Lei de Esclarecimento do Uso Lícito de Dados no Exterior (CLOUD)

Acreditamos que os clientes devem manter o controle de seus próprios dados. A AWS foi projetada para ser a infraestrutura de nuvem global mais segura para criar, migrar e gerenciar aplicações e workloads, e estamos comprometidos em fornecer aos nossos clientes as melhores proteções de privacidade e segurança do setor ao usar nossos serviços.

A AWS desenvolveu produtos e serviços que garantem que ninguém, nem mesmo os operadores da AWS, possa acessar o conteúdo do cliente. Apenas atenderemos a pedidos legais de acesso a dados quando tivermos a capacidade técnica para fazê-lo. Os clientes da AWS têm uma ampla gama de medidas técnicas e controles operacionais para impedir o acesso aos dados. Por exemplo, muitos dos principais sistemas e serviços da AWS são projetados sem acesso do operador, o que significa que os serviços não têm nenhum meio técnico para que os operadores da AWS acessem os dados do cliente.

O AWS Nitro System, que é a base dos serviços de computação da AWS, usa hardware e software especializados para proteger os dados contra acesso externo durante o processamento no Amazon Elastic Compute Cloud (Amazon EC2). Ao fornecer um forte limite de segurança física e lógica, o Nitro foi projetado para que nenhuma pessoa não autorizada, nem mesmo os operadores da AWS, possa acessar as workloads dos clientes no EC2. O design do Nitro System foi validado pelo NCC Group, uma empresa independente de segurança cibernética. Os controles que ajudam a impedir o acesso do operador são tão fundamentais para o Nitro System que os incluímos em nossos Termos de Serviço da AWS para fornecer uma garantia contratual adicional a todos os nossos clientes.

Também fornecemos recursos e controles para os clientes para que possam criptografar dados, seja em trânsito, em repouso ou em memória. Todos os serviços da AWS já oferecem suporte à criptografia, e a maioria também oferece suporte à criptografia com chaves gerenciadas pelo cliente que são inacessíveis à AWS. O conteúdo criptografado é inútil sem as chaves de descriptografia relevantes.

Para obter mais informações sobre nossos serviços que são compatíveis com o acesso zero do operador, consulte Acesso do operador na AWS.

A Lei CLOUD foi promulgada em março de 2018 para acelerar a capacidade das autoridades policiais de obter informações eletrônicas mantidas por provedores de serviços em investigações de crimes graves, desde terrorismo e crimes violentos até exploração sexual de crianças e crimes cibernéticos. (Consulte CLOUD Act Resources no site do Departamento de Justiça dos EUA.) Os depoimentos de autoridades do Departamento de Justiça dos EUA (DOJ) que defendem a legislação focaram a Lei CLOUD na competência de autoridades policiais globais para exigir o acesso a dados em investigações internacionais sobre crimes graves. (Consulte o depoimento de Richard Downing, DOJ, procurador-geral adjunto, perante o Comitê Judiciário da Câmara em 15 de junho de 2017.)

As autoridades policiais dos EUA podem exigir o acesso a dados de conteúdo de provedores de serviços somente com um mandado autorizado por um juiz federal independente, de acordo com os procedimentos criminais dos EUA. Para que um mandado seja emitido de acordo com a lei dos EUA, um juiz dos EUA deve estar convencido de que há uma causa provável para acreditar que um crime ocorreu e que evidências desse crime serão encontradas no local a ser pesquisado, conforme especificado pelo mandado (ou seja, dados em uma conta eletrônica específica, como uma conta de e-mail). Esse padrão legal deve ser estabelecido por meio de fatos específicos e confiáveis. Todo e qualquer mandado de busca deve passar por essa determinação rigorosa de causa provável com relação a fatos críveis, particularidade e legalidade, deve ser aprovado por um juiz independente e deve atender aos requisitos de escopo e jurisdição.

Governos estrangeiros que solicitam dados de acordo com um acordo executivo da Lei CLOUD com os EUA devem atender a requisitos semelhantes. O DOJ explicou que “[p]edidos que solicitam dados de acordo com a Lei CLOUD devem ser obtidos legalmente sob o sistema doméstico do país que busca os dados; devem ter como alvo indivíduos ou contas específicos; devem ter uma justificativa razoável fundamentada em fatos articuláveis e críveis, particularidade, legalidade e gravidade; e devem estar sujeitos à revisão ou supervisão por uma autoridade independente, como um juiz ou magistrado. A coleta de dados em massa não é permitida.”

O DOJ também emitiu uma diretriz em maio de 2023 estabelecendo que os promotores devem contatar o Gabinete de Assuntos Internacionais (OIA) do Departamento ao constatarem a necessidade de provas localizadas em outro país. Ela exige que os promotores que buscam provas conhecidas por estarem localizadas no exterior obtenham a aprovação do OIA antes de obter uma ordem para compelir a divulgação de tais evidências por parte de um provedor nos EUA. A política do DOJ sobre evidências no exterior ressalta que cada nação promulga leis para proteger sua soberania; o OIA trabalha para resolver essas questões e ajudar os promotores a selecionar um mecanismo apropriado para obter evidências.

