Arquivos do Direito Administrativo Eletrônico ou Informático

O dever da Administração Pública de adotar os instrumentos informáticos

2009-11-18T10:18:00.000-08:00

*** notas de rodapé não incluídas ***

Sumário: 1. A informática e o desenvolvimento social. 2. A informática e a democracia. 3. A informatização da Administração Pública. 4. O princípio da eficiência no Direito Administrativo. 5. A informática, seus limites e o princípio da eficiência. 6. A adoção da informática como dever de ordem vinculada. Conclusões.

1. A informática e o desenvolvimento social

A informática pode ser conceituada como ciência do tratamento lógico e automático da informação, compreendendo-se as técnicas e os meios relativos à coleta, tratamento e difusão de informações (Garcia Marques) .
Na mesma linha de entendimento, a informática pode ser considerada como a ciência do tratamento automático e racional da informação como suporte de conhecimentos e comunicações .
Os conceitos de informática acima expostos revelam que a informática se apresenta como uma teoria científica. Pode-se dizer que se trata de um conceito de informática em sentido estrito. No entanto, a informática pode ser vista também em sentido amplo, dentro do qual alcance não só o estudo teórico, mas também o uso de computadores ou equipamentos eletrônicos voltados para o tratamento da informação . É nesse sentido amplo que a expressão informática será empregada neste estudo, de maneira que quando se falar na utilização da informática deve ser compreendido a utilização de técnicas, teorias, estudos e/ou equipamentos informáticos.
No mundo contemporâneo, é fácil verificar que a informática vem revelando-se como uma extraordinária causa e, ao mesmo tempo, como um resultado do avanço tecnológico.
Caracteriza-se como um resultado na medida em que apresenta programas e equipamentos cada vez mais eficientes no tratamento e processamento dos dados e também na medida em que difunde, a longas distâncias, os dados e resultados obtidos. Neste último caso, temos a telemática , que se caracteriza como um ramo da informática que estuda o tratamento da informação à distância e a sua respectiva integração.
Por outro lado, a informática é também causa do avanço tecnológico, uma vez que permite o acentuado progresso de outras áreas científicas que se valem dos programas e equipamentos informáticos para realizar as suas experiências e desenvolver novos conhecimentos. Pode-se verificar os exemplos mais comuns na medicina, na física, na astronomia, na astrofísica e em tantos outros ramos científicos.
Somente por esses fatores, pode-se dizer que a informática é um instrumento de grande importância ao desenvolvimento social.
É de observar, entretanto, que a informática pode também ser causa de alienação, desemprego e até mesmo de desagregação social. Tudo dependerá de como é utilizada. A questão, para Domenico de MASI, repousa sobre a capacidade de distribuir bem o trabalho. Vejamos as suas palavras: em todo o mundo, e especialmente no Brasil, há muito desemprego. Em parte, culpa disso é da robótica, do computador. É uma situação paradoxal. O computador veio para livrar o homem do trabalho burocrático e para poupar tempo que gastava com suas tarefas, para liberá-lo para o lazer, a família, o estudo. Mas, se o mesmo trabalho pode ser feito em menos tempo, ou se reduz a carga horária ou se reduz o número de trabalhadores. Infelizmente, a segunda solução foi a preferida. Mas é uma solução burra. Mais do que isso, é uma loucura. As pessoas estão trabalhando muito mais horas, enquanto as cidades estão cheias de desocupados. O desemprego depende, sobretudo, da boa distribuição do trabalho, da riqueza e do saber. Os comunistas sabiam distribuir, mas não sabiam produzir. Nós sabemos produzir, mas não sabemos distribuir o trabalho, assim como não distribuímos bem as riquezas e o saber.
Do exposto pode-se verificar que, usada adequadamente, a informática é um meio a ser utilizado para contribuir para o desenvolvimento da sociedade em seus diversos seguimentos.

2. A informática e a democracia

Inobstante, pode-se, por outro ângulo, observar a informática como um instrumento de concretização da democracia.
Vale pontualizar que a expressão democracia deve ser compreendida no seu sentido formal e material. Quando se fala em governo do povo pretende-se revelar que se trata não só de um povo que exerce a democracia indireta, com os seus instrumentos clássicos inerentes (sistema político representativo, o sufrágio, o referendo, entre outros), mas, sobretudo, que possa ser um povo que participe diretamente das decisões políticas de seu país.
Não há dúvidas de que, nesse particular aspecto da participação popular no governo, o sistema representativo revela uma crise inegável. Hoje já se aponta para a ilegitimidade da democracia representativa – com o perfil jurídico e político que se apresenta hoje – justamente pela constatação da ausência da vontade popular nas decisões políticas . Trata-se de uma doutrina da cidadania crítica, calcada na interpretação do inc. II, do art. 1.º e no art. 2.º, ambos da Constituição Federal da República do Brasil, de 1988, que impõem, para a real efetivação dos valores constitucionais, a participação direta do cidadão nas esferas decisórias mais importantes para a sociedade.
Nessa perspectiva, a democracia participativa revelada especialmente em audiências públicas, consultas populares, fóruns de debates, ouvidorias, acesso efetivo a portais informáticos governamentais e até mesmo em ‘blogs’ vem reclamando um saudável retorno à vontade geral de cunho rousseauniano .
Deve também ser anotado que para o real exercício democrático surgem dois pressupostos inafastáveis: o acesso à informação governamental e a garantia da oportunidade de participação do cidadão no Poder Público. São pressupostos amplamente apoiados na Constituição da República, tal como, exemplificativamente, pode-se ver na cabeça, inc. II (cidadania como fundamento do Estado Democrático de Direito) e no § único, todos do art. 1.º (Todo poder emana do povo, que o exerce por meio de representantes eleitos ou diretamente); no inc. XXXIII, do art. 5.º (direito de receber informações dos órgãos públicos); na cabeça do art. 37 (publicidade); no inciso II, do § 3.º, também do art. 37 (acesso a registros administrativos e informações sobre ato de governo), dentre tantos outros.
A informática – especialmente a telemática – permite a difusão de informações e a interatividade entre cidadãos do mundo inteiro. A rede mundial conhecida como internet é exemplo incontendível da capacidade democrática da informática. Por meio dela se tem acesso a informações e também por meio dela pode-se participar de modo efetivo e concreto de diversos processos mobilizatórios e até mesmo decisórios.
Neste ponto da reflexão, é interessante observar acerca das diferenças de informações veiculadas ao longo da guerra do golfo e da última guerra do Iraque. Diferentemente da guerra do golfo, a internet teve papel decisivo na difusão de informações na guerra do Iraque, pois em muito divergiam das emanadas do governo norte-americano, cujo principal veículo era a conhecida rede mundial de televisão CNN. Graças a essa ampla difusão de informações é que se pôde revelar ao mundo, com força inquestionável, sobre as verdadeiras razões da invasão e dos ataques impostos ao Iraque e ao seu povo. Isso ensejou até mesmo uma mobilização transnacional contra o Governo Bush, por meio da rede mundial da internet, cuja iniciativa partiu do próprio povo americano mais politizado e já cansado do discurso oficial do governo de seu país. Portanto, não restam dúvidas de que a informática poderá ser um importante instrumento para a realização não só da democracia formal (voto eletrônico), mas, sobretudo, substancial ou material.

3. A informatização da Administração Pública

É notório que a informática foi inicialmente desenvolvida no seio da empresa privada, dada a sua maior flexibilidade e capacidade de investimento, e notadamente nos países mais desenvolvidos.
O Estado, de certo modo, iniciou mais tarde o seu acesso ao mundo da informática em relação às empresas privadas. A Administração Pública, historicamente marcada pela morosidade até mesmo por causa do seu natural múnus público, somente depois começou a desfrutar das virtudes do mundo da informática. Mas tal desfrute ainda apresenta-se por demais tímido. A rigor, a informática hoje permite aos órgãos e entidades Administrativos comunicarem-se por meio de fac-símile ou mensagens eletrônicas, mas que funcionam apenas como instrumentos paralelos à Administração cartácea ou papelizada, já que só detêm validade na medida em que se revelam como representações temporárias de documentos e processos cartáceos. Esse estágio de informatização da Administração Pública é denominado criticamente pelo Prof. italiano Giovanni Duni de teleburótica e informática paralela .
A Administração Pública informatizada, também denominada de teleadministração pelo referido jurista italiano, por evidente que representa um avanço, uma forma do Estado tornar-se mais eficiente, transparente e seguro. Para melhor compreensão do fenômeno é pertinente citar, a título exemplificativo, alguns benefícios ou resultados que seriam trazidos pela teleadministração: a) tornariam os processos administrativos mais rápidos; b) dariam mais uniformidade aos tratamentos administrativos, inibindo ou pelo menos restringindo o espaço para favorecimentos ou prejuízos pessoais ilegais; c) converteria muitos procedimentos e muitos atos autônomos em atos complexos; d) facilitaria o arquivo e a pesquisa de documentos; e) tornaria a atividade administrativa mais transparente, o que facilitaria o controle, trazendo mais segurança jurídica aos administrados, f) liberaria o Estado para uma atuação maior nas atividades-fim em razão do melhoramento das atividades-meio, g) reduziria vertiginosamente as despesas operacionais do Estado com viagens, transportes de papéis, materiais, mobiliários, combustível, espaço físico entre tantos outros benefícios , o que também colabora seriamente para um meio ambiente mais equilibrado e saudável.

4. O princípio da eficiência no Direito Administrativo

No estágio em que se encontra a informática, acaba por tornar-se obrigatória a sua utilização pela Administração Pública por força do princípio da eficiência, previsto explicitamente na cabeça do art. 37, e implicitamente no inc. I, do seu § 3º (direito de reclamação contra serviços de má qualidade), bem como na parte final do § 7.º, do art. 39 (aplicação de parte de recursos orçamentários na “modernização, reaparelhamento e racionalização do serviço público”), todos da Constituição Federal Brasileira vigente. Isso sem mencionar que constitui objetivo da República garantir o desenvolvimento nacional (art. 3.º, II, CF), o que, é certo, não se faz sem eficiência. Vejamos em seguida as razões que fundamentam essa assertiva.
O princípio da eficiência enuncia que configura dever da Administração Pública adotar os melhores meios para que possa atingir os fins do Estado.
Desse conceito do princípio da eficiência, dois elementos podem ser extraídos: um explícito, que se refere à escolha do melhor meio de atuação e outro implícito, que se refere à cidadania.
Nesse passo, é oportuno observar que, a partir da doutrina de Antônio Carlos Cintra do AMARAL , não se pode conceber o princípio da eficiência como aquele que, no bojo da denominada reforma administrativa, trazida pela Emenda Constitucional 19/98, privilegia os fins em detrimento dos meios, de modo a converter Administração Pública em uma sectária administração de resultados (Administração gerencial, nos termos do Plano Diretor da Reforma Administrativa) - . Ao contrário, eficiência significa, tal como se conceituou inicialmente, que a Administração deve empregar os meios mais adequados para a realização dos fins colimados pela ordem jurídica. A conclusão apóia-se no conceito de eficiência extraído da ciência da Administração , tal como fez o jurista Antônio Carlos Cintra do AMARAL , quando se reportou a Idalberto CHIAVENATO, para quem a eficiência não se preocupa com os fins, mas simplesmente com os meios. O alcance dos objetivos visados não entra na esfera de competência da eficiência; é um assunto ligado à eficácia .
É certo que talvez possa parecer por demais rigorosa a afirmação de que a eficiência não se preocupa com os fins. Todavia, registro que o sentido empreendido pelo autor no texto aponta o aspecto técnico imediato para permitir demonstrar que, levando em consideração o fim, deve ser escolhido o melhor meio. Pretendeu, enfim, destacar que o preciso ato da escolha representa a eficiência. Trata-se de um corte epistemológico para se reconhecer o manejo de duas categorias fundamentais: a eficiência e a eficácia. Assim, a identificação do fim é fundamental para que se possam escolher os melhores meios para atingi-lo. O que não se admite é elevar à categoria de norma jurídica o antigo pensamento maquiavélico de que os fins justificam os meios. Noutros termos, em homenagem ao “resultado” não se pode sacrificar os meios.
Escolher os melhores meios significa escolher aquelas opções (instrumentos, formas, modos) que farão a função administrativa mais qualificada, isto é, mais rápida, atual, regular, segura, módica e cortês para o administrado. Esse entendimento também encontra acolhida no pensamento do jurista José Afonso da SILVA, o qual ensina que tal princípio consiste na organização racional dos meios e recursos humanos, materiais e institucionais para a prestação de serviços de públicos de qualidade (...) .
No entanto, é de capital relevância anotar que o rol das possíveis opções dispostas para serem escolhidas deve encartar-se no rol daquelas admitidas pelo ordenamento jurídico. Exatamente por isso, não basta encontrar na ciência da Administração uma solução mais eficiente para que de imediato se converta na opção legítima a ser escolhida pelo Poder Público. Ela, a opção escolhida, deve também atender aos condicionamentos impostos pela ordem jurídica vigente. Caso contrário, chegar-se-ia ao absurdo de admitir que a licitação estaria com os dias contados. Em poucas palavras, pode-se dizer que o princípio da eficiência não configura uma forma de flexibilização do princípio da legalidade . Só faz sentido interpretá-lo na intimidade deste princípio da legalidade . Assim, escolher um determinado meio de ação que venha a violar o princípio da igualdade ou o da impessoalidade não poderá ser considerado eficiente, porque inválido juridicamente.
No que toca à cidadania, a atuação da Administração Pública com eficiência, como conseqüência da escolha adequada de meios para atingir os seus fins, implica que os cidadãos serão destinatários de serviços com mais qualidade, de maneira a criar condições reais para o exercício de direitos. Portanto, é inegável a relação existente entre o princípio da eficiência e a cidadania , o que lhe impõe peso ainda maior.
Ao que parece, o princípio da eficiência teve mesmo a sua inspiração no princípio constitucional italiano do bom andamento , que é extraído do art. 97, da Constituição da República Italiana . Segundo a abalizada doutrina de Vicenzo Cerulli IRELLI, do princípio constitucional do bom andamento emergem dois outros de grande importância: o da eficiência e o da eficácia .
A eficácia, para a doutrina italiana, se constitui na capacidade de produzir concretamente os efeitos dos atos praticados pela Administração Pública . Por isso é possível afirmar que a eficácia, de algum modo, leva em consideração o resultado do ato e a realização de seu fim, pois, para verificar se haverá produção de efeitos, é preciso investigar – ainda em nível hipotético – a aplicação concreta do ato.
Nessa perspectiva doutrinária, a eficiência e a eficácia detêm sentidos distintos e, em virtude disso, alcance distintos . O princípio da eficácia é menos abrangente do que o da eficiência, embora interdependentes.
No que se reporta ainda à eficácia, no Brasil ela é tratada como atributo de validez da norma jurídica no âmbito da Teoria Geral do Direito e como a aptidão para produzir efeitos concretos no do Direito Administrativo . Assim, um ato administrativo eficaz é aquele que detém todos os elementos que o permitem produzir concretamente os seus efeitos no mundo do Direito para cumprir o seu escopo, o seu fim. A adoção de uma medida que se sabe ineficaz compromete a sua exeqüibilidade, vale dizer, o ato administrativo ineficaz perde o atributo de exeqüível, o que obstacula a sua aplicação concreta.
A partir dessas premissas, pode-se extrair a conclusão parcial de que só cabe a análise da eficiência do ato administrativo depois de se ter verificado que é, pelo menos em tese, eficaz .
Enfim, no âmbito da teoria do princípio da eficiência, um remate se impõe: não é possível, do ponto de vista do regime-jurídico administrativo, priorizar os fins em detrimento dos meios. Os meios – somente os admitidos pelo direito positivo vigente e os eficazes – são tão importantes quanto os fins.

