Empresas e órgãos públicos podem contratar data centers no exterior

Autora:  Júlia Pauro Oliveira (*)

 

Questão bastante polêmica à época de instituição do Marco Civil da Internet, por meio do Projeto de Lei 2.126/2011, foi a tentativa do governo brasileiro de impedir a utilização de data centers localizados no exterior, nos termos da redação original do artigo 12:

Art. 12 O Poder Executivo, por meio de Decreto, poderá obrigar os provedores de conexão e de aplicações de internet previstos no art. 11 que exerçam suas atividades de forma organizada, profissional e com finalidades econômicas a instalarem ou utilizarem estruturas de armazenamento, gerenciamento e disseminação de dados em território nacional, considerando o porte dos provedores, seu faturamento no Brasil e a amplitude da oferta do serviço ao público brasileiro.

Com isso pretendia-se garantir a disponibilidade dos registros em rede, já que nenhuma empresa poderia utilizar o argumento de que os dados estariam armazenados por empresa estrangeira em data center fora do território nacional para se furtar da obrigação de cumprir a legislação brasileira, além de prevenir a espionagem internacional, principalmente em face das denúncias de que os Estados Unidos estariam monitorando os dados em rede do governo brasileiro.

A restrição à utilização de data centers locais, no entanto, encontrou muita resistência na Câmara dos Deputados e, após sucessivas alterações, foi retirada da redação final do Projeto de Lei 2.126/2011.

No lugar, para garantir a disponibilidade de dados, foi estabelecida a obrigação de toda operação de coleta e de guarda de registros observar a legislação brasileira, inclusive nos casos em que empresas estrangeiras são prestadoras de serviços a brasileiros. A redação final do Projeto de Lei 2.126/2011 a respeito dessa questão é a seguinte:

Art. 11.  Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

§1° O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.

§2° O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

§3° Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.

§4° Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo. (Grifos aditados)

E, na tentativa de estimular o armazenamento de dados no território nacional, foi inserido o inciso VII do artigo 24, segundo o qual o Poder Público deve otimizar a infraestrutura de redes e estimular a implantação de centros de armazenamento, gerenciamento e disseminação de dados no país:

Art. 24.  Constituem diretrizes para a atuação da União, dos Estados, do Distrito Federal e dos Municípios no desenvolvimento da internet no Brasil:
(…)
VII – otimização da infraestrutura das redes e estímulo à implantação de centros de armazenamento, gerenciamento e disseminação de dados no País, promovendo a qualidade técnica, a inovação e a difusão das aplicações de internet, sem prejuízo à abertura, à neutralidade e à natureza participativa;

A partir disso, verifica-se que a utilização de data centers no exterior para armazenar dados de usuários brasileiros não foi vedada pela legislação brasileira.

Todavia, em razão do estímulo do governo brasileiro aos data centers nacionais, os órgãos e as entidades da Administração Pública ainda resistem a esse tipo de contratação por acreditarem que existe óbice legal.

Isso porque o Ministério do Planejamento, Orçamento e Gestão, no dia 12/05/2016, expediu o Manual de Boas Práticas, Orientações e Vedações para Contratação de Serviços de Computação em Nuvem.

Segundo o documento, em razão dos avanços tecnológicos, a computação em nuvem se tornou uma realidade acessível às organizações, inclusive governamentais, e apresenta vantagens como redução de custos, elasticidade, redução da ociosidade dos recursos, agilidade na implantação de novos serviços, foco nas atividades finalísticas do negócio e uso mais inteligente da equipe de Tecnologia da Informação (TI).

Em relação à contratação de serviços de computação em nuvem pela Administração Pública, o documento recomenda que os serviços de Tecnologia da Informação e Comunicação (TIC) que não comprometam a segurança nacional sejam contratados em Nuvem Híbrida [1] de fornecedor público ou privado:

3. Para os casos de serviços de TIC que não comprometam a segurança nacional, incluindo Serviços de TIC Próprios, recomenda-se aos órgãos contratar preferencialmente Nuvem Híbrida, como Modelo de Implantação, de fornecedor público ou privado. Com isso, é possível valer-se dos benefícios dos modelos de nuvem pública (elasticidade e agilidade) e privada (desempenho garantido devido ao recurso dedicado), e ao mesmo tempo minimizar os riscos e otimizar os custos advindos de cada modelo.

