No dia 31 de outubro de 2023, foi publicada uma portaria que estabelece modelo de contratação de software e de serviços de computação em nuvem, no âmbito dos órgãos e entidades integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação – SISP do Poder Executivo Federal.
O modelo de contratação trazido em referida portaria será de utilização obrigatória pelos órgãos e entidades do SISP, a partir de 30 de abril de 2024. Outros modelos somente poderão ser utilizados com justificativa da área técnica proponente e aprovação da Secretaria de Governo Digital – SGD.
A Portaria ressalta a preocupação dos órgãos públicos com Segurança da Informação e Proteção de Dados Pessoais, havendo diversos dispositivos que exigem do órgão público estudos preliminares e garantias de que o software ou serviço em nuvem contém os parâmetros mínimos exigidos pela legislação. Portanto, estar adequado à LGPD e possuir Políticas de Segurança da Informação robustas deixou de ser uma opção e tornou-se requisito obrigatório para qualquer empresa de tecnologia que deseja prestar serviços aos órgão públicos.
Ademais, a portaria demonstra uma preocupação constante em como o fornecimento dos softwares e serviços em nuvem serão avaliados e remunerados, trazendo diversas modalidades e formatos que deverão ser analisados no momento do Estudo Técnico Preliminar e Publicação do Termo de Referência. Dentre eles estão os critérios de aceitação dos serviços prestados, definição dos níveis mínimos dos serviços, pagamento vinculado ao alcance de resultados e modelo de precificação ou pagamento.
Dentro do modelo de precificação e pagamento, criou-se um padrão de que as licenças ou serviços contratados devem ser consumidos de forma gradual, cabendo o pagamento apenas sobre os quantitativos demandados, fornecidos e efetivamente implantados via Ordens de Serviço. Nenhum serviço ou fornecimento poderá ser realizado sem a competente emissão da Ordem de Serviço e nenhum pagamento será realizado sem a aprovação prévia do gestor do contrato via emissão de Termo de Recebimento Definitivo.
Particularidade interessante trazida pela Portaria foi a criação de diversos modelos de níveis de serviço que deverão ser adotados pelos órgão públicos e a recomendação positiva de que estes modelos devem respeitar os níveis de serviço disponibilizados publicamente pelos Fabricantes. Contudo, não havendo o nível de serviço devidamente publicado, corre-se o risco de eventuais empresas terem que aceitar o que for estipulado em edital.
Ainda sobre o assunto nível de serviço, ficou estipulado que os próprios órgãos públicos deverão ter controles sobre o cumprimento ou não do acordado, devendo-se evitar o acompanhamento exclusivamente pela plataforma de chamados das empresas licitantes.
Nesse sentido, ficou estipulado também que a equipe de fiscalização deverá implementar mecanismos próprios de controle dos volumes de softwares e serviços em nuvem consumidos, evitando-se a aferição baseada exclusivamente em relatório ou outro artefato produzido pela própria empresa licitante.
A portaria, seguindo o que já estava previsto na Nova lei de Licitações, reforça a possibilidade de indicação de marca ou fabricante, mas ressalta a necessidade da decisão ser justificada por estudo técnico preliminar, tanto em termos técnicos quanto econômicos, sendo justificável em decorrência de padronização, manutenção de compatibilidade com outras plataforma e exclusividade (fabricante ou provedor únicos capazes de atender às necessidades do órgão).
A Criação de Catálogos com os softwares e serviços em nuvem também é uma novidade que visa trazer maior visibilidade dos preços praticados pelos fabricantes e provedores e assegurar o respeito à livre concorrência e proposta mais vantajosa para a administração pública.
Nesse sentido, a portaria reforça a proibição do “Registro de Oportunidade” exigindo que as empresas licitantes apresentem declaração informando não terem sido privilegiadas pelos fabricantes com tal prática, mas, novamente, não traz uma definição do que seria o “Registro de Oportunidade”.
