À Sputnik Brasil, analistas apontam que a exigência prevista no acordo entre o órgão e o serviço de nuvem da Amazon, de armazenar os dados apenas em data centers no Brasil, não neutraliza o risco de dados secretos serem acessados pelos EUA.

O Gabinete de Segurança Institucional (GSI) pode assinar em breve um acordo de cooperação técnica com a Amazon Web Services (AWS), o segmento de serviços de hospedagem em nuvem da empresa estadunidense.

Segundo a portaria assinada recentemente pelo ministro-chefe do GSI, general Marcos Antonio Amaro dos Santos, o acordo tem como objetivo a busca do desenvolvimento e do aumento da maturidade em segurança da informação e cibernética, além da promoção da melhoria na cultura cibernética nacional. Um dos pontos do acordo determina que os dados fornecidos à AWS sejam hospedados apenas em data centers no Brasil.

Não será a primeira vez que um órgão estatal assina um acordo com a AWS: desde 2020, o serviço já fechou acordos com a Agência Espacial Brasileira (AEB), prestou serviço para a Justiça Eleitoral em 2022 e para o DataSus, do Ministério da Saúde, uma das maiores bases de dados do governo federal.

Alexander Coelho, sócio do escritório Godke Advogados e especialista em direito digital e proteção de dados, diz em entrevista à Sputnik Brasil, que os acordos firmados pela AWS com áreas do governo ilustram os benefícios de escala e resiliência obtidos com nuvem pública.

Porém, à parte dos benefícios técnicos, Coelho aponta que ainda há questões em aberto, especialmente sobre os riscos correlatos em armazenar dados sensíveis em provedores submetidos a leis estrangeiras.

No caso, Lei de Esclarecimento do Uso Legal de Dados no Exterior (CLOUD Act) norte-americana, promulgada em 2018. Ela obriga os provedores sob jurisdição dos EUA a entregarem dados válidos em processo legal, independentemente de onde estejam armazenados.

"Se houver hospedagem de dados sigilosos sob controle de um provedor sujeito ao direito dos EUA, há, sim, vetor de vulnerabilidade por extraterritorialidade legal, ainda que mitigável por desenho técnico-jurídico robusto."

Dessa forma a contrapartida presente no acordo entre o GSI e a AWS de hospedar os dados em data centers no Brasil "ajuda, mas não resolve o problema central". "Mitiga riscos operacionais e de governança, mas não neutraliza riscos de extraterritorialidade quando o provedor está submetido a leis estrangeiras como a CLOUD Act."

Para Coelho algumas medidas que poderiam mitigar os riscos e alcançar um acordo responsável entre GSI e AWS, como:

"Esses elementos não blindam contra a CLOUD Act, mas reduzem drasticamente a superfície de risco porque limitam o provedor a 'blocos cifrados sem chave', ou seja, algo inútil sem a cooperação do Brasil", afirma Coelho.

Em sua avaliação, a soberania de dados está reorganizando a geopolítica digital, com países ao redor do mundo disputando por infraestrutura, jurisdição e padrões técnico para ficar à mercê de terceiros.

"Países tenderão a exigir padrões mínimos (residência, chaves locais, auditoria, contestação de ordens estrangeiras) e a fomentar capacidade industrial em HSM, semicondutores para confidential computing e provedores locais/regionais."

"Sem desenho criptográfico soberano, data center no Brasil vira argumento de marketing, não de soberania."

A análise de Coelho é ecoada por Rodolfo Avelino, professor nos cursos de engenharia e ciência da computação do Insper, que também demonstra apreensão quanto ao uso da CLOUD Act pelo governo norte-americano.

Segundo ele, mais estratégico seria investir em soluções nacionais desenvolvidas por pesquisadores e empresas brasileiras, o que fortaleceria nossa capacidade de operação e auditoria sobre dados públicos.

"Minha preocupação é que o Estado brasileiro continue recorrendo de forma recorrente a produtos e serviços de empresas transnacionais para lidar com informações sensíveis, reforçando uma dependência tecnológica que fragiliza nossa autonomia digital. [...] Manter a soberania sobre essa infraestrutura é fundamental para garantir que a transição digital não comprometa a segurança nacional nem a independência tecnológica do país."

Ele frisa que os data centers, hoje, são parte de uma "estrutura de poder tecnopolítico global", na qual quem controla a infraestrutura controla não só fluxo de informações e de inteligência mas também, em grande medida, o poder de decisão.

Atualmente, a soberania de dados é a nova fronteira estratégica, diz Avelino, comparável à soberania sobre território, energia ou recursos naturais. "Essa nova fronteira já está redesenhando a geopolítica. A infraestrutura digital deve ser tratada como ativo de segurança nacional."

Em sua opinião, dependendo de como for formalizado, o acordo entre o GSI e a AWS pode deixar o país vulnerável, dado o contexto de dependência tecnológica assimétrica e de relações políticas instáveis entre os dois países.

"Em um mundo em que os data centers se tornaram instrumentos de poder tecnopolítico — controlando informação, inteligência e processamento, essa dependência enfraquece a soberania digital do país. Por isso, mais do que um debate técnico, o tema é estratégico. A segurança nacional, hoje, também passa pelo controle da infraestrutura digital."