No caso de fornecedores do serviço de nuvem privado, o Manual estabelece que os órgãos devem exigir que o ambiente do serviço contratado esteja de acordo com as normas ABNT, a fim de se mitigar os riscos relativos à segurança da informação:

4. Os órgãos deverão exigir, no momento da contratação de serviços em nuvem de fornecedores privados, que o ambiente do serviço contratado esteja em conformidade com a norma ABNT NBR ISO/IEC 27001:2013, sem prejuízo de outras exigências, objetivando mitigar riscos relativos à segurança da informação.

Em seguida, nos itens 9 a 12, o documento estabelece alguns requisitos para a contratação do serviço de computação em nuvem, condizentes com a legislação, em especial no que diz respeito à prevalência das leis nacionais sobre os dados de usuários brasileiros, ainda que fora do país:

9. Os órgãos deverão adotar o foro brasileiro para dirimir quaisquer questões jurídicas relacionadas aos contratos firmados entre o contratante e o fornecedor do serviço.

10. Na contratação de serviços em nuvem com empresas privadas os órgãos deverão exigir disponibilidade de no mínimo, 99,741% para os data centers onde os serviços estarão hospedados, aceita a comprovação por meio de certificação TIA 942 TIER II.

11. Os órgãos deverão assegurar, por meio de cláusulas contratuais, que o serviço a ser contratado permita a portabilidade de dados e aplicativos e que as informações do órgão contratante estejam disponíveis para transferência de localização, em prazo adequado e sem custo adicional, de modo a garantir a continuidade do negócio e possibilitar a transição contratual.

12. Os órgãos deverão assegurar, quando aplicável e por meio de cláusulas contratuais, que as informações sob custódia do fornecedor serão tratadas como informações sigilosas, não podendo ser usadas por este fornecedor ou fornecidas a terceiros, sob nenhuma hipótese, sem autorização formal do contratante.

O problema do Manual é que, no Item 8, o documento estabelece que os órgãos contratantes de data centers devem exigir que os dados e as informações residam exclusivamente no território nacional, incluindo a replicação e cópias de segurança (backups), de modo que o contratante disponha de todas as garantias da legislação brasileira, nos seguintes termos:

8. Os órgãos deverão exigir, por meio de cláusulas contratuais, em conformidade com o disposto na NC 14/IN01/DSIC/GSIPR, que os dados e informações do contratante residam exclusivamente em território nacional, incluindo replicação e cópias de segurança (backups), de modo que o contratante disponha de todas as garantias da legislação brasileira enquanto tomador do serviço e responsável pela guarda das informações armazenadas em nuvem.

Para tanto, o Manual se reporta à Norma Complementar 14/IN01/DSIC/GSIPR, de 30/01/2012, emitida pelo Departamento de Segurança da Informação e Comunicações da Presidência da República, a qual estabelece diretrizes para a utilização de computação em nuvem, nos aspectos relacionados à Segurança da Informação e Comunicações (SIC), nos órgãos e entidades da Administração Pública Federal (APF) direta e indireta.

Ocorre que a Norma Complementar não exige que os dados de usuários brasileiros sejam armazenados exclusivamente em território nacional. O Item 5.3.5 apenas determina que os órgãos ou entidades da Administração Pública Federal devem avaliar o conteúdo que será hospedado, considerando a localização geográfica onde as informações estarão fisicamente armazenadas, conforme abaixo:

5.3. Os órgãos ou entidades da APF devem avaliar quais informações serão hospedadas na nuvem, considerando:
(…)
5.3.5. A localização geográfica onde as informações estarão fisicamente armazenadas.