5. A informática, seus limites e o princípio da eficiência

A partir das considerações do princípio da eficiência, a informática deve se apresentar para a utilização pela Administração Pública como um meio e não um fim em si mesma. O valor informática não se configura como um escopo previsto pelo ordenamento jurídico, mas um instrumento, um meio para se atingir os fins colimados pela ordem jurídica. Portanto, a informática deverá ser utilizada instrumentalmente para concretizar os valores constitucionais, tornando a Administração mais eficiente, mais transparente e mais capaz de oferecer melhores serviços aos cidadãos; e não para criar discriminações , desemprego , dificuldade de acesso à atividade estatal , aumentar as despesas públicas sem os correspondentes benefícios e fontes entre outros efeitos repelidos pela Constituição. Deve-se estar atento a esses limites jurídicos.
Do mesmo modo, não se pode deslembrar que somente poderão ser escolhidos e implementados os instrumentos informáticos pela Administração Pública se concorrerem previamente as condições materiais (equipamentos, rede instalada), técnicas (assistência técnica, capacitação dos operadores e usuários), econômicas (recursos para o investimento e manutenção) e jurídicas (normas disciplinadoras da Administração Pública Digital).
Os condicionamentos acima delineados (a informática como um meio e os limites a sua adoção) têm grande importância, pois se apresentam como prudente contenção daqueles que pretendem adotar o sistema informático a qualquer custo na Administração Pública, colocando tal fenômeno como se fosse um fim a ser perseguido pelo Estado sem que, muitas vezes, haja o necessário amparo jurídico. É o espírito que se vê impregnados nos denominados praxistas. Não é raro encontrarmos atos administrativos praticados de forma informatizada sem qualquer certificação digital e também sem a garantia de integridade do documento que abriga o seu conteúdo, ou, ainda, sem via de acesso para os interessados por meio de terminais informáticos ou via rede mundial de computadores, o que torna o referido ato viciado, quando não se configura inexistente.
Em síntese, pode-se afirmar que a informática deverá ser adotada pela Administração como fonte de emancipação da cidadania. A adoção de instrumento informático que porventura venha a comprometer qualquer valor constitucional deverá ser reprovada.

6. A adoção da informática como dever de ordem vinculada

Diante desse quadro que aponta para o fenômeno da informática como uma realidade irreversível, bem como para o princípio da eficiência da Administração Pública na Constituição Federal vigente, a adoção dos instrumentos informáticos pela Administração Pública, com o devido respeito aos respectivos pressupostos e limites impostos pela ordem jurídica, configura um dever de ordem vinculada e não meramente discricionária como se poderia inicialmente supor .
É correto afirmar que as escolhas dos meios mais adequados para a realização do interesse público por parte da Administração Pública sempre foram dotadas de notório caráter discricionário. Pode-se citar como exemplo o dever do Estado de promover a educação prevista no art. 205 da Constituição da República. Os meios para atender a tal dever de ordem constitucional dependerá da escolha discricionária da Administração Pública, cujo critério adotado não poderá sofrer controle jurisdicional, ressalvado o seu uso incorreto, vale dizer, a escolha de opções que se encontram fora dos limites da legalidade, da razoabilidade e da proporcionalidade . Uma escolha carente de razoabilidade instaurará uma lesão que não é admitida pelo Direito, o que dará amparo jurídico ao referido controle jurisdicional, com base no art. 5.º, XXXV, da Constituição Federal .
Assim, quando se trata de promover a escolha entre instrumentos informáticos e os tradicionais do sistema papelizado, a opção por estes últimos revela-se carente de razoabilidade. Noutros termos, não há, a rigor, liberdade do Administrador nesse aspecto, de maneira que deverá adotar políticas e atos que possam promover a informatização da Administração Pública e também a inclusão digital da população .
Relembre-se, uma vez mais, que nem sempre poderá a Administração Pública optar pela utilização de instrumentos informáticos por completa impossibilidade material, técnica, econômica ou mesmo jurídica. Mas a questão que ora se coloca é no sentido de que, em estando presente tais pressupostos, a escolha revela-se vinculada em favor dos instrumentos informáticos. A Emenda Constitucional n. 19/98 chegou a determinar que parte do orçamento decorrente de economias fosse destinada à modernização, reaparelhamento e racionalização do serviço público (§ 7.º, do art. 39, CF), o que reforça toda a racionalidade até aqui alinhada.
No que tange à situação de impossibilidade (material, técnica, econômica ou jurídica) de adotar instrumentos informáticos de imediato, configurará dever do governante adotar as políticas para que no futuro possam criar condições para tanto, de maneira a atender ao princípio da eficiência e demais valores constitucionais. Assim, deverá tomar iniciativa para instituir programas, projetos e alterar a legislação orçamentária (Plano Plurianual, Lei de Diretrizes orçamentárias e Leis orçamentárias) para ampará-los, tudo isso mediante adequado e responsável planejamento.

Conclusões

A título de conclusão, pode-se afirmar que a informática é, hoje, um dos instrumentos fundamentais para viabilizar a melhor transparência das atividades estatais, o exercício da democracia participativa no poder público e a concretização da eficiência administrativa. A transparência se cumpre fundamentalmente utilizando os sítios eletrônicos para a divulgação da atividade do Estado. O exercício democrático se faz com a utilização da convocação eletrônica dos cidadãos a participar de decisões políticas importantes. Do mesmo modo, as audiências telepresenciais, ouvidorias em portais oficiais, os “blogs” podem ter importante função de tornar mais efetivas e legítimas as atuações administrativas. E a eficiência se obtém tornando mais céleres, seguras, organizadas e econômicas as atividades estatais que forem objeto de informatização.
Entretanto, o emprego da informática deve ser pautado na razoabilidade, de modo a compreendê-la e adotá-la a partir de seu valor fundamental que é o instrumental, voltado para emancipar a cidadania. A informática é meio para se atingir fins e não um fim em si mesmo.
A Constituição Federal não tutela a informática como um valor a ser concretizado, mas a exige para que a Administração Pública eleja meios mais qualificados para se atingir os fins do Estado. É o que impõe o princípio da eficiência administrativa, cujo perfil jurídico aponta para a escolha de meios para se atingir os fins.
Exatamente por essa característica que a adoção dos instrumentos informáticos deve ser feita com cautela, com razoabilidade, pois adotada de modo inconsequente poderá acarretar prejuízo e o não atingimento daqueles fins que o Estado deve perseguir. Assim, deverá haver, previamente, para a informatização administrativa, a existência de pressupostos matérias, técnicos, econômicos e jurídicos. Por isso, não seria razoável implementar o processo administrativo eletrônico se a Administração ainda não está dotada de equipamentos suficientes ou de pessoal treinado para colocá-lo em pratica de modo seguro e satisfatório.
Mesmo existindo tais pressupostos, a decisão de informatizar, bem assim os seus posteriores atos concretos, devem estar atentos para direta ou indiretamente não importar na configuração de discriminação injusta, de desemprego, de desperdício de recursos públicos e outras agressões a valores constitucionais fundamentais. É o que acontece quando se estabelece o sítio eletrônico como a única via de acesso a determinados serviços administrativos sem a implantação simultânea de infraestrutura de equipamentos e também de apoio logístico voltado a amparar o excluído digital. Tratar-se-ia aqui de discriminação injusta, não tolerada pela Carta da República.
Por fim, registre-se que, atento a todos os limites e condicionamentos mencionados, e presente as condições materiais, técnicas, econômicas e jurídicas, a adoção da informática na Administração Pública revela-se como um ato vinculado (e não discricionário) por força do princípio constitucional da eficiência. Desse modo, não há liberdade para que a Administração Pública permaneça utilizando o sistema papelizado que é mais caro, menos transparente e menos eficiente.

REFERÊNCIAS
• AMARAL, Antônio Carlos Cintra do. O princípio da eficiência no Direito Administrativo. In: Revista diálogo jurídico. Salvador: CAJ Centro de Atualização Jurídica n. 14, junho-agosto, 2002. Disponível em: . Acesso em: 22 mar 2004.
• AMARAL, Roberto. A democracia representativa está morta: viva a democracia participativa!. In: GRAU, Eros Roberto; GUERRA FILHO, Willis Santiago (orgs.). Direito Constitucional: estudos em homenagem a Paulo Bonavides. São Paulo: Malheiros, 2003.
• CARVALHO FILHO, José dos Santos. Manual de direito administrativo, 10 ed., Rio: Lumen Juris, 2003.
• COELHO, Paulo Magalhães da Costa. Controle jurisdicional da administração pública. São Paulo: Saraiva, 2002, p. 33
• DALLARI, Dalmo de Abreu. Elementos de teoria geral do Estado. 19. ed.. São Paulo: Saraiva, 1995
• DI PIETRO, Maria Sylvia Zanella. Direito Administrativo. 16 ed. São Paulo: Atlas, 2003.
• DINIZ, Maria Helena. Informática. Dicionário jurídico, v. 2, São Paulo: Saraiva, p. 837, 1998.
• DUNI, Giovanni. Conferência de abertura do I Seminário Internacional de Direito Administrativo Eletrônico, Campos-RJ (Universidade Candido Mendes e Universidade de Estudos de Cagliari-Itália), 23 mar 2004. Texto original disponível em www.teleamministrazione.it.
• ______ Teleamministrazione. In Enciclopedia giuridica. Vol. XXX, Roma: Istituto della enciclopedia italiana, 1993
• FAGÚNDEZ, Paulo Roney Ávila. A virtualidade. In: Direito e informática. Barueri: Manole, 2004, p. 123-154.
• FILGUEIRAS JÚNIOR, Marcus Vinícius. O ato administrativo eletrônico e a teleadministração. Perspectivas de investigação. Revista de Direito Administrativo n. 237. Rio: Renovar/FGV, 2004, p. 243/264
• IRELLI, Vicenzo Cerulli. Corso di diritto amministrativo. Torino: G. Giappichelli. 2002.
• KOOGAN/HOUAISS, Informática. In: Enciclopédia e dicionário ilustrado. Rio de Janeiro: edições Deltas, 1998, p. 867.
• MASI, Domenico de. Jornal do Brasil. Caderno Idéias. Ed. 23 nov 2003, Rio de Janeiro.
• MASUCCI, A., L’atto amministrativo elettronico. Primi lineamenti di una ricostruzione, Napoli [n. Ed.], 1989, [n.p.].
• MEDAUAR, Odete. Direito Administrativo moderno. 6ª ed. Rev. e atual. Sâo Paulo: RT, 2002.
• PEREIRA JÚNIOR, Jessé Torres. Da reforma administrativa constitucional. Rio: renovar, 1999.
• ROUSSEAU, Jean Jaques. O contrato social. Princípios de direito político. Trad.Antônio de P. Machado. Rio: edições de ouro [n. a].
• SILVA, José Afonso da. Curso de direito constitucional positivo. 23ª ed. São Paulo: Malheiros, 2004, p. 653.
• VIRGA, Pietro. Diritto amministrativo. Atti e ricorsi. vl. 2. 6. ed. Atual. Milão: Giuffrè, 2001.

