Quando um governo estrangeiro pode suspender o acesso à tecnologia que move sua operação, a pergunta não é mais técnica é estratégica
Na última sexta-feira, o governo dos Estados Unidos determinou à Anthropic a suspensão imediata do acesso a dois de seus modelos de inteligência artificial — o Fable 5 e o Mythos 5 — para todos os usuários estrangeiros. A medida foi formalizada em carta do Secretário de Comércio Howard Lutnick ao CEO Dario Amodei, invocando segurança nacional. Incluindo, vale dizer, os próprios funcionários estrangeiros da empresa.
O pretexto declarado é técnico: o governo americano afirma ter identificado um método de desbloqueio no Fable 5 que poderia ser explorado para atividades de hacking. A própria Anthropic contestou a premissa, afirmando não concordar que uma vulnerabilidade limitada justifique retirar um modelo comercial do acesso de centenas de milhões de pessoas. Mas a empresa cumpriu a ordem. E é aí que começa a discussão que realmente importa.
Do ponto de vista jurídico, o que ocorreu é uma extensão da lógica de controle de exportações — historicamente aplicada a chips, semicondutores e hardware — para o campo do software e, mais especificamente, para modelos de linguagem avançados. É uma inflexão significativa. Quando os EUA restringem a venda de semicondutores à China, estamos no território familiar do direito do comércio internacional. Quando um governo determina, por passaporte, quem pode ou não acessar um software já implantado e disponível na nuvem, estamos diante de algo diferente: a territorialização do intangível.
Juridicamente, isso levanta questões que ainda não temos arcabouço suficiente para responder. O modelo de IA é produto, serviço, infraestrutura crítica ou ativo estratégico? A resposta muda tudo — da tributação ao regime de responsabilidade, da regulação setorial ao direito internacional. Ao tratar o Fable 5 como objeto sujeito a restrição de exportação, o governo americano sinalizou sua própria tese: IA de fronteira é ativo estratégico de Estado. E ativos estratégicos não circulam livremente.
Leia também: Quando o projeto funciona, mas a governança falha.
Para os CEOs que leem este texto, a pergunta prática é direta: o que acontece com a sua operação quando a chave do sistema que você usa está em outra jurisdição e um governo estrangeiro decide girá-la?
Não é hipótese. É o que acabou de acontecer.
Empresas brasileiras que utilizam modelos da Anthropic — para automação jurídica, análise de dados, suporte a decisões clínicas, geração de código — acordaram na última sexta com acesso suspenso. Sem prazo. Sem aviso prévio. Sem qualquer mecanismo de contestação acessível a elas. A decisão foi tomada em Washington, e o efeito chegou ao Brasil como fato consumado.
Isso tem nome no direito: dependência de infraestrutura crítica sob jurisdição estrangeira. E tem implicações diretas sobre continuidade de negócio, gestão de risco regulatório e, cada vez mais, sobre conformidade com a LGPD e com as diretrizes emergentes de governança de IA.
A Lei Geral de Proteção de Dados obriga as organizações a garantir a segurança e a adequação no tratamento de dados pessoais, inclusive quando há transferência internacional. Mas há uma lacuna que poucos gestores enxergam: quando o provedor estrangeiro simplesmente desaparece do mapa regulatório — seja por ordem governamental, por insolvência ou por mudança de política — o controlador brasileiro continua sendo o responsável perante a ANPD e perante o titular dos dados.
A questão não é apenas “onde estão meus dados”. É “quem decide se eu continuo tendo acesso à ferramenta que processa esses dados”. E a resposta, no caso dos modelos de IA mais avançados do mundo, é: não é você.
Há quem leia esse episódio como argumento para o isolacionismo digital ou para o desenvolvimento de uma IA nacional por decreto. Não é o ponto. O ponto é que toda estratégia séria de governança corporativa precisa, agora, incorporar a variável da dependência tecnológica como risco jurídico e operacional concreto.
