Muito em breve, os dados mais sensíveis do governo brasileiro – e dos brasileiros – poderão ficar sob a guarda da Amazon. Foi isso mesmo que você leu: o Gabinete de Segurança Institucional, o GSI, está prestes a assinar um acordo de cooperação técnica com a Amazon Web Services, o braço de serviços de hospedagem em nuvem da big tech de Jeff Bezos. Esse acordo prevê “a busca do desenvolvimento e do aumento da maturidade em segurança da informação e cibernética”.
A negociação entre o governo federal e a Amazon está tão avançada que, no início de outubro, o GSI publicou uma portaria em que escala o secretário de Segurança da Informação e Cibernética do órgão, André Luiz Bandeira Molina, como responsável por assinar o acordo com a empresa norte-americana.
Poucos dias depois, o GSI publicou uma instrução normativa que autoriza a hospedagem de dados classificados em grau de sigilo reservado ou secreto em nuvens de empresas privadas – como a Amazon Web Services – desde que eles estejam em data centers localizados no Brasil. A instrução que vigorava antes, de 2021, proibia o tratamento de informações secretas em ambientes de nuvem.
As decisões do GSI levantam alertas sobre a soberania e a segurança dos dados brasileiros, em especial os secretos, em um momento geopolítico delicado. Isso porque leis norte-americanas obrigam empresas de tecnologia dos Estados Unidos a fornecer dados armazenados em seus servidores mediante ordens judiciais – mesmo quando esses dados estão hospedados fora do país.
Nesse cenário, informações sensíveis do Estado brasileiro podem se tornar vulneráveis a requisições externas, sobretudo diante da reaproximação entre as big techs e o governo de Donald Trump.
A intervenção da administração Trump em interesses e políticas das big techs, bem como de órgãos de Justiça, tem levado ao que André Ramiro, PhD Fellow na Universidade de Hamburgo e membro da Rede Latino-americana de Estudos sobre Vigilância, Tecnologia e Sociedade, a Lavits, chamou de “autoritarismo geopolítico público-privado”.
“A Amazon diz que o devido processo nos EUA garante o respeito à legalidade quando se trata de um pedido de dados à Amazon. Sob a conjuntura atual, isso é ingênuo e fragilizado, sobretudo agora durante a administração Trump, que tende a perseguir opositores e chantagear ou destacar procuradores do Departamento de Justiça precisamente para processar quem o presidente bem quiser”, disse Ramiro ao Intercept Brasil.
A instrução normativa publicada no dia 6 de outubro e assinada pelo ministro do GSI, Marcos Antonio Amaro dos Santos, diz que os dados reservados ou secretos devem ser preferencialmente guardados em infraestruturas tecnológicas sob controle da administração pública federal ou de empresas públicas. Mas, ao mesmo tempo, o texto não veta que sejam empresas privadas estrangeiras.
O Intercept não obteve confirmação expressa de que o GSI passará a hospedar seus dados, nem exatamente quais dados, em servidores da AWS. O órgão disse, por meio da assessoria de imprensa, que a parceria não é um compromisso de contratação e que o acordo possibilitará “iniciativas de colaboração e desenvolvimento de competências estratégicas”.
A mera possibilidade, no entanto, levanta preocupações de pesquisadores da área e coloca em xeque o discurso do governo brasileiro de soberania digital, defendido pelo presidente Luiz Inácio Lula da Silva em seu discurso na Assembleia Geral da Organização das Nações Unidas.
Em vez de buscar alternativas de hospedagem de dados, o governo aprofunda sua dependência das grandes empresas de tecnologia dos Estados Unidos. Ainda mais grave: abre margem para que elas hospedem em seus servidores dados sensíveis.
“O governo desconsidera todo o cenário global e de segurança, e coloca dados, na minha opinião, estratégicos, não sei se são sensíveis ou não, nas mãos de uma empresa que está submetida a um conjunto de legislações intrusivas, mesmo que [o dado] fique no país”, disse Sérgio Amadeu, pesquisador e professor da Universidade Federal do ABC, a UFABC.
Essas “legislações intrusivas” são um conjunto de leis dos EUA que obrigam as empresas do país a entregarem dados hospedados em seus servidores em caso de ordens judiciais. Se a justiça norte-americana mandar, elas devem fornecer as informações mesmo que eles não estejam hospedados em território norte-americano.
LEIA TAMBÉM:
- Enquanto defende soberania e critica big techs, Brasil torrou R$ 10 bilhões em um ano com Google, Microsoft e Oracle
- Como data centers repetem a lógica colonial digital no Brasil
- Contra big techs, carta a Lula pede soberania digital
Além do Cloud Act, uma lei de 2018 que obriga empresas norte-americanas a fornecerem dados hospedados em seus servidores, seja dentro ou fora dos EUA, quando demandadas judicialmente, há também o Foreign Intelligence Surveillance Act, o FISA, que permite que agências de inteligência dos EUA solicitem dados de usuários sem fiscalização e sem possibilidade de recusa.