TCU - Acórdão 1603/2008 - Plenário

2008-12-15T13:21:00.000-08:00

Identificação
Acórdão 1603/2008 - Plenário
Número Interno do Documento
AC-1603-32/08-P
Grupo/Classe/Colegiado
GRUPO I / CLASSE V / Plenário
Processo
008.380/2007-1
Natureza
Levantamento de Auditoria
Entidade
Órgão: Diversos órgãos e entidades da Administração Pública Federal
Interessados
Interessado: Congresso Nacional
Sumário
LEVANTAMENTO DE AUDITORIA. SITUAÇÃO DA GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO - TI NA ADMINISTRAÇÃO PÚBLICA FEDERAL. AUSÊNCIA DE PLANEJAMENTO ESTRATÉGICO INSTITUCIONAL. DEFICIÊNCIA NA ESTRUTURA DE PESSOAL. TRATAMENTO INADEQUADO À CONFIDENCIALIDADE, INTEGRIDADE E DISPONIBILIDADE DAS INFORMAÇÕES. RECOMENDAÇÕES
Assunto
Levantamento de Auditoria
Ministro Relator
Guilherme Palmeira
Representante do Ministério Público
não atuou
Unidade Técnica
Secretaria de Fiscalização de Tecnologia da Informação - Sefti
Advogado Constituído nos Autos
não há
Dados Materiais
(com 9 anexos)
Relatório do Ministro Relator
Reproduzo, no essencial, o Relatório da equipe da Secretaria de Fiscalização de Tecnologia da Informação - Sefti encarregada dos trabalhos, com cujas conclusões manifestaram-se de acordo a Diretora e o Secretário:
"2. Introdução
1. Este levantamento foi autorizado pelo Acórdão 435/2007 - Plenário com o objetivo de "coletar informações acerca dos processos de aquisição de bens e serviços de TI, de segurança da informação, de gestão de recursos humanos de TI, e das principais bases de dados e sistemas da Administração Pública Federal".
Visão geral
2. O objetivo da governança de TI é assegurar que as ações de TI estejam alinhadas com o negócio da organização, agregando-lhe valor. O desempenho da área de TI deve ser medido, os recursos propriamente alocados e os riscos inerentes, mitigados. Assim, é possível gerenciar e controlar as iniciativas de TI nas organizações para garantir o retorno de investimentos e a adoção de melhorias nos processos organizacionais.
3. A governança adequada da área de tecnologia da informação na Administração Pública Federal promove a proteção a informações críticas e contribui para que essas organizações atinjam seus objetivos institucionais. Além disso, garantir a correta aplicação dos recursos empregados em tecnologia da informação se torna cada vez mais importante, tendo em vista que somente na Administração Federal o gasto em TI ultrapassa seis bilhões de reais por ano, segundo dados do Sistema Integrado de Administração Financeira (Siafi) e do Departamento de Coordenação e Governança das Empresas Estatais (Dest), obtidos pela Sefti em levantamento realizado em 2007 (TC-007.972/2007-8).
Objetivos e questões de Auditoria
4. O objetivo principal deste levantamento foi obter informações para elaboração de mapa com a situação da governança de TI na Administração Pública Federal. Em paralelo, foram identificados os principais sistemas e bases de dados da Administração Pública Federal. Com essa gama de informações será possível verificar onde a situação da governança de TI está mais crítica e identificar as áreas onde o TCU pode, e deve, atuar como indutor do processo de aperfeiçoamento da governança de TI. Além disso, o planejamento das fiscalizações da Sefti contará com subsídios valiosos para seu aprimoramento.
5. Durante a fase de planejamento, a equipe do levantamento realizou diversas reuniões com a equipe de analistas da Sefti e formulou as seguintes questões de Auditoria:
Q1. É feito planejamento estratégico institucional e de TI nos órgãos/entidades?
Q2. Qual o perfil dos recursos humanos da área de TI quanto à formação, vínculo com a organização e pré-requisitos para ocupação de funções comissionadas?
Q3. São efetuadas ações e procedimentos que contribuam para a minimização dos riscos e o aumento no nível de segurança das informações dos órgãos/entidades?
Q4. O desenvolvimento de sistemas segue alguma metodologia? Os órgãos/entidades mantêm inventário dos principais sistemas e bases de dados?
Q5. Os órgãos/entidades gerenciam os acordos de níveis de serviço tanto quando prestam internamente como quando contratam externamente serviços de TI?
Q6. O processo de contratação de bens e serviços de TI é formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos das contratações de TI?
Q7. O processo de gestão dos contratos de TI é formalizado, padronizado e executado?
Q8. Os órgãos/entidades solicitam o orçamento de TI com base no planejamento da área e controlam os gastos com TI ao longo do exercício financeiro?
Q9. Os órgãos/entidades realizam Auditorias de TI nas suas organizações?
Estratégia metodológica e limitações
6. Durante a fase de planejamento foi elaborada matriz de planejamento com intuito de definir as áreas da governança de TI a serem pesquisadas e organizar a execução do trabalho.
7. Foram selecionados, como amostra, 333 órgãos/entidades representativos da Administração Pública Federal. Desses órgãos/entidades, 29 responderam em conjunto com outros órgãos/entidades e 14 não se consideram integrantes da Administração Pública Federal, apesar de jurisdicionados ao Tribunal, em especial os que fazem parte do Sistema "S" (Apêndice IV, fl. 42). Outros 25 órgãos/entidades não responderam à pesquisa e 10 não completaram a quantidade mínima estabelecida de respostas (Apêndice III, fl. 41-v). Assim, 255 órgãos/entidades participaram efetivamente do levantamento. Dessa relação constaram ministérios, universidades federais, tribunais federais, agências reguladoras, autarquias, secretarias, departamentos e empresas estatais. Ainda no planejamento, para ser submetido aos órgãos e às entidades da amostra, foi elaborado questionário composto de 39 perguntas baseadas nas normas técnicas brasileiras NBR ISO/IEC 17799:2005, NBR ISO/IEC 15999-1:2007 e no "Control Objectives for Information and related Technology 4.1 (Cobit 4.1)".
8. A norma NBR ISO/IEC 17799:2005 é o código de prática para a gestão da segurança da informação mais adotado em todo o mundo. Essa norma teve sua primeira versão internalizada pela Associação Brasileira de Normas Técnicas (ABNT) em setembro de 2001, e conta com a segunda versão em vigor desde setembro de 2005. Essa norma fornece recomendações em gestão da segurança da informação para uso dos responsáveis pela implementação e manutenção da segurança em suas organizações. Tem como propósito prover uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança, e prover confiança nos relacionamentos entre as organizações.
9. A norma NBR 15999-1:2007 é o código de prática para a gestão de continuidade de negócios, baseada na norma inglesa BSI 25999:2006 e internalizada no Brasil pela ABNT em outubro de 2007. Seu objetivo é fornecer um sistema baseado nas boas práticas de gestão de continuidade de negócios.
10. O Cobit, por sua vez, é um modelo de gestão orientado a processos e está dividido em quatro grandes grupos: Planejar e Organizar (Plan & Organise - PO), Adquirir e Implementar (Acquire & Implement - AI), Entregar e Assistir (Deliver & Support - DS) e Monitorar e Avaliar (Monitor & Evaluate - ME), cujas iniciais serão utilizadas no decorrer do relatório para fins de referência como critérios de Auditoria. O Cobit se encontra disponível no site www.isaca.org. Vale salientar que se trata de modelo já amplamente reconhecido e utilizado, no Brasil e no mundo, no âmbito da tecnologia da informação, tanto por gerentes de informática quanto por Auditores de TI.
11. Na fase de execução do levantamento, os órgãos e entidades selecionados receberam, por meio de correspondência oficial, a identificação e a senha individual para acesso ao questionário e, posteriormente, via mensagem eletrônica, o link para o questionário on-line. O software Risk Manager apoiou o envio, a coleta e a tabulação das informações do questionário.
12. Durante o preenchimento do questionário, foi solicitado aos gestores de TI dos órgãos e entidades que anexassem documentos eletrônicos para servirem de evidências às respostas apresentadas. Em geral, esses documentos solicitados são atos normativos formais da organização, mas poderiam ser também atas de reunião ou outras publicações internas aceitas e reconhecidas pelo órgão/entidade. Deve-se observar que as informações coletadas foram declaradas pelos gestores e não verificadas pela equipe junto aos órgãos/entidades. Além disso, nesse primeiro momento, não foi avaliada a pertinência e a qualidade dos documentos produzidos e anexados pelos órgãos/entidades.
13. Ao final da coleta de informações, as respostas apresentadas nos questionários foram tabuladas e as evidências organizadas em pastas eletrônicas para consulta e tratamento posterior.
14. Como limitação à execução dos trabalhos, deve-se destacar que alguns órgãos/entidades não dispunham de todas as informações solicitadas e fizeram muito esforço para obtê-las. Mesmo assim, alguns órgãos/entidades não conseguiram obter todas as informações e as questões relativas a elas ficaram sem resposta.
Volume de recursos fiscalizados
15. Conforme a Portaria n.º 222, de 10 de novembro de 2003, a mensuração do volume de recursos fiscalizados não se aplica a este instrumento de fiscalização.
Benefícios estimados
16. Os benefícios estimados do presente trabalho são a possibilidade da Sefti planejar ações a serem realizadas com intuito de aperfeiçoar a governança de TI nos principais órgãos/entidades da APF e a disponibilidade de informações importantes nessa área às equipes de futuras fiscalizações. Além disso, a Sefti contará com um repositório com os contatos dos gestores de TI dos órgãos/entidades participantes do levantamento.
3. Planejamento estratégico institucional e de TI
17. O contexto atual de intensas mudanças faz com que as organizações tenham que se adaptar rapidamente às alterações do ambiente em que atuam. No entanto, há organizações que ainda atuam de maneira reativa, apenas respondendo às demandas geradas por essas mudanças. Há gestores que ainda acreditam ser impossível definir estratégias de ação devido à rapidez e à constância dessas mudanças.
18. Dentro desse cenário de instabilidade, o planejamento tem se tornado cada vez mais importante e vital e deve ser construído de maneira flexível, com o engajamento e comprometimento de todos os colaboradores da organização. As organizações que não planejam correm riscos de não alcançarem os objetivos desejados. Com uma visão de futuro estabelecida, as organizações poderão se adaptar às constantes mudanças que ocorrem na sua área de atuação e agilizar seu processo de tomada de decisões.
19. O planejamento estratégico torna-se uma importante ferramenta para a tomada de decisão e faz com que os gestores estejam aptos a agir com iniciativa, de forma pró-ativa, contra as ameaças e a favor das oportunidades identificadas nas constantes mudanças que ocorrem.
20. O alinhamento de todos os planos, recursos e unidades organizacionais é um fator fundamental para que a estratégia delineada no planejamento possa ser implementada. Assim, o planejamento estratégico de TI tem que estar alinhado com os planos de negócio da organização para o estabelecimento das prioridades e das ações a serem realizadas na área de TI.
Achado I. Ausência de planejamento estratégico institucional em vigor
21. Um percentual expressivo dos 255 órgãos/entidades pesquisados (47%) não tem planejamento estratégico institucional em vigor. Esse fato demonstra que quase metade das organizações pesquisadas não possuem a cultura de planejar estrategicamente suas ações e apenas reagem às demandas e às mudanças ocorridas no seu âmbito de atuação. Essa forma de atuação dificulta o planejamento das ações de TI.
22. O confronto desses dados com a informação de que 59% das organizações pesquisadas não fazem planejamento estratégico de TI (Achado II), permite algumas análises. Dos 47% dos órgãos/entidades que afirmaram não possuir planejamento estratégico institucional, 81%, isto é, 97 órgãos/entidades não possuem planejamento estratégico de TI (Gráfico 1).
23. Por outro lado, o fato de haver planejamento estratégico institucional, por si só, não garante que haverá planejamento estratégico de TI. Em 40% das organizações que dispunham do primeiro, não havia o segundo (Gráfico 1).
24. Deve-se destacar, mais uma vez, a importância do planejamento estratégico institucional para a governança de TI. Para que o planejamento estratégico de TI seja efetivo e proporcione os resultados esperados, ele deve estar alinhado ao planejamento estratégico institucional. A falta deste impede o alinhamento desejado e ainda dificulta o estabelecimento de diretrizes para a área de TI.
Planejamento Estratégico de TI
Gráfico 1 - Planejamento estratégico
Critérios
a) Cobit 4.1 PO1.2 Business-IT Alignment (Alinhamento de TI com negócio - Estabelecer processos de educação bidirecional e de envolvimento recíproco no planejamento estratégico para obtenção de alinhamento e integração entre o negócio e as ações de TI. As prioridades devem ser acordadas mutuamente a partir da negociação das necessidades do negócio e da área de TI);
b) Acórdão 1.558/2003-TCU-Plenário, item 9.3.9.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 1. Há planejamento institucional em vigor? (fl. 37).
Efeitos potenciais
a) Suporte ineficaz da área de TI na consecução da missão da organização;
b) Decisões dos gestores de TI incompatíveis com as necessidades da organização;
c) Alocação indevida de recursos de TI por falta de entendimento sobre as prioridades da organização;
d) Desperdício de recursos devido a decisões erradas acerca da alocação de recursos de TI.
Achado II. Ausência de planejamento estratégico de TI em vigor
25. Por sua magnitude, o percentual de órgãos/entidades que não dispõem de planejamento estratégico de TI em vigor, 59 %, chama a atenção. Evidentemente, não se deve confundir o fato de não possuir planejamento estratégico com o fato de não possuir planejamento algum. Os órgãos/entidades podem possuir algum tipo de planejamento, normalmente um plano de ação anual. Apesar de necessários, os planos de ação anuais são insuficientes porque não conseguem indicar caminhos e estratégias, apenas prevêem como serão alocados os recursos disponíveis naquele ano. Além disso, esses planos não são bons instrumentos para acompanhar e apoiar os projetos de média e longa durações, comuns na área de TI. Outro problema normalmente observado quando da ausência de planejamento estratégico é a descontinuidade desses projetos e o conseqüente desperdício de recursos.
26. O planejamento estratégico de TI deve indicar os projetos e serviços de TI que receberão recursos, os custos, as fontes de recursos e as metas a serem alcançadas. Deve ser uma atividade regular e os documentos resultantes devem ser aprovados pela alta administração.
27. Além disso, ao analisar superficialmente algumas das evidências apresentadas como planos estratégicos de TI por órgãos/entidades participantes do levantamento, a equipe observou que vários desses documentos eram cartas de intenção internas da área de TI e/ou projetos de planos, e não propriamente planos estratégicos de TI.
Critérios
a) Cobit 4.1 PO1.4 IT Strategic Plan (Plano Estratégico de TI - Criar um plano estratégico que defina, em cooperação com os principais interessados, como as metas de TI contribuirão para os objetivos estratégicos da organização e quais os custos e riscos associados. O plano deve incluir os serviços de TI, os ativos de TI e como a área de TI dará suporte aos projetos dependentes de tecnologia da informação. A área de TI deve definir como os objetivos serão alcançados, as métricas a serem usadas e os procedimentos para obter a aprovação formal dos interessados. O plano estratégico de TI deve conter orçamento para investimentos e custeio de TI, fontes de recursos, estratégia de aquisições, e requisitos legais e regulatórios. O plano estratégico deve ser suficientemente detalhado para permitir a definição de planos táticos de TI);
b) Acórdão 1.558/2003-TCU-Plenário, item 9.3.9.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 2. Há planejamento estratégico para a área de TI em vigor? (fl. 37).
Efeitos potenciais
a) Suporte ineficaz da área de TI na consecução da missão da organização;
b) Planos de TI não alinhados às necessidades do negócio;
c) Inexistência de consultas regulares entre gerente de TI e demais gerentes acerca dos projetos e serviços de TI;
d) Enfraquecimento das ações de TI;
e) Descontinuidade dos projetos de TI;
f) Insatisfação dos usuários;
g) Visão negativa da área de TI;
h) Resultados da área de TI abaixo do esperado;
i) Dificuldade de obtenção de recursos para a área de TI;
j) Investimentos desnecessários em TI;
k) Desperdício de recursos.
Achado III. Ausência de comitê diretivo sobre ações e investimentos em TI
28. A existência de um comitê diretivo de TI (IT Steering Committee), que determine as prioridades de investimento e alocação de recursos nos diversos projetos e ações de TI, é de fundamental importância para o alinhamento entre as atividades de TI e o negócio da organização, bem como para a otimização dos recursos disponíveis e a redução do desperdício. O fato desse comitê ser composto por dirigentes de TI e de outras áreas da organização possibilita que as decisões de investimentos sejam obtidas a partir de uma visão mais abrangente, o que reduz os riscos de erro.
29. Menos de um terço (32 %) dos órgãos/entidades pesquisados declararam possuir um comitê diretivo de TI ou algo equivalente. Por não haver um fórum competente para discussão, as decisões sobre investimentos em TI correm maior risco de serem equivocadas e levarem ao desperdício de recursos, e ainda de não estarem alinhadas aos objetivos da organização.
Critérios
a) Cobit 4.1 PO4.3 IT Steering Committee (Comitê Diretivo de TI - Criar um comitê diretivo de TI (ou equivalente) composto de gerentes executivos, de negócios e de TI, para: determinar as prioridades de investimento e alocação de recursos nas ações de TI, alinhadas às estratégias e prioridades da organização; acompanhar o estágio de desenvolvimento dos projetos e resolver conflitos relativos a recursos; e monitorar os níveis de serviço de TI e suas melhorias).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 3. Há comitê que decida sobre a priorização das ações e investimentos de TI? (fl. 37).
Efeitos potenciais
a) Estratégia de TI não alinhada com a estratégia da organização;
b) Apoio inexistente ou insuficiente dos projetos baseados em TI aos objetivos institucionais;
c) Apoio e envolvimento insuficientes da administração nas decisões essenciais da área de TI.
Conclusão
30. Tendo em vista os dados apresentados, pode-se inferir que a falta de planejamento estratégico institucional inibe e/ou prejudica o planejamento das ações de TI. Desse fato podem decorrer ações de TI equivocadas que levam a desperdício de recursos. O estímulo à elaboração de planejamento estratégico institucional deve ser a primeira ação para a melhoria da governança de TI. O segundo passo deve ser o estímulo a que, em consonância com o planejamento estratégico institucional, seja elaborado o planejamento estratégico de TI.