Além disso, a Norma Complementar reitera a necessidade de que a legislação brasileira prevaleça sobre qualquer outra em relação aos dados de usuários brasileiros armazenados mesmo fora do país, tal como previsto no Marco Civil da Internet, nos termos dos Itens 5.2.1 e 5.2.2:

5.2 Ao contratar ou implementar um serviço de computação em nuvem, o órgão ou entidade da APF deve garantir:

5.2.1. O ambiente de computação me nuvem, sua infraestrutura e canal de comunicação estejam aderentes às diretrizes e normas de SIC, estabelecidas pelo GSIPR, e às legislações vigentes;

5.2.2. A legislação brasileira prevaleça sobre qualquer outra, de modo a ter todas as garantias legais enquanto tomadora do serviço e proprietária das informações hospedadas na nuvem;

E, a fim de garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações hospedadas, a Norma Complementar estabelece ainda que o contrato de prestação de serviço deve conter cláusulas que as assegure, nos termos abaixo:

5.2.3. O contrato de prestação de serviço, quando for o caso, deve conter cláusulas que garantam a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações hospedadas na nuvem, em especial aquelas sob custódia e gerenciamento do prestador de serviço;

Ou seja, em nenhum momento a Norma Complementar estabelece a obrigatoriedade de armazenagem de dados no território brasileiro, como faz crer o Manual de Boas Práticas, Orientações e Vedações para Contratação de Serviços de Computação em Nuvem do Ministério do Planejamento, Orçamento e Gestão.

E nem poderia fazê-lo, já que a legislação brasileira não estabelece tal exigência. O Manual do Ministério do Planejamento, Orçamento e Gestão é ato hierarquicamente inferior à lei e, portanto, não pode estabelecer requisito não previsto na legislação, sob pena de violação ao principio da hierarquia normativa.

Ademais, o documento não constitui ato normativo com efeito vinculante, mas tão somente uma orientação aos órgãos e às entidades da Administração Pública. Isso quer dizer que sua observância não é obrigatória, o que afasta a necessidade de os dados de contratantes brasileiros serem armazenados em data centers locais.

Como o uso da Tecnologia de Informação na prestação de serviços, inclusive públicos, é cada vez mais comum e vantajoso, do ponto de vista da eficiência, foi instituída, em 18/01/2016, a Política de Governança Digital dos órgãos integrantes do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), por meio do Decreto 8.638.

O SISP é composto pelos órgãos da Administração Pública Federal direta, autarquias e fundações, conforme estabelecido no artigo 1° do Decreto 7.579, de 11/10/2011:

Art. 1º  Ficam organizados sob a forma de sistema, com a denominação de Sistema de Administração dos Recursos de Tecnologia da Informação – SISP, o planejamento, a coordenação, a organização, a operação, o controle e a supervisão dos recursos de tecnologia da informação dos órgãos e entidades da administração pública federal direta, autárquica e fundacional, em articulação com os demais sistemas utilizados direta ou indiretamente na gestão da informação pública federal.

Ou seja, a Política de Governança Digital instituída pelo Decreto 8.638/2016 não se aplica às sociedades de economia mista e às empresas públicas.

Para o que ora importa, o Decreto 8.638/2016 estabeleceu que os dados devem ser disponibilizados de modo a assegurar a segurança e a privacidade dos usuários, nos termos do inciso III do artigo 4° abaixo:

III – os dados serão disponibilizados em formato aberto, amplamente acessível e utilizável por pessoas e máquinas, assegurados os direitos à segurança e à privacidade;

Em seguida, o artigo 5° estabelece que o Ministério do Planejamento, Orçamento e Gestão editará a Estratégia de Governança Digital (EGD) e o art. 9° estabelece que cada órgão ou entidade da Administração Pública Federal direta, autárquica e fundacional deverá manter um Comitê de Governança Digital, ou estrutura equivalente, para deliberar sobre os assuntos relativos à Governança Digital:

