ADVOCACIA-GERAL DA UNIÃO
CONSULTORIA-GERAL DA UNIÃO
CONSULTORIA JURÍDICA JUNTO AO MINISTÉRIO DA CULTURA
COORDENAÇÃO-GERAL DE PARCERIAS E COOPERAÇÃO FEDERATIVA
ADVOCACIA-GERAL DA UNIÃO
CONSULTORIA-GERAL DA UNIÃO
CONSULTORIA JURÍDICA JUNTO AO MINISTÉRIO DA CULTURA
COORDENAÇÃO-GERAL DE PARCERIAS E COOPERAÇÃO FEDERATIVA
PARECER n. 00101/2024/CONJUR-MINC/CGU/AGU
NUP: 01400.010210/2024-41
INTERESSADOS: SUBSECRETARIA DE PLANEJAMENTO ORÇAMENTO E ADMINISTRAÇÃO
ASSUNTOS: MINUTA DE PORTARIA
EMENTA: Direito Administrativo. Minuta de Portaria Ministerial que visa dispor sobre a estratégia de uso de software e de serviços de computação em nuvem no âmbito do Ministério da Cultura. Observância das regras do Decreto nº 9.191/2017, do Decreto n. 10.139/2019 e do Decreto n. 12.002/2024. Parecer pela regularidade material e formal da proposta.
I - RELATÓRIO
Por meio do Ofício nº 146/2024/STII/GSE/GM/MinC (SEI 1725373), o Subsecretário de Tecnologia da Informação e Inovação solicita a esta Consultoria Jurídica análise e manifestação sobre minuta de Portaria que visa dispor sobre a estratégia de uso de software e de serviços de computação em nuvem no âmbito do Ministério da Cultura (SEI 1721371).
A fundamentação e motivação da minuta de Portaria em questão encontra-se no Parecer de Mérito para Atos Normativos 1 (SEI 1723889), de lavra da Subsecretaria de Tecnologia da Informação e Inovação.
É o sucinto relatório.
II - FUNDAMENTAÇÃO
A presente análise se dá com fundamento no art. 11 da Lei Complementar nº 73/93, subtraindo-se do âmbito da competência institucional deste Órgão Jurídico, delimitada em lei, análises que importem em considerações de ordem técnica, financeira ou orçamentária, nos termos dos Enunciados de Boa Prática Consultiva AGU nº 7.
Assim, cumpre esclarecer que não compete a esta Consultoria Jurídica a análise do mérito administrativo do ato normativo que se pretende aprovar, cabendo à autoridade administrativa competente sopesar a conveniência e/ou oportunidade na edição do mencionado ato. Às consultorias jurídicas compete apenas a aferição do aspecto jurídico-legal das minutas cuja análise lhe são submetidas.
Ademais, entende-se que as manifestações da CONJUR têm natureza opinativa e, portanto, não são vinculantes para o gestor público, o qual pode, de forma justificada, adotar orientação diversa daquela emanada deste órgão de assessoramento jurídico.
Tecidas essas considerações preliminares, adentra-se à análise jurídica da minuta de Portaria.
Quanto ao aspecto material, observo que a minuta de Portaria em análise tem por objetivo estabelecer diretrizes, critérios e suporte administrativo para a contratação de software e de serviços de computação em nuvem, visando assegurar que o Ministério da Cultura obtenha os resultados esperados e mitigue os riscos associados à adoção de possíveis novas tecnologias ou novas formas de contratação (SEI 1721371).
Os aspectos técnicos e de conveniência e oportunidade da minuta de Portaria foram atestados pelo Parecer de Mérito (SEI 1723889), que expôs as premissas que levaram à elaboração e proposição da norma e abordou as questões constantes do Anexo do Decreto nº 9.191, de 1º de novembro de 2017, conforme determina o art. 13 desse Decreto.
Dito isso, vale notar que a minuta de Portaria em tela tem como fundamento o art. 15, inciso II, do Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação nos órgãos e entidades da Administração Pública Federal:
Art. 15. Aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete:
I - implementar a PNSI;
II - elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República;
III - designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade;
IV - instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI;
V - destinar recursos orçamentários para ações de segurança da informação;
VI - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação;
VII - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais, que comporá a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República;
VII - instituir e implementar equipe de prevenção, tratamento e resposta a incidentes cibernéticos, que comporá a rede de equipes dos órgãos e das entidades da administração pública federal, coordenada pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República; (Redação dada pelo Decreto nº 10.641, de 2021)
VIII - coordenar e executar as ações de segurança da informação no âmbito de sua atuação;
IX - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e
X - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação.