31. O planejamento estratégico de TI é essencial para que as organizações possam identificar e alocar corretamente os recursos da área de TI de acordo com as prioridades institucionais e com os resultados esperados. O percentual de 59% de órgãos/entidades pesquisados sem planejamento estratégico de TI é preocupante porque a ausência de planejamento estratégico leva ao enfraquecimento das ações e da própria área de TI devido à descontinuidade dos projetos e conseqüente insatisfação dos usuários e resultados abaixo do esperado. Isso pode comprometer toda a área de TI e influenciar negativamente o desempenho do órgão/entidade na sua missão institucional já que a TI representa importante ferramenta para o desenvolvimento das ações previstas.
32. O fato de menos de um terço dos órgãos/entidades pesquisados terem um comitê diretivo de TI funcionando demonstra a pouca importância dada à participação de todos os setores da organização nas decisões estratégicas de TI. A existência do comitê diretivo de TI, aliada aos planejamentos estratégicos institucionais e de TI, constitui instrumento valioso no direcionamento dos investimentos de TI e no combate ao desperdício de recursos.
Proposta de encaminhamento
33. Recomendar à Secretaria de Logística e Tecnologia da Informação (SLTI) do Ministério do Planejamento, Orçamento e Gestão, ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações com objetivo de disseminar a importância do planejamento estratégico e induzir, mediante orientação normativa, os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI.
4. Estrutura de pessoal de TI
34. Em qualquer área de atuação técnica da organização é crítica a adequação da estrutura de pessoal - e não é diferente quando nos referimos à tecnologia da informação. O TCU tem observado esse requisito na administração pública brasileira a fim de fornecer orientações adequadas com base em observações feitas em Auditorias relacionadas à TI (exemplos: Acórdão 667/2005-TCU-Plenário ; Acórdão 2.023/2005-TCU-Plenário ; e Acórdão 786/2006-TCU-Plenário ).
35. Um marco importante é o Acórdão 140/2005-TCU-Plenário, no qual o Relator expressa sua preocupação com os recursos humanos da área de TI de toda a administração pública:
I -
II -
III - "Existe, pois, um núcleo de atividades de informática que são estratégicas: ou porque lidam com informações privilegiadas, ou porque tratam da fiscalização dos contratos, ou porque delas depende o funcionamento do próprio setor e das demais unidades que utilizam seus serviços, ou porque envolvem a tomada de decisão sobre a realização de despesas de vulto na aquisição de bens e contratação de serviços. Quando essas atividades não são regularmente executadas, as chances de serem causados prejuízos à Administração aumentam consideravelmente. Portanto, não é razoável que esses encargos sejam exercidos por servidores sem qualificação ou, dado o conflito de interesses, sejam "delegados" a pessoal terceirizado em razão das deficiências no quadro do órgão público.
IV - Não me parece que a situação constatada no Ministério da Agricultura seja um caso isolado, visto que a carência de recursos humanos na Administração Pública Federal é fato notório".
V -
VI -
36. Uma das determinações desse Acórdão foi a realização de Auditoria para avaliar a adequação da estrutura de pessoal de TI , que motivou a inclusão, no presente trabalho, de questões sobre aspectos de recursos humanos apontados no Acórdão.
37. A necessidade de haver uma quantidade mínima de servidores da área de TI do órgão/entidade, em relação à quantidade daqueles que atuam na área mas não são servidores efetivos, foi uma das preocupações do Acórdão para evitar que ações críticas ou estratégicas de TI sejam delegadas a pessoal terceirizado em função da ausência de quadro mínimo. Para avaliar essa situação na Administração Pública Federal, os gestores participantes deste levantamento foram questionados quanto à composição do seu quadro de TI, no que diz respeito ao vínculo com a administração, considerando os profissionais que trabalham nas dependências do órgão (servidores, comissionados e terceirizados). É importante ressaltar que não foram computados aqui os profissionais que trabalham na execução de serviços para projetos específicos, executados primordialmente no ambiente da contratada.
38. Outro aspecto importante é a qualificação dos profissionais em relação às atividades que deve desempenhar a área de TI dos órgãos/entidades. Nesse caso, há duas preocupações: qualificação gerencial e qualificação técnica em TI. Quanto à qualidade dos gerentes, a estratégia utilizada foi levantar, no presente questionário, se há critérios para concessão das funções comissionadas de TI nos órgãos/entidades. Já a qualificação técnica foi examinada a partir do nível de formação dos profissionais em TI, desde a graduação - que não é obrigatória para a investidura em cargo de TI, por não haver regulamentação da profissão - até pós-graduações formais. Optou-se, nesse primeiro momento, por não levantar treinamentos técnicos específicos (certificações, cursos de atualização, congressos) que, apesar de extremamente necessários para a área, não permitiriam uma tabulação em função da diversidade. Finalmente, foi verificado também se os órgãos/entidades possuem carreira específica para a área de TI.
39. Vale ressaltar que as verificações realizadas quanto à quantidade dos profissionais e sua qualificação não são exaustivas para traçar o perfil do corpo técnico de TI dos órgãos/entidades, mas apenas um ponto de partida para fornecer subsídios ao direcionamento de ações de Auditoria específicas. Além disso, outros indicadores de qualidade, como o nível de rotatividade do pessoal, porcentagem de certificações técnicas, existência de planos de treinamento regulares, aderência do corpo técnico a esses planos, nível de satisfação dos clientes com a qualidade do corpo técnico e outros, apontados pelo Cobit na gestão de pessoal, foram deixados para próximas edições deste levantamento.
Achado IV. Quantidade reduzida de servidores na área de TI
40. Uma quantidade expressiva de órgãos/entidades (95%) informou que possui algum servidor do seu quadro atuando na área de TI. Contudo, ao verificar-se a proporção entre servidores do quadro e colaboradores externos a ele, é possível observar ainda a ocorrência de muitos colaboradores externos em alguns órgãos/entidades. O Gráfico 2 mostra três grupos de órgãos/entidades: aqueles com mais de 2/3 do seu quadro composto por servidores, aqueles nos quais esse valor está entre 1/3 e 2/3, e aqueles onde os servidores constituem menos de 1/3 do quadro.
Gráfico 2 - Servidores/terceirizados na área de TI
41. É importante ressaltar que não há uma resposta definitiva, nem na literatura especializada, nem em estatísticas, para a questão: "o quanto podemos terceirizar?". Uma grande quantidade de terceirizados e de outros colaboradores externos representa um aumento do risco organizacional, especialmente se associado a controles fracos, terceirização da "inteligência" da organização ou de atividades estratégicas. Sozinha, entretanto, é apenas um indício de que pode haver dificuldade na gestão desses colaboradores e um alerta para o Auditor sobre a necessidade de considerar crítica a inexistência de controles sobre eles.
42. Seguindo esse raciocínio, verificou-se que dentre os 70 órgãos pesquisados (29%) com área de TI composta de menos de 1/3 de servidores do quadro, 63% também não têm planejamento estratégico de TI (Gráfico 2). Ao mesmo tempo em que aumenta o risco de ausência de controles, a ausência de planejamento aponta uma potencial dificuldade de alocação de recursos humanos necessários à realização das ações de TI.
43. Finalmente, a maior quantidade de colaboradores externos ao quadro dos órgãos/entidades pesquisados aumenta o risco de perda de conhecimento organizacional, na medida em que esse conhecimento esteja depositado em indivíduos sem vínculo e menos compromissados com a organização. Quanto menor o quadro de servidores, maior a probabilidade de que algum conhecimento fique somente entre os colaboradores externos e, portanto, maior o risco de que esse conhecimento se perca.
Critérios
a) Acórdão 140/2005-TCU-Plenário;
b) Cobit 4.1 PO7.5 Dependence Upon Individuals (Dependência em Indivíduos - Minimizar a ocorrência de dependência crítica em indivíduos chave por meio de aquisição de conhecimento (documentação), compartilhamento de conhecimento, planejamento de sucessão e equipe reserva).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 4. Há servidores/empregados do quadro que atuam na área de TI desse órgão/entidade? (fl. 37)
Efeitos potenciais
a) Dependência do órgão/entidade de servidores/empregados alheios ao quadro para execução de atividades críticas para o negócio;
b) Aumento de custo para a Administração em contratos onde o contratado não pode ser facilmente substituído sem perda de continuidade de serviços de TI;
c) Inobservância da política de segurança da informação da empresa em função da necessidade de manipulação de informações sigilosas por terceirizados;
d) Conflito de interesses na fiscalização de contratos, quando feita por outros terceirizados.
Achado V. Ausência de formação específica em TI
44. Segundo as informações levantadas no questionário, somente 37% dos servidores que atuam nas áreas de TI dos órgãos/entidades pesquisados possuem formação específica em TI (incluindo aqui doutorado, mestrado, pós-graduação lato sensu e nível superior). A falta de especialização preocupa em função do aumento da importância estratégica da TI para as organizações, pois um quadro menos especializado tende a produzir resultados de mais baixa qualidade.
45. Outra preocupação é que tal perfil leve a organização a buscar no mercado a competência pessoal que lhe falta em seu quadro, seja por meio de terceirizados, seja por meio de requisições/comissões. De acordo com as informações coletadas, entre os colaboradores requisitados há um percentual maior (48%) com formação específica em TI. Não foram coletadas informações sobre a formação de terceirizados.
46. De todo modo, apenas buscar a formação na seleção de colaboradores externos não resolve o problema, pois a equipe interna continua com dificuldades na execução de ações estratégicas e tarefas de fiscalização de contratos terceirizados.
47. Finalmente, há que se considerar que a profissão de analista de sistemas não é regulamentada e, portanto, não há restrição legal para a atuação em TI. Além disso, pode haver dificuldade em especificar nos editais de concurso qual o universo de cursos superiores da área de TI que são aceitáveis para o perfil profissional desejado.
Critérios
a) Acórdão 140/2005-Plenário;
b) Cobit 4.1 PO7.2 Personnel Competencies (Competências Pessoais - Regularmente verificar que os profissionais de TI têm as competências necessárias para exercer sua função com base em sua formação, treinamento e/ou experiência. Definir as competências de TI básicas e verificar que são mantidas, por meio de programas de qualificação e certificação quando apropriados).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 6. Esse órgão/entidade conhece o grau de formação das pessoas que atuam na área de TI? (fl. 37)
Efeitos potenciais
a) Baixa qualidade dos serviços de TI em função da baixa qualificação da equipe de TI;
b) Órgão/entidade dependente de prestadora de serviços de TI.
Achado VI. Inobservância das competências necessárias para funções comissionadas
48. Um total de 60% dos pesquisados declarou que não considera as competências gerenciais, técnicas e resultados produzidos anteriormente na seleção de pessoas para funções comissionadas na área de TI. O risco nesse caso é uma baixa qualificação do corpo gerencial de TI e o comprometimento dos resultados da área, desde a falta de alinhamento com os negócios até a perda de produtividade da equipe por má gestão.
Critérios
a) Decreto no 5.707, de 23 de fevereiro de 2006, art. 3o, incisos VI e VII.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 8. São consideradas as competências gerenciais, técnicas e resultados produzidos anteriormente na seleção de pessoas para funções comissionadas na área de TI? (fl. 37).
Efeitos potenciais
a) Baixa produtividade da equipe de TI em função da baixa qualidade do corpo gerencial;
b) Falta de alinhamento da TI com o negócio da organização.
Achado VII. Ausência de carreira específica para a área de TI
49. Um total de 57% dos pesquisados informou que não possui carreira específica para a área de TI. Segundo os dados do questionário, os 43% dos órgãos/entidades que têm carreira de TI possuem 2/3 do total de pessoal alocado para TI entre os pesquisados. Em valores absolutos, também há mais profissionais com formação em TI (incluindo doutorado, mestrado, pós-graduação lato sensu e nível superior) nas organizações com carreira específica: 58% dos profissionais com formação em TI estão nessas organizações. Contudo, há que se registrar que, em valores proporcionais, não há diferença significativa entre a formação em TI dos servidores em órgãos com e sem carreira específica (37% e 38% respectivamente - Gráfico 3). Ou seja, mesmo nos órgãos com carreira específica, ainda há muitos servidores sem formação superior em TI ou com formação em nível médio.
Gráfico 3 - Formação dos profissionais de TI
Critérios
a) Cobit 4.1 PO7.1 Personnel Recruitment and Retention (Recrutamento e Retenção de Pessoal - Manter processos de recrutamento de pessoal de TI em linha com as políticas e os procedimentos de pessoal gerais da organização, isto é, contratação, ambiente positivo para o trabalho, orientação. Implementar processos que garantam que a organização tenha força de trabalho de TI apropriadamente preparada com as habilidades necessárias para atingir os objetivos organizacionais).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 4. Há servidores/empregados do quadro que atuam na área de TI desse órgão/entidade? (fl. 37)
b) Apêndice I, planilha de resultados, pergunta: 6. Esse órgão/entidade conhece o grau de formação das pessoas que atuam na área de TI? (fl. 37)
c) Apêndice I, planilha de resultados, pergunta: 7. Há carreiras específicas para a área de TI no plano de cargos do órgão/entidade? (fl. 37)
Efeitos potenciais
a) Insuficiência de servidores para atuar na área de TI.
Conclusão
50. Conforme o Gráfico 2, um total de 29% dos pesquisados possui menos de 1/3 de sua área de TI composta por servidores, o que pode acarretar risco de dependência de indivíduos sem vínculo com o órgão/entidade para a execução de atividades críticas ao negócio, além de perda do conhecimento organizacional.
51. Segundo as informações levantadas no questionário, somente 37% dos servidores que atuam na área de TI dos órgãos/entidades possuem formação específica em TI (incluindo aqui doutorado, mestrado, pós-graduação lato sensu e nível superior). Além disso, 43% dos órgãos/entidades possuem carreira específica para a área. Esse resultado preocupa em função do aumento da importância estratégica da TI para as organizações, que correm o risco de não terem pessoal qualificado suficiente nem para executar as atividades básicas nem para fiscalizar eventuais contratados.
52. De acordo com as respostas ao questionário, 60% dos pesquisados não consideram competências gerenciais, técnicas e resultados produzidos anteriormente na seleção de gerentes de TI. Com esse resultado, não se pôde verificar se a escolha de chefias nos órgãos/entidades participantes é objetiva e baseada no mérito.
Proposta de encaminhamento
53. Enviar as conclusões acerca de estrutura de pessoal de TI ao Ministério do Planejamento, Orçamento e Gestão, ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público para ciência e promoção das ações cabíveis.
5. Segurança da informação
54. Neste tópico, o objetivo é delinear a qualidade do tratamento dado pelos órgãos públicos à segurança das informações sob sua responsabilidade.
55. A importância do correto tratamento para a confidencialidade, a integridade e a disponibilidade das informações de órgãos públicos é evidente, sem falar na autenticidade, na responsabilidade pelos dados e na garantia de não-repúdio . A própria prestação do serviço de uma instituição pública aos cidadãos depende da confiabilidade das informações por ela tratadas e ofertadas.
56. Foram solicitados como evidências os documentos sobre a Política de Segurança da Informação (PSI), o Plano de Continuidade de Negócios (PCN), normas/procedimentos relacionados à classificação de informações e as normas/procedimentos de controle de acesso, que devem orientar o tratamento da segurança das informações.
57. A política de segurança da informação é o documento que contém as diretrizes da instituição quanto ao tratamento da segurança da informação. De acordo com as orientações da norma NBR ISO/IEC 17799:2005 da ABNT, a política deve declarar explicitamente o comprometimento da direção da instituição com a segurança da informação. Além disso, deve também conter definições dos termos relacionados dentro do escopo da instituição e apontar os objetivos de controle, os controles, as estruturas que implementam esses controles, as responsabilidades e também as políticas e normas que disciplinam e complementam esse documento de diretrizes, incluindo referências à legislação e aos requisitos regulamentares e contratuais . Em geral, esse é o documento da gestão da segurança da informação a partir do qual derivam os documentos específicos para cada meio de armazenamento, transporte, manipulação ou tratamento específico da segurança da informação em TI.
58. A gestão da continuidade do negócio, por sua vez, é o processo que objetiva minimizar um impacto sobre a organização e recuperar perdas de informações a um nível aceitável, por meio da combinação de ações de prevenção e recuperação. O plano de continuidade de negócios é um documento ou conjunto de documentos que, tipicamente, contém as condições para sua ativação, as responsabilidades individuais, os procedimentos de emergência, os procedimentos operacionais temporários e os procedimentos de recuperação. O plano (ou planos) de continuidade deve(m) ser periodicamente testado(s) e avaliado(s), para garantir que funcione(m) quando necessário.
59. A classificação de informações, por sua vez, é o processo que visa garantir que cada informação tenha o tratamento de segurança adequado ao seu valor, aos requisitos legais, à sensibilidade e ao risco de sua perda para a organização. Nesse processo devem existir, pelo menos, dois documentos de referência: o esquema de classificação, que contém as definições dos níveis de proteção considerados, e um conjunto apropriado de procedimentos para rotulação e tratamento da informação segundo esse esquema.
