Portugués 
Inglés 
Español 
7 min de lectura 
1 comentario 
La negociación entre el gobierno brasileño y Amazon Web Services plantea preocupaciones sobre seguridad, soberanía digital y posibles implicaciones legales internacionales relacionadas con el almacenamiento de datos estratégicos en servidores privados dentro del país.
El posible acuerdo entre el Gabinete de Seguridad Institucional de la Presidencia (GSI) y Amazon Web Services (AWS) para hospedar datos sensibles del gobierno reavivó el debate sobre soberanía digital y seguridad nacional.
La negociación salió a la luz el 16 de octubre, según un informe publicado por el sitio The Intercept Brasil, que reveló negociaciones entre las partes y señaló dudas jurídicas y geopolíticas asociadas al uso de la infraestructura de una empresa con sede en Estados Unidos.
Qué ha cambiado en las reglas de nube del gobierno
La semana anterior al informe, el GSI publicó la Instrucción Normativa nº 8/2025, que actualiza las directrices para el tratamiento de información clasificada en entornos de computación en nube.
-
Casi ningún barco navega directamente entre América del Sur y Australia, y el motivo es una combinación de distancia gigantesca, vientos que dan la vuelta al planeta sin parar y la ausencia de puertos en el camino, dejando el Pacífico Sur como un desierto de agua.
-
Más de 85 millones de casas en China calientan agua gratis con tubos de vidrio al vacío inventados en una universidad china, una tecnología barata y sin piezas móviles que enfrenta en Estados Unidos reglas de certificación y códigos que encarecen demasiado la instalación.
-
En un barco de apenas 1,19 metros, más pequeño que muchos kayaks, el británico Andrew Bedwell quiere cruzar solo casi 3 mil kilómetros del Atlántico Norte y pasar más de dos meses sin poder acostarse ni ponerse de pie, todo para batir un récord y homenajear a las víctimas del cáncer.
-
Enquanto a maioria das concessionárias no Brasil leva dias para entregar carros, na Alemania dos torres de vidrio de 48 metros guardan 800 vehículos y liberan cada modelo por elevadores automáticos en pocos segundos.
El texto permite que datos con grado de sigilo reservado y secreto sean procesados en nubes privadas o comunitarias, siempre que se encuentren en datacenters ubicados en Brasil, operados por proveedores previamente habilitados y auditados.
El uso de nube pública o híbrida sigue prohibido, y la información con grado ultrasecreto continúa prohibida de ir a la nube.
Asimismo, hay restricciones a copias o backups fuera del territorio nacional.
La norma también establece exigencias técnicas y organizativas, como certificaciones de seguridad y controles de acceso, para que proveedores privados puedan ser acreditados para atender a organismos públicos.
Según el GSI, la medida busca definir estándares de seguridad y gobernanza para manejar datos confidenciales en infraestructura moderna, sin renunciar al control estatal sobre los requisitos de protección.
Por qué la asociación con AWS preocupa a los especialistas
El punto central de las preocupaciones es jurídico: al ser una empresa de Estados Unidos, AWS está sujeta a legislaciones como el Cloud Act (2018), que permite a las autoridades estadounidenses solicitar datos bajo control de empresas del país, incluso cuando están almacenados fuera del territorio estadounidense.
También está la FISA – especialmente la Sección 702, que autoriza la recopilación dirigida de comunicaciones de extranjeros en el exterior con la colaboración obligatoria de proveedores de servicios de comunicación en EE. UU., para fines de inteligencia.
De acuerdo con investigaciones de The Intercept Brasil, estas normas pueden poner a Brasil en una situación vulnerable, ya que, incluso con servidores ubicados en territorio nacional, las empresas estadounidenses siguen sujetas a determinaciones judiciales de Estados Unidos.
El periódico también destacó que el contexto geopolítico actual y la reacercamiento entre grandes empresas de tecnología y el presidente estadounidense Donald Trump amplían el riesgo de interferencia política sobre datos estratégicos.
La inquietud no es teórica.
En una audiencia en el Senado francés, el 10 de junio de 2025, la dirección jurídica de Microsoft en Francia admitió que la empresa “no puede garantizar soberanía absoluta de datos europeos” ante posibles demandas del gobierno de EE. UU.
La declaración fue citada como evidencia de que los proveedores estadounidenses siguen sometidos a órdenes extraterritoriales, incluso si operan data centers locales.
En este escenario, especialistas consultados por la prensa evalúan que hospedar información estratégica del Estado brasileño en la infraestructura de una gran empresa de tecnología estadounidense amplifica el riesgo geopolítico.
Eventuales órdenes basadas en el Cloud Act o en la FISA pueden afectar datos sensibles, a pesar de las barreras contractuales y técnicas.
