Chinês (Simplificado) 
Chinês (Tradicional) 
Inglês 
Francês 
Alemão 
Italiano 
Japonês 
Norueguês 
Espanhol 
6 min de leitura
1 comentários
A negociação entre o governo brasileiro e a Amazon Web Services levanta preocupações sobre segurança, soberania digital e possíveis implicações legais internacionais envolvendo o armazenamento de dados estratégicos em servidores privados dentro do país.
O possível acordo entre o Gabinete de Segurança Institucional da Presidência (GSI) e a Amazon Web Services (AWS) para hospedar dados sensíveis do governo reacendeu o debate sobre soberania digital e segurança nacional.
A negociação veio à tona em 16 de outubro, segundo reportagem publicada pelo site The Intercept Brasil, que revelou tratativas entre as partes e apontou dúvidas jurídicas e geopolíticas associadas ao uso de infraestrutura de uma empresa sediada nos Estados Unidos.
O que mudou nas regras de nuvem do governo
Na semana anterior à reportagem, o GSI publicou a Instrução Normativa nº 8/2025, que atualiza as diretrizes para tratamento de informações classificadas em ambientes de computação em nuvem.
-
Wi-Fi com os dias contados: nova tecnologia transmite dados pela luz e atinge velocidades até 100 vezes maiores
-
Mega mansão de família bilionária em SP é maior que a Casa Branca, tem 11 mil m², 130 cômodos, 9 elevadores e é a 11ª maior residência do mundo
-
Casa onde viveu Machado de Assis, em ruínas, virou ação judicial — Justiça ordena restauração em 120 dias sob multa de R$ 10 mil diários
-
Irmãos fundaram fábrica de tênis, se separaram e criaram Adidas e Puma, dividindo uma cidade alemã e só fazendo as pazes décadas depois
O texto permite que dados com grau de sigilo reservado e secreto sejam processados em nuvens privadas ou comunitárias, desde que em datacenters localizados no Brasil, operados por provedores previamente habilitados e auditados.
O uso de nuvem pública ou híbrida segue vedado, e informações com grau ultrassecreto continuam proibidas de ir para a nuvem.
Em paralelo, há restrições a cópias ou backups fora do território nacional.
A norma estabelece ainda exigências técnicas e organizacionais, como certificações de segurança e controles de acesso, para que fornecedores privados possam ser credenciados a atender órgãos públicos.
Segundo o GSI, a medida procura definir padrões de segurança e governança para lidar com dados sigilosos em infraestrutura moderna, sem abrir mão do controle estatal sobre os requisitos de proteção.
Por que a parceria com a AWS preocupa especialistas
O ponto central das preocupações é jurídico: por ser uma companhia dos Estados Unidos, a AWS está sujeita a legislações como o Cloud Act (2018), que permite a autoridades americanas requisitar dados sob controle de empresas do país, mesmo quando armazenados fora do território americano.
Há também a FISA – especialmente a Seção 702, que autoriza a coleta direcionada de comunicações de estrangeiros no exterior com a colaboração compulsória de provedores de serviços de comunicação nos EUA, para fins de inteligência.
De acordo com apuração do The Intercept Brasil, essas normas podem colocar o Brasil em situação vulnerável, pois, mesmo com servidores localizados em território nacional, as empresas americanas continuam sujeitas a determinações judiciais dos Estados Unidos.
O jornal também ressaltou que o contexto geopolítico atual e a reaproximação entre grandes empresas de tecnologia e o presidente norte-americano Donald Trump ampliam o risco de interferência política sobre dados estratégicos.
A inquietação não é teórica.
Em audiência no Senado francês, em 10 de junho de 2025, a diretoria jurídica da Microsoft na França admitiu que a empresa “não pode garantir soberania absoluta de dados europeus” frente a possíveis demandas do governo dos EUA.
A declaração foi citada como evidência de que provedores americanos permanecem submetidos a ordens extraterritoriais, ainda que operem data centers locais.
Nesse cenário, especialistas ouvidos pela imprensa avaliam que hospedar informações estratégicas do Estado brasileiro em infraestrutura de uma big tech dos EUA amplia o risco geopolítico.
Eventuais ordens baseadas no Cloud Act ou na FISA podem atingir dados sensíveis, a despeito de barreiras contratuais e técnicas.
O Intercept Brasil também apontou que a presença de um ex-integrante da CIA na chefia de segurança da AWS reforça o alerta sobre a natureza estratégica da empresa.
