- O Tribunal de Contas da União recomendou que o Serpro reveja o contrato com a Amazon, por risco de acesso a dados públicos por autoridades estrangeiras.
- A redação do acordo com a AWS precisa deixar explícito que eventual acesso só pode ocorrer por determinação de autoridades brasileiras.
- O risco de soberania também aparece em contrato da Dataprev com a AWS, ambas envolvidas na Nuvem de Governo via AWS Outposts.
- O TCU classificou o nível de soberania dos dados hospedados na AWS Outposts como “baixo” e apontou possibilidade de divulgação a fim de cumprir ordens internacionais.
- O tribunal determinou planos de redundância geográfica para Serpro e Dataprev, com pelo menos dois data centers distintos por fornecedor, a ser implementado em até 180 dias.
O Tribunal de Contas da União (TCU) recomendou revisar contratos entre estatais de TI e a Amazon Web Services (AWS) por risco de acesso a dados públicos por autoridades estrangeiras. A medida envolve o Serpro e a Dataprev, empresas públicas ligadas à governança da nuvem de governo. A decisão foi aprovada pelo plenário na quarta-feira, 10 de junho de 2026, e consta em acórdão com a íntegra disponível.
Segundo o TCU, uma cláusula do contrato do Serpro com a AWS deve ser aditada para vedar qualquer acesso decorrente de ordens estrangeiras, deixando explícito que eventuais acessos só podem ocorrer por determinação de autoridades brasileiras. O risco também aparece em contrato da Dataprev com a AWS. Serpro e Dataprev operam a infraestrutura da Nuvem de Governo, grupo de serviços que armazena dados da administração pública em ambiente controlado pelo Estado.
A AWS atua por meio da solução Outposts, instalada em data centers das estatais. Assim, equipamentos e gestão ficam no Brasil, mas parte da tecnologia permanece sob controle da AWS, incluindo monitoramento e telemetria. O BC, o MEC, o INSS e o Ministério da Agricultura também aparecem nos contratos que envolvem a AWS.
Risco à soberania de dados
O Serpro presta serviços a órgãos federais e tem vínculos contratuais com o Banco Central e o Ministério da Saúde. O TCU aponta que dados sensíveis podem estar hospedados junto à AWS Outposts, com potencial de divulgação para cumprir leis ou ordens estrangeiras. Em relação à Dataprev, a decisão cita contratos com o MEC, o Mapa e o INSS, entre outros.
A avaliação do TCU aponta que o nível de soberania dos dados hospedados na AWS Outposts é considerado baixo pelo tribunal. O acórdão sustenta que a solução Outposts pode não atender plenamente aos requisitos de residência de dados, controle operacional e dependência de infraestrutura externa. O texto também alerta para possibilidades de submissão a ordens de autoridades estrangeiras, sob legislações como o Cloud Act.
redundância geográfica
O tribunal determinou que Serpro e Dataprev apresentem, em até 180 dias, plano de ação para redundância geográfica. O objetivo é manter pelo menos dois data centers distintos por fornecedor, com detalhamento de atividades, responsáveis e prazos, conforme portaria de 2023. A redundância busca reduzir pontos únicos de falha e aumentar a resiliência dos serviços.
Conforme o acórdão, a Dataprev utiliza Huawei e AWS com presença em São Paulo, e Oracle no Rio de Janeiro. No Serpro, a Oracle opera em Brasília e São Paulo, enquanto AWS, Huawei e Google atuam apenas em Brasília. O relatório indica que apenas a solução Oracle do Serpro ofereceria, à época, redundância geográfica para a nuvem de governo.
Entre na conversa da comunidade