§ 1º O comitê de segurança da informação interno de que trata o inciso IV do caput será composto por:
I - o gestor da segurança da informação do órgão ou da entidade, de que trata o inciso III do caput , que o coordenará;
II - um representante da Secretaria-Executiva ou da unidade equivalente do órgão ou da entidade;
III - um representante de cada unidade finalística do órgão ou da entidade; e
IV - o titular da unidade de tecnologia da informação e comunicação do órgão ou da entidade.
§ 2º Os membros do comitê de segurança da informação interno de que tratam os incisos II e III do § 1º deverão ocupar cargo em comissão do Grupo-Direção e Assessoramento Superiores, de nível 5 ou superior, ou equivalente.
§ 2º Os membros do comitê de segurança da informação interno de que tratam os incisos I a III do § 1º deverão ocupar cargo em comissão ou função de confiança de nível 5 ou superior do Grupo-Direção e Assessoramento Superiores ou equivalente. (Redação dada pelo Decreto nº 9.832, de 2019) (Revogado pelo Decreto nº 10.641, de 2021)
§ 3º O comitê de segurança da informação interno dos órgãos e das entidades da administração pública federal tem as seguintes atribuições:
I - assessorar na implementação das ações de segurança da informação;
II - constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;
III - propor alterações na política de segurança da informação interna; e
IV - propor normas internas relativas à segurança da informação.
§ 4º O gestor de segurança da informação será designado dentre os servidores públicos ocupantes de cargo efetivo, empregados públicos e militares do órgão ou da entidade, com formação ou capacitação técnica compatível com as normas estabelecidas por este Decreto. (Incluído pelo Decreto nº 10.641, de 2021)
Art. 16. Os órgãos e as entidades da administração pública federal editarão atos para definir a forma de funcionamento dos respectivos comitês de segurança da informação, observado o disposto neste Decreto e na legislação.
Por sua vez, a Instrução Normativa PR/GSI nº 1, de 27 de maio de 2020 (IN PR/GSI nº 01/2020), que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal, assim orienta:
Art. 9º É obrigatório a todos os órgãos e as entidades da administração pública federal possuir uma Política de Segurança da Informação, implementada a partir da formalização e aprovação por parte da autoridade máxima da instituição, com o objetivo de estabelecer diretrizes, responsabilidades, competências e subsídios para a gestão da segurança da informação.
Parágrafo único. A autoridade máxima do órgão ou da entidade é responsável por garantir os recursos necessários para a execução da Política de Segurança da Informação no âmbito de sua organização.
Art. 10. A Política de Segurança da Informação deve ser elaborada sob a coordenação do Gestor de Segurança da Informação do órgão ou entidade, com a participação do Comitê de Segurança da Informação interno ou estrutura equivalente.
Parágrafo único. Cabe ao Gestor de Segurança da Informação promover, com apoio da alta administração, a ampla divulgação da Política, das normas internas de segurança da informação e de suas atualizações, de forma ampla e acessível, a todos os servidores, aos usuários e aos prestadores de serviço, a fim de que esses tomem conhecimento de tais instrumentos.
Art. 11. A elaboração da Política de Segurança da Informação deve levar em consideração a natureza e a finalidade do órgão ou da entidade e estar alinhada ao seu planejamento estratégico.
Sobre o tema tratado no Decreto nº 9.637/2018, e na IN PR/GSI nº 1/2020, observo que o Ministério da Cultura publicou as seguintes Portarias no Diário Oficial da União de 31 de março de 2023, conforme consta do processo 01400.001050/2023-69:
a) Portaria MinC nº 13, de 30 de março de 2023 (1093587) que "Institui o Comitê de Governança Digital e Segurança da Informação no âmbito do Ministério da Cultura e dá outras providências".
b) Portaria MinC nº 14, de 30 de março de 2023 (1093604) que "Designa os membros para integrar o Comitê de Governança Digital e Segurança da Informação no âmbito do Ministério da Cultura".
c) Portaria MinC nº 15, de 30 de março de 2023 (1093609) que "Designa o Gestor de Segurança da Informação no âmbito do Ministério da Cultura" (que é o Subsecretário de Tecnologia da Informação e Inovação). Esta Portaria foi posteriormente alterada pela
O Parecer de Mérito (SEI 1723889) informa que a Minuta de Portaria em tela (SEI 1721371) será aprovada pelo Comitê de Governança Digital e Segurança da Informação. Portanto, deve ser oportunamente juntada aos autos a decisão do Comitê de Governança Digital e Segurança da Informação, conforme determinam o art. 15, § 3º, do Decreto nº 9.637/2018 e o art. 10 da IN PR/GSI nº 01/2020 (acima transcritos).
