A possibilidade de dados do governo brasileiro serem acessados por autoridades estrangeiras, mesmo quando armazenados em território nacional, levou o Tribunal de Contas da União (TCU) a fazer um dos alertas mais relevantes já emitidos sobre a política de computação em nuvem da administração pública federal. Em decisão aprovada pelo Plenário no Acórdão nº 1380/2026, o tribunal recomendou que o Serpro altere uma cláusula do contrato firmado com a Amazon Web Services (AWS) para excluir a hipótese de acesso ou divulgação de informações em cumprimento a determinações de autoridades estrangeiras ou, alternativamente, deixar explícito que tal possibilidade se aplica apenas a autoridades brasileiras.
A recomendação consta do Processo TC 008.857/2025-3, relatado pelo ministro Antonio Anastasia, que acompanhou a implementação da chamada Nuvem de Governo, iniciativa conduzida pelo Ministério da Gestão e da Inovação (MGI) para concentrar em uma infraestrutura padronizada de computação em nuvem sistemas, aplicações e bases de dados da administração pública federal.
O alerta do TCU não surge isoladamente. Ele aparece quase dois anos depois de o próprio Serpro iniciar uma aproximação estratégica com grandes provedores globais de nuvem para discutir os caminhos da chamada “nuvem soberana” brasileira. Em setembro de 2024, o então presidente da estatal, Alexandre Amorim, recebeu em Brasília a direção da multinacional. Entre os executivos estava Sean Roche, que trabalhava na época na AWS como responsável pela área de segurança nacional. Sean foi vice-diretor na Diretoria de Ciência e Tecnologia da CIA, a agência de inteligência dos Estados Unidos. O encontro, denunciado por esse blog com exclusividade, teve como pauta oficial justamente segurança da informação, soberania digital e modelos de infraestrutura para o governo brasileiro.
Na época, a reunião chamou atenção porque o conceito de soberania digital defendido pelo governo brasileiro passava a ser discutido diretamente com uma empresa submetida à legislação norte-americana e representada por um ex-alto dirigente da principal agência de inteligência dos Estados Unidos. E o Serpro sempre alegou a impossibilidade de multinacionais repassarem informações do governo brasileiro para o norte-americano.
Agora, ao analisar os contratos efetivamente firmados no âmbito da Nuvem de Governo, o TCU demonstra que as preocupações relacionadas à jurisdição estrangeira deixaram o campo teórico para ingressar formalmente na agenda dos órgãos de controle. A preocupação do tribunal está associada a legislações norte-americanas que ampliaram os poderes de acesso a informações mantidas por empresas sujeitas à jurisdição dos Estados Unidos.
O principal exemplo é o CLOUD Act, aprovado em 2018, que estabelece mecanismos para que autoridades norte-americanas solicitem dados armazenados por empresas dos Estados Unidos independentemente do local físico onde essas informações estejam hospedadas. Especialistas em soberania digital observam que isso cria uma situação peculiar: dados podem permanecer fisicamente em território brasileiro e, ainda assim, estar potencialmente sujeitos a disputas envolvendo jurisdições estrangeiras.
Embora o acórdão não cite explicitamente o CLOUD Act ou o Patriot Act, a determinação dirigida ao Serpro aponta exatamente para esse tipo de preocupação. Ao exigir a revisão da cláusula contratual com a AWS, o TCU sinaliza que a soberania digital não pode ser analisada apenas sob a ótica da localização dos servidores ou da operação técnica da infraestrutura. A questão envolve também quem possui capacidade jurídica de exigir acesso às informações e quais legislações podem alcançar os dados públicos brasileiros.
Redundância
A auditoria identificou ainda outros pontos considerados críticos para a consolidação da Nuvem de Governo. O tribunal determinou que Serpro e Dataprev apresentem, em até 180 dias, um plano detalhado para implantação de redundância geográfica em suas soluções, garantindo pelo menos dois data centers geograficamente distintos para cada fornecedor utilizado. A medida busca reduzir riscos de indisponibilidade e aumentar a resiliência de sistemas públicos considerados estratégicos.
Outro achado importante diz respeito à própria definição de soberania dentro da política de nuvem do governo federal. Segundo o TCU, a Portaria SGD nº 5.950/2023 não estabelece de forma suficientemente clara o que são informações críticas ou estratégicas e quais critérios devem orientar a escolha do ambiente tecnológico mais adequado para cada carga de trabalho. Por isso, o tribunal recomendou que a Secretaria de Governo Digital revise o marco normativo para criar parâmetros objetivos de classificação e proteção dos dados públicos.
Na prática, os auditores concluíram que o governo ainda não definiu adequadamente quais informações exigem níveis mais elevados de soberania tecnológica, operacional ou jurídica. Essa lacuna afeta diretamente as decisões sobre onde os dados devem ser armazenados e quais fornecedores podem ser utilizados em cada situação.