60. A gestão do controle de acesso, por fim, é o processo que visa garantir que o acesso à informação seja controlado com base nos requisitos de negócio e na adequada segurança da informação. O principal documento relacionado a esse processo é a política de controle de acesso, que contém as regras de controle de acesso e direitos para cada usuário ou grupos de usuários, e relaciona claramente os requisitos de negócio e os controles associados.
61. Os órgãos foram também questionados sobre algumas estruturas organizacionais para assistir a execução das diretrizes de segurança: área específica para tratamento de segurança, área específica para tratamento de incidentes, evidências de gestão centralizada para mudanças, capacidade e compatibilidade de soluções de TI.
62. A infra-estrutura para a adequada gestão da segurança da informação na organização é tratada no item 6.1 da NBR ISO/IEC 17799:2005. Cada órgão/entidade deve adotar a estrutura organizacional que mais se adeqüe à cultura e ao tamanho da instituição, assegurando, contudo, que a implementação dos controles de segurança da informação tenha uma coordenação que permeie toda a organização. Assim, as organizações podem até usar um fórum já existente (por exemplo, um conselho de diretores), desde que este assuma também, de forma explícita, as atividades de gestão da segurança da informação. O mais freqüente tem sido o uso de um fórum específico (por exemplo, um grupo específico para gerenciar a segurança da informação) ou mesmo um gestor individual (que é conhecido no mercado como CSO - Chief Security Officer).
63. O objetivo do processo de gestão de incidentes de segurança é assegurar que seja aplicado tratamento consistente e efetivo para os incidentes, que incluem desde falhas de sistemas até violações intencionais da política de segurança. Para isso, há que se designar claramente as responsabilidades no tratamento de incidentes, bem como os procedimentos a serem adotados, em sintonia com outras diretrizes, como o plano de continuidade de negócio e a classificação das informações. A existência de uma área específica é uma recomendação para a operacionalização desses controles, não só pela NBR ISO/IEC 17799:2005, como também por várias diretrizes para governança de TI.
64. Outros processos de infra-estrutura relacionados com a segurança são a gestão centralizada de mudanças e a gestão de capacidade e compatibilidade. Na gestão centralizada de mudanças, há controle rígido das mudanças no ambiente operacional para garantir a estabilidade do ambiente e a Auditoria das alterações realizadas. O controle inadequado de modificações nos sistemas e nos recursos de processamento da informação é uma causa comum de falhas de segurança ou de sistema.
65. Já a gestão de capacidade e compatibilidade visa principalmente garantir a disponibilidade das informações, ao verificar continuamente se as soluções de TI suportam adequadamente a demanda por informações sem sobrecarregar os sistemas, gerar descontinuidade de operação e/ou falhas no nível de serviço acordado.
66. Finalmente, os órgãos/entidades foram instados a apresentar as evidências de que estariam preocupados em realizar o tratamento dos riscos relacionados ao processamento das informações sob sua responsabilidade por meio das soluções de TI. O tratamento dos riscos inclui a identificação, a quantificação e a classificação dos riscos quanto à sua prioridade, com base em critérios sintonizados com o negócio da organização. Os resultados dessa análise devem orientar as ações de gestão e as prioridades para o gerenciamento dos riscos de segurança da informação e para a implementação dos controles selecionados. Por isso, a análise de risco é estratégica na gestão da segurança e deve ser feita em bases periódicas para garantir a adequação entre gestão e negócio.
Achado VIII. Ausência de política de segurança da informação em vigor
67. A ausência de política de segurança da informação (PSI) formalmente definida na organização foi declarada por 64% dos órgãos/entidades pesquisados. Como esse documento de diretrizes é um dos primeiros passos na construção de uma gestão da segurança da informação, tal achado é um indício preocupante de que essa gestão é inexistente ou incipiente na maioria das organizações da Administração Pública Federal.
68. É possível que haja ações em segurança da informação nesses órgãos. Porém, a ausência da política central indica que tais ações não são motivadas por diretrizes institucionais e, portanto, podem ser conflitantes e/ou incompletas.
Critérios
a) NBR ISO/IEC 17799:2005, item 5.1 - Política de segurança da informação: convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização;
b) Cobit 4.1 DS5.2 IT Security Plan (Plano de Segurança de TI - Traduzir requisitos de negócio, risco e conformidade num plano geral de segurança de TI, levando em consideração a infra-estrutura de TI e a cultura de segurança. Garantir que o plano seja implementado dentro das políticas e dos procedimentos de segurança em conjunto com investimentos apropriados em serviços, pessoal, software e hardware. Comunicar as políticas e procedimentos de segurança aos interessados e usuários).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 11. Existe política de segurança da informação (PSI) em vigor? (fl. 37).
Efeitos potenciais
a) Enfraquecimento das ações de segurança, por não serem respaldadas por uma política institucional;
b) Descompasso entre a gestão da segurança da informação e os objetivos de negócio;
c) Percepção pelos usuários e clientes de falta de comprometimento da alta administração da organização com a segurança da informação.
Achado IX. Ausência de plano de continuidade de negócios em vigor
69. A cultura de segurança da informação predominante nas organizações brasileiras, inclusive na área governamental, ainda não está madura o suficiente no que diz respeito à preocupação com desastres e interrupção nos serviços. É o que pode ser inferido da ausência de plano de continuidade de negócios (PCN) em cerca de 88% dos pesquisados. A situação se agrava quando, adicionalmente, observa-se que, dentre os que possuem PCN em vigor, apenas 30% declararam tê-lo revisado em período inferior a um ano.
70. A ausência de PCN na organização é um indício de falta de conscientização em nível estratégico com os riscos de interrupção dos serviços da organização. Sem planejamento dessa natureza, a organização fica vulnerável quando da ocorrência de desastres (naturais ou por sabotagem) e interrupções de serviços. Eventos que poderiam ser resolvidos sem grande perda, acabam por comprometer toda a base atual e histórica de informações da organização. Pode ser até que o PCN nunca precise ser acionado mas, se houver a necessidade e ele não existir, isso pode significar risco à continuidade da existência da organização.
71. Ao considerar os efeitos da perda de informações como as relacionadas à vida, à saúde, à segurança e à história dos cidadãos brasileiros, não é aceitável correr riscos elevados que possam comprometer a própria finalidade das instituições governamentais.
Critérios
a) NBR 15999-1:2007, item 8.6 - Planos de Continuidade de Negócios: o propósito de um plano de continuidade de negócios (PCN) é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios.
b) Cobit 4.1 DS4 Ensure Continuous Service (Garantir a Continuidade do Serviço - A necessidade de prover serviços contínuos de TI requer desenvolvimento, manutenção e teste de planos de continuidade de TI, armazenamento de cópias de segurança em local alternativo e treinamento periódico de planejamento de continuidade).
c) NBR ISO/IEC 17799:2005, item 14.1.3 - Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação: convém que os planos sejam desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 10. Existe plano de continuidade de negócios em vigor? (fl. 37).
Efeitos reais e potenciais
a) Vulnerabilidade das organizações à ocorrência de desastres e interrupção de serviços;
b) Perda de dados, inclusive históricos, de difícil recuperação;
c) Dificuldade no restabelecimento das operações normais quando da ocorrência de interrupção de serviços;
d) Vulnerabilidade a fraudes e erros durante a interrupção de serviços;
e) Paralisação de funções essenciais de governo e/ou de Estado.
Achado X. Ausência de classificação das informações
72. Um total de 80% dos órgãos/entidades declararam não classificar as informações. Esse é um processo caro e trabalhoso, que envolve muitas áreas da organização, e essa é uma possível causa para um percentual tão expressivo.
73. A classificação das informações, porém, de forma semelhante à PSI, é um dos pilares da segurança da informação numa organização. A sua ausência indica que o tratamento da segurança sobre as informações não é feito de forma consistente, variando em função da maior ou menor maturidade das áreas que as armazenam, transportam ou alteram. Assim, pode ser, por exemplo, que uma informação em papel seja tratada com um nível maior de sigilo, mas ao ser passada para um sistema informatizado, receba o tratamento comum dado a outras informações não-sigilosas, inadequado para suas especificidades. Como não existe um rótulo de segurança único para aquela informação, o qual deveria apontar para procedimentos próprios em cada meio de armazenamento, o tratamento da segurança daquela informação torna-se ineficaz como um todo, já que é uma máxima da segurança da informação que a segurança de um conjunto é igual à segurança do elo mais fraco.
74. Além disso, é difícil responsabilizar alguém por um tratamento indevido sem uma classificação da informação. A declaração expressa de que um dado ativo de informação deve ser tratado com um determinado nível de proteção (e é nisso que consiste a atribuição dos rótulos de segurança às informações) é o subsídio de que dispõe o gestor para avaliar se uma dada ação foi ou não adequada ao nível de proteção da informação e, caso não tenha sido, propor a responsabilização, bem como a correção da situação.
Critérios
a) Cobit 4.1 PO2.3 Data Classification Scheme (Esquema de Classificação da Informação - Estabelecer um esquema de classificação aplicável em toda organização baseado na criticidade e na sensibilidade - isto é, pública, reservada ou sigilosa - das informações institucionais. Esse esquema deve incluir detalhes sobre propriedade da informação; definição de níveis de segurança e controles de proteção adequados; e uma breve descrição dos requisitos de retenção e destruição de dados, criticidade e sensibilidade. Deve ser usado como a base para a aplicação de controles tais como controles de acesso, armazenamento ou encriptação);
b) NBR ISO/IEC 17799:2005, item 7.2 - Classificação da informação: convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação.
Evidências
a) Apêndice I, planilha de resultados, pergunta 12. É feita classificação de informações? (fl. 37).
Efeitos potenciais
a) Informações tratadas com nível inadequado de proteção, suscetíveis à perda de integridade, confiabilidade e disponibilidade;
b) Tratamento da segurança das informações de maneira inconsistente e dependente do meio em que transitam ou são armazenadas;
c) Falta de amparo para responsabilização por acesso indevido a informações;
d) Falta de sintonia entre a proteção das informações e o negócio da organização.
Achado XI. Ausência de procedimentos de controle de acesso em vigor
75. De acordo com as respostas fornecidas, procedimentos para disciplinar o controle de acesso a recursos computacionais existem em 52% dos pesquisados. É provável que esse resultado seja uma conseqüência da necessidade de controle de acesso lógico em sistemas de informação e sistemas operacionais em geral, que induz a necessidade de definição de normativos de identificação e de senhas, bem como de direitos de acesso para cada usuário ou grupo de usuários. Isso faz com que a situação dos 48% restantes seja crítica.
76. A definição de normativos para controle de acesso é fundamental para sincronizar o controle de acesso às informações com as reais necessidades de acesso dos usuários, garantir o acesso mínimo e necessário a cada informação, isto é, que só tenha acesso a uma informação quem realmente precisa dela, e que toda informação realmente necessária esteja disponível para acesso. A ausência da formalização de normativos é um indício de que o acesso não está definido de forma criteriosa.
77. A ausência de procedimentos é também um indício de que o processo de concessão/manutenção/revogação do acesso conforme definido não é devidamente controlado. O risco dessa ausência de controle é a ocorrência de concessão/manutenção/revogação de acesso a recursos em desconformidade com as reais necessidades de acesso.
Critérios
a) Cobit 4.1 DS5.3 Identity Management (Gerência de Identidade - Garantir que todos usuários (internos, externos e temporários) e sua atividade em sistemas de TI (aplicações do negócio, sistema operacional, desenvolvimento e manutenção) devem ser unicamente identificáveis. Direitos de acesso do usuário a sistemas e dados devem estar alinhados com as necessidades do negócio e requisitos do cargo definidos e documentados. Direitos de acesso do usuário são requisitados pelo gerente do usuário, aprovados pelo proprietário do sistema e implementados pelo responsável pela segurança. Identidades e direitos de acesso do usuário são mantidos num repositório central. Medidas técnicas e procedimentais são alocadas e mantidas correntes para estabelecer identificação do usuário, implementar autenticação e conceder os direitos de acesso);
b) Cobit 4.1 DS5.4 User Account Management (Gerência de Contas de Usuários - Garantir que requisitar, estabelecer, entregar, suspender, modificar e fechar contas de usuários e respectivos privilégios de usuário é realizado pela gerência de contas de usuário. Deve ser incluído um procedimento de aprovação pelo proprietário do sistema ou dado delineando a concessão de privilégios de acesso. Esses procedimentos devem ser aplicados para todos usuários, incluindo administradores (usuários privilegiados), usuários internos e externos, em uso normal ou em casos de emergência. Direitos e obrigações relativos a acessos a sistemas e dados corporativos são contratualmente ajustados para todos os tipos de usuários. Executar revisão regular gerencial de todas as contas e respectivos privilégios.
c) Cobit 4.1 DS12.2 Physical Security Measures (Medidas de Segurança Física - Definir e implementar medidas de segurança física alinhadas com os requisitos do negócio para assegurar o local e os ativos físicos. Medidas de segurança física devem ser capazes de eficientemente prevenir, detectar e mitigar riscos relativos a roubos, temperatura, incêndio, fumaça, água, tremor de terra, terrorismo, vandalismo, interrupções de energia, produtos químicos ou explosivos);
d) Cobit 4.1 DS12.3 Physical Access (Acesso Físico - Definir e implementar procedimentos para permitir, limitar e revogar acesso aos terrenos, edifícios e áreas de acordo com as necessidades do negócio, inclusive emergências. Acesso aos terrenos, edifícios e áreas deve ser justificado, autorizado, registrado e monitorado. Isso deve ser aplicado a todas as pessoas que entrem na propriedade, incluindo funcionários, temporários, clientes, vendedores, visitantes ou qualquer outro terceiro);
e) NBR ISO/IEC 17799:2005, item 11.1.1 - Política de controle de acesso: convém que a política de controle de acesso seja estabelecida, documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negócios e segurança da informação.
Evidências
a) Apêndice I, planilha de resultados, pergunta 14. Existem procedimentos definidos que disciplinem o controle de acesso (lógico e físico) a recursos computacionais? (fl. 37).
Efeitos potenciais
a) Perfil de acesso a informações excessivamente permissivo para determinados usuários ou grupos de usuários;
b) Concessão ou alteração do acesso a recurso para pessoas não autorizadas, visando fraudes;
c) Divulgação não autorizada de informação reservada ou sigilosa.
Achado XII. Ausência de área específica para lidar com segurança da informação
78. Um total de 64% dos órgãos/entidades informaram que não possuem área específica, com responsabilidades definidas, para lidar estrategicamente com segurança da informação. Sem tal estrutura, há grande probabilidade de que as questões de segurança não sejam tratadas de maneira consistente. Além disso, torna-se difícil para a organização avaliar se estão sendo endereçados de modo adequado os recursos humanos e de logística para a implementação dos controles de segurança da informação, ou se tais controles estão sintonizados com o negócio da organização. A ausência de fórum adequado, de nível estratégico e com representantes de diversas áreas da organização, também é um indício de ausência de um fator considerado crítico no sucesso da gestão da segurança: a preocupação da direção da organização com a segurança da informação.
Critérios
a) Cobit 4.1 DS5.1 Management of IT Security (Gerência da Segurança de TI - Gerenciar a segurança de TI no nível organizacional apropriado mais alto de maneira que a gerência de ações de segurança esteja alinhada com os requisitos do negócio);
b) NBR ISO/IEC 17799:2005, item 6.1 - Infra-estrutura da segurança da informação: convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 9. Existe uma área específica, com responsabilidades definidas, para lidar estrategicamente com segurança da informação? (fl. 37).
Efeitos potenciais
a) Ausência ou atuação deficiente em segurança da informação na organização;
c) Ações de segurança da informação da organização incoerentes e ineficazes;
d) Desperdício de recursos em ações não-prioritárias.
Achado XIII. Ausência de área específica para gerência de incidentes
79. Apesar da gerência centralizada de incidentes ser um dos pontos-chave apontados pela norma NBR ISO/IEC 17799:2005 para resolução rápida de incidentes em TI, não existe área específica para gerência de incidentes em 76% dos órgãos/entidades pesquisados, segundo declarações dos gestores. Tal resultado representa um risco de que eventuais incidentes envolvendo a disponibilidade, a integridade ou o sigilo das informações não tenham tratamento adequado e consistente.
80. Adicionalmente, em outra questão verificou-se que, coincidentemente, apesar de não serem as mesmas instituições, também 76% das organizações pesquisadas oferecem serviços transacionais pela Internet, o que aumenta a sua exposição a tentativas de acesso indevido e à indisponibilidade da informação. Ao cruzar esses dados, verificou-se que 54% dos pesquisados possuem serviços transacionais pela Internet e não possuem área própria para gerência de incidentes. Nesses casos, o risco associado à ausência do controle aumenta.
81. Outro aspecto a considerar é a possibilidade de um incidente em serviços da Internet afetar mais de uma instituição. Nesse caso, a ausência dessa área tem efeito multiplicador e pode, inclusive, comprometer o trabalho dos órgãos que a possuem. Existem grupos articuladores de tratamento de incidentes na Internet, como o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira (CERT.br) e outros grupos localizados, como o Grupo de Incidentes da Rede Nacional de Pesquisa (RNP) e de outros provedores de rede. Sem um contato nos órgãos da administração pública, fica comprometida a atuação de tais entidades na ocorrência de incidentes que afetam várias instituições, inclusive quanto à possibilidade de articulação específica para tratamento de incidentes de órgãos governamentais.
