A habilidade do governo federal em garantir a funcionalidade de seus sistemas digitais em face de falhas severas, ataques cibernéticos ou desastres que possam afetar a infraestrutura tecnológica do Brasil levou o Tribunal de Contas da União (TCU) a ordenar que as estatais Serpro e Dataprev apresentem, em um prazo de 180 dias, um plano para a adoção de redundância geográfica na Nuvem de Governo. A decisão estipula que cada fornecedor envolvido deve disponibilizar pelo menos dois data centers localizados em áreas geograficamente distintas, uma estratégia considerada crucial para assegurar a continuidade dos serviços públicos que cada vez mais dependem da computação em nuvem.
No mesmo acórdão, o TCU também abordou um dos tópicos mais sensíveis da agenda relacionada à soberania digital, recomendando que o Serpro modifique uma cláusula no contrato com a Amazon Web Services (AWS). A alteração proposta visa eliminar a possibilidade de acesso ou divulgação de dados em cumprimento a determinações de autoridades estrangeiras. Caso essa modificação não seja viável, o contrato deverá deixar claro que tal situação é aplicável apenas a autoridades brasileiras.
As diretrizes estão expressas no Acórdão nº 1380/2026, proveniente da análise do processo TC 008.857/2025-3, sob a relatoria do ministro Antonio Anastasia. A fiscalização avaliou a implementação da Nuvem de Governo, uma iniciativa criada para centralizar a contratação de serviços de computação em nuvem por órgãos federais, concluindo que ainda existem fragilidades significativas relativas à soberania dos dados públicos, à governança do ambiente tecnológico e à resiliência da infraestrutura que sustenta os serviços essenciais do Estado.
A exigência de redundância geográfica representa uma mudança importante na estruturação da infraestrutura. O tribunal determinou que a estratégia atual seja fortalecida a fim de minimizar riscos de falhas que possam resultar em indisponibilidade, como falhas técnicas, interrupções de energia, eventos climáticos extremos, desastres naturais ou ataques cibernéticos. Essa medida implica que os ambientes utilizados pela administração pública precisam ter capacidade efetiva para manter sua operação, mesmo que uma região inteira fique sem serviço. O plano que Serpro e Dataprev devem elaborar deverá incluir atividades, cronogramas, responsáveis e as medidas necessárias para atender às exigências estabelecidas pela Portaria SGD/MGI nº 5.950/2023.
A preocupação do TCU não se restringe apenas à disponibilidade dos sistemas. Outra questão relevante do acórdão é a recomendação ao Serpro para que promova alterações na cláusula 3.2 de seu contrato com a AWS. O TCU afirma que a redação atual deve ser modificada para excluir a possibilidade de acesso ou divulgação de dados em cumprimento às determinações de autoridades estrangeiras. Se a exclusão não for possível, o contrato deverá esclarecer que esse acesso se limita apenas a autoridades brasileiras.
Essa recomendação coloca o órgão de controle no centro de um debate que vem se intensificando em diversos países: a capacidade de governos estrangeiros de acessar informações armazenadas por empresas que estão sob sua jurisdição, mesmo quando os dados estão fisicamente localizados em outro país. Embora o acórdão não mencione legislações específicas, a discussão está intimamente ligada a preocupações que envolvem normas como o Cloud Act dos Estados Unidos e seus potenciais impactos na soberania digital de outras nações.
Além das medidas voltadas para segurança e continuidade operacional, o TCU identificou a necessidade de aprimorar o próprio modelo de governança da Nuvem de Governo. O tribunal recomendou que a Secretaria de Governo Digital do Ministério da Gestão e da Inovação revise o marco normativo vigente, buscando estabelecer definições mais claras sobre o que deve ser considerado informação crítica ou estratégica. A avaliação realizada pelos auditores indicou que os critérios atuais se concentram demais na restrição de acesso, sem dar a devida atenção a outros aspectos relacionados à proteção dos dados e à sua geolocalização.
Neste contexto, o tribunal sugeriu que Serpro e Dataprev adotem uma metodologia padronizada para analisar, em conjunto com os órgãos contratantes, os requisitos de soberania de cada aplicação ou base de dados transferida para a nuvem. O objetivo é desenvolver critérios objetivos que auxiliem na alocação das cargas de trabalho mais sensíveis em ambientes que estejam mais alinhados às exigências de soberania de dados, operacional e tecnológica.
A decisão também reitera a importância das estatais de tecnologia na estratégia digital do governo federal. O TCU recomendou que normas futuras que venham a substituir o Decreto nº 10.046/2019 estabeleçam claramente as funções, responsabilidades e atribuições de Serpro e Dataprev na custódia dos dados públicos federais. Essa recomendação surge em um momento em que a participação de grandes provedores globais de infraestrutura em nuvem nos serviços governamentais tem crescido, intensificando o debate sobre autonomia tecnológica e controle sobre informações sensíveis do Estado.
A Dataprev também recebeu recomendações pontuais para aumentar a transparência em seus serviços de nuvem. O tribunal solicitou que a empresa elabore catálogos padronizados que contemplem a descrição técnica dos serviços oferecidos, métricas de cobrança, níveis de serviço, responsabilidades operacionais e, especialmente, informações claras sobre onde cada serviço é realizado e o fluxo de dados envolvido, incluindo quando houver dependência de infraestrutura de nuvem pública.
A auditoria realizada revelou que contratos já existentes entre as duas estatais não estão totalmente em conformidade com o modelo estabelecido pela Portaria SGD/MGI nº 5.950/2023. No que diz respeito ao Serpro, o TCU encontrou inconsistências nos contratos com o Banco Central e o Ministério da Saúde. Para a Dataprev, as observações foram direcionadas a contratos firmados com o Ministério da Educação, Ministério da Agricultura e Pecuária e o Instituto Nacional do Seguro Social (INSS). Embora o tribunal não tenha ordenado a revisão desses contratos, registrou formalmente o descumprimento de artigos da regulamentação vigente.
O acórdão sinaliza uma mudança significativa na forma como os órgãos de controle percebem a infraestrutura digital do governo. Mais do que uma simples contratação de serviços de tecnologia, a Nuvem de Governo é considerada pelo TCU um ativo estratégico nacional, cuja operacionalização envolve questões de continuidade do Estado, proteção de dados sensíveis, soberania tecnológica e a diminuição da dependência de fornecedores sujeitos a legislações estrangeiras. A combinação entre a exigência de redundância geográfica e a análise crítica do contrato com a AWS demonstra que o tribunal pretende monitorar de maneira mais rigorosa a evolução desse modelo nos anos seguintes.
Fonte:: convergenciadigital.com.br
