A capacidade do governo federal de manter seus sistemas digitais funcionando diante de falhas graves, ataques cibernéticos ou desastres que atinjam a infraestrutura tecnológica do país levou o Tribunal de Contas da União (TCU) a determinar que Serpro e Dataprev apresentem, em até 180 dias, um plano para implantação de redundância geográfica na Nuvem de Governo. Pela decisão, cada fornecedor utilizado deverá disponibilizar pelo menos dois data centers geograficamente distintos, medida considerada essencial para garantir a continuidade de serviços públicos cada vez mais dependentes da computação em nuvem.
No mesmo acórdão, o tribunal também avançou sobre um dos temas mais sensíveis da agenda de soberania digital ao recomendar que o Serpro altere uma cláusula do contrato firmado com a Amazon Web Services (AWS) para eliminar a possibilidade de acesso ou divulgação de dados em cumprimento a determinações de autoridades estrangeiras ou, alternativamente, deixar explícito que essa hipótese se aplica exclusivamente a autoridades brasileiras.
As medidas constam do Acórdão nº 1380/2026, resultado do acompanhamento realizado no processo TC 008.857/2025-3, sob relatoria do ministro Antonio Anastasia. A fiscalização avaliou a implementação da Nuvem de Governo, iniciativa criada para concentrar a contratação de serviços de computação em nuvem por órgãos federais, e concluiu que ainda existem fragilidades relevantes relacionadas à soberania dos dados públicos, à governança do ambiente tecnológico e à resiliência da infraestrutura que sustenta serviços essenciais do Estado.
A determinação relacionada à redundância geográfica representa uma mudança significativa na forma como a infraestrutura deverá ser estruturada daqui para frente. O tribunal concluiu que a estratégia atual precisa ser fortalecida para reduzir riscos de indisponibilidade provocados por falhas técnicas, interrupções de energia, eventos climáticos extremos, desastres naturais ou ataques cibernéticos. Na prática, o TCU está exigindo que os ambientes utilizados pela administração pública possuam capacidade efetiva de continuidade operacional caso uma região inteira fique indisponível. O plano a ser elaborado por Serpro e Dataprev deverá detalhar atividades, cronogramas, responsáveis e as medidas necessárias para atender às exigências previstas pela Portaria SGD/MGI nº 5.950/2023.
A preocupação do tribunal não se limita à disponibilidade dos sistemas. Um dos pontos mais sensíveis do acórdão está na recomendação direcionada ao Serpro para que promova alterações na cláusula 3.2 do contrato firmado com a AWS. Segundo o TCU, a redação atual deve ser modificada para excluir a possibilidade de acesso ou divulgação de dados em cumprimento a determinações de autoridades estrangeiras. Caso a exclusão não seja possível, o contrato deverá deixar explícito que essa hipótese se restringe exclusivamente a autoridades brasileiras.
A recomendação coloca oficialmente o órgão de controle em um debate que vem ganhando força em diversos países: a capacidade de governos estrangeiros obterem acesso a informações armazenadas por empresas submetidas à sua jurisdição, mesmo quando os dados se encontram fisicamente em outro território. Embora o acórdão não cite legislações específicas, a discussão está diretamente associada às preocupações internacionais envolvendo normas como o Cloud Act dos Estados Unidos e seus potenciais impactos sobre a soberania digital de outros países.
Além das medidas relacionadas à segurança e à continuidade operacional, o TCU concluiu que o próprio modelo de governança da Nuvem de Governo precisa ser aperfeiçoado. O tribunal recomendou que a Secretaria de Governo Digital do Ministério da Gestão e da Inovação revise o marco normativo atualmente em vigor para estabelecer definições mais claras sobre o que deve ser considerado informação crítica ou estratégica. A avaliação dos auditores aponta que os critérios hoje existentes estão excessivamente concentrados na restrição de acesso, sem contemplar de forma adequada outros aspectos relacionados à proteção dos dados e à sua localização.
Nesse mesmo sentido, o tribunal recomendou que Serpro e Dataprev passem a adotar uma metodologia padronizada para analisar, juntamente com os órgãos contratantes, os requisitos de soberania de cada aplicação ou base de dados migrada para a nuvem. O objetivo é criar critérios objetivos que permitam direcionar as cargas de trabalho mais sensíveis para ambientes considerados mais aderentes aos requisitos de soberania de dados, soberania operacional e soberania tecnológica.
A decisão também reforça o papel das estatais de tecnologia na estratégia digital do governo federal. O TCU recomendou que futuras normas que substituam o Decreto nº 10.046/2019 estabeleçam de forma explícita as competências, responsabilidades e atribuições de Serpro e Dataprev como custodiante dos dados públicos federais. A recomendação ocorre em um momento em que cresce a participação de grandes provedores globais de nuvem na operação de serviços governamentais, ampliando os debates sobre autonomia tecnológica e controle das informações estratégicas do Estado.
A Dataprev recebeu ainda recomendações específicas para ampliar a transparência de seus serviços de nuvem. O tribunal quer que a empresa publique catálogos padronizados contendo descrição técnica dos serviços oferecidos, métricas de cobrança, níveis de serviço, responsabilidades operacionais e, principalmente, a indicação clara do ambiente onde cada serviço é executado e do fluxo de dados envolvido, inclusive quando houver dependência de infraestrutura de nuvem pública.
A auditoria revelou ainda que contratos já firmados pelas duas estatais não estão totalmente aderentes ao modelo definido pela Portaria SGD/MGI nº 5.950/2023. No caso do Serpro, o TCU apontou inconsistências nos contratos celebrados com o Banco Central e com o Ministério da Saúde. Na Dataprev, as observações recaíram sobre contratos firmados com o Ministério da Educação, o Ministério da Agricultura e Pecuária e o Instituto Nacional do Seguro Social (INSS). Embora o tribunal não tenha determinado a revisão desses instrumentos, registrou formalmente o descumprimento de dispositivos da regulamentação vigente.
O acórdão sinaliza uma mudança importante na forma como os órgãos de controle enxergam a infraestrutura digital do governo. Mais do que uma simples contratação de serviços de tecnologia, a Nuvem de Governo passa a ser tratada pelo TCU como um ativo estratégico nacional, cuja operação envolve questões de continuidade do Estado, proteção de dados sensíveis, soberania tecnológica e redução da dependência de fornecedores sujeitos a legislações estrangeiras. A combinação entre a exigência de redundância geográfica e o alerta sobre o contrato da AWS demonstra que o tribunal pretende acompanhar de forma mais rigorosa a evolução desse modelo nos próximos anos.