Critérios
a) Cobit 4.1 DS5.5 Security Testing, Surveillance and Monitoring (Teste, Vigilância e Monitoramento de Segurança - Testar e monitorar a implementação da segurança de TI de uma forma pró-ativa. A segurança de TI deve ser formalmente aprovada de uma maneira tempestiva para assegurar a manutenção do padrão estabelecido de segurança da informação da organização. A função de registro e monitoramento permitirá a prevenção e/ou rápida detecção e o subseqüente informe tempestivo de atividades não usuais e/ou anormais que necessitem de tratamento);
b) Cobit 4.1 DS5.6 Security Incident Definition (Definição de Incidente de Segurança - Definir e comunicar claramente as características de potenciais incidentes de segurança para que possam ser corretamente classificados e tratados pelo processo de gestão de problemas e incidentes);
c) NBR ISO/IEC 17799:2005, item 13.2 - Gestão de incidentes de segurança da informação e melhorias: convém que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurança da informação e fragilidades, uma vez que estes tenham sido notificados. Convém que um processo de melhoria contínua seja aplicado às respostas, monitoramento, avaliação e gestão total de incidentes de segurança da informação.
Evidências
a) Apêndice I, planilha de resultados, pergunta 15. Existe uma área específica para gerência de incidentes de segurança? (fl. 37);
b) Apêndice I, planilha de resultados, pergunta: 16. O Órgão/Entidade oferece serviços transacionais via Internet, ou seja, prestação de serviço que pode ser executado do início ao fim pela Internet com troca bidirecional de informações entre o Órgão/Entidade e o cliente? (fl. 37-v).
Efeitos potenciais
a) Tratamento de incidentes inexistente, inadequado ou inconsistente;
b) Inexistência de registro histórico de incidentes, o que dificulta o aprendizado e o tratamento das causas;
c) Maior risco de que indisponibilidades, perdas de integridade ou acessos indevidos tenham maior impacto sobre as informações e, conseqüentemente, sobre o negócio da organização.
Achado XIV. Ausência de gestão de mudanças
82. No escopo da governança de TI, a gestão de mudanças costuma ser um processo de difícil implementação, pois requer a colaboração de quase todas as áreas de TI, desde o desenvolvimento de sistemas até o suporte e a produção. Não é surpresa, então, que 88% dos pesquisados tenham declarado não gerenciar mudanças.
83. A realização de mudanças no ambiente de TI sem o devido controle é causa comum de instabilidade e falhas de segurança. Isso porque há mudanças freqüentes e necessárias no ambiente de TI que oferecem risco à disponibilidade das informações: a atualização de versões de produtos de software, a oferta de novos sistemas ou módulos de sistemas, a atualização de sistemas operacionais e a atualização de aplicativos, dentre outros. Caso um novo produto não adequadamente testado seja disponibilizado no ambiente, há um risco de comprometer o funcionamento de outras soluções de TI. Além disso, as
mudanças devem ser registradas tanto para possibilitar Auditoria quanto para restaurar situações anteriores a uma mudança inadequada.
Critérios
a) Cobit 4.1 AI6 Manage Changes (Gestão de Mudanças - Todas as mudanças, incluindo manutenção e correções de emergência, relativas a infra-estrutura e aplicativos do ambiente de produção, devem ser formalmente geridas de maneira controlada);
b) NBR ISO/IEC 17799:2005, item 10.1.2 - Gestão de mudanças: convém que modificações nos recursos de processamento da informação e sistemas sejam controladas;
c) NBR ISO/IEC 17799:2005, item 12.5.1 - Procedimentos para controle de mudanças: convém que a implementação de mudanças seja controlada utilizando procedimentos formais de controle de mudanças.
Evidências
a) Apêndice I, planilha de resultados, pergunta 17. É feita a gestão de mudanças? (fl. 37-v).
Efeitos potenciais
a) Comprometimento da disponibilidade das informações nos sistemas e da estabilidade do ambiente de TI devido à realização de mudanças não-criteriosas;
b) Impossibilidade de restaurar uma situação anterior a uma mudança malsucedida, pela falta de cuidado com a preservação do estado anterior e de registro preciso dos passos executados;
c) Alteração do nível de proteção de uma ou várias informações de forma não avaliada, não prevista ou não aprovada pelo gestor da informação como efeito de mudança em um recurso de TI.
Achado XV. Ausência de gestão de capacidade e compatibilidade das soluções de TI
84. De acordo com as respostas recebidas, a gestão de capacidade e compatibilidade não é feita em 84% dos órgãos/entidades pesquisados. Tal processo está ligado ao monitoramento do ambiente de TI e sua ausência indica que esse monitoramento não é executado adequadamente. A principal conseqüência é o aumento do risco de descontinuidade na prestação dos serviços de TI, o que afeta diretamente a disponibilidade das informações.
85. Adicionalmente, a ausência desse processo priva os gerentes de uma importante ferramenta para direcionar os investimentos necessários na manutenção da qualidade da infra-estrutura de TI, de acordo com os requisitos do negócio.
Critérios
a) Cobit 4.1 PO3.4 Technology Standards (Padrões Tecnológicos - Para prover soluções tecnológicas consistentes, efetivas e seguras para toda a organização, estabelecer um fórum de tecnologia para prover diretrizes tecnológicas, pareceres e indicação sobre produtos de infra-estrutura e seleção de tecnologias, e verificar a conformidade com esses padrões e diretrizes. Esse fórum deve direcionar as práticas e padrões tecnológicos com base na relevância para o negócio, riscos e conformidade com requisitos externos);
b) Cobit 4.1 DS3 Manage Performance and Capacity (Gestão de Capacidade e Desempenho - A necessidade de gerir a capacidade e o desempenho dos recursos de TI requer um processo de avaliação periódica do desempenho atual e da capacidade desses recursos. Esse processo inclui prever futuras necessidades com base na carga de trabalho e nos requisitos de armazenamento e de contingência. Esse processo garante que as fontes de informação que suportam os requisitos de negócio estejam continuamente disponíveis);
c) NBR ISO/IEC 17799:2005, item 10.3.1 - Gestão de capacidade: convém que a utilização dos recursos seja monitorada e sincronizada e as projeções feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 18. É efetuada a gestão de capacidade e compatibilidade das soluções de TI do órgão/entidade? (fl. 37-v).
Efeitos potenciais
a) Interrupções nos sistemas de informação por sobrecarga no processamento e indisponibilidade das informações;
b) Inadequação de investimentos em infra-estrutura de TI, por desconhecimento da real capacidade do ambiente e das necessidades de ampliação/atualização;
c) Desperdício provocado pela aquisição de produtos de TI incompatíveis com o ambiente existente.
Achado XVI. Ausência de análise de riscos na área de TI
86. A ausência da análise de riscos na área de TI, informada por 75% dos órgãos/entidades pesquisados, é um indício de que as ações de segurança não são executadas de maneira sintonizada com as necessidades do negócio dessas organizações. Isto porque, sem análise de riscos, não há como o gestor priorizar ações e investimentos com base em critérios claros e relacionados com o negócio da organização. O resultado pode ser desperdício, uso ineficaz de recursos, carência de ações prioritárias.
87. Além disso, o desconhecimento dos riscos na área de TI aumenta a exposição às ameaças de acesso indevido, indisponibilidade e perda de integridade (intencional, como no caso das fraudes, ou por falhas) das informações sob responsabilidade dessas organizações.
Critérios
a) Cobit 4.1 PO9.4 Risk Assessment (Análise de Riscos - Avaliar periodicamente a probabilidade e o impacto de todos os riscos identificados, usando métodos qualitativos e quantitativos. A probabilidade e o impacto associados com o risco inerente e residual devem ser determinados individualmente por categoria);
b) NBR ISO/IEC 17799:2005, item 4.1 - Analisando/avaliando os riscos de segurança da informação: convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios relevantes para a organização, e que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de segurança da informação, e para a implementação dos controles selecionados, de maneira a proteger contra estes riscos.
Evidências
a) Apêndice I, planilha de resultados, pergunta 13. É efetuada análise de riscos na área de TI? (fl. 37).
Efeitos potenciais
a) Estabelecimento inadequado de prioridades para ações de segurança;
b) Desperdício de recursos em ações não-prioritárias, enquanto outras mais críticas deixam de ser realizadas.
Conclusão
87.1. As respostas fornecidas pelos órgãos/entidades pesquisados às questões sobre o tratamento dado à segurança das informações sob sua responsabilidade indicam que é preciso mais atenção ao tema. Dentre as nove questões sobre esse assunto, apenas uma obteve mais de 50% de resposta positiva. O Gráfico 4 resume as deficiências encontradas no tratamento de segurança da informação, indicando para cada questão qual o percentual de órgãos/entidades que informaram não executar o controle associado. O resultado preocupa, pois a própria prestação do serviço de uma instituição pública aos cidadãos depende da confiabilidade das informações por ela tratadas e ofertadas.
87.2. A ausência de plano de continuidade de negócios (PCN) em 88% dos órgãos/entidades pesquisados aponta para a falta de cultura acerca de continuidade de negócios. Isso constitui um alto risco para a segurança das informações tratadas por essas instituições governamentais, ao deixá-las vulneráveis à perda ou ao comprometimento de informações em caso de interrupção de serviços por causas naturais ou intencionais.
Gráfico 4 - Deficiências na segurança da informação
87.3. A seu turno, a ausência de uma gestão de mudanças em 88% dos pesquisados declarada pelos próprios pesquisados indica que a maior parte desses órgãos/entidades corre risco de instabilidade e falhas de segurança no tratamento das informações no seu ambiente de TI quando da ocorrência de mudanças. Além disso, há o risco de enfrentar dificuldades quando for realizar Auditoria ou investigação por ocasião de problemas ocorridos em mudanças no ambiente de TI.
87.4. Sobre a gestão de capacidade e compatibilidade do ambiente de TI, vale ressaltar que sua ausência em 84% dos pesquisados expõe o risco de indisponibilidade em quantidade significativa dessas organizações da Administração Pública Federal. Além disso, é um indício de que os gerentes de TI dessas entidades não dispõem de instrumentos adequados para embasar as necessidades de investimento em infra-estrutura de TI.
87.5. A classificação das informações, por sua vez, é um dos pilares da gestão da segurança da informação numa organização. A declaração de sua ausência por um percentual tão expressivo de pesquisados (80%) é indício de que o tratamento da segurança sobre as informações não é feito de forma consistente e independente do meio que as armazenam nesses órgãos/entidades da Administração Pública Federal. Além disso, essa ausência aumenta o risco de que a proteção das informações não esteja adequada às necessidades do negócio.
87.6. A existência de área específica para gerência de incidentes não garante que um incidente não ocorra, mas promove o melhor tratamento possível aos incidentes. Assim, o fato de que 76% dos pesquisados declararam não possuir tal área acarreta risco para o negócio dessas organizações. Além disso, a ausência dessa área inviabiliza a articulação do governo para o tratamento de incidentes que envolvam vários órgãos e dificulta o trabalho de grupos de resposta a incidentes existentes. Dessa forma, essa falha pode prejudicar, inclusive, aqueles que possuem grupo constituído.
87.7. A análise de riscos de TI é outra importante ferramenta de gestão da segurança da informação. Sua ausência em 75% dos órgãos/entidades pesquisados indica falha significativa que pode resultar em desperdício, ações ineficazes e lacunas no tratamento da segurança.
87.8. Apenas 36% dos pesquisados declararam ter área específica para lidar estrategicamente com segurança da informação. A inexistência dessa área representa um risco de ausência de ações de segurança da informação ou ocorrência de ações ineficazes, descoordenadas e sem alinhamento com o negócio.
87.9. Já a política de segurança da informação (PSI) foi declarada inexistente nas organizações de 64% dos pesquisados. Como a definição dessa política é um dos primeiros passos para o reconhecimento da importância da segurança da informação na organização e seu tratamento, isso é um indício de que a gestão de segurança da informação é inexistente ou incipiente na maior parte desses órgãos/entidades da administração pública.
87.10. Finalmente, dentre os itens relacionados diretamente com a segurança da informação, a existência de procedimentos de controle de acesso apresentou o resultado mais positivo, pois 52% dos órgãos/entidades pesquisados declararam possuir tais procedimentos. Entretanto, 48% ainda é um percentual preocupante de ausência, pois a falta desses procedimentos é um indício de que, nessas organizações, o controle de acesso implementado não está adequado ao nível de proteção necessário para a informação.
87.11. Esses resultados delineiam um cenário no qual o Auditor de TI tem papel fundamental no incentivo à governança da segurança de informação por meio da indicação de controles para apoiar estruturas e processos organizacionais com vistas à proteção das informações, tendo como referência modelos apropriados. Para tanto, há necessidade do aperfeiçoamento constante das competências do Auditor de TI nos principais modelos de gestão e controle na área de TI, tais como a Information Technology Infrastructure Library (ITIL) e modelos de análise de riscos.
Proposta de encaminhamento
88. Recomendar ao Gabinete de Segurança Institucional da Presidência da República, ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações com objetivo de disseminar a importância do gerenciamento da segurança da informação e induzir, mediante orientação normativa, os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento da gestão da continuidade do negócio, da gestão de mudanças, da gestão de capacidade, da classificação da informação, da gerência de incidentes, da análise de riscos de TI, da área específica para gerenciamento da segurança da informação, da política de segurança da informação e dos procedimentos de controle de acesso.
6. Desenvolvimento de sistemas de informação
89. Embora haja uma consciência relativamente generalizada de que as áreas de TI nas organizações não são simplesmente produtoras de software , o desenvolvimento de sistemas de informação é, sem dúvida, uma de suas principais atividades. A qualidade desse desenvolvimento interfere diretamente na qualidade do serviço prestado pela área de TI. A necessidade de conectividade com a Internet e com sistemas em outras organizações faz da segurança da informação um requisito de projeto. Os clientes, cada vez mais exigentes, esperam sistemas rápidos, fáceis de usar, robustos e que realmente atendam às suas necessidades. Além disso, a parceria com o cliente deve ocorrer já no próprio processo de desenvolvimento, que não pode ser mais lento do que a velocidade com que mudam as necessidades, e não pode ser obscuro quanto a prioridades, prazos, qualidade e segurança.
90. A aplicação de modelos de gestão para qualidade de software vem, exatamente, ao encontro desses requisitos, e o desenvolvimento de sistemas pautado em uma metodologia é um requisito básico de quaisquer desses modelos. A metodologia de desenvolvimento define "como fazer do jeito certo", enquanto a gestão da qualidade se concentra em avaliar e aprimorar o processo de uso dessa metodologia de desenvolvimento na organização.
91. O uso de metodologia para desenvolvimento de sistemas não é um tema novo e vem, progressivamente, incorporando os conceitos de engenharia de software para tornar o processo de desenvolvimento de sistemas mais controlável, mensurável e eficaz. Com a metodologia, busca-se não só garantir que as várias etapas típicas do desenvolvimento (levantamento, projeto, programação, testes e homologação) sejam executadas de forma sistemática e documentada, mas também permitir a avaliação e melhoria do processo, com vistas à produção de software de qualidade.
92. O governo brasileiro tem mostrado preocupação com a qualidade do software produzido no Brasil ao instituir programas e ações de incentivo à busca de melhorias. Como exemplo disso, há o Programa Brasileiro de Qualidade e Produtividade do Software (PBQP-Sw) e o Modelo de Melhoria de Processos de Software (MPS.BR) . Nessas orientações, a existência de metodologia é requisito fundamental na construção de software de qualidade.
92.1. Além das informações sobre metodologia de desenvolvimento, outra informação solicitada aos órgãos/entidades sobre os seus sistemas foi a existência de serviços transacionais via Internet (pergunta 16 do questionário). Sobre esse assunto, 76% dos pesquisados informaram que prestam serviços pela Internet com troca bidirecional de informações entre o órgão/entidade e seus clientes. Esse percentual expressivo chama atenção para o uso, por órgãos/entidades da Administração Pública, de sistemas web na execução da sua missão de prestação de serviços aos cidadãos.
92.2. Finalmente, foi solicitado aos órgãos/entidades que participaram do levantamento o envio de dados acerca dos principais sistemas utilizados e suas bases de dados associadas (pergunta 20 do questionário). Ao final, 205 organizações enviaram informações sobre 9.494 sistemas. Essa base de dados ficará organizada e disponível na Sefti para utilização em futuras fiscalizações e levantamentos.
Achado XVII. Não-adoção de metodologia de desenvolvimento de sistemas
92.3. Segundo as declarações fornecidas, é adotada uma metodologia de desenvolvimento de sistemas em quase metade dos pesquisados (49%). É um resultado ainda modesto, se considerarmos a tendência de sistemas cada vez mais complexos e interligados, requerendo sempre mais qualidade dos sistemas aplicativos produzidos.
92.4. A ausência de metodologia em 51% dos pesquisados aumenta o risco de construir sistemas pouco robustos, suscetíveis a falhas, sem testes adequados e com documentação deficiente, ou seja, aumenta o risco de que etapas mal conduzidas do processo produzam resultados inadequados para a organização. Um levantamento malfeito, por exemplo, gera um produto que não é o esperado pelo cliente; um sistema mal documentado ou cuja documentação não segue um padrão ou, ainda, cuja documentação não é atualizada corretamente, fica dependente da manutenção pelo(s) desenvolvedor(es); um teste mal realizado permite que programas não adequadamente homologados pelo cliente sejam dados como concluídos.