O TCU também recomendou que futuras normas substituindo o Decreto nº 10.046/2019 estabeleçam de forma expressa os papéis do Serpro e da Dataprev como custodiante dos dados públicos federais. A observação é relevante porque toca em uma discussão cada vez mais presente dentro da administração pública: quem efetivamente responde pela guarda das informações do Estado quando elas passam a ser processadas em ambientes híbridos compostos por infraestrutura estatal e plataformas privadas.
A fiscalização encontrou ainda problemas de aderência à própria política de Nuvem de Governo. Contratos celebrados pelo Serpro com o Banco Central e o Ministério da Saúde, bem como acordos firmados pela Dataprev com o Ministério da Educação, Ministério da Agricultura e Pecuária e INSS, foram considerados não totalmente compatíveis com os requisitos previstos na Portaria nº 5.950/2023. O tribunal não anulou os contratos, mas registrou formalmente a necessidade de correções.
O conjunto das determinações mostra que o TCU enxerga a Nuvem de Governo como uma política estratégica de Estado e não apenas como um projeto tecnológico. Ao exigir proteção contratual contra possíveis ordens de autoridades estrangeiras, cobrar redundância geográfica, questionar critérios de classificação dos dados e recomendar maior clareza sobre a custódia das informações públicas, o tribunal amplia significativamente o debate sobre soberania digital no Brasil.
A coincidência entre o alerta do TCU e a trajetória recente da construção da Nuvem de Governo chama atenção. Enquanto o discurso oficial buscava demonstrar que o Brasil estava desenvolvendo uma infraestrutura soberana para seus dados estratégicos, as discussões técnicas avançavam em parceria com empresas globais de tecnologia submetidas a legislações estrangeiras. O acórdão não questiona a participação dessas empresas no projeto, mas deixa claro que a presença de grandes provedores internacionais exige salvaguardas jurídicas adicionais e mecanismos de governança mais robustos.
No fim, a principal mensagem do TCU é que soberania digital não se resume à localização física dos servidores. Ela envolve controle jurídico, capacidade de governança, autonomia operacional e garantias de que dados estratégicos do Estado brasileiro permanecerão submetidos exclusivamente às regras definidas pelo próprio país. O alerta dirigido ao contrato com a AWS transformou esse debate, pela primeira vez, em uma questão formal de controle externo e de segurança institucional do Estado brasileiro.
Dataprev
Embora a atenção do acórdão tenha se concentrado na cláusula contratual do Serpro com a AWS e nos riscos associados à jurisdição estrangeira, a Dataprev também foi alvo de recomendações importantes do Tribunal de Contas da União. Nesse caso, porém, as preocupações dos auditores não estão relacionadas diretamente à soberania jurídica dos dados, mas à transparência operacional e à governança dos serviços ofertados no âmbito da Nuvem de Governo.
O TCU recomendou que a Dataprev elabore, consolide e publique catálogos padronizados de serviços, contendo informações detalhadas sobre funcionalidades, métricas de cobrança, níveis de serviço, responsabilidades e condições de suporte. A determinação vai além da simples divulgação comercial. O tribunal quer que os órgãos públicos tenham clareza sobre onde cada serviço é efetivamente executado e qual o fluxo percorrido pelos dados e metadados processados pela estatal.
Em um dos trechos mais relevantes da decisão, os auditores recomendam que a Dataprev informe explicitamente quando houver dependência de nuvem pública ou execução fora dos ambientes dedicados da Nuvem de Governo. Na prática, o TCU está cobrando maior transparência sobre a arquitetura tecnológica utilizada para prestação dos serviços e sobre a participação de terceiros na operação das soluções contratadas pelos órgãos federais.
A preocupação sugere que os auditores identificaram limitações na visibilidade que os clientes possuem sobre o processamento de seus dados, especialmente em ambientes híbridos que combinam infraestrutura própria com serviços de nuvem de mercado. Para uma política pública baseada no conceito de soberania digital, a rastreabilidade dos dados e a clareza sobre onde eles são armazenados e processados passam a ser elementos tão relevantes quanto a própria segurança da informação.
O tribunal também apontou problemas de aderência da Dataprev às regras estabelecidas pela Portaria SGD nº 5.950/2023. Foram citados contratos firmados com o Ministério da Educação, o Ministério da Agricultura e Pecuária e o INSS, considerados não totalmente compatíveis com os requisitos previstos para a Nuvem de Governo. Embora não tenham sido anulados, os acordos passaram a integrar formalmente o rol de ajustes acompanhados pelo TCU.
A diferença de abordagem adotada pela corte revela dois focos distintos de preocupação. Enquanto o Serpro recebeu recomendações relacionadas à proteção dos dados contra eventuais ordens de autoridades estrangeiras, a Dataprev foi chamada a demonstrar de forma mais transparente como seus serviços operam, onde os dados circulam e quais componentes tecnológicos participam efetivamente da execução das cargas de trabalho governamentais. Juntas, as recomendações mostram que, para o TCU, a soberania digital envolve não apenas proteção jurídica, mas também visibilidade e controle sobre toda a cadeia tecnológica que sustenta os serviços públicos digitais.