Art. 5º O Ministro de Estado do Planejamento, Orçamento e Gestão editará a Estratégia de Governança Digital – EGD da administração pública federal , documento que definirá os objetivos estratégicos, as metas, os indicadores e as iniciativas da Política de Governança Digital e norteará programas, projetos, serviços, sistemas e atividades a ela relacionados.
(…)
Art. 9º Os órgãos e as entidades da administração pública federal direta, autárquica e fundacional deverão manter um Comitê de Governança Digital, ou estrutura equivalente, para deliberar sobre os assuntos relativos à Governança Digital, composto por, no mínimo:

I – um representante da Secretaria Executiva ou da unidade equivalente do órgão ou da entidade, que o presidirá;

II – um representante de cada unidade finalística do órgão ou da entidade; e

III – o titular da unidade de tecnologia da informação e comunicação do órgão ou da entidade.

Parágrafo único. Os membros do Comitê ou da estrutura equivalente referidos nos incisos I e II do caput deverão ser ocupantes de cargo de provimento em comissão do Grupo-Direção e Assessoramento Superiores, de nível 5 ou equivalente, ou de cargo de hierarquia superior.

Depreende-se que o Decreto 8.638/2016 não estabeleceu nenhum óbice para que os órgãos e as entidades da Administração Pública Federal direta ou indireta contratem fornecedores do serviço de armazenamento de dados no exterior. A preocupação, mais uma vez, é com acesso, segurança e privacidade dos registros em rede e com a criação de comitê especializado para dirimir eventuais dúvidas a esse respeito.

O próprio secretário de Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão, Cristiano Heckert, em entrevista concedida ao Portal Tele.Síntese [2], no dia 07/03/2016, ao ser questionado sobre a possibilidade de os órgãos e as entidades governamentais contratarem serviços de nuvem, assim respondeu:

Tele.Síntese – Parece que há uma questão legal que impede a contratação do serviço da nuvem?

Heckert – Não, consegue contratar sim.  Com a legislação atual há espaço para a ir para nuvem. Tem que identificar naquele serviço específico qual é o grau de sigilo da informação que ele requer, qual o grau de relevância estratégica para o Estado; se ele teria algum problema de estar no exterior ou não. Há contextos diferentes de nuvens. Eu posso ir para uma nuvem contratando o Serpro ou a Dataprev.  Eu posso ir para uma nuvem fornecida pelo setor privado mas que tem um data center no Brasil e uma que tem um data center no exterior. São três modelos distintos, mas sempre nuvem. (Grifos aditados)

Diante do exposto, fica claro que não há impedimento legal para que a Administração Pública Federal contrate serviços de computação em nuvem localizados no exterior. O Manual emitido pelo Ministério do Planejamento, Orçamento e Gestão não possui efeito vinculante e sua observância é apenas uma recomendação. Ainda que assim não o fosse, o Manual é ato hierarquicamente inferior à legislação e não poderia estabelecer exigência não contida em lei, sob pena de violação ao princípio da hierarquia normativa.

Além disso, o Manual se reporta à Norma Complementar 14/IN01/DSIC/GSIPR para restringir a contratação de data center fora do território brasileiro, apesar de o texto da Norma Complementar não conter tal exigência, mas apenas reiterar a necessidade de todos os dados de usuários brasileiros, ainda que armazenados no exterior, se submeterem à legislação pátria.

a) Acórdão 1.739-24/15-P do Tribunal de Contas da União (TCU)
O Plenário do TCU, por meio do Acórdão 1.739-24/15-P, de 15/07/2015, proferido nos autos do Processo 025.994/2014-0, analisou de forma bastante detalhada a utilização do serviço de computação em nuvem por órgãos e por entidades governamentais.

No que diz respeito à legislação, o acórdão ressaltou que o Decreto 8.135, de 04/11/2013, estabelece a necessidade de as comunicações de dados da Administração Pública Federal direta, autárquica e fundacional serem realizadas por redes de telecomunicações e serviços de TI fornecidos por órgãos ou entidades da própria Administração Pública Federal, incluindo as empresas públicas e as sociedades de economia mista da União e suas subsidiárias, nos termos dos dispositivos abaixo:

Art. 1º  As comunicações de dados da administração pública federal direta, autárquica e fundacional deverão ser realizadas por redes de telecomunicações e serviços de tecnologia da informação fornecidos por órgãos ou entidades da administração pública federal, incluindo empresas públicas e sociedades de economia mista da União e suas subsidiárias.
(…)
§ 4º  O armazenamento e a recuperação de dados a que se refere o caput deverá ser realizada em centro de processamento de dados fornecido por órgãos e entidades da administração pública federal.

