Da Redação
Tribunal identificou brecha que pode permitir acesso estrangeiro a informações de órgãos como Banco Central, MEC e INSS
O Serpro (Serviço Federal de Processamento de Dados) deve revisar o contrato firmado com a Amazon. A determinação é Tribunal de Contas da União (TCU) após identificar que o modelo contratado pode abrir caminho para que autoridades estrangeiras acessem dados públicos brasileiros. A decisão também aponta risco semelhante em um contrato da Dataprev com a Amazon Web Services (AWS). As duas empresas são estatais federais de tecnologia e operam a chamada Nuvem de Governo — infraestrutura criada para hospedar dados da administração pública.
Por que o TCU vê risco no contrato com a Amazon?
O problema está na solução chamada AWS Outposts, modelo de computação em nuvem utilizado por Serpro e Dataprev. Segundo o TCU, a redação do contrato permite interpretações que colocariam os dados públicos brasileiros sob a influência de leis estrangeiras — entre elas o Cloud Act, legislação norte-americana que pode obrigar empresas dos EUA a compartilhar dados com o governo americano, mesmo que as informações estejam armazenadas em outros países.
Em outras palavras: haveria risco real de que a Amazon, para cumprir ordens de autoridades dos Estados Unidos, entregasse informações que deveriam estar protegidas sob a legislação brasileira.
Soberania dos dados avaliada como “baixa”
O TCU realizou uma análise qualitativa dos contratos e classificou o nível de soberania dos dados hospedados na AWS Outposts como baixo — a menor pontuação no índice criado pela própria Corte para medir esse critério. O acórdão aponta que a solução pode ter dificuldades para atender plenamente a requisitos como residência de dados em território nacional, controle operacional e independência de infraestrutura externa.
Em termos simples: o Estado brasileiro teria controle limitado sobre onde e como esses dados são geridos, o que é considerado inaceitável para informações sensíveis da administração pública.
Quais órgãos têm dados nas estatais afetadas?
O Serpro presta serviços tecnológicos para órgãos federais e mantém relações contratuais com o Banco Central (BC) e o Ministério da Saúde (MS). Já a Dataprev, focada no processamento de informações previdenciárias, tem contratos com o Ministério da Educação (MEC), o Ministério da Agricultura (Mapa) e o Instituto Nacional do Seguro Social (INSS).
O TCU não detalhou quais dados específicos desses órgãos estão hospedados nas soluções da Amazon, mas a presença de informações previdenciárias e financeiras já é suficiente para acender o sinal de alerta.
Onde estão os servidores?
No caso da Dataprev, o TCU registrou que a infraestrutura da AWS estava instalada apenas no data center localizado em São Paulo. A solução da Oracle, por outro lado, estava concentrada no data center do Rio de Janeiro. A solução da Huawei também estava presente somente em São Paulo. A decisão não menciona planos de migração ou redistribuição desses servidores.
O que o TCU determinou?
O tribunal recomendou que o Serpro tome medidas concretas para revisar o contrato com a Amazon e reduzir os riscos identificados. Embora não tenha fixado prazo, a determinação já está em vigor. O caso pode influenciar a forma como estatais brasileiras contratam serviços de computação em nuvem daqui para frente — sobretudo quando o assunto envolve dados sensíveis do governo federal.