Considerando o disposto no art. 15, inciso II, do Decreto nº 9.637/2019, observo que a minuta em análise aborda apenas uma parte da política de segurança da informação no âmbito do Ministério da Cultura, ou seja, limita-se a tratar da estratégia de uso de software e de serviços de computação em nuvem. Assim, cabe ao órgão proponente justificar a restrição da minuta a esses aspectos específicos e adotar as providências cabíveis para a elaboração integral da política de segurança da informação e das normas internas de segurança da informação, conforme determina o referido dispositivo.
Observo que o art. 12 da IN PR/GSI nº 01/2020 indica todos os itens que deverão constar da Política de Segurança da Informação a ser aprovada pelos órgãos e entidades da administração pública federal (conforme determinado pelo art. 9º, acima transcrito):
Art. 12. A Política de Segurança da Informação deverá ser composta, no mínimo, pelos seguintes itens:
I - escopo: descreve o objetivo e a abrangência da Política, definindo o limite dentro do qual as ações de segurança da informação serão desenvolvidas no órgão ou na entidade;
II - conceitos e definições: relaciona e descreve os conceitos e definições a serem utilizados na Política do órgão ou da entidade que possam gerar dificuldade de interpretação ou ambiguidade, devendo ser utilizadas as definições contidas no Glossário de Segurança da Informação, aprovado pelo Gabinete de Segurança Institucional da Presidência da República;
III - princípios: relaciona os princípios que regem a segurança da informação no órgão ou na entidade;
IV - diretrizes gerais: estabelece diretrizes sobre a implementação, no mínimo, dos seguintes temas:
a) Tratamento da Informação;
b) Segurança Física e do Ambiente;
c) Gestão de Incidentes em Segurança da Informação;
d) Gestão de Ativos;
e) Gestão do Uso dos Recursos Operacionais e de Comunicações, como: e-mail, acesso à internet, mídias sociais, computação em nuvem, dentre outros;
f) Controles de Acesso;
g) Gestão de Riscos;
h) Gestão de Continuidade; e
i) Auditoria e Conformidade.
V - competências: define as atribuições e as responsabilidades dos envolvidos na estrutura de gestão de segurança da informação;
VI - penalidades: estabelece as consequências e as penalidades para os casos de violação da Política de Segurança da Informação ou de quebra de segurança, de acordo com as normas já existentes no ordenamento jurídico vigente sobre penalidades ao servidor público federal relativas ao assunto; e
VII - política de atualização: estabelece a periodicidade máxima para a revisão da Política de Segurança da Informação e dos respectivos instrumentos normativos.
§ 1º A periodicidade para a revisão da Política de Segurança da Informação não deve exceder 4 (quatro) anos.
§ 2º A Política de Segurança da Informação, quando necessário, deve ser complementada por normas, metodologias e procedimentos.
Observo que a minuta em análise não aborda todos os aspectos mencionados na art. 12 da IN PR/GSI nº 01/2020.
Ressalte-se que não cabe a esta Consultoria Jurídica efetuar a análise técnica do conteúdo da minuta de Portaria, que trata de matéria eminentemente técnica/operacional. Assim, cabe ao órgão técnico fazer constar na minuta todos os itens obrigatórios da Política de Segurança da Informação elencados no art. 12 da IN PR/GSI nº 01/2020 ou explicitar a justificativa para a opção adotada.
Com relação à forma do ato administrativo, de acordo com a definição encartada pelo Manual de Redação da Presidência da República, 3ª ed., Brasília: 2018, p. 147, a portaria é o "instrumento pelo qual Ministros ou outras autoridades expedem instruções sobre a organização e o funcionamento de serviço, sobre questões de pessoal e outros atos de sua competência”.
Nesse mesmo sentido, explica Hely Lopes Meirelles que Portarias são atos ordinatórios que visam a disciplinar o funcionamento da administração e a conduta funcional de seus agentes (Direito Administrativo Brasileiro. 32ª ed. São Paulo: Malheiros, fls. 183/184).
Este é o caso dos autos, onde se busca, como afirmado, dispor sobre a estratégia de uso de software e de serviços de computação em nuvem no âmbito do Ministério da Cultura.
