A circulação transfronteiriça de dados, a concentração de poder em plataformas e a centralidade de componentes e serviços estratégicos reavivaram o debate sobre soberania digital: a capacidade de um Estado e da sua sociedade de exercer controle efetivo sobre dados, infraestruturas, normas e decisões tecnológicas críticas.

Se, no Estado moderno, a soberania esteve historicamente associada ao controle do território, da população e das fronteiras físicas, no século XXI ela passa a ser tensionada pela centralidade das infraestruturas digitais, pelo fluxo global de dados e pela atuação de plataformas tecnológicas com alcance transnacional.

Assim, a virtualização das relações sociais e econômicas desloca o eixo do poder para espaços não territoriais, como redes, sistemas informacionais e fluxos de dados, desafiando o  paradigma territorial. A chamada soberania digital surge, portanto, como uma categoria em construção, associada à capacidade do Estado definir regras sobre o tratamento de dados, proteger suas infraestruturas digitais críticas, garantir a segurança cibernética de serviços essenciais, e preservar direitos fundamentais no ambiente digital.

Ao longo dos anos, a passagem de infraestruturas on-premises para serviços em nuvem, a globalização de cadeias de semicondutores e software e a escalada de ataques criminosos deslocaram o eixo do debate da mera conformidade técnica para escolhas políticas e industriais. Tal condição intensificou as discussões e o uso cada vez mais frequente do termo ‘soberania digital’, entre acadêmicos e formuladores de políticas, a fim de descrever os esforços de Estados, empresas privadas e grupos de cidadãos para exercer controle sobre tecnologias digitais.

Nesse cenário, a cibersegurança emerge não apenas como uma questão técnica, mas como um tema jurídico-estratégico, diretamente vinculado à autonomia decisória dos Estados, à proteção de direitos fundamentais e à estabilidade institucional. Ataques cibernéticos, vazamentos massivos de dados, dependência de tecnologias estrangeiras e falhas em infraestruturas críticas revelam vulnerabilidades que impactam a própria capacidade estatal de exercer poder.

Do ponto de vista da soberania digital, a cibersegurança assume diferentes dimensões, como a proteção de infraestruturas crítica, tais como os setores de energia, telecomunicações, transporte, sistema financeiro, saúde e administração pública (dentre outros) os quais dependem intensamente de sistemas digitais. É indiscutível que a fragilidade desses sistemas expõe o Estado a riscos sistêmicos, capazes de comprometer a ordem pública, a economia e a segurança nacional.

Outra dimensão atrelada à cibersegurança é a autonomia tecnológica e independência externa. A concentração de tecnologias estratégicas em poucos países ou empresas cria assimetrias de poder e dependência estrutural. A ausência de controle sobre hardware, software, nuvem e sistemas críticos limita a capacidade estatal de resposta a incidentes e decisões soberanas.

E ainda há a dimensão da proteção de dados porquanto constitui o substrato técnico-institucional da efetividade dos direitos fundamentais no ambiente digital. A proteção de dados pessoais, incorporada em diversos ordenamentos constitucionais, não se exaure em princípios normativos abstratos  mas depende materialmente da integridade, confidencialidade e disponibilidade dos sistemas que processam informações. Sem mecanismos robustos de gestão de riscos, controle de acessos, criptografia, resposta a incidentes e governança de vulnerabilidades, a autodeterminação informativa torna-se meramente declaratória.

Tanto assim, que o artigo 44 da Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018,  dispõe que o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: o modo pelo qual é realizado (i.); o resultado e os riscos que razoavelmente dele se esperam (ii.); e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado (iii.). A LGPD impõe responsabilidade jurídica aos agentes de tratamento pelos danos decorrentes da violação da segurança dos dados, ao deixar de adotar medidas de segurança.

O teor do artigo 46 da LGPD complementa que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, sendo que tais medidas devem ser ser observadas desde a fase de concepção do produto ou do serviço (by design) até a sua execução (§ 2º do art. 46 da LGPD).

A cibersegurança, portanto, converte-se em condição de possibilidade da própria tutela da proteção de dados, da privacidade, da dignidade da pessoa humana e da liberdade individual em sociedades altamente dataficadas.

Além disso, a dimensão central da cibersegurança transcende a esfera individual e alcança a proteção estrutural do Estado Democrático de Direito. Vazamentos massivos, manipulações informacionais, ataques a infraestruturas críticas e exploração indevida de dados sensíveis podem comprometer não apenas interesses patrimoniais, mas também processos eleitorais, políticas públicas, estabilidade institucional e confiança social.

Nesse sentido, a cibersegurança assume dupla função, sendo instrumento de concretização de direitos fundamentais e, também, mecanismo de preservação da ordem constitucional em um ambiente digital interdependente.

A proteção de dados, quando articulada a políticas sólidas de segurança da informação, deixa de ser apenas um regime de compliance e passa a integrar o núcleo material da soberania democrática, na medida em que assegura que o poder informacional, tanto  público ou privado, seja exercido sob limites jurídicos e com responsabilidade institucional.