O Tribunal de Contas da União (TCU) recomendou ao Serviço Federal de Processamento de Dados (Serpro) que tome providências para revisar um contrato firmado com a Amazon Web Services (AWS). A decisão foi aprovada em acórdão na quarta-feira, 10 de junho de 2026, e visa mitigar o risco de acesso a dados públicos por autoridades de outros países.
Conforme a determinação do TCU, uma cláusula específica do contrato deve ser modificada para proibir o acesso aos dados em decorrência de ordens estrangeiras. O tribunal enfatiza que qualquer acesso deve ser autorizado apenas por autoridades brasileiras, garantindo assim a soberania sobre as informações geridas pelo Serpro.
Além do Serpro, o Tribunal também identificou riscos semelhantes no contrato da Dataprev (Empresa de Tecnologia e Informações da Previdência) com a AWS, destacando a necessidade de uma abordagem cautelosa em relação à segurança dos dados públicos. Tanto o Serpro quanto a Dataprev são estatais responsáveis pela operação da Nuvem de Governo, um ambiente destinado ao armazenamento e Processamento de Dados da administração pública com infraestrutura controlada pelo Estado.
A parceria com a AWS envolve a solução AWS Outposts, que consiste na instalação de equipamentos e serviços da Amazon em data centers das estatais, integrando-se à nuvem governamental. Apesar de a infraestrutura estar localizada no Brasil, parte da tecnologia e do monitoramento depende de sistemas da própria AWS, o que levanta preocupações sobre a proteção das informações.
No caso do Serpro, a estatal oferece serviços tecnológicos a diversos órgãos federais, incluindo o Banco Central (BC) e o Ministério da Saúde (MS). No entanto, os dados específicos que estão sob a gestão do Serpro não foram esclarecidos, embora a sensibilidade das informações, especialmente as relacionadas ao sistema financeiro, como pagamentos instantâneos e chaves Pix, seja evidente.
O Tribunal de Contas também observou que, apesar de o Serpro e a Dataprev possuírem mais de um data center e adotarem estratégias de multinuvem, a maioria das soluções para os órgãos federais concentra as cargas de trabalho em um único local físico por fornecedor. Essa configuração pode criar pontos únicos de falha, comprometendo a resiliência dos serviços prestados.
