TCU manda rever contrato de estatais com Amazon por risco a dados

O Tribunal de Contas da União (TCU) determinou que o Serviço Federal de Processamento de Dados (Serpro) revise um contrato firmado com a Amazon, devido ao risco de acesso a dados públicos por autoridades estrangeiras. A decisão também aponta riscos semelhantes em contrato da Dataprev com a AWS, braço de computação em nuvem da Amazon. A Corte identificou que as estatais hospedam informações de órgãos como Banco Central (BC), Ministério da Educação (MEC) e Instituto Nacional do Seguro Social (INSS).

Risco de acesso estrangeiro

O TCU apontou que o modelo de contratação da solução AWS Outposts pode permitir que a Amazon divulgue dados de clientes para cumprir leis ou ordens de órgãos governamentais estrangeiros. A Corte avaliou que a redação contratual admite interpretações que submetam os dados a legislações como o Cloud Act, dos Estados Unidos. Para o Tribunal, isso cria risco jurídico e operacional para a soberania dos dados públicos brasileiros.

Baixa soberania dos dados

Em análise qualitativa, o TCU classificou o nível de soberania dos dados hospedados na AWS Outposts como “baixo”. O contrato recebeu a menor pontuação no índice criado pela Corte para avaliar esse quesito. O acórdão destaca que “a solução Outposts pode ter dificuldades em atender plenamente aos requisitos de soberania, especialmente no que tange à residência de dados, controle operacional e dependência de infraestrutura externa para gestão”.

Estatais envolvidas

Serpro e Dataprev são empresas públicas federais de tecnologia da informação. Ambas atuam na operação da chamada Nuvem de Governo, ambiente criado para armazenar e processar dados da administração pública em infraestrutura controlada pelo Estado. O Serpro presta serviços tecnológicos para órgãos federais e tem relação contratual com o BC e o Ministério da Saúde (MS). Não está claro, porém, quais dados desses órgãos estão hospedados na estatal. Já a Dataprev é ligada ao processamento de informações da Previdência, e a decisão do TCU cita contratos com o MEC, o Ministério da Agricultura (Mapa) e o INSS.

Infraestrutura e localização

No caso da Dataprev, o TCU registrou que as soluções da Huawei e da AWS estavam instaladas apenas no data center de São Paulo. Já a solução da Oracle estava instalada somente no data center do Rio de Janeiro. A decisão não detalha se há planos de migração ou alteração na localização dos servidores.

Recomendação do TCU

O TCU recomendou que o Serpro adote medidas para rever o contrato com a Amazon, visando mitigar os riscos identificados. A Corte não especificou prazos para a revisão, mas a determinação já está em vigor. A medida pode impactar a forma como as estatais contratam serviços de nuvem no futuro, especialmente para dados sensíveis da administração pública.

Fonte

• www.poder360.com.br