Faz sentido a regulação de data centers para IA no Brasil?

O grande “hype” da inteligência artificial e a atenção que vem ganhando na mídia internacionalmente têm alimentado o ânimo dos legisladores no Brasil, sendo exemplo disso a série de proposições com o objetivo de regular diferentes facetas ou implicações da tecnologia. O principal projeto de lei é o PL 2338/2023, recentemente aprovado pelo Senado e que hoje tramita na Câmara dos Deputados.

Ao lado dele, há projetos de lei que pretendem regular a utilização de ferramentas de IA para gestão e manutenção de dados no SUS (PL 1522/2024), a titularidade de invenções geradas de forma autônoma por sistemas de IA (PL 303/2024), e para obrigar empresas de IA a disponibilizarem ferramentas para autores restringirem o uso de seus conteúdos pelos algoritmos (PL 1473/2023).

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

Tais projetos preocupam-se principalmente com os impactos das aplicações de IA em diferentes campos sobre direitos individuais ou interesses coletivos.

Mas, dentre todas as iniciativas, chama a atenção o PL 3018/2024, que se volta para a infraestrutura de processamento para desenvolvimento e aplicação de sistemas de IA, ou seja, os data centers.

Confusão entre hardware e software

O novo ímpeto regulatório já parte de uma confusão fundamental entre os níveis físico, de hardware, e de programação, de software de sistemas de TI. Data centers correspondem à camada física composta por hardwares e tem por finalidade receber e armazenar dados e oferecer a infraestrutura de capacidade computacional para seu processamento.

O operador de data center em sentido estrito (i.e., que não atua como empresa de IA que possui sua própria infraestrutura) não tem qualquer papel sobre a programação e sobre a operação do software, ou seja, sobre quais dados, de que tipo e para qual finalidade são processados. Esse controle é da empresa desenvolvedora de IA ou operadora de sistemas de IA que usam o data center para processar as inferências ou requisições de tarefas com os inputs de dados.

Assim, não faz sentido atribuir obrigações ao operador de data center ligadas ao controle de finalidade de uso dos dados, ou em relação ao uso responsável de IA, para mitigar riscos decorrentes da aplicação desses sistemas, tais como as obrigações de transparência sobre o uso, sobre os dados e o modelo de IA operado. Isso é matéria já discutida no PL 2338.

Já a obrigação de “assegurar a privacidade e a proteção de dados pessoais, em conformidade com a LGPD” (art. 3º, II), somente faria sentido se fosse limitada à exigência de observância às melhores práticas de segurança de dados ou cibernética, mas tal obrigação já está contida no inciso I do mesmo artigo, que atribui ao operador o dever de “garantir a segurança física e cibernética dos dados armazenados e processados”.

Tampouco faz sentido ao fornecedor de infraestrutura conduzir auditorias para fiscalizar se o uso dos dados por seus clientes se faz em conformidade com a legislação. A interoperabilidade e portabilidade dos dados também diz respeito a prerrogativas e limitações dos detentores dos dados em relação a exercícios de direitos de terceiros sobre esses dados, ou seja, também não diz respeito a hardware.

O mesmo raciocínio vale para as obrigações de governança de dados, dos quais o data center não é controlador nem operador, nem desenvolvedor de IA, de modo que designar encarregado, realizar avaliações de impacto ou cuidar de dados sensíveis também estão fora de lugar, a não ser em aspectos pontuais de segurança cibernética, que, quanto se referir a dados pessoais já estão abrangidos pela LGPD.

Qual data center?

O PL regula objetos ainda inexistentes no Brasil, que seriam data centers dedicados integralmente a IA. Fóruns especializados de debate, com as autoridades governamentais envolvidas na temática, projetam que o funcionamento destas estruturas será viabilizado num horizonte entre três e cinco anos, dada a enorme exigência desses data centers em termos de capacidade de armazenamento, distribuição de energia e velocidade de conexão.

