que alugam espaço e energia sem controle sobre os softwares em execução — essa definição torna-se especialmente problemática.
Segurança e privacidade: mais do mesmo?
Um dos principais pilares do PL é a proteção dos dados processados por aplicações de IA. O texto exige, entre outras medidas, segurança física e cibernética, governança de dados e capacitação de funcionários.
No entanto, Fabretti alerta para uma sobreposição com outras normas já vigentes: “O texto dedica vários artigos para listar obrigações que já são pilares da Lei Geral de Proteção de Dados (LGPD), como a nomeação de um DPO, a realização de avaliações de impacto e a garantia de segurança. Portanto, são desnecessários”.
Ele observa que o projeto parte de uma premissa equivocada: a de que o operador do data center tem visibilidade das aplicações que rodam em seus equipamentos.
Conforme Fabretti: “Isso não é verdade, e muitas vezes essa falta de visibilidade é, inclusive, uma medida de segurança desejável”.
Assim, do ponto de vista jurídico, os instrumentos já existentes, como a própria LGPD e o Código Civil, seriam suficientes para responsabilizar incidentes envolvendo dados.
Sustentabilidade: ponto positivo, mas ainda raso
A proposta também traz um capítulo voltado à sustentabilidade ambiental, algo que Fabretti considera como um dos poucos avanços concretos do texto.
Na opinião do advogado: “A promoção da sustentabilidade é um dos eixos centrais do PL e talvez seja a única parte que, se for melhor estruturada, pode trazer benefícios ao país”.
Dentre as diretrizes propostas estão: o uso de energia renovável, sistemas de resfriamento eficientes, otimização de hardware e transparência no consumo energético, com exigência de relatórios anuais contendo metas e resultados.
No entanto, mesmo nesse ponto há lacunas:
“O texto impõe uma série de regras, mas não oferece qualquer tipo de incentivo fiscal ou regulatório para a transição. E ignora completamente o consumo de água, um dos maiores desafios ambientais dos data centers”.
Exigências de transparência: quem pode cumprir?
O PL 3.018/2024 também estabelece obrigações de transparência e prestação de contas, como a divulgação da origem dos dados, a rastreamento das operações e a manutenção de registros por pelo menos cinco anos.
Mas, segundo Fabretti, a proposta não considera os diferentes modelos de negócio do setor.
Ele explica que: “Na grande maioria dos casos, os operadores de data centers não têm ingerência ou controle dos sistemas e dados que estão rodando em suas infraestruturas. Essa falta de visibilidade, inclusive, é uma medida de segurança necessária”.
E complementa: “Vejo esta parte do PL como completamente inexequível e, caso passe da forma como está, será muito prejudicial ao setor”.
Responsabilidade civil: um vácuo perigoso
Outro ponto sensível está na definição de responsabilidades legais no uso da IA. Aqui, o PL opta por uma abordagem genérica, apenas indicando que o descumprimento da norma sujeita os operadores às sanções da legislação vigente.
“O projeto de lei não cria um regime de responsabilidade civil específico para o uso de IA em data centers”, destaca Fabretti.
O especialista aponta que o PL falha em endereçar uma questão fundamental: “Como responsabilizar um operador de infraestrutura — que apenas aluga espaço, energia e refrigeração — pelas ações de um sistema de IA que ele não desenvolveu nem opera?”.
De modo geral, o PL 3.018/2024 é apresentado com a promessa de garantir mais segurança, transparência e sustentabilidade no ecossistema digital brasileiro. No entanto, à luz da análise jurídica e técnica, a proposta apresenta fragilidades conceituais e operacionais que podem dificultar — ou até inviabilizar — a sua aplicação prática.
Como destaca Henrique Fabretti, há boas intenções no texto, especialmente no que tange à pauta ambiental, mas falta alinhamento com a realidade técnica do setor e com os instrumentos jurídicos já existentes.
Sem esse alinhamento, o risco é de criar uma legislação que mais confunde do que protege, e que prejudica um setor estratégico para a economia digital brasileira.
Para seguir se informando sobre o tema, leia agora nosso texto sobre Inteligência Artificial e segurança de dados: uma nova perspectiva corporativa.
Tags