Isso para garantir a inviolabilidade das comunicações de dados e, assim, preservar a segurança nacional.

No inciso II do §5° do artigo 1°, no entanto, o Decreto prevê a necessidade de se levar em consideração a capacidade dos órgãos e das entidades da Administração Pública Federal de ofertar satisfatoriamente as redes e os serviços de TI, conforme abaixo:

§ 5º  Ato conjunto dos Ministros de Estado da Defesa, do Planejamento, Orçamento e Gestão e das Comunicações disciplinará o disposto neste artigo e estabelecerá procedimentos, abrangência e prazos de implementação, considerando:

I – as peculiaridades das comunicações dos órgãos e entidades da administração pública federal; e

II – a capacidade dos órgãos e entidades da administração pública federal de ofertar satisfatoriamente as redes e os serviços a que se refere o caput.

Em decorrência do dispositivo acima, foi editada a Portaria Interministerial 141/2014, ato conjunto dos Ministros de Estado da Defesa, do Planejamento, Orçamento e Gestão e das Comunicações, para estabelecer os procedimentos a serem observados pelos órgãos e entidades da Administração Pública Federal para a contratação de serviço de comunicação de dados.

A Portaria Interministerial estabelece, no §3° do artigo 5°, que o órgão ou entidade contratante deve, até o término da fase de planejamento da contratação, consultar sobre a disponibilidade de atendimento das especificações técnicas e dos níveis de serviço necessários:

§ 3º Nas hipóteses dos §§ 1º e 2º, até o término da fase de planejamento da contratação, o órgão ou entidade contratante deverá consultar a regulamentação do órgão gerenciador ou os órgãos ou entidades fornecedores que prestem serviços compatíveis com o objeto da contratação sobre a disponibilidade para atendimento das especificações técnicas e níveis de serviço do objeto do contrato, conforme o caso.

Isso porque a contratação de órgãos e de entidades governamentais fornecedores desse tipo de serviço, prevista no caput do artigo 5°, deixa de ser obrigatória se inexistir a oferta do serviço demandado. Nesse caso, há a possibilidade de contratação de fornecedor privado, nos termos do artigo 7° abaixo:

Art. 7º Nos casos em que não houver oferta da prestação de serviços por órgãos ou entidades fornecedores, é permitida a contratação de serviços de redes de telecomunicações ou de tecnologia da informação junto a fornecedores privados.

§ 1º Para fins desta Portaria, o serviço será considerado não ofertado quando o órgão ou entidade fornecedor:

I – não atender à localidade da prestação do serviço;

II – não atender aos requisitos técnicos relativos à infraestrutura ou aos serviços, conforme demandado pelo órgão ou entidade contratante, observada a regulamentação estabelecida pelo órgão gerenciador, quando houver;

III – não responder a consulta formal sobre o atendimento dos serviços no prazo de trinta dias; e

IV – não puder enquadrar a demanda do órgão ou entidade contratante nas prioridades de contratação de que trata o art. 4º, inciso I, alínea “a”.

§ 2º A contratação com fornecedores privados será precedida de licitação, excetuadas as hipóteses de dispensa ou de inexigibilidade previstas na legislação.

§ 3º A não oferta de que trata o § 1º deverá ser demonstrada no processo de contratação mediante a juntada de documentos que atestem a realização da consulta referida no § 3º do art. 5º e o enquadramento em uma das hipóteses do § 1º.

§ 4º Nos casos em que o atendimento aos serviços for apenas parcial, o órgão ou entidade contratante deverá motivar a não contratação do órgão ou entidade fornecedor, mediante justificativa de que a cisão do objeto da contratação:

I – é inviável do ponto de vista técnico ou jurídico; ou

II – é desvantajosa tecnicamente para o órgão ou entidade contratante.