Mas ainda que seja uma regulação bastante prospectiva, seria necessário especificar de quais data centers tratamos – e apenas faz sentido que sejam infraestruturas de alta capacidade de processamento de dados – , sob pena de submeter às obrigações legais os operadores de data centers menores, que não processam IA.

Na “Estratégia para a implementação de política pública para atração de Data Centers”, por exemplo, documento publicado pelo Ministério do Desenvolvimento, Indústria, Comércio e Serviços – MDIC, embora não trate exclusivamente de IA, define-se como data centers estratégicos para o Brasil aqueles classificados como Tier3 (Padrão Internacional), com foco em colocation, alta densidade (mais de 7kva/rack)l[1].

Entretanto, o PL não prevê critério de volumetria, segurança, disponibilidade ou redundância para classificar os data centers que de fato são relevantes e justificam a criação de regras de governança por lei, o que pode tornar a aplicação da norma extremamente dispendiosa para operadores de data centers que não possuem essa escala.

Que lei?

A lei não estabelece sanções na hipótese de descumprimento de suas prescrições. O artigo 7º apenas remete, sem maiores detalhamentos, às sanções presentes na “legislação vigente”. Mas a quais leis se refere o Projeto de Lei?

De duas uma: ou não se estabelece obrigações novas e, portanto, é uma lei que apenas reforça deverem ser aplicadas as sanções das obrigações presentes em outras leis que forem violadas, ou o PL estabelece obrigações novas, cujo descumprimento não poderia levar a punições previstas para outro tipo de conduta.

Essa indefinição é notável também ao não constar no texto qual seria a autoridade responsável pela fiscalização do cumprimento das obrigações nele dispostas, o que pode a posteriori criar conflitos positivos e negativos de agências.

Qual modelo regulatório?

O PL propõe uma regulação intrusiva, na contramão do modelo responsivo cada vez mais em debate no ambiente regulatório brasileiro. Não são previstos mecanismos de fomento que bonifiquem os operadores que seguirem as obrigações previstas.

Na União Europeia, por exemplo, o Data Centers Code of Conduct não cria obrigações vinculativas, mas padrões voluntários aplicáveis às empresas que adorarem tecnologias sustentáveis e eficiência energética. Os participantes se sujeitam às melhores práticas definidas no documento e às respectivas auditorias e aqueles que demonstrarem uma redução significativa em seu consumo de energia são elegíveis a incentivos financeiros.

O Brasil possui uma matriz energética predominantemente renovável, o que confere ao país uma vantagem única: sua capacidade de oferecer uma infraestrutura energética limpa e abundante, ideal para a instalação de grandes data centers.

Em um momento em que a sustentabilidade e a eficiência energética se tornaram requisitos essenciais para o desenvolvimento tecnológico, essa característica do Brasil é um ativo valioso que deveria ser destacado na regulação, não negligenciado.

A regulação da IA no Brasil deve ser um canal de fomento ao crescimento de um ecossistema tecnológico que aproveite as fontes renováveis de energia do país. Apenas assim será possível criar um ambiente competitivo, sustentável e inovador, capaz de atrair grandes desenvolvedores e colocar o Brasil no centro da produção e processamento de IA verde.

Conclusão

No afã de ser pioneiro na regulação da IA, o PL sobre data centers apresenta um exemplo problemático, típico de um descuido regulatório. O texto revela um claro desconhecimento sobre o objeto da regulação e impõe sobreposições com outras legislações, além de criar obrigações que não dizem respeito aos operadores de data centers, mas sim a desenvolvedores e operadores de software, gerando insegurança jurídica.

Isso reflete uma falha significativa, pois se perde a oportunidade de criar um ambiente que incentive investimentos em tecnologias voltadas à eficiência energética e à “IA verde”, uma área estratégica para o futuro do país.

[1] P. 17, https://www.gov.br/mdic/pt-br/assuntos/comercio-e-servicos/comercio/estudo_completo_datacenters_jun2023.pdf