Quem confirma isso são as próprias big techs. Em junho deste ano, durante um depoimento ao Senado da França, um diretor da Microsoft no país foi questionado por parlamentares se a Microsoft poderia garantir que dados de cidadãos franceses jamais seriam transferidos a autoridades dos EUA sem autorização de órgãos franceses.
O diretor disse que a Microsoft não poderia dar essa garantia, já que se o governo dos EUA apresentasse uma ordem judicial sob o Cloud Act, a Microsoft teria de cumprir, ainda que isso conflitasse com leis de proteção de dados europeias ou francesas.
“Os instrumentos legais nos EUA podem e serão usados para ter acesso a dados. A jurisdição é um importante elemento, mas um dentre muitos. A decisão do GSI, penso, não fez uma avaliação geopolítica acertada. A soberania digital vai muito além da localidade dos dados”, disse Ramiro.
Aula de soberania digital com a Amazon
O acordo entre a Amazon e o GSI vem sendo costurado há vários meses. O diretor de Segurança Nacional da AWS, Sean Roche, esteve no Brasil em setembro de 2024. Antes de entrar na AWS, Roche foi vice-diretor de inovação digital na Agência Central de Inteligência dos Estados Unidos, a CIA.
Roche se reuniu com Luiz Fernando Moraes da Silva, diretor de Segurança Cibernética do GSI. O objetivo da reunião, conforme consta em agenda oficial, foi de “entender os desafios do GSI para a Segurança Nacional e estudar maneiras de implementar o AC.”
“Eles estão entregando para uma empresa que ocupa, vamos dizer, uma posição estratégica na máquina, no complexo militar industrial norte-americano”, disse Amadeu, que acaba de publicar o livro “As big techs e a guerra total: O complexo militar-industrial-dataficado”.
Pouco antes, em junho do ano passado, o GSI já havia assinado um acordo com a AWS para aderir ao seu programa global de cibersegurança. Segundo o anúncio publicado pelo GSI à época, a parceria “permite a troca de conhecimentos, a realização de pesquisas conjuntas e capacitações, além da obtenção de dados sobre os impactos dos incidentes cibernéticos para a sociedade.”
GSI diz que liberar dados sensíveis em nuvens privadas se encaixa na agenda de soberania por estabelecer requisitos de segurança.
Já em 2025, na véspera da publicação da portaria que libera a assinatura doacordo de cooperação técnica, funcionários da Amazon Web Services estiveram na Esplanada dos Ministérios e se reuniram com servidores do GSI, da Casa Civil e da Gestão e Inovação em Serviços Públicos. A pauta da “atividade de imersão”, segundo a agenda oficial, foi “conceitos e práticas de soberania digital e deep dive”.
O GSI não respondeu a perguntas sobre o encontro. Segundo o órgão, a instrução normativa, que estava em elaboração desde 2023, se encaixa na agenda de soberania nacional “justamente por estabelecer requisitos de segurança para o tratamento de informações classificadas em ambientes de nuvem, uma tecnologia cada vez mais usada e imprescindível para a interoperabilidade de sistemas governamentais”. Leia a resposta do GSI na íntegra aqui.
Também questionamos a AWS sobre a parceria e se a empresa pode garantir que autoridades norte-americanas não terão acesso a dados brasileiros em casos de ordens judiciais. A empresa disse apenas que clientes, incluindo entidades governamentais, “mantém controle total sobre seus dados” e que a AWS não pode acessar, usar ou mover dados de clientes sem sua permissão explícita. Leia a resposta da AWS na íntegra aqui.
Também contatamos a Agência Nacional de Proteção de Dados, que informou que não participou da elaboração da instrução normativa ou do acordo de cooperação técnica. A agência disse ainda que “poderá atuar sempre que necessário para garantir a conformidade de eventual tratamento de dados pessoais com a legislação”.
Atualização: 16 de outubro de 2025, 13h04
O texto foi atualizado para incluir link para PDFs com a íntegra das respostas do GSI e da AWS.
O Intercept é sustentado por quem mais se beneficia do nosso jornalismo: o público.
É por isso que temos liberdade para investigar o que interessa à sociedade — e não aos anunciantes, empresas ou políticos. Não exibimos publicidade, não temos vínculos com partidos, não respondemos a acionistas. A nossa única responsabilidade é com quem nos financia: você.
Essa independência nos permite ir além do que costuma aparecer na imprensa tradicional. Apuramos o que opera nas sombras — os acordos entre grupos empresariais e operadores do poder que moldam o futuro do país longe dos palanques e das câmeras.
Nosso foco hoje é o impacto. Investigamos não apenas para informar, mas para gerar consequência. É isso que tem feito nossas reportagens provocarem reações institucionais, travarem retrocessos, pressionarem autoridades e colocarem temas fundamentais no centro do debate público.
Fazer esse jornalismo custa tempo, equipe, proteção jurídica e segurança digital. E ele só acontece porque milhares de pessoas escolhem financiar esse trabalho — mês após mês — com doações livres.
Se você acredita que a informação pode mudar o jogo, financie o jornalismo que investiga para gerar impacto.
Entre em contato