92.5. Além disso, o risco para a organização é ainda maior quando se verifica que, dentre os 130 pesquisados que declararam não ter metodologia, 68% informaram que oferecem serviço transacional pela Internet e, portanto, possuem sistemas expostos a ações indevidas, intencionais ou não. Tal exposição é significativa pois, na Internet brasileira, os ataques a servidores web no primeiro trimestre de 2008 aumentaram 34% em relação ao trimestre anterior, e 519% em relação ao mesmo período de 2007 .
92.6. Outro aspecto importante a considerar é a terceirização do serviço de desenvolvimento: sem uma metodologia, não é possível terceirizar todo o processo ou mesmo parte dele sem que isso represente um risco para a organização. Como o processo em si não é bem definido, não há como medir o serviço prestado ou garantir que não haverá perda de conhecimento ou ainda que o resultado seja o adequado para a organização.
92.7. Finalmente, a falta de metodologia dificulta a Auditoria do processo de desenvolvimento em si tanto quanto dos seus produtos, ou seja, aumenta o risco de Auditoria. Em última instância, esse aumento do risco de Auditoria representa aumento de risco para a proteção de informações e dificulta a melhoria do processo. Nesse contexto, o Auditor de TI pode funcionar como indutor da adoção de metodologia por meio das recomendações de Auditoria. Para isso, é necessária a capacitação constante desse Auditor em metodologias de gestão e qualidade em desenvolvimento de sistemas, tais como CMMI, Rational Unified Process (RUP) e MPS.BR.
Critérios
a) Cobit 4.1 AI2.7 Development of Application Software (Desenvolvimento de Software Aplicativo - Assegurar que os aplicativos sejam desenvolvidos de acordo com as especificações de projeto, padrões de desenvolvimento e documentação, requisitos de qualidade e padrões de aprovação. Assegurar que todos os aspectos legais e contratuais estejam identificados e tratados para software aplicativo desenvolvido por terceiros).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 16. O órgão/entidade oferece serviços transacionais via Internet, ou seja, prestação de serviço que pode ser executado do início ao fim pela Internet com troca bidirecional de informações entre o órgão/entidade e o cliente? (fl. 37-v);
b) Apêndice I, planilha de resultados, pergunta: 19. O desenvolvimento de sistemas segue alguma metodologia? (fl. 37-v);
c) Apêndice I, planilha de resultados, pergunta: 20. O órgão/entidade possui e mantém inventário dos principais sistemas informatizados e suas bases de dados? (fl. 37-v).
Efeitos potenciais
a) Processo de desenvolvimento de sistemas lento e sistemas de informação ineficazes;
b) Perda de informações por causa de sistemas pouco robustos, sujeitos a falhas de segurança, seja por fraude, seja por uso incorreto;
c) Execução de contratos de prestação de serviços de desenvolvimento sem métricas adequadas nem etapas claras com produtos para cada etapa;
d) Sistemas de difícil manutenção, sem documentação, em que apenas quem desenvolveu detém o conhecimento. Esse caso pode ser ainda mais sério se o desenvolvedor for contratado externamente.
Conclusão
93. O uso de metodologia de desenvolvimento de sistemas é um requisito fundamental para a produção de software de qualidade. A sua ausência declarada por 51% dos pesquisados preocupa pelo risco que representam, para a segurança da informação, produtos de software de baixa qualidade. Além disso, outras conseqüências, como maior dificuldade no gerenciamento do processo de desenvolvimento, seja ele interno ou terceirizado, representa risco de má gestão dos recursos dos órgãos/entidades da Administração Pública Federal.
93.1. Adicionalmente, há que se considerar o perfil delineado por 76% das organizações que declararam possuir sistemas transacionais via Internet. Tais sistemas apresentam um risco inerente relacionado à maior exposição a ações indevidas que podem afetar a integridade, a disponibilidade e a confidencialidade das informações por eles tratadas. Esse risco é aumentado na presença de controles fracos que afetem diretamente esses sistemas, como é o caso da ausência de metodologia para desenvolvimento de sistemas ou deficiências nos controles de segurança da informação, ambos identificados no presente levantamento. Nesse cenário, a atuação da Auditoria de TI pode colaborar diretamente por meio da recomendação de controles, inclusive aqueles específicos para sistemas transacionais via Internet. Para tanto, é imperativo que o Auditor esteja familiarizado com tais tecnologias, seus riscos e as boas práticas e ferramentas que auxiliam a mitigação desses riscos.
Propostas de encaminhamento
94. Recomendar à Secretaria de Logística e Tecnologia da Informação (SLTI) do Ministério do Planejamento, Orçamento e Gestão, ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações com objetivo de disseminar a importância da adoção de metodologia de desenvolvimento de sistemas e induzir os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento dessa metodologia.
7. Gestão de acordos de níveis de serviço
95. A prestação de um bom serviço para os cidadãos é, em última instância, o negócio de toda instituição pública. A definição do que é um "bom serviço", sintonizando as expectativas dos clientes com a oferta, é exatamente o que constitui um acordo de nível de serviço (SLA, sigla do inglês Service Level Agreement).
96. No caso de um acordo de nível de serviço de TI, então, é definida a qualidade dos serviços de TI em função das necessidades da organização, quantificada e especificada para cada serviço. Assim, a disponibilidade da infra-estrutura de rede, o desempenho dos sistemas, o tempo de solução de problemas e outros dados semelhantes costumam constituir indicadores dos documentos de acordos de níveis de serviço, e devem ser adequadamente verificados e tratados quando detectadas falhas, de modo a atender às necessidades do negócio. Sem a definição de tais indicadores, fica difícil responder à questão: "os serviços de TI da minha organização estão adequados às necessidades do negócio?". Igualmente, fica difícil priorizar investimentos e ações na área de TI sem saber onde o desempenho está mais no limite do esperado ou é mais crítico para o negócio.
97. Um aspecto particularmente importante é a gestão de níveis de serviço também para serviços contratados. A especificação formal de tais indicadores pode ser o principal instrumento dos gestores para garantir o cumprimento dos contratos de TI e possibilitar a aplicação de penalidades em casos de não-atendimento. A necessidade de acordo prévio e mensuração da qualidade de serviços de TI é citada, inclusive, em trechos de Acórdãos do TCU, como o Acórdão 2.172/2005-TCU-Plenário e o Acórdão 786/2006-TCU-Plenário . O termo "acordo de nível de serviço" para contratos de TI também já é conhecido do TCU, e foi mencionado no Acórdão 1.878/2005-TCU-Plenário .
Achado XVIII. Ausência de gestão de acordos de níveis de serviços prestados internamente
98. A gestão de níveis de serviços foi a questão com mais alto percentual de resposta negativa: 89% dos pesquisados informaram não executar a gestão de níveis de serviço de TI ofertados aos seus clientes. Essa resposta é coerente com o resultado obtido na verificação de alguns dos processos de trabalho que apóiam a gestão de níveis de serviço: o plano de continuidade de negócios (Achado IX - 88% de respostas negativas), a gestão de mudanças (Achado XIV - 88% de respostas negativas) e a gestão de capacidade e compatibilidade (Achado XV - 84% de respostas negativas).
99. A ausência da gestão de acordo de níveis de serviço em percentual tão expressivo indica que grande parte dos pesquisados não realiza a negociação da qualidade dos serviços de TI com os seus clientes. A conseqüência disso é uma dificuldade em ajustar expectativas: as áreas de TI não sabem se estão atendendo às necessidades de qualidade de serviço dos seus clientes, nem tampouco os clientes sabem, ao pedir um serviço de TI, qual o nível de qualidade que podem esperar. Os resultados podem ser áreas de TI cujos esforços e investimentos não estão sintonizados com as necessidades e expectativas dos seus clientes.
Critérios
a) Cobit 4.1 DS1 Define and Manage Service Levels (Definir e Gerenciar Níveis de Serviço - A comunicação efetiva entre gerente de TI e usuários sobre requisitos de serviço é possível por meio de acordo definido e documentado acerca dos serviços de TI e níveis de serviço. Esse processo também inclui monitoramento e divulgação tempestiva aos interessados do cumprimento dos níveis de serviço. Esse processo permite um alinhamento entre os serviços de TI e os requisitos de negócio relacionados).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 21. É efetuada a gestão de acordos de níveis de serviço das soluções de TI do órgão/entidade oferecidas a seus clientes? (fl. 37).
Efeitos potenciais
a) Insatisfação dos clientes com a qualidade e desempenho das soluções ofertadas por sua área de TI;
b) Ausência de informações para os gerentes de TI sobre as reais expectativas dos seus clientes;
c) Inadequação da distribuição dos investimentos em TI em relação às necessidades dos clientes.
Achado XIX. Ausência de gestão de acordos de níveis de serviços contratados externamente
100. Um total de 74% dos pesquisados informaram que não executam a gestão de níveis de serviço dos serviços contratados, ou seja, mesmo quando o órgão/entidade é cliente e não fornecedor, não há preocupação com a avaliação e o controle dos resultados.
101. Na verdade, a administração precisa, por força da lei, monitorar os seus contratos de TI. De fato, as questões 31 (sobre verificação de itens predefinidos para atestação das faturas, com 56% de resposta positiva) e 33 (sobre monitoração técnica dos contratos, com 90% de resposta positiva) obtiveram resultados melhores do que a questão sobre níveis de serviço. Uma possível explicação para esses resultados é que talvez exista algum monitoramento dos serviços contratados, mas ele nem sempre se dê em função de um indicador de desempenho. Ou, ainda, quando há tal indicador, ele não é estratégico e sintonizado com o negócio, como é o caso do acordo de nível de serviço.
102. Assim, por exemplo, exige-se no contrato que a provedora de link para Internet forneça serviço à velocidade de 4MB/s, em regime 24x7, com 99% de qualidade do serviço (isto é, é tolerado 1% de falha no fornecimento). Em alguns casos, a falha consiste em não verificar relatórios comprobatórios do índice de qualidade para atestação de fatura. Porém, mesmo quando tal índice é verificado, isso não é garantia de que o usuário final foi atendido em suas necessidades, pois não houve verificação nem acordo prévio de que tais velocidade e qualidade seriam suficientes para o negócio da organização. Nesse caso, as organizações se arriscam a manter contratos de serviços que não são efetivos para o seu negócio, mesmo quando cumprem metas contratuais.
103. Adicionalmente, como em última instância um serviço contratado pela área de TI visa atender à necessidade dos seus clientes, a ausência da gestão externa tem as mesmas conseqüências da sua ausência da gestão interna dos níveis de serviço.
104. É necessário destacar que o art. 14 da recém publicada IN-4 da Secretaria de Logística Tecnologia da Informação (SLTI) do Ministério do Planejamento, Orçamento e Gestão indica o mínimo que deve constar nos contratos com objetivo de estabelecer níveis de serviço.
Critérios
a) Cobit 4.1 DS1 Define and Manage Service Levels (Definir e Gerenciar Níveis de Serviço - A comunicação efetiva entre gerente de TI e usuários sobre requisitos de serviço é possível por meio de acordo definido e documentado acerca dos serviços de TI e níveis de serviço. Esse processo também inclui monitoramento e divulgação tempestiva aos interessados do cumprimento dos níveis de serviço. Esse processo permite um alinhamento entre os serviços de TI e os requisitos de negócio relacionados).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 22. É efetuada a gestão dos níveis de serviço acordados para os serviços de TI prestados ao órgão/entidade? (fl. 37-v).
Efeitos potenciais
a) Insatisfação dos clientes com a qualidade e desempenho das soluções de TI contratadas;
b) Realização e manutenção de contratos de qualidade inadequada e pouco efetivos para o negócio da organização;
c) Inadequação da distribuição dos investimentos em TI em relação às necessidades da organização;
d) Não-aplicação de multas contratuais e pagamento de valores indevidos aos fornecedores.
Conclusão
105. A gestão de acordos de níveis de serviço é o principal instrumento de negociação de qualidade de serviço entre as gerências de TI e os seus clientes. A sua ausência em 89% dos pesquisados é um indício de que as áreas de TI desses órgãos/entidades ainda estão distantes dos seus usuários e não negociam adequadamente com eles sobre a qualidade dos seus serviços. As conseqüências mais prováveis para tal cenário são clientes insatisfeitos e investimentos inadequados.
106. Além disso, 74% dos pesquisados informaram que não executam a gestão de níveis de serviço dos serviços contratados, ou seja, mesmo quando o órgão/entidade é cliente e não fornecedor, não há preocupação com a avaliação e o controle dos resultados. Assim, como em última instância um serviço contratado pela área de TI visa atender à necessidade dos seus clientes, a ausência da gestão externa tem as mesmas conseqüências da sua ausência da gestão interna dos níveis de serviço.
Proposta de encaminhamento
107. Recomendar à Secretaria de Logística e Tecnologia da Informação (SLTI) do Ministério do Planejamento, Orçamento e Gestão, ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações com objetivo de disseminar a importância de gestão de níveis de serviço e induzir os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento de acordos de níveis de serviço.
8. Processo de contratação de bens e serviços de TI
108. Na contratação de bens e serviços de TI é essencial a adoção de processo de trabalho formalizado, padronizado e judicioso quanto ao custo, à oportunidade e aos benefícios advindos para a organização. Esse processo melhora o relacionamento com os fornecedores e prestadores de serviços, maximiza a utilização dos recursos financeiros alocados à área de TI e contribui decisivamente para que os serviços de TI dêem o necessário suporte às ações da organização no alcance de seus objetivos e suas metas.
Achado XX. Ausência de processo formal de trabalho para contratações de TI
109. Mesmo que a maioria (54%) dos órgãos/entidades pesquisados tenha informado que adota processo formal de trabalho para contratações de TI, a situação está longe do ideal, já que um percentual expressivo de organizações (46%) não adota processo formal de trabalho para contratações de TI.
110. Deve-se observar que isso não significa deixar de cumprir a legislação específica. Entretanto, a falta de um processo de trabalho definido, padronizado, documentado e aprovado para realizar as contratações de TI pode trazer conseqüências danosas à organização. Como não existe um padrão oficial e disseminado pela organização, cada área pode adquirir os recursos de que necessita de uma forma diferente. Dessa maneira, a organização se expõe a riscos desnecessários e que poderiam ser evitados com a adoção de um processo de trabalho formalizado.
111. Devido à complexidade da legislação de licitações vigente, o primeiro risco é de que, eventualmente, não sejam observados todos os dispositivos legais e normativos. Provavelmente, nem todos os responsáveis pelas contratações de TI são especialistas no assunto e, caso não haja um processo formal de trabalho, em algumas aquisições, dispositivos legais podem deixar de ser observados. Além disso, é improvável que todos os responsáveis acompanhem as alterações normativas e estejam atualizados sobre as mudanças na interpretação da legislação e na jurisprudência da área. O mais seguro para a organização é que o processo de contratação esteja padronizado e disponível para todos os responsáveis para minorar a ocorrência de dúvidas e falhas nas aquisições de TI. Deve-se reforçar que muitas falhas no processo de aquisição têm sérias repercussões no processo de gestão dos contratos durante sua vigência e, em alguns casos, mesmo após seu encerramento devido a pendências judiciais.
112. Outro risco decorrente da não-existência de processo formal é a realização de aquisições desnecessárias, com baixa qualidade ou que não estejam alinhadas às necessidades do negócio a médio e longo prazos. Dessas situações decorrem, normalmente, desperdício de recursos. Em alguns casos, inclusive, a ocorrência de fraudes e desvios fica facilitada exatamente pela falta ou dificuldade de controle sobre processos não padronizados.
113. O item 9.4 do Acórdão 786/2006-TCU-Plenário recomendou à Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão (SLTI) que elaborasse "um modelo de licitação e contratação de serviços de informática para a Administração Pública Federal" e promovesse "a implantação dele nos diversos órgãos e entidades sob sua coordenação mediante orientação normativa". Em atendimento a esse acórdão, durante o processo de revisão deste relatório, a SLTI publicou a Instrução Normativa n.º 4, de 19 de maio de 2008. A IN-4 da SLTI dispõe sobre o processo de contratação de serviços de TI pela Administração Pública Federal direta, autárquica e fundacional. A norma contempla as fases de planejamento da contratação, seleção do fornecedor e gerenciamento do contrato e entrará em vigor no dia 2 de janeiro de 2009.
Critérios
a) Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisições - Desenvolver e seguir um conjunto de procedimentos e padrões consistente com o processo de licitação e a estratégia de aquisição gerais da organização para adquirir infra-estrutura, instalações, hardware, software e serviços de TI necessários ao negócio).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 23. O órgão/entidade adota processo formal de trabalho na contratação de bens e serviços de TI? (fl. 37-v).
Efeitos potenciais
a) Aquisições de TI não alinhadas às necessidades de médio e longo prazos da organização;
b) Contratação de bens e serviços de TI que não atendem à qualidade necessária ao bom desenvolvimento do negócio do órgão/entidade;
c) Descumprimento de leis e normas relativas às licitações de TI;
d) Problemas na gestão dos contratos decorrentes de aquisições de TI por falta de requisitos previamente estabelecidos na licitação;
e) Desperdício de recursos.
Achado XXI. Ausência de análise de custo/benefício da solução de TI contratada