Por fim, quanto aos dados tratados em nuvem, a portaria traz informações do local que devem ser armazenadas a depender do grau de confidencialidade, podendo ser nuvem pública, do governo, híbrida, privada, etc. Ademais, os provedores de serviços em nuvem devem possuir, no mínimo, dois data centers localizados no Brasil. Admite-se o tratamento de dados fora do território nacional, caso haja cópia de segurança atualizada e armazenada em data centers no Brasil.
Como se nota, tal redação proposta pela nova portaria ficou melhor redigida se comparada à IN 05, já que esta última vedava o tratamento de dados fora do território nacional, inviabilizando a contratação de diversos softwares e serviços em nuvem que possuem seus data centers localizados no exterior.
Dessa forma, podemos entender como positiva a redação trazida pela portaria e vemos as seguintes necessidades a serem implementadas pelos fabricantes de tecnologia, visando atender aos padrões que serão exigidos a partir de 30 de abril de 2024:
- Segurança da Informação e Proteção de Dados. Implementação e/ou Revisão constante de Políticas de Segurança da Informação e Proteção de Dados, de modo a criar evidências de que cumprimos toda a legislação e estamos integralmente aptos a fornecer serviços e softwares para a Administração Pública.
- Pedido de Compra. Criar formatos facilitadores de pagamento conforme a demanda exigida pelos parceiros, já que há previsão expressa na portaria de que os valores e implementação dos softwares e serviços serão realizados conforme solicitação via Ordem de Serviço. Ou seja, não há garantia de que o total de licenças e/ou total de serviços previsto em um edital serão efetivamente demandados. Dessa forma, um pedido de compra antecipado do parceiro perante o fabricante e a falta de demanda pelo órgão público podem trazer prejuízo aos parceiros.
- Indicadores de Nível de Serviço. Criar e publicar indicadores de níveis de serviço mínimo de acordo com as diversas possibilidades trazidas pela portaria, já que há recomendação que os níveis de serviço devem seguir ao que for estipulado pelos fabricantes. Lembrando que a falta de disponibilização de um documento pelo fabricante tornará a criação do documento livre pelo órgão público, trazendo indicadores não reais aos softwares e serviços fornecidos.
- Indicação de Marca. Promover a manutenção do software e serviços em nuvem junto ao órgão licitante de tempos em tempos de modo a demonstrar os principais ganhos, padronização, compatibilidade e economia financeira que a renovação do contrato pode ensejar para a Administração Pública.
- Catálogos. Criar, em conjunto com a administração pública, catálogos de produtos e serviços em nuvem de modo a facilitar a pesquisa de preços pela administração pública. Ressaltamos que a vedação expressa à simples referência de links externos ou catálogos eletrônicos criados pela empresa licitante. A criação destes catálogos minimiza as chances de termos licitações já direcionadas em decorrência do registro de oportunidade.
- Registro de Oportunidade. A manutenção destes programas devem ser analisados com cuidado. Se possível, recomenda-se inclusive a modificação da nomenclatura. Ademais, o registro de oportunidade não deve proibir a participação de outros parceiros no processo licitatório. Além disso, tais programas devem efetivamente apenas dar descontos adicionais para quem efetivamente está trabalhando na prospecção do negócio de forma ativa, evitando-se conceder o registro para quaisquer parceiros pelo simples fato de ter sido o primeiro a informar ao Fabricante sobre a oportunidade. De tempos em tempos o parceiro deve comprovar o que vem fazendo para manter a oportunidade ativa (Reuniões, POC, demonstrações, apresentações, etc).
- Dados na Nuvem. Avaliar a localização dos data centers onde os dados serão hospedados e criar backup no Brasil para viabilizar o cumprimento da Portaria.
O Assis e Mendes está preparado para auxiliar sua empresa em todas estas questões. Fale conosco e esteja pronto para as mudanças.
Henry Magnus
Sócio do Assis e Mendes Advogados. Pós Graduado em Contratos e Direito Empresarial do Trabalho pela FGV.