O Brasil tem o Plano Brasileiro de Inteligência Artificial. Temos universidades com pesquisa de ponta, talentos reconhecidos internacionalmente e empresas com capacidade técnica real. O que nos falta não é infraestrutura latente. É decisão política de mobilizá-la e, no nível corporativo, clareza estratégica sobre os riscos de construir operações críticas inteiramente sobre fundações que não controlamos.
Diversificação de fornecedores, cláusulas contratuais robustas sobre continuidade de serviço, planos de contingência para falhas de acesso a modelos externos e mapeamento de riscos regulatórios decorrentes de dependências tecnológicas: tudo isso deixou de ser recomendação de compliance e passou a ser exigência de gestão.
A ordem americana à Anthropic não é um episódio isolado. É um sinal de onde estamos chegando: um mundo em que o acesso às ferramentas mais poderosas de processamento de informação e tomada de decisão será mediado por geopolítica, por alianças estratégicas e por decisões que o seu departamento jurídico não vai conseguir antecipar com os instrumentos que tem hoje.
Para os que atuam com governança, compliance e direito digital, isso impõe uma atualização urgente do vocabulário de risco. Não se trata mais de perguntar apenas “meu fornecedor está em conformidade com a LGPD?” Trata-se de perguntar: “se esse fornecedor receber uma ordem de um governo estrangeiro amanhã, o que acontece com minha operação?”
Quem não fizer essa pergunta hoje vai receber a resposta da pior forma possível: na prática.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
Advogada especialista em Direito Digital e Segurança da Informação. CEO e sócia-fundadora de Gisele Truzzi Tech Legal Advisory.
Experiência de 20 anos na área do Direito Digital, dos quais 15 são à frente de seu próprio escritório, assessorando empresas e startups a alavancarem seus negócios neste mundo digital, com segurança jurídica, agilidade e inovação
Graduada em Direito pela Universidade Presbiteriana Mackenzie/SP, com pós-graduação em Segurança da Informação, e especialização em Direito Eletrônico pela FGV/RJ. Certificada em Direitos Autorais para a Internet pela Harvard Law School (parceria ITS-RJ).
Pós-graduanda em Neurociências, Comunicação e Desenvolvimento Humano (Centro de Mediadores, Brasília/DF).
Colunista do portal ITForum, para o qual escreve periodicamente sobre Direito e Tecnologia.
Autora de diversos artigos sobre temáticas relacionadas a Direito e Tecnologia, publicados em vários portais, sites, revistas e livros, tais como IstoÉ Dinheiro, Conjur, Galileu, IBDI/IOB, entre outros.
Coautora das obras jurídicas “Direito Digital: Debates Contemporâneos” (Org.: Ana Paula Canto de Lima e outras. RT, 2019) e “Manual de educação digital, cibercidadania e prevenção de crimes cibernéticos” (Org.: Higor Vinícius Nogueira Jorge. Juspodium; 2019)
Professora convidada em cursos de Pós-graduação e MBA, para lecionar disciplinas relacionadas ao Direito Digital, Proteção de Dados e Privacidade, Compliance e Segurança da Informação (EPD/SP, PUC – Campinas, ESA/OAB, UNINASSAU, entre outras instituições).
Condecorada com a medalha Tobias Barreto, pela UNINASSAU/PE, pela qualidade dos serviços jurídicos prestados e compartilhamento de conhecimento com a sociedade.
Ministrou palestras e treinamentos sobre as temáticas nas quais atua, em diversas empresas, órgãos públicos e eventos, tais como: Exército, Tribunal Superior do Trabalho (TST), Escola de Magistratura (EMATRA), PRODAM, PRODESP, FENALAW, CNASI, ICCyber, entre outros.
Responsável pela coordenação de projetos de Compliance em várias empresas, em temáticas relacionadas à Proteção de Dados e Privacidade, Governança Corporativa e Segurança da Informação, entre outros assuntos.
Atualmente assessora diversas empresas que necessitam de suporte jurídico especializado em demandas relacionadas à Tecnologia. Ministra palestras e treinamentos in company.
Login
