O recente possível acordo entre o governo brasileiro e a Amazon Web Services (AWS) para o armazenamento de dados sensíveis trouxe à tona preocupações importantes sobre soberania digital e segurança nacional. Essa negociação, revelada em 16 de outubro, faz parte de um debate maior sobre as implicações jurídicas e geopolíticas de utilizar infraestrutura de uma empresa americana para tratar informações estratégicas do governo.
O que mudou nas regras de nuvem do governo
Logo antes da reportagem, a Gabinete de Segurança Institucional da Presidência (GSI) lançou a Instrução Normativa nº 8/2025, que redefine as diretrizes para o tratamento de informações classificadas em ambientes de computação em nuvem. Agora, dados etiquetados como reservados e secretos podem ser processados em nuvens privadas ou comunitárias, desde que estejam em datacenters localizados no Brasil, operados por prestadores previamente habilitados e auditados.
Em contrapartida, o uso de nuvens públicas ou híbridas ainda é proibido, assim como a transferência de informações ultrassecretas. Além disso, há restrições para cópias e backups fora do território nacional. O GSI se defende, alegando que as novas regras visam estabelecer critérios de segurança e governança para o manejo de dados sensíveis, sem abrir mão do controle estatal sobre a segurança.
Por que a parceria com a AWS preocupa especialistas
O principal temor em relação a essa parceria é de natureza jurídica. Por ser uma empresa americana, a AWS está sujeita ao Cloud Act, que permite que as autoridades dos Estados Unidos solicitem dados, mesmo que armazenados fora de seu território. Isso gera dúvidas sobre a proteção dos dados brasileiros. Além disso, a FISA — especialmente sua Seção 702 — autoriza a coleta de comunicações internacionais com a colaboração de prestadores de serviços de comunicação americanos.
Essa vulnerabilidade é real, como demonstrado por declarações de grandes empresas de tecnologia. Durante uma audiência no Senado francês, a Microsoft admitiu que não pode garantir a soberania absoluta dos dados europeus diante de possíveis solicitações do governo dos EUA. Tal cenário preocupa especialistas, pois colocar os dados estratégicos do Brasil sob uma empresa americana pode aumentar o risco geopolítico.
O que dizem Amazon e GSI
A AWS garante que seus clientes, incluindo governos, mantêm controle total sobre seus dados. A empresa afirma que não acessa, usa ou move as informações sem a autorização do proprietário, e que possui múltiplas camadas de segurança para proteger os dados. No entanto, o GSI reafirma que a nova instrução não fere a soberania, pois impõe salvaguardas rigorosas para o tratamento de dados apenas em território nacional.
Ambas as partes apresentam argumentos para tranquilizar, mas as preocupações persistem no ar.
O ponto jurídico que segue em aberto
O desafio jurídico permanece. Mesmo que existam data centers no Brasil operados por empresas habilitadas, isso não elimina a possibilidade de as leis americanas se aplicarem. A tensão entre o Cloud Act e legislações de privacidade estrangeiras continua a gerar debates em diversas esferas. A questão central é se, mesmo com medidas de segurança contratual, as proteções são suficientes para resguardar os dados brasileiros de ordens extraterritoriais.
Especialistas sugerem que criptografia e rigorosos controles de acesso podem ajudar a mitigar riscos, mas sempre há a sombra da imposição de ordens legais que podem forçar o provedor a cumprir determinações.
Quem é Sean Roche e por que ele é citado
Um detalhe que pesa nesse debate é o perfil de Sean Roche, um executivo da AWS com um histórico na CIA. Essa conexão com a inteligência americana aumenta a cautela em relação a essa parceria, principalmente para um país que busca preservar sua soberania informacional.
E a Autoridade Nacional de Proteção de Dados
A ANPD, que vem ampliando sua atuação desde 2024, também tem um papel a desempenhar aqui. Mesmo que a norma do GSI trate de informações de segurança do Estado, qualquer manejo de dados pessoais está sujeito à LGPD, e, em caso de violações, a ANPD pode intervir. A entidade já afirmou que não participou do processo de elaboração da nova norma, mas ficará atenta a irregularidades.
O que observar a partir de agora
A confirmação do acordo e seus termos contratuais serão fundamentais para entender os níveis de proteção propostos. Questões como quem gerencia as chaves criptográficas, a segregação física e lógica da infraestrutura, e a possibilidade de auditorias governamentais são aspectos cruciais que poderão indicar a segurança dos dados. O exemplo europeu, onde a Microsoft reconheceu limites a promessas de total soberania, servirá como importante referência para o Brasil.
A discussão não se resume a escolher um fornecedor, mas a definir qual tipo de poder e proteção o Brasil deseja estabelecer para informações sensíveis em um ambiente digital.
