No mundo contemporâneo, marcado por novas tecnologias, pela inteligência artificial e pela mineração, utilização e armazenamento de dados em larga escala, diversas atitudes vêm sendo tomadas por organizações do Estado, do mercado e da sociedade civil, visando dar maior segurança a pessoas e empresas dentro dessa nova realidade. Dentro desse contexto, soluções de segurança da informação são necessárias para garantir a integridade e a proteção de dados e informações dentro desse ambiente de disrupção e novos riscos.

No caso da Administração Pública, a necessidade de resguardar a segurança da informação é ainda mais evidente, já que o Estado custodia dados de interesse individual e coletivo e até mesmo necessários à soberania nacional e à segurança pública. A Administração brasileira, por sua vez, vem se mostrando atenta a essas novas tendências e, de sua parte, vem estabelecendo diretrizes de segurança da informação e, em razão disso, tem contratado diversas soluções tecnológicas nessa área, justamente para proteger sistemas e bancos de dados de interesse dos negócios públicos e de toda a coletividade.¹

No âmbito federal, por exemplo, a Portaria SGD/MGI nº 852/2023 editada pela Secretaria de Governo Digital do Ministério da Gestão e Inovação em Serviços Públicos está inserida nesse contexto. Segundo o art. 1º, inciso III, dessa Portaria, o controle de segurança da informação, que é um dos objetivos a serem alcançados pela Administração com a edição da normativa, é definido como o “conjunto de medidas que visam implementar práticas técnicas e gerenciais para assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações”.²

Essa mesma tendência vem sendo verificada em todos os Poderes, nas Administrações direta e indireta, além da União, em diversos outros entes federativos, tanto no âmbito estadual (e distrital) quanto no âmbito municipal. Ou seja, trata-se de uma tendência da Administração Pública brasileira como um todo.

O Estado brasileiro, naturalmente, não é capaz de tomar todas as medidas e de formular todas as soluções de segurança da informação que utiliza por seus próprios agentes públicos e servidores, de modo que é inevitável a contratação de parceiros externos para que essas soluções sejam desenhadas e/ou implantadas, de acordo com o interesse público.³

Assim, editou-se a Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022⁴, que disciplina, no âmbito da Administração federal, as contratações de soluções de Tecnologia da Informação e Comunicação - TIC pelos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação – SISP.

Ademais, já se tem mapeados, nos âmbitos federal, estadual, municipal e distrital, centenas de licitações e contratações, muitas com cifras de milhões, cujos objetos são da área da segurança da informação, envolvendo serviços especializados, software, hardware e infraestrutura, com termos como “firewall”, “testes de intrusão”, “detecção de invasão e prevenção de intrusão”, “software de gerência centralizada com antivírus e anti-malware”, “software de proteção para endpoint,” além de treinamentos e serviços diversos de segurança da informação, envolvendo “operação, administração, monitoramento e consolidação de eventos de segurança e resposta a incidentes de segurança da informação”.

Diante desse quadro, o mercado de contratações públicas pode ser atrativo para diversas empresas e organizações que trabalham com ferramentas e soluções de segurança da informação – ainda que esses players ainda não tenham o hábito de contratar com o poder público. Contudo, para a inserção nesse mercado, são imprescindíveis cuidados elementares com as especificidades normativas inerentes às contratações públicas e a esse serviço especializado.

2. O emaranhado jurídico das licitações: desafios

Primeiramente, aquele que pretende adentrar esse mercado de contratações públicas deve observar as regras da Lei nº 14.133/2021, que estabelece normas gerais de licitação e contratação, e se aplica a toda Administração Pública de todos os âmbitos, exceto às empresas públicas, as sociedades de economia mista e as suas subsidiárias, regidas por lei específica – a Lei nº 13.303/2016. As empresas estatais são um mercado à parte muito atrativo, devido à sua característica de ter menos burocracia e maior flexibilidade e dinamicidade, além de terem regulamentos próprios de licitações e contratos, que costumam trazer regras peculiares para atender as necessidades específicas do negócio.

Os serviços de segurança da informação são enquadrados, em regra, como soluções de tecnologia da informação e comunicação, o que atrai regulamentação específica, especialmente, no âmbito do Executivo federal, pela já citada Instrução Normativa SGD/ME nº 94/2022.  Essa normativa, no âmbito da Administração federal, estabelece regras para as etapas da fase interna da licitação, que ocorre dentro do poder público antes da publicação do edital de licitação (planejamento, estudos técnicos preliminares, termo de referência, etc.); para as etapas da fase externa, que são procedimentos realizados quando a licitação já se tornou pública; e também para a própria execução do contrato administrativo, tratando, por exemplo, da reunião inicial do contrato, de demandas por meio de ordens de serviço aos contratados, bem como de regras para transparência, monitoramento, gestão e fiscalização da execução contratual.⁵

Os serviços relacionados à segurança de informação, ainda têm peculiaridades quanto à modalidade de licitação a ser utilizada para a sua contratação: a depender das características e especificidades das tecnologias envolvidas, podem atrair pregão eletrônico (em regra), concorrência e diálogo competitivo.⁶

Além disso, uma pergunta que costuma vir à tona dentro das empresas que pretendem contratar soluções de tecnologia da informação com o Poder Público é a seguinte: como minha solução é única, posso fazer uma contratação direta, sem licitação com a Administração? E a resposta é que tudo depende das características específicas do serviço e da solução que se pretende contratar.