O que dizem Amazon e GSI
A AWS afirma que seus clientes, inclusive governos, “mantêm controle total sobre seus dados” e que a empresa não acessa, usa ou move informações sem autorização do proprietário.
A companhia também ressalta múltiplas camadas de segurança, isolamento entre clientes e ferramentas para gestão de chaves e criptografia.
Em materiais públicos, a AWS sustenta que o Cloud Act não altera suas práticas de proteção e que dispõe de mecanismos para contestar pedidos que conflitem com leis de outras jurisdições.
O GSI, por sua vez, argumenta que a nova instrução não fere a soberania, pois define salvaguardas para o tratamento de dados reservados e secretos exclusivamente em território brasileiro, sob provedores habilitados e auditados pelo governo.
A posição oficial enfatiza que, além de vedar nuvem pública e híbrida, a norma mantém a proibição para o grau ultrassecreto em ambientes de nuvem, preservando o controle integral desse tipo de informação.
O ponto jurídico que segue em aberto
O conflito de leis é o nó.
A existência de data centers no Brasil, operados por empresa privada credenciada, é condição necessária, mas não suficiente para neutralizar a aplicação de normas americanas a corporações sediadas nos EUA.
Em diferentes fóruns internacionais, juristas têm apontado que a tensão entre o Cloud Act e marcos de privacidade estrangeiros persiste, apesar de medidas contratuais, cifragem e segmentação de ambientes.
Enquanto isso, decisões e debates recentes sobre a FISA 702 mantêm acesa a discussão sobre a amplitude de ordens direcionadas a provedores americanos.
Do lado técnico, criptografia end-to-end com gerenciamento de chaves pelo próprio cliente, controles de identidade e segregação de workloads podem reduzir o risco operacional de acesso indevido.
Ainda assim, especialistas lembram que ordens legais podem obrigar o provedor a atuar como ponto de cumprimento, dependendo do desenho do serviço, das chaves e da jurisdição envolvida.
Essa é a razão pela qual autoridades europeias e órgãos públicos mundo afora vêm revisando modelos de “nuvem soberana”, com requisitos reforçados de residência, governança e autonomia tecnológica.
Quem é Sean Roche e por que ele é citado
Outro elemento destacado no debate é o perfil de Sean Roche, executivo de segurança e nacional-segurança da AWS para o setor público internacional e ex-número dois da Diretoria de Inovação Digital da CIA.
Segundo o The Intercept Brasil, a passagem de Roche pela agência norte-americana reforça a ligação entre a companhia e estruturas de defesa e inteligência dos Estados Unidos.
Para pesquisadores e analistas, isso torna a parceria especialmente delicada para um país que busca preservar sua soberania informacional.
E a Autoridade Nacional de Proteção de Dados
A ANPD tem ampliado sua atuação regulatória e de fiscalização desde 2024, inclusive com diretrizes para transferência internacional de dados e monitoramento de incidentes de segurança.
Embora a norma do GSI trate de informação classificada — matéria de segurança do Estado —, qualquer tratamento que envolva dados pessoais segue sujeito à LGPD e ao poder sancionador da Autoridade.
Em tese, se houver violação das regras de proteção de dados ou transferência irregular, a ANPD pode intervir.
Até o momento, a entidade afirmou apenas que não participou da elaboração da instrução normativa que alterou as regras de armazenamento, mas poderá agir caso identifique irregularidades.
O que observar a partir de agora
A confirmação do acordo, seus termos contratuais e o modelo técnico de proteção serão determinantes para avaliar o nível de exposição.
Pontos como quem detém e opera as chaves criptográficas, o grau de segregação física e lógica da infraestrutura, os mecanismos de auditoria governamental e as cláusulas de conflito de leis indicarão se os controles prometidos são suficientes para suportar pressões jurídicas extraterritoriais.
A experiência recente na Europa, em que a própria Microsoft reconheceu limites à promessa de “soberania total”, servirá de termômetro para o desenho brasileiro.
Em última análise, a discussão não é sobre escolher um fornecedor específico, mas sobre qual arquitetura de poder e de direito o Brasil pretende adotar para proteger informações sensíveis do Estado em um ambiente de nuvem.
Diante do avanço das negociações e das dúvidas jurídicas levantadas, a questão que fica é: o Brasil está pronto para confiar seus dados estratégicos a uma empresa estrangeira, mesmo sob novas garantias de soberania digital?
Office 2024 Professional Plus, Microsoft’un en gelişmiş ofis yazılım paketidir.