Com efeito, o ato poderia ser tanto uma Portaria quanto uma Instrução Normativa, nos termos do art. 2º do Decreto nº 10.139, de 28 de novembro de 2019 e do art. 9º do Decreto n. 12.002, de 22 de abril de 2024 (que substituirá o Decreto nº 10.139/2019 a partir de 1º/06/2024):
Art. 2º A partir da entrada em vigor deste Decreto os atos normativos inferiores a decreto serão editados sob a forma de:
I - portarias - atos normativos editados por uma ou mais autoridades singulares;
II - resoluções - atos normativos editados por colegiados; ou
III - instruções normativas - atos normativos que, sem inovar, orientem a execução das normas vigentes pelos agentes públicos.
Art. 9º Os atos normativos inferiores a decreto serão editados sob a denominação de: |
I - instruções normativas e portarias - atos normativos editados por uma ou mais autoridades singulares; e
II - resoluções - atos normativos editados por colegiados.
Portanto, verificada a adequabilidade do instrumento (Portaria) à finalidade que se pretende, é necessário verificar (i) a competência do agente, (ii) a existência de justificativa/fundamentação do propósito pelo administrador, (iii) além do cumprimento dos requisitos de validade e do respeito ao princípio da legalidade.
Sobre a competência, não há dúvida de que a Ministra de Estado da Cultura é autoridade competente para disciplinar a matéria, no âmbito desta Pasta. Isto porque as Portarias têm por fundamento o poder hierárquico, podendo ser expedidas por qualquer chefe de órgãos, repartições e serviços, desde que nos limites de sua competência.
Sobre a competência específica dos Ministros de Estado, dispõe o art. 87, parágrafo único, inciso II, da Constituição Federal:
Art. 87. Os Ministros de Estado serão escolhidos dentre brasileiros maiores de vinte e um anos e no exercício dos direitos políticos.
Parágrafo único. Compete ao Ministro de Estado, além de outras atribuições estabelecidas nesta Constituição e na lei:
(...)
II - expedir instruções para a execução das leis, decretos e regulamentos;
(...)
Ademais, como visto, a competência da Ministra de Estado da Cultura para a edição do ato fundamenta-se no art. 15, inciso II, do Decreto nº 9.637/2018, acima transcrito.
No que se refere ao propósito da administração, o Parecer de Mérito (SEI 1723889) justifica e apresenta a motivação do ato, além de abordar as "questões a serem analisadas quando da elaboração de atos normativos no âmbito do poder executivo federal", conforme determina o art. 13 c/c Anexo do Decreto n. 9.191/2017.
Com relação aos requisitos de validade e respeito ao princípio da legalidade, a Portaria em tela encontra fundamento no art. 15, inciso II, do Decreto nº 9.637/2018, como destacado anteriormente nesta manifestação jurídica.
Quanto aos aspectos estritamente formais contidos na minuta, insta ponderar que a ela se aplicam o Decreto nº 10.139/2019, o Decreto nº 9.191/2017, e, a depender da data de publicação, o Decreto n. 12.002/2024 (em vigor a partir de 1º de junho de 2024) que estabelecem normas para elaboração, redação, alteração, revisão e consolidação de atos normativos.
Nesse sentido, passamos à análise detalhada da minuta.
a) Quanto à epígrafe da Portaria, é necessário que esta apresente a sigla do órgão ("Portaria MINC nº ___ de ___ de _____ de 2024"), conforme orientação disposta no art. 3º-B do Decreto nº 10.139, de 2019 e art. 4º, § 1º, do Decreto n. 12.002/2024.
b) Fora esta aparição da sigla MINC, o art. 14, inciso I, alínea "e", 1, do Decreto nº 9.191/2017, e o art. 11, inciso II, alínea "f", 1, do Decreto n. 12.002/2024 determinam não se deve utilizar sigla para designar órgãos da administração direta, de modo que se recomenda a substituição de "MINC" pelo nome por extenso da Pasta no restante da minuta.
c) Destaco que a numeração da presente Portaria deve ser estabelecida em continuidade à série anteriormente iniciada, tendo em vista o disposto no Decreto nº 10.139/2019, e no Decreto n. 12.002/2024.
d) A ementa está adequada, bem como o fundamento disposto no preâmbulo e o art. 1º apresenta o objeto da Portaria, em consonância com o art. 7º do Decreto nº 9.191/2017 e art. 6º do Decreto n. 12.002/2024. No entanto, caso se pretenda ampliar o âmbito de aplicação da Portaria para abranger toda a Política de Segurança da Informação (nos termos do art. 15, inciso II, do Decreto n. 9.637/2018, conforme recomendado acima), a ementa e o art. 1º deverão refletir o novo conteúdo da Portaria.