Até junho de 2025, não houve nenhuma solicitação de acesso a dados à AWS que resultasse na divulgação de dados de conteúdo corporativo ou governamental armazenados fora dos EUA para o governo dos EUA, desde que começamos a reportar essa estatística. Esse registro reflete as robustas proteções legais da legislação e das políticas dos EUA implementadas pelo Departamento de Justiça dos EUA, além das proteções técnicas que a AWS oferece.

A Seção de Crimes de Informática e Propriedade Intelectual do DOJ emitiu diretrizes em 2017 aconselhando os promotores a buscar dados de uma empresa, como uma empresa que armazena dados em um provedor de nuvem, em vez de com o provedor, na ausência de circunstâncias especiais. Isso fornece uma orientação importante para os promotores buscarem dados diretamente com as empresas. Ao recebermos tais solicitações de conteúdo de clientes corporativos, envidamos todos os esforços razoáveis para redirecionar as autoridades policiais ao cliente e notificá-lo, quando legalmente permitido.

Não. A Lei CLOUD se aplica a todos os provedores de serviços de comunicação eletrônica ou de computação remota que operam ou possuam representação legal nos EUA. Por exemplo, a Lei CLOUD também se aplica a um provedor de serviços de nuvem com sede na UE e que tem operações nos Estados Unidos. A OVHcloud, uma provedora de serviços de nuvem com sede na França que opera nos EUA, ressalta na sua página de perguntas frequentes sobre a Lei CLOUD que “a OVHcloud cumprirá as solicitações legais das autoridades públicas. De acordo com a Lei CLOUD, isso pode incluir dados armazenados fora dos Estados Unidos.”

De acordo com a legislação dos EUA, as ações executivas não podem criar novas leis ou contradizer as leis existentes aprovadas pelo Congresso, como a Lei CLOUD.

Não. Muitos países exigem a divulgação dos dados do cliente, onde quer que estejam armazenados, em cumprimento a medidas judiciais relativas a crimes graves. Esse conceito encontra-se previsto na Convenção de Budapeste sobre o Crime Cibernético, que foi o primeiro tratado internacional com o objetivo de melhorar a cooperação em investigações de crimes cibernéticos. Por exemplo, a Lei sobre Crimes (Ordens de Exibição no Exterior) do Reino Unido permite que órgãos de aplicação da lei do Reino Unido obtenham dados eletrônicos armazenados fora do país no âmbito de uma investigação criminal. De acordo com uma petição de 2024 do DOJ dos EUA, as leis de diversos Estados-membros europeus, incluindo Bélgica, Dinamarca, França, Irlanda e Espanha, têm requisitos semelhantes.

Temos procedimentos muito detalhados para lidar com solicitações de autoridades policiais de qualquer país. Não divulgamos dados de clientes em cumprimento a solicitações de autoridades policiais, a menos que sejamos obrigados a fazê-lo por meio de uma ordem legalmente válida e vinculativa, conforme nos comprometemos publicamente no Adendo Suplementar ao Adendo de Processamento de Dados da AWS. Quando recebemos uma solicitação de uma autoridade policial, nós a examinamos cuidadosamente para validar a legitimidade e verificar que cumpre a legislação aplicável. Se a AWS receber uma solicitação legalmente válida e vinculativa de acesso a conteúdo de clientes corporativos, a AWS envidará todos os esforços razoáveis para redirecionar as autoridades legais para o cliente e o notificará, se permitido legalmente. A AWS contestará solicitações que conflitem com a lei, que sejam excessivamente abrangentes ou, de outra forma, inadequadas, conforme nos comprometemos publicamente no Adendo Suplementar ao Adendo de Processamento de Dados da AWS. Se, após esgotadas essas etapas, a AWS permanecer obrigada a divulgar dados de clientes, e tivermos a capacidade técnica para fazê-lo, divulgaremos apenas o mínimo necessário para atender à solicitação. Para obter mais informações sobre nossa abordagem às solicitações de autoridades policiais, visite nossa página Law Enforcement Information Requests.

Não. A Lei CLOUD não cria qualquer nova autoridade para que as autoridades policiais obriguem os provedores de serviços a descriptografar comunicações.

A AWS fornece recursos e controles para os clientes para que possam criptografar dados, seja em trânsito, em repouso ou em memória. Todos os serviços da AWS já oferecem suporte à criptografia, e a maioria também oferece suporte à criptografia com chaves gerenciadas pelo cliente que são inacessíveis à AWS. O conteúdo criptografado é inútil sem as chaves de descriptografia relevantes.

A AWS se compromete contratualmente a cumprir as leis de proteção de dados aplicáveis. Também nos comprometemos a contestar qualquer solicitação exagerada ou inadequada de um órgão governamental (inclusive quando tal solicitação entrar em conflito com as leis aplicáveis da União Europeia ou de um Estado-Membro).

Não. A Lei CLOUD não altera a legislação local de outros países. Na verdade, a Lei CLOUD reconhece o direito de os provedores de serviços contestarem solicitações que entrem em conflito com a legislação ou os interesses nacionais de outros países.