The Intercept Brasil también señaló que la presencia de un ex-integrante de la CIA en el liderazgo de seguridad de AWS refuerza la alerta sobre la naturaleza estratégica de la empresa.
Qué dicen Amazon y GSI
AWS afirma que sus clientes, incluidos los gobiernos, “mantienen el control total sobre sus datos” y que la empresa no accede, usa ni mueve información sin autorización del propietario.
La compañía también destaca múltiples capas de seguridad, aislamiento entre clientes y herramientas para la gestión de claves y cifrado.
En materiales públicos, AWS sostiene que el Cloud Act no altera sus prácticas de protección y que dispone de mecanismos para impugnar solicitudes que entren en conflicto con leyes de otras jurisdicciones.
El GSI, por su parte, argumenta que la nueva instrucción no viola la soberanía, ya que define salvaguardas para el tratamiento de datos reservados y secretos exclusivamente en territorio brasileño, bajo proveedores habilitados y auditados por el gobierno.
La posición oficial enfatiza que, además de prohibir la nube pública y híbrida, la norma mantiene la prohibición para el grado ultrasecreto en entornos de nube, conservando el control integral de este tipo de información.
El punto jurídico que sigue abierto
El conflicto de leyes es el nudo.
La existencia de data centers en Brasil, operados por una empresa privada acreditada, es una condición necesaria, pero no suficiente para neutralizar la aplicación de normas estadounidenses a corporaciones con sede en EE. UU.
En diferentes foros internacionales, juristas han señalado que la tensión entre el Cloud Act y marcos de privacidad extranjeros persiste, a pesar de medidas contractuales, cifrado y segmentación de entornos.
Mientras tanto, decisiones y debates recientes sobre la FISA 702 mantienen viva la discusión sobre la amplitud de órdenes dirigidas a proveedores estadounidenses.
Desde el lado técnico, el cifrado de extremo a extremo con gestión de claves por parte del propio cliente, controles de identidad y segregación de cargas de trabajo pueden reducir el riesgo operativo de acceso indebido.
Aun así, los especialistas recuerdan que órdenes legales pueden obligar al proveedor a actuar como punto de cumplimiento, dependiendo del diseño del servicio, las claves y la jurisdicción involucrada.
Esa es la razón por la cual autoridades europeas y organismos públicos en todo el mundo han estado revisando modelos de “nube soberana”, con requisitos reforzados de residencia, gobernanza y autonomía tecnológica.
Quién es Sean Roche y por qué es citado
Otro elemento destacado en el debate es el perfil de Sean Roche, ejecutivo de seguridad y nacional de seguridad de AWS para el sector público internacional y ex-número dos de la Dirección de Innovación Digital de la CIA.
Según The Intercept Brasil, el paso de Roche por la agencia estadounidense refuerza la conexión entre la compañía y estructuras de defensa e inteligencia de EE. UU.
Para investigadores y analistas, esto hace que la asociación sea especialmente delicada para un país que busca preservar su soberanía informacional.
Y la Autoridad Nacional de Protección de Datos
La ANPD ha ampliado su actuación regulatoria y de fiscalización desde 2024, incluso con directrices para transferencia internacional de datos y monitoreo de incidentes de seguridad.
Aunque la norma del GSI trata de información clasificada —materia de seguridad del Estado—, cualquier tratamiento que involucre datos personales sigue sujeto a la LGPD y al poder sancionador de la Autoridad.
En teoría, si hay violación de las reglas de protección de datos o transferencia irregular, la ANPD puede intervenir.
Hasta el momento, la entidad ha afirmado únicamente que no participó en la elaboración de la instrucción normativa que alteró las reglas de almacenamiento, pero podrá actuar si identifica irregularidades.
Qué observar a partir de ahora
La confirmación del acuerdo, sus términos contractuales y el modelo técnico de protección serán determinantes para evaluar el nivel de exposición.
Puntos como quién detiene y opera las claves criptográficas, el grado de segregación física y lógica de la infraestructura, los mecanismos de auditoría gubernamental y las cláusulas de conflicto de leyes indicarán si los controles prometidos son suficientes para soportar presiones jurídicas extraterritoriales.
La experiencia reciente en Europa, en la que la propia Microsoft reconoció límites a la promesa de “soberanía total”, servirá de termómetro para el diseño brasileño.
En última instancia, la discusión no es sobre elegir un proveedor específico, sino sobre qué arquitectura de poder y de derecho Brasil pretende adoptar para proteger información sensible del Estado en un ambiente de nube.
Ante el avance de las negociaciones y las dudas jurídicas planteadas, la pregunta que queda es: ¿está Brasil listo para confiar sus datos estratégicos a una empresa extranjera, incluso bajo nuevas garantías de soberanía digital?
Office 2024 Professional Plus, Microsoft’un en gelişmiş ofis yazılım paketidir.