e) Quanto ao inciso I do art. 4º da minuta de Portaria, observo que o dispositivo correspondente do Decreto n. 9.637/2018 (mencionado no caput do art. 4º da minuta) foi revogado pelo Decreto nº 11.856, de 2023. Portanto, recomenda-se a exclusão desse inciso.
f) Recomendo que se confirme, junto aos órgãos competentes, a vigência de todas as normas mencionadas no art. 6º da minuta, visto que nem sempre os sítios eletrônicos institucionais encontram-se atualizados. A Portaria GSI/PR nº 93, de 26 de setembro de 2019 (inciso V), por exemplo, foi revogada pela Portaria GSI/PR nº 93, de 18 de outubro de 2021 (https://www.in.gov.br/en/web/dou/-/portaria-gsi/pr-n-93-de-18-de-outubro-de-2021-353056370).
g) Quanto à sigla "POSIN" (art. 7º), cumpre registrar que o art. 14, inciso II, alínea "e", item 4, do Decreto nº 9.191/2017, ao tratar de uso de sigla ou acrônimo, recomenda a sua utilização "apenas se consagrado pelo uso geral e não apenas no âmbito de setor da administração pública ou de grupo social específico".
h) No art. 23 da minuta, recomendo que se esclareça se a "norma específica que trata dos requisitos para uso seguro de computação em nuvem ainda será aprovada, se já existe ou se é a própria Portaria em questão.
i) Recomendo que seja esclarecida a diferença entre o Comitê de Segurança da Informação mencionado no art. 25 da minuta de Portaria em análise e o Comitê de Governança Digital e Segurança da Informação - CGDSI de que trata a Portaria MINC nº 13, de 30 de março de 2023 (SEI 1093587). Caso se trate do mesmo órgão, não é necessário um novo dispositivo para tratar de suas competências, que já foram estabelecidas pelo art. 3º da Portaria MINC nº 13/2023.
j) O art. 26 da minuta deve ser compatível com o disposto no art. 19 da Instrução Normativa GSI/PR nº 1, de 2020, que estabelece as competências do Gestor de Segurança da Informação, bastando que a norma remeta ao referido dispositivo, como fez o art. 2º da Portaria MINC nº 15, de 30 de março de 2023, caso não se pretenda detalhar nenhuma das competências previstas naquela Instrução Normativa.
k) No art. 27, o inciso I deve ser incorporado ao caput, já que há apenas um inciso.
l) No que tange à data de entrada em vigor (art. 30), recomenda-se a avaliação da necessidade de postergação da produção de efeitos, nos termos do art. 17 do Decreto n. 12.002/2024. Caso não haja motivos para estabelecimento da vacatio legis, a Portaria poderá entrar em vigor na data de sua publicação.
m) O Anexo da Portaria deve conter apenas conceitos e definições empregados na norma. Recomendo a revisão do Anexo nesse sentido, pois nem todos os termos definidos encontram-se na Portaria.
n) Recomenda-se a revisão de formatação, gramática, ortografia e pontuação em toda a minuta. Observo, especialmente, que todos os artigos devem terminar com ponto final, e que o texto do inciso deve iniciar-se com letra minúscula, exceto quando se tratar de nome próprio, conforme art. 12, incisos III e X do Decreto n. 12.002/2024.
Por fim, destaco que a proposta de ato normativo em exame está potencialmente sujeita à prévia análise de impacto regulatório - AIR, nos termos do Decreto nº 10.411/2020. Assim, recomendo que o órgão técnico avalie a necessidade de produção da AIR ou dispensa desta, nos termos do art. 4º c/c art. 2º, inciso II, do referido Decreto. Caso a AIR seja dispensada, é necessária a avaliação de resultado regulatório, no prazo máximo de 3 anos, conforme art. 12 do Decreto nº 10.411/2020.
III - CONCLUSÃO
Face ao exposto, e sem adentrar nos valores de conveniência e oportunidade na criação de mecanismos institucionais, não sujeitos ao crivo desta Consultoria Jurídica, é de se concluir pela viabilidade jurídica da minuta de Portaria em tela, desde que observado o disposto no presente Parecer.
Isso posto, submeto o presente Parecer à consideração superior e recomendo o encaminhamento dos autos à Subsecretaria de Tecnologia da Informação e Inovação, para ciência e providências cabíveis.
Brasília, 10 de maio de 2024.
DANIELA GUIMARÃES GOULART
Advogada da União
Atenção, a consulta ao processo eletrônico está disponível em https://supersapiens.agu.gov.br mediante o fornecimento do Número Único de Protocolo (NUP) 01400010210202441 e da chave de acesso 50668a37