114. Para se obter uma boa gestão é necessária a otimização dos recursos disponíveis. No caso específico da área de TI, essa preocupação se torna essencial tendo em vista as rápidas e constantes mudanças tecnológicas. Assim, é imperativo que qualquer contratação de solução de TI seja precedida de estudo de viabilidade e de análise de custo/benefício. Apesar dessa máxima não ser contestada, apenas pouco mais da metade (53%) dos órgãos/entidades pesquisados realiza essa análise.
115. É importante notar que toda contratação de TI deve ser anteriormente aprovada levando-se em conta os aspectos técnicos, sua funcionalidade, sua viabilidade, seu alinhamento com o planejamento estratégico e se os benefícios advindos compensam o seu custo. As contratações de TI, além de referendadas pela área de TI, devem ser aprovadas pelo gestor da área afetada. Em alguns casos, quando envolverem valores elevados, assuntos relevantes ou quando envolverem diversas áreas da organização, a contratação deve ser aprovada pelo comitê diretivo de TI (Achado III).
116. Os artigos 10 a 12 da recém publicada IN-4 da SLTI (item 113) indicam atividades que deverão ser executadas para análise de viabilidade da contratação.
Critérios
a) Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action (Estudo de viabilidade e formulação de soluções alternativas - Desenvolver um estudo de viabilidade que examine a possibilidade da implementação dos requisitos. A gerência do negócio, apoiada pela gerência de TI, deve avaliar a viabilidade e as soluções alternativas e fazer uma recomendação ao patrocinador da ação);
b) Cobit 4.1 AI1.4 Requirements and Feasibility Decision and Approval (Decisão e aprovação dos requisitos e da viabilidade - Verificar se o processo requer que o patrocinador da ação formalize sua aprovação dos requisitos funcionais e técnicos e dos relatórios de estudo de viabilidade em etapas chave predeterminadas. O patrocinador da ação deve tomar a decisão final no que diz respeito à escolha da solução e da forma de sua aquisição).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 24. Na elaboração do projeto básico das contratações de TI é feita análise de custo/benefício da solução a ser contratada ? (fl. 37-v).
Efeitos potenciais
a) Contratação de bens e serviços de TI com custos acima do necessário;
b) Soluções alternativas satisfatórias e a um custo mais baixo não identificadas;
c) Desperdício de recursos.
Achado XXII. Ausência de explicitação dos benefícios nas contratações de TI
117. Apesar de seu importante papel na consecução dos objetivos institucionais nas organizações, a tecnologia da informação não pode ser encarada como um fim em si mesma. Todas as ações de TI devem concorrer para que a organização alcance seus objetivos e metas.
118. O Tribunal, em diversos acórdãos, tem destacado a importância e determinado a necessidade da harmonia entre as contratações de TI e o planejamento estratégico dos órgãos/entidades federais. O item 9.3.11 do Acórdão 1.558/2003-TCU-Plenário é taxativo: "ao proceder a licitação de bens e serviços de informática, elabore previamente minucioso planejamento, realizado em harmonia com o planejamento estratégico da unidade e com o seu plano diretor de informática, (...)". Na mesma direção é o item 9.1.1 do Acórdão 2.094/2004-TCU-Plenário: "todas as aquisições devem ser realizadas em harmonia com o planejamento estratégico da instituição (...)".
119. Assim, toda contratação de TI deve ter seus benefícios para a organização explicitados, ou seja, deve ser justificada em que medida irá colaborar para a consecução dos objetivos institucionais. Apesar desse entendimento já consolidado, 40% dos órgãos e entidades pesquisados ainda não se preocupam em justificar e destacar os benefícios esperados para a organização. Por outro lado, a letra "c" do inciso V do art. 10 da recém publicada IN-4 da SLTI (item 113) determina que a justificativa da solução escolhida contenha a "identificação dos benefícios que serão alcançados com a efetivação da contratação em termos de eficácia, eficiência, efetividade e economicidade".
Critérios
a) Cobit 4.1 AI1.3 Feasibility Study and Formulation of Alternative Courses of Action (Estudo de viabilidade e formulação de soluções alternativas - Desenvolver um estudo de viabilidade que examine a possibilidade da implementação dos requisitos. A gerência do negócio, apoiada pela gerência de TI, deve avaliar a viabilidade e as soluções alternativas e fazer uma recomendação ao patrocinador da ação);
b) Cobit 4.1 AI1.4 Requirements and Feasibility Decision and Approval (Decisão e aprovação dos requisitos e da viabilidade - Verificar se o processo requer que o patrocinador da ação formalize sua aprovação dos requisitos funcionais e técnicos e dos relatórios de estudo de viabilidade em etapas chave predeterminadas. O patrocinador da ação deve tomar a decisão final no que diz respeito à escolha da solução e da forma de sua aquisição);
c) Acórdão 1.558/2003-TCU-Plenário, item 9.3.11;
d) Acórdão 2.094/2004-TCU-Plenário, item 9.1.1.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 25. Na elaboração do projeto básico das contratações de TI são explicitados os benefícios da contratação em termos de negócio do órgão/entidade e não somente em termos de TI? (fl. 37-v).
Efeitos potenciais
a) Aquisições de TI não alinhadas às necessidades de médio e longo prazos da organização;
b) Contratação de bens e serviços de TI com desempenho abaixo do esperado e/ou requerido;
c) Contratação de bens e serviços de TI não integrados à infra-estrutura de TI existente;
d) Desperdício de recursos.
Achado XXIII. Não-exigência de demonstrativo de formação de preço antes da adjudicação
120. O valor de muitas contratações de TI é resultado da soma de valores de diversos componentes. Especialmente na contratação de uma solução de TI, os custos dos componentes podem variar ao longo do tempo de duração do contrato de maneira diferente. Tome-se como exemplo uma solução de TI que envolva recursos humanos, aluguel de equipamentos e recursos de telecomunicação. Pode ser necessário, para se manter o equilíbrio econômico-financeiro do contrato, que haja a repactuação com a assinatura de termo aditivo por questões econômicas, de mercado ou tecnológicas. Se não se souber o quanto cada componente representa na formação do valor final, não se poderá repactuar o contrato de maneira justa e não lesiva aos interesses públicos.
121. Diante dessa situação, torna-se importante a exigência de que, antes da adjudicação do contrato, seja apresentado o demonstrativo de formação de preço. De acordo com as respostas dos gestores, essa prática somente é observada por metade dos órgãos/entidades participantes do levantamento, apesar da Lei n.º 8.666/1993 já recomendá-la, mesmo que implicitamente, em seus artigos 7º e 46.
Critérios
a) Lei n.º 8.666/1993, art. 7º, § 2º, inciso II, e art. 46, § 1º, inciso II.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 27. É exigido o demonstrativo de formação de preço antes da adjudicação? (fl. 37-v).
Efeitos potenciais
a) Problemas na gestão dos contratos decorrentes de aquisições de TI por falta de parâmetros para renegociação de valores, caso seja necessário;
b) Dificuldade de se identificar a prática de "jogo de planilhas" .
Conclusão
122. Uma quantidade expressiva (46%), pouco menos que a metade dos órgãos/entidades pesquisados, não dispõe de processo formal de trabalho. Essa é uma situação que merece atenção especial dos órgãos/entidades no sentido da implantação de processo formal de contratação de TI, para evitar falhas, fraudes e desperdícios de recursos. Em atendimento ao item 9.4 do Acórdão 786/2006-TCU-Plenário, a SLTI editou a IN-4, que entrará em vigor em janeiro de 2009 e pode ser considerada um bom começo para mudança do quadro atual.
123. A despeito das dificuldades enfrentadas, como falta de recursos humanos e outras condições fundamentais para o bom funcionamento das áreas de TI, o fato de 47% do universo pesquisado não realizarem análise de custo/benefício das contratações de TI demonstra que a melhor utilização dos recursos públicos ainda não é uma preocupação para boa parte dos gestores de TI.
124. Apesar da maioria dos órgãos/entidades pesquisados explicitarem os benefícios para a obtenção dos resultados institucionais esperados com cada contratação de TI, um percentual ainda muito expressivo não adota tal prática (40%). Essa situação, em conjunto com os achados XXIV e XXV, mostra que muito ainda precisa ser feito para que haja controle efetivo de que as contratações de TI são convenientes para a organização.
125. O fato de metade dos órgãos/entidades pesquisados não exigir o demonstrativo de formação de preço antes da adjudicação indica que uma quantidade significativa de gestores não está atenta para os problemas que poderá enfrentar na gestão dos contratos decorrentes das aquisições de bens e serviços TI. Essa visão imediatista poderá trazer riscos à conclusão do contrato e/ou prejuízos à organização.
Proposta de encaminhamento
126. Recomendar ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações com objetivo de disseminar a importância de processo de trabalho formalizado de contratação de bens e serviços de TI e induzir, mediante orientação normativa nos moldes recomendados pelo item 9.4 do Acórdão 786/2006-TCU-Plenário, os órgãos do Poder Judiciário e do Ministério Público a realizarem ações para implantação e/ou aperfeiçoamento do processo de contratação de TI.
9. Processo de gestão de contratos de TI
127. Da mesma forma que é importante que haja processo de trabalho formalizado para contratação de bens e serviços de TI, é essencial que os contratos advindos dessas aquisições sejam bem geridos.
128. Apesar da Lei n.º 8.666/1993 determinar algumas ações que devem ser obrigatoriamente realizadas, não há a indicação do que deve constar de processo de trabalho para gestão dos contratos. Entretanto, para todos os contratos e, especialmente, para os contratos de TI, a sua boa gestão é essencial para se atingir os objetivos esperados. Para se gerir adequadamente os riscos inerentes às atividades de TI, a adoção de processo formal de trabalho é de suma importância. Esse processo de trabalho deve ser definido, padronizado, documentado, aprovado e divulgado para toda a organização.
Achado XXIV. Ausência de processo formal de trabalho para gestão de contratos de TI
129. A maioria (55%) dos órgãos/entidades participantes do levantamento afirmou que não adota processo formal de trabalho para gestão de contratos de TI. Essa situação merece ser observada com atenção.
130. A ausência desse processo de trabalho pode causar problemas ao bom funcionamento da área de TI da organização. Se os contratos de TI, que garantem os serviços de infra-estrutura de TI, o desenvolvimento de aplicativos e o atendimento aos usuários, por exemplo, não forem bem geridos, todas as atividades de TI serão afetadas. Além disso, todas as atividades da organização que dependem de serviços de TI poderão sofrer com interrupções ou níveis de serviço abaixo do desejado e comprometer metas e objetivos da instituição.
131. Caso a organização não consiga exigir dos seus fornecedores uma prestação de serviço adequada à sua necessidade, muitos projetos e atividades correm risco de não serem realizados no prazo necessário, acarretando perdas ou desperdício de recursos. Eventualmente, também, alguma determinação legal poderá deixar de ser cumprida, o que tornará a organização vulnerável em termos jurídicos e na prestação de contas.
132. É interessante notar que 78% das organizações consultadas afirmaram que designam formalmente um gestor para cada contrato de TI. Esse gestor pode, eventualmente, ser a mesma pessoa do "representante da administração" previsto no art. 67 da Lei n.º 8.666/1993. Entretanto, observa-se que, apesar de 78% das organizações pesquisadas terem um gestor designado para o contrato, boa parte desses gestores não dispõe de um processo de trabalho formalmente definido. Assim, o bom desempenho da função depende da capacidade e conhecimento individual do gestor, quando deveria ser uma atividade impessoal que qualquer funcionário habilitado pudesse exercer de acordo com o processo de trabalho padrão.
133. A recém publicada IN-4 da SLTI dedica toda a Seção III ao gerenciamento do contrato (item 113).
Critérios
a) Lei n.º 8.666/1993, Capítulo III - Dos Contratos;
b) Cobit 4.1 AI5.1 Procurement Control (Controle sobre aquisições - Desenvolver e seguir um conjunto de procedimentos e padrões consistente com o processo de licitação e a estratégia de aquisição gerais da organização para adquirir infra-estrutura, instalações, hardware, software e serviços de TI necessários ao negócio).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 28. O órgão/entidade adota processo formal de trabalho na gestão de contratos de bens e serviços de TI? (fl. 37-v);
b) Apêndice I, planilha de resultados, pergunta: 29. Há designação formal do gestor de cada contrato relativo a bens e serviços de TI? (fl. 37-v).
Efeitos potenciais
a) Descumprimento de leis e normas relativas à gestão de contratos de TI;
b) Problemas na gestão dos contratos de TI;
c) Baixa qualidade dos serviços prestados;
d) Não-aplicação de multas previstas nos contratos;
e) Interrupções na execução de contratos de TI;
f) Interrupção de processos que sustentam o negócio da organização;
g) Não-conclusão de projetos importantes para se atingir as metas da organização;
h) Desperdício de recursos.
Achado XXV. Não-realização de reuniões periódicas para avaliar o andamento dos contratos de TI
134. Causa preocupação o fato de 65% dos órgãos/entidades que participaram do levantamento não realizarem reuniões periódicas com os contratados para avaliar o desempenho de cada contrato de TI. Esse procedimento deve fazer parte do processo formal de trabalho para gestão dos contratos de TI.
135. O art. 67 da Lei n.º 8.666/1993 não determina explicitamente a realização de reuniões periódicas com os fornecedores, entretanto, determina que "a execução do contrato deverá ser acompanhada e fiscalizada por um representante da Administração especialmente designado" que "anotará em registro próprio todas as ocorrências relacionadas com a execução do contrato, determinando o que for necessário à regularização das faltas ou defeitos observados".
136. A forma mais simples e eficiente para o cumprimento desse dispositivo legal é, sem dúvida alguma, a realização de reuniões com a periodicidade adequada para avaliar o andamento do serviço, bem como os problemas enfrentados e as decisões a serem tomadas para solucioná-los. Outra vantagem significativa da realização de reuniões com os contratados é a possibilidade de antevisão de problemas futuros baseada na evolução do desempenho e outros indicadores que, eventualmente, podem apontar degradação do nível de serviços ou outros riscos iminentes.
Critérios
a) Art. 67 da Lei n.º 8.666/1993;
b) Cobit 4.1 AI5.2 Supplier Contract Management (Gerenciamento de Contratos de Fornecedores - Definir um procedimento para estabelecimento, modificação e conclusão de contratos com todos os fornecedores. O procedimento deve cobrir, no mínimo, responsabilidades, obrigações e penalidades legais, financeiras, organizacionais, documentais, de desempenho, de segurança, de propriedade intelectual e de conclusão. Todos os contratos e aditivos devem ser revisados por consultores jurídicos);
c) Cobit 4.1 DS2.2 Supplier Relationship Management (Gerenciamento de Relacionamento com Fornecedores - Formalizar o processo de gerenciamento e relacionamento com cada fornecedor. O contato com o fornecedor deve tratar dos assuntos relativos a clientes e fornecedores e garantir a qualidade do relacionamento baseado na confiança e transparência, isto é, por meio de acordos de nível de serviço (SLA));
d) Cobit 4.1 DS2.3 Supplier Risk Management (Gerenciamento de Riscos com Fornecedores - Identificar e mitigar riscos relacionados à capacidade dos fornecedores de continuarem efetivamente a entregar os produtos de uma maneira segura, eficiente e contínua. Garantir que os contratos estejam de acordo com os padrões gerais do negócio e requisitos legais e regulatórios. O gerenciamento de riscos deve considerar antecipadamente acordos de não-divulgação de informações, contratos de garantia, viabilidade de continuidade do fornecedor, conformidade com requisitos de segurança, fornecedores alternativos, penalidades, recompensas etc.);
e) Cobit 4.1 DS2.4 Supplier Performance Monitoring (Monitoramento de Desempenho de Fornecedores - Estabelecer um processo para monitorar a entrega dos serviços de forma a garantir que o fornecedor esteja cumprindo os requisitos do negócio e continue seguindo os termos acordados no contrato e no SLA. Esse processo deve garantir, também, que o desempenho do fornecedor seja compatível com o de fornecedores alternativos e com as condições do mercado);
Evidências
a) Apêndice I, planilha de resultados, pergunta: 30. Há realização de reunião periódica com o contratado para avaliar o andamento de cada contrato relativo a bens e serviços de TI? (fl. 37-v).
Efeitos potenciais
a) Descumprimento de leis e normas relativas à gestão de contratos de TI;
b) Problemas na gestão dos contratos de TI;
c) Baixa qualidade dos serviços prestados;
d) Não-aplicação de multas previstas nos contratos;
e) Interrupções na execução de contratos de TI;
f) Interrupção de processos que sustentam o negócio da organização;
g) Não-conclusão de projetos importantes para se atingir as metas da organização;
h) Desperdício de recursos.
Achado XXVI. Não-definição prévia de itens para atestação técnica das faturas de contratos de TI
137. Praticamente metade (53%) dos órgãos/entidades que participaram do levantamento afirmou que atesta as faturas apresentadas com base em itens previamente definidos. Por outro lado, 47% das organizações pesquisadas não definem previamente um critério para avaliação se as faturas apresentadas correspondem à realidade e se não contêm erros.
138. Esse procedimento específico deve constar do processo formal de trabalho para gestão dos contratos de TI. A sua ausência pode dificultar o trabalho do responsável por atestar tecnicamente a realização do serviço. Caso esse responsável tenha que atestar muitas faturas e essas faturas tenham muitos itens a serem verificados, o risco de que sejam aprovados pagamentos indevidos é bastante razoável.
139. No levantamento, 90% das organizações consultadas disseram que fazem o monitoramento técnico dos contratos de TI. Foram informadas, também, a quantidade de contratos de TI e a quantidade de profissionais que executam essa tarefa. Em 17% dos órgãos/entidades pesquisados cada profissional monitora tecnicamente, em média, mais de cinco contratos de TI. A maior quantidade calculada foi de 14,7 contratos por pessoa e a menor foi de 0,5 contrato por pessoa. Deve-se ter sempre em mente que essas informações devem ser analisadas com cuidado porque esses contratos podem variar do fornecimento de um único item simples de ser controlado ao complexo controle de uma fábrica de software.
Critérios
a) Cobit 4.1 