Em relação à participação na licitação em si e em contratações diretas, além de todos os outros documentos de habilitação e das propostas que devem ser formuladas de forma correta, nas licitações de soluções de segurança da informação se exige, como requisito para participar do certame, sobretudo, documentação comprobatória da capacidade/qualificação técnica (qualificação técnico-profissional e técnico-operacional), demonstrando-se, por atestados e outros documentos, a existência de profissionais e equipe qualificada, que já tenham experiência em objetos semelhantes perante o setor público ou a iniciativa privada, assim como a comprovação de uma boa estrutura organizacional e operacional da empresa; não sendo rara, apesar de discutível, a exigência de provas de conceito e demonstrações das soluções.

Essas não são todas as normas envolvidas nas contratações públicas da área de segurança da informação. Todavia, essas considerações gerais já dão uma noção interessante dos desafios jurídicos envolvidos em contratações públicas desse tipo e do emaranhado jurídico a ser considerado por quem quer operar nesse mercado.

3. Um balanço: boas oportunidades para quem topa os desafios

Como se vê apenas dessas considerações gerais, contratar com a Administração Pública na área de tecnologia da informação, mas, especialmente, na área de segurança da informação, pode ser um grande nicho de oportunidades, ao mesmo tempo em que o emaranhado jurídico envolvido nas contratações pode trazer enormes desafios para as empresas e seus departamentos jurídicos.

Esses desafios e barreiras a serem consideradas dentro da normativa aplicável às contratações públicas de serviços de tecnologia da informação, contudo, não devem servir de empecilho à entrada ou à permanência nesse mercado. Apesar dos desafios jurídicos e burocráticos, há excelentes oportunidades que, se bem aproveitadas por players preparados, podem render ótimas contratações; sobretudo, tendo em vista que a triagem rigorosa dos licitantes e da documentação exigida nas licitações desse tipo faz com que apenas empresas bem organizadas e bem assessoradas consigam obter êxito.

Notas

¹ O Tribunal de Contas da União (TCU) incluiu a insegurança cibernética como um dos principais riscos a serem tratados pela Administração federal no ano de 2024, recomendando à Casa Civil da Presidência da República fossem adotadas “medidas para a priorização do tema segurança cibernética, tendo em vista o impacto na soberania digital, na confiança no ambiente digital e na aceleração da transformação digital no Brasil”. BRASIL. Tribunal de Contas da União. Lista de alto risco da Administração Pública federal, 2ª edição, 2024. Disponível em: https://sites.tcu.gov.br/listadealtorisco/seguranca_da_informacao_e_seguranca_cibernetica.html. Acesso em: 09 jul. 1015.

² A segurança da informação é definida na Portaria (art. 1º, XI) como: “ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações”. BRASIL. Ministério da Gestão e Inovação em Serviços Públicos. Secretaria de Governo Digital. Portaria SGD/MGI nº 852, de 28 de março de 2023. Publicado no Diário Oficial da União em: 30/03/2023, edição 62, seção 1, página 92. Disponível em: https://www.in.gov.br/en/web/dou/-/portaria-sgd/mgi-n-852-de-28-de-marco-de-2023-473750908. Acesso em: 09 jul. 2025.

³ O Tribunal de Contas da União, na publicação “Boas práticas em segurança da informação”, inclusive, considera parte das várias políticas inter-relacionadas que compõem a política de segurança de informações da Administração a contratação e instalação de equipamentos e softwares. BRASIL. Tribunal de Contas da União. Boas práticas em segurança da informação, 4ª ed. Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2012, p. 12, 35.

⁴  BRASIL. Ministério da Economia. Secretaria de Governo Digital. Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022. Publicado no Diário Oficial da União em: 29/12/2022, seção 1, página 114. Disponível em: https://www.gov.br/governodigital/pt-br/contratacoes-de-tic/instrucao-normativa-sgd-me-no-94-de-23-de-dezembro-de-2022. Acesso em: 09 jul. 2025.

⁵ Os demais entes federativos, como Estados, Municípios e o Distrito Federal, os demais Poderes, como o Legislativo e o Judiciário, e as empresas estatais apesar de terem regras e regulamentos próprios, costumam ter a regulamentação do Poder Executivo federal como norte.

⁶ Vide art. 25, parágrafo único, da Instrução Normativa SGD/ME nº 94/2022.

▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔

Autor:

Rafael Bernardes Lucca

Créditos da Imagem: Freepik