§ 5º O prazo referido no inciso III do § 1º poderá ser prorrogado, a critério do órgão ou entidade contratante, mediante justificativa.

Vale destacar que, como serviço de TI, a que se refere a Portaria Interministerial, considera-se:

Art. 11. Para fins desta Portaria, serviços de tecnologia da informação abrangem os serviços de:

I – correio eletrônico;

II – compartilhamento e sincronização de arquivos;

III – mensageria instantânea;

IV – conferência (teleconferência, telepresença e webconferência); e

V – comunicação de voz sobre protocolo de internet (VoIP).

Portanto, a contratação de computação em nuvem está englobada no conceito de serviço de TI, segundo o TCU, e o gestor público, antes da contratação, deve observar o disposto no Decreto 8.135/2013 e na Portaria Interministerial 141/2014.

A unidade técnica do TCU, então, avaliou a oferta de serviços de nuvem por empresas públicas. As duas únicas opções são a Dataprev e o Serpro.

A Dataprev informou ao TCU que ainda não iniciou a comercialização do serviço, por não ter definido a política de preços, os níveis de serviço e nem elaborado modelo de contrato padrão.

No que se refere ao Serpro, a unidade técnica do TCU concluiu que a empresa não tem capacidade de prover satisfatoriamente os serviços de computação em nuvem.

Assim, o TCU considerou que a contratação de data center por ente público deve observar o Decreto 8.135/2013 e a Portaria Interministerial 141/2014, que estabelecem a necessidade de as comunicações de dados da Administração Pública Federal direta, autárquica e fundacional serem realizadas por redes de telecomunicações e serviços de TI fornecidos por órgãos ou entidades da própria Administração Pública Federal, incluindo as empresas públicas e as sociedades de economia mista da União e suas subsidiárias.

No entanto, os serviços ofertados por entes públicos (Dataprev e Serpro) são insuficientes para o atendimento desse tipo de demanda, o que autoriza a contratação de empresas privadas, sem restrição quanto ao local de armazenamento e processamento de dados.

Conclusões
A partir de todo o exposto conclui-se que a legislação brasileira não estabelece nenhuma vedação à contratação de data centers no exterior. O Marco Civil da Internet apenas institui a necessidade de os dados de usuários brasileiros armazenados em rede, ainda que em data center no exterior, se submetam à legislação nacional;

Em relação ao Poder Público, apesar de o Manual de Boas Práticas, Orientações e Vedações para Contratação de Serviços de Computação em Nuvem, emitido pelo Ministério do Planejamento, Orçamento e Gestão, exigir que os órgãos e as entidades da Administração Pública Federal armazenem em território nacional os dados em rede, sua observância não é obrigatória e os dispositivos que regulamentam a matéria (Marco Civil da Internet, Norma Complementar 14/IN01/DSIC/GSIPR, Decreto 8.638/2016, Decreto 8.135/2013 e Portaria Interministerial 141/2014) não fazem tal exigência, mas apenas reiteram a necessidade de os dados de usuários brasileiros serem submetidos à legislação nacional.

O Decreto 8.135/2013 estabelece a necessidade de as comunicações de dados da Administração Pública Federal direta, autárquica e fundacional serem realizadas por redes de telecomunicações e serviços de TI fornecidos por órgãos ou entidades da própria Administração Pública Federal. Entretanto, tal ato não alcança as empresas públicas e sociedades de economia mista e o próprio TCU, por meio do Acórdão 1.739-24/15-P, atestou a insuficiência dos serviços fornecidos por entes públicos (Dataprev e Serpro), o que justificaria a contratação de empresas privadas para o atendimento desse tipo de demanda até mesmo pelos órgãos ou entidades que são alcançados pelo Decreto 8.135/2013.

 

 

 

 

Autora:  Júlia Pauro Oliveira  é advogada do Torreão Braz Advogados


Você está prestes a ser direcionado à página
Deseja realmente prosseguir?
Atendimento