PORTFÓLIO
Capital estrangeiro, benefícios fiscais e soberania digital: o que está em jogo no PLP 246/2025
O PLP 246 corrige um critério ineficaz, mas ainda falta vincular incentivos fiscais a padrões concretos de proteção digital.
Antonielle Freitas
Graduada em Direito pela Universidade Estadual de Ponta Grossa, pós-graduada em Direito Digital pela Escola Brasileira de Direito e em Direito Processual Civil pela Pontifícia Universidade Católica de São Paulo. Certificada como Data Protection Officer (DPO) junto ao EXIN e em segurança cibernética (Cybersecurity Essencials) pela Cisco Networking Academy, atua como “Data Protection Officer”, implantando programas de adequação às legislações de proteção de dados pessoais.
2/3/2026
O debate sobre segurança cibernética deixou de ser apenas técnico. Em um cenário de digitalização intensa da economia, proteção de dados, continuidade de serviços públicos e defesa de infraestruturas críticas, discutir quem pode atuar no mercado de cibersegurança, em quais condições e com quais incentivos fiscais é, na prática, discutir soberania digital. É nesse contexto que se insere o Projeto de Lei Complementar nº 246, de 2025, apresentado no Senado Federal.
A Lei Complementar nº 214, de 2025, estabeleceu, no art. 142, II, redução de 60% nas alíquotas do Imposto sobre Bens e Serviços (IBS) e da Contribuição sobre Bens e Serviços (CBS) para operações e prestações de serviços de segurança da informação e segurança cibernética elencadas no Anexo XI. Para acesso a esse benefício, porém, foi inserida a exigência de sócio brasileiro com participação mínima de 20% do capital social da empresa.
O PLP 246/2025, de autoria do senador Mecias de Jesus, altera exatamente esse ponto: substitui a exigência de participação de sócio brasileiro pela condição de que os serviços sejam desenvolvidos por sociedade estabelecida no Brasil e que disponha de representante legal no país. Em outras palavras, retira o filtro baseado na origem do capital e o substitui por um critério de presença e responsabilização jurídica no território nacional.
Substituir a exigência de sócio brasileiro por presença jurídica no país é avanço, mas soberania vai além do contrato social.Freepik
A fragilidade do critério da origem do capital
Vincular benefícios tributários à participação societária de capital brasileiro é uma estratégia que costuma ser justificada por objetivos de política industrial ou proteção de setores sensíveis. No caso da cibersegurança, porém, esse modelo mostra-se pouco eficiente do ponto de vista jurídico, econômico e técnico.
Do ponto de vista jurídico-constitucional, o próprio autor do PLP destaca, na justificativa, que a exigência de sócio brasileiro não encontra respaldo na Constituição e contraria princípios que a Emenda Constitucional nº 132, de 2023, pretendeu reforçar na Reforma Tributária: neutralidade, isonomia e livre concorrência, especialmente em setores estratégicos. A vinculação do benefício à origem do capital, sem correlação direta com segurança ou interesse público específico, abre espaço para alegações de discriminação indevida e distorção concorrencial.
Sob a ótica econômica, trata-se de uma barreira artificial à entrada ou operação de players globais, em um mercado em que escala, capacidade de investimento e atualização tecnológica constante são cruciais. Ao condicionar o benefício fiscal a uma configuração societária específica, descolada de critérios técnicos de segurança, o país pode acabar restringindo o acesso a soluções avançadas que seriam importantes para a própria defesa cibernética nacional.
Do ponto de vista técnico, a exigência de um percentual mínimo de capital nacional nada diz sobre a qualidade das soluções, os padrões de segurança adotados, a governança de dados ou a capacidade de resposta a incidentes. Em cibersegurança, soberania digital não se mede por porcentagens no contrato social, mas pela capacidade de o Estado regular, fiscalizar, exigir transparência e responsabilizar empresas que atuam em seu território.
A mudança de eixo proposta pelo PLP 246/2025
O PLP 246/2025 propõe, portanto, uma mudança de eixo: em vez de exigir sócio brasileiro com participação mínima, passa a exigir que a sociedade esteja estabelecida no Brasil e disponha de representante legal no país.
Essa solução é, ao que tudo indica, juridicamente mais consistente e regulatoriamente mais inteligente por três razões principais, que dialogam com a própria justificativa do projeto:
- Submissão plena ao ordenamento jurídico brasileiro
A exigência de estabelecimento e representante legal no Brasil garante que a empresa esteja submetida de forma efetiva ao ordenamento jurídico e à fiscalização nacional. Torna mais viável, na prática, fiscalizar operações, exigir informações, impor sanções e buscar reparação de danos em temas como incidentes de segurança, falhas de serviço e violações de proteção de dados.
- Alinhamento com os princípios da Reforma Tributária
Ao retirar um critério baseado na origem do capital, o PLP aproxima o regime de benefícios fiscais dos princípios de neutralidade, isonomia e livre concorrência consagrados pela EC nº 132/2023. Em vez de criar reservas de mercado indiretas, passa a privilegiar critérios objetivos de sujeição jurídica ao país.
- Ambiente mais competitivo e acesso a tecnologias globais
A nova redação evita que o benefício fiscal funcione como barreira artificial à entrada de empresas estrangeiras de cibersegurança, o que tende a ampliar a concorrência e o acesso a tecnologias globais necessárias à proteção digital. Em um setor em que a diversidade de soluções e fornecedores é fator de resiliência, essa abertura é relevante.
Nessa perspectiva, o PLP 246/2025 corrige um desenho normativo que confundia política industrial com exigência formal de capital nacional e colocava a ênfase no lugar errado.
Avanço real, mas com lacunas importantes
Embora represente um avanço na forma de estruturar o benefício fiscal, o PLP 246/2025 não esgota o debate sobre segurança cibernética, proteção de dados e soberania digital. Há lacunas importantes que merecem ser reconhecidas.
A primeira delas é que o projeto se limita a trocar o critério de acesso ao benefício, sem atrelar essa vantagem a contrapartidas concretas em segurança. Não há previsão de vincular a fruição do benefício à comprovação de conformidade com a Lei Geral de Proteção de Dados (LGPD), à adoção de padrões mínimos de segurança cibernética ou à submissão a auditorias e mecanismos robustos de transparência técnica. Concede-se um incentivo fiscal relevante, mas sem utilizar esse instrumento para alavancar diretamente o nível de proteção digital do país.
A segunda lacuna diz respeito à política industrial e tecnológica. Ao remover uma barreira artificial, o projeto tende a ampliar a concorrência, o que é positivo. Porém, não vem acompanhado de medidas de fomento à indústria nacional de cibersegurança – como incentivos à pesquisa e desenvolvimento local, programas estruturados de formação de talentos ou diretrizes de contratações públicas que valorizem soluções desenvolvidas no Brasil. Sem esse complemento, há o risco de aprofundar a dependência tecnológica em relação a grandes players internacionais, sem construir, de forma consistente, capacidades domésticas.
A terceira é a dimensão mais sensível da soberania digital. A exigência de sede e representante legal no Brasil é importante, mas não responde sozinha a questões como: localização ou espelhamento de dados sensíveis em território nacional; proteção de infraestruturas críticas; riscos geopolíticos de depender de fornecedores sujeitos a legislações estrangeiras potencialmente conflituosas; e mecanismos de revisão periódica dos benefícios fiscais concedidos. Esses temas permanecem à margem do texto e demandam tratamento em legislação específica ou em aprimoramentos futuros.
Soberania digital para além do capital nacional
O temor de dependência excessiva de soluções estrangeiras em setores sensíveis é legítimo, mas a solução não está em requisitos formais de composição societária que pouco dialogam com segurança efetiva. Soberania digital se constrói com:
- marcos regulatórios claros em segurança da informação e proteção de dados;
- instituições com capacidade técnica, humana e orçamentária para fiscalizar e sancionar;
- padrões mínimos obrigatórios para atuação em setores críticos, independentemente da origem do capital;
- exigências de transparência, auditoria e governança para fornecedores de serviços essenciais.
A exigência de estabelecimento e representante legal no Brasil, como propõe o PLP 246/2025, caminha nessa direção ao reforçar a capacidade de controle jurídico e de enforcement. Para que essa mudança se traduza em ganhos estruturais, entretanto, é necessário articulá-la com políticas de fortalecimento da indústria nacional, de proteção de infraestruturas críticas e de alinhamento com a LGPD e demais normas setoriais.
Conclusão
O PLP 246/2025 acerta ao retirar a exigência de sócio brasileiro com participação mínima de 20% como condição para acesso ao benefício fiscal previsto no art. 142, II, da LC 214/2025, substituindo-a pela necessidade de que a sociedade esteja estabelecida no Brasil e disponha de representante legal no país. Ao deslocar o foco da origem do capital para a responsabilização jurídica, o projeto se alinha aos princípios da Reforma Tributária, reduz distorções concorrenciais e reforça a capacidade do Estado de fiscalizar empresas de cibersegurança que atuam em território nacional.
Isso não significa, contudo, que o debate esteja encerrado. Ainda falta vincular o benefício fiscal a contrapartidas objetivas em segurança e inovação, bem como integrar essa disciplina com uma estratégia mais ampla de soberania digital, proteção de infraestruturas críticas e desenvolvimento de capacidades tecnológicas próprias.
Em síntese, o PLP 246/2025 é um passo importante na direção correta: corrige um critério societário pouco eficaz e coloca a responsabilização jurídica no centro do desenho dos incentivos. O desafio que se coloca, a partir daí, é utilizar a política tributária e regulatória de forma mais estratégica, para não apenas atrair empresas estrangeiras, mas também elevar o nível de proteção digital do país e fortalecer, de forma sustentável, o ecossistema brasileiro de cibersegurança.
