O apagão da Amazon Web Services (AWS) nesta segunda-feira, 20, que deixou empresas e serviços fora do ar em vários países, acendeu um alerta no mundo jurídico. A instabilidade, que afetou companhias que dependem da infraestrutura da Amazon, levantou dúvidas sobre quem deve responder pelos prejuízos: a gigante da tecnologia ou as empresas que utilizam seus serviços.

Segundo especialistas, a falha reforça a urgência de revisar contratos de computação em nuvem, fortalecer cláusulas de responsabilidade e discutir regras mais claras para o setor.

De acordo com Alexander Coelho, sócio do Godke Advogados e especialista em Direito Digital e Cibersegurança, a linha que separa quem responde pelo dano é tênue. “Para o consumidor final, responde quem presta o serviço a ele. Essa empresa pode buscar direito de regresso contra a AWS conforme o contrato. Em relações B2B, prevalece o que foi pactuado no contrato com a AWS, geralmente com créditos de serviço e limitações de danos, sem cobrir perdas indiretas”, explica.

Esses acordos, conhecidos como Service Level Agreement (SLA), são o coração jurídico dos serviços de nuvem. Mas, segundo Coelho, muitos deles são genéricos e favorecem o provedor. “Este incidente não é apenas uma falha operacional, é um estresse de governança. [...] Onde o contrato é genérico, a disputa vira regra.”

O advogado Fernando Moreira, especialista em governança e compliance em instituições financeiras, reforça que os contratos com a AWS protegem o provedor — não o cliente. “A proteção ao cliente é mínima e deliberadamente limitada. Ela se restringe ao recebimento de ‘créditos de serviço’ — essencialmente, um desconto na fatura — se o SLA for violado. Esses contratos possuem cláusulas explícitas de ‘exclusão de danos indiretos’ e ‘limitação de responsabilidade’, que isentam a AWS de pagar pelos lucros cessantes, perdas de receita ou danos à reputação que o cliente venha a sofrer”, explica.

Casos semelhantes já chegaram à Justiça. O exemplo mais conhecido é o incêndio no data center da OVHcloud, na França, em 2021, quando tribunais condenaram a empresa a indenizar clientes por negligência grave. “Embora o contrato proteja o provedor de falhas operacionais comuns, ele não é um escudo absoluto contra negligência grave ou falha em deveres básicos de segurança e informação”, segundo Moreira.

Para além das cláusulas, o apagão revelou outro risco: a dependência excessiva de uma única plataforma. “Depender de uma única plataforma não é, em si, um erro de gestão, mas sim um risco estratégico calculável que, se for ignorado, converte-se em erro”, avalia Moreira. “A verdadeira falha gerencial é construir uma aplicação crítica dependendo de uma única zona ou região, ignorando as boas práticas de alta disponibilidade (HA) e recuperação de desastres (DR) que o próprio provedor recomenda.”

A arquitetura de nuvem permite que empresas usem múltiplas “zonas” e “regiões” de servidores. Quando isso não é feito, uma falha em um único ponto pode paralisar toda a operação. Coelho defende que a solução não está apenas na tecnologia, mas também no contrato. “Resiliência não é botão, é disciplina: projeto, teste e contrato. Se a sua DR só existe no PowerPoint, você não tem continuidade, tem esperança”, explica.

Outra dúvida recorrente é se a falha da AWS pode ser considerada um incidente de segurança sujeito às regras da Lei Geral de Proteção de Dados (LGPD). Coelho explica que sim, em certos casos, mas alerta que "nem toda indisponibilidade é vazamento, mas a LGPD trata segurança como confidencialidade, integridade e disponibilidade. Uma interrupção que gere risco ou dano relevante ao titular pode exigir comunicação à ANPD”.

Serviços essenciais, como bancos ou sistemas hospitalares, também podem ser responsabilizados se ficarem fora do ar, pois respondem ao usuário e provam que fez o dever de casa.

Para os advogados, o episódio reforça a necessidade de discutir padrões mínimos de transparência e resiliência para grandes provedores de nuvem — sem criar uma “lei da nuvem” genérica. “Nuvem é infraestrutura econômica. O caminho é regulação baseada em risco: exigir muito de quem pode parar o país e não engessar quem está começando”, diz Coelho.

Enquanto as causas da falha ainda são investigadas, o apagão da AWS deixa uma lição que vai além da tecnologia. Como resume Moreira: "Quanto mais digital a economia, mais jurídico é cada minuto de indisponibilidade. A nuvem não é só tecnologia; é infraestrutura econômica e regulatória. Quem trata como ‘TI’ vai aprender do jeito difícil.”