Opinión Data centers: la pieza clave que puede definir la soberanía digital de Brasil
La nueva política nacional de data centers avanza, pero sin una regulación rígida y una inversión pública en energía e infraestructura el país corre el riesgo de crear vulnerabilidades estratégicas.
La Cámara de Diputados aprobó recientemente el proyecto que instituye la Política Nacional de Data Centers, una medida que ha recibido elogios por su intención de reforzar la soberanía digital brasileña. Sin embargo, la simple existencia de una normativa no basta para garantizar que los centros de datos se conviertan en guardianes de la independencia tecnológica y no en puntos débiles explotables por actores internos o externos.
El texto aprobado define directrices para la operación de estos núcleos de procesamiento y almacenamiento, prioriza el acceso preferencial a redes de transmisión eléctrica en zonas con excedente de generación y autoriza la financiación de infraestructura energética sin que los costos se trasladen a los usuarios. En apariencia, parece una fórmula equilibrada entre estímulo al sector y protección del consumidor.
Lo que falta, y donde radica la mayor amenaza, es la ausencia de un marco regulatorio que coloque la seguridad y la protección de datos por delante de los incentivos tributarios. Durante la tramitación se suprimieron los beneficios fiscales, bajo el argumento de que la "conexión célere" es un diferencial competitivo tan relevante como cualquier reducción impositiva. Esta postura, aunque lógica desde el punto de vista de la competitividad, no aborda la cuestión esencial: ¿qué ocurre si una infraestructura crítica depende de un suministro eléctrico garantizado pero vulnerable a interrupciones o ataques?
Los data centers, por su propia naturaleza, son imanes de información sensible: datos bancarios, registros de salud, algoritmos de inteligencia artificial y, cada vez más, datos estratégicos vinculados a la defensa y la seguridad pública. La normativa incluye la creación de "embajadas de datos", una figura que permitiría albergar información de gobiernos extranjeros bajo condiciones de reciprocidad. En esos casos, los datos quedarían exentos de la Ley General de Protección de Datos (LGPD) y de normas de ciberresiliencia brasileñas, aunque seguirían sujetos a regulaciones ambientales y de seguridad contra incendios. La excepción a la Ley de Protección de Datos crea un vacío legal que, sin supervisión estricta, puede abrir la puerta a vulnerabilidades operativas y de espionaje.
Para los ejecutivos que evalúan la expansión de sus operaciones en Brasil, el mensaje es claro: la promesa de acceso prioritario a energía no reemplaza la necesidad de garantías robustas en ciberseguridad y resiliencia física. La normativa prevé que los operadores quedarán exentos de responsabilidad civil y penal por el contenido almacenado, siempre que los contratos impidan el acceso a los datos. No obstante, la exención no cubre "fallas de seguridad en la infraestructura", un punto que, si bien suena técnico, implica que cualquier brecha derivada de una mala gestión de la energía, del clima o de la conectividad podrá revertir la exención y derivar en sanciones.
En la práctica, la vulnerabilidad se materializa cuando la infraestructura eléctrica no está diseñada para soportar picos de demanda o eventos climáticos extremos. Brasil posee regiones con excedente de generación hidroeléctrica, pero también enfrenta sequías prolongadas que afectan la disponibilidad de agua para la producción de energía. Si los data centers se instalan en zonas sin planes de contingencia energética, la interrupción de suministro puede traducirse en pérdida de datos críticos, afectando no solo a empresas privadas sino también a servicios públicos esenciales.
Una política nacional de data centers debe ir más allá de la priorización del suministro eléctrico. Necesita establecer requisitos obligatorios de redundancia de energía, certificaciones de resiliencia ante desastres naturales y auditorías independientes de ciberseguridad. Además, el Estado debe acompañar con inversión directa en redes de transmisión y en sistemas de almacenamiento de energía, garantizando que la prioridad de acceso no sea una promesa vacía que dependa exclusivamente de la capacidad de inversión de los operadores privados.
Desde la perspectiva empresarial, la ausencia de incentivos tributarios puede ser compensada por una infraestructura confiable que reduzca los costos operativos derivados de interrupciones y multas regulatorias. Los directores deben exigir cláusulas contractuales que incluyan niveles de servicio (SLAs) vinculados a la disponibilidad energética y a la integridad de los sistemas de seguridad, con penalizaciones claras en caso de incumplimiento.
En suma, la iniciativa legislativa abre una ventana para que Brasil defina su arquitectura digital, pero el riesgo de convertir los data centers en puntos de falla estratégica es real. La prioridad debe ser la creación de un ecosistema donde la seguridad de la información y la resiliencia energética sean condiciones sine qua non, antes que meros atractivos fiscales.
Para los líderes empresariales latinoamericanos, la lección es doble: monitorear de cerca la evolución de esta política y, simultáneamente, diseñar una estrategia que incluya inversiones en infraestructura energética propia o acuerdos de suministro garantizado. Sólo así los data centers podrán cumplir su promesa de ser auténticos pilares de la soberanía digital, y no simples atractivos de mercado que, de romperse, comprometan la privacidad ciudadana y la independencia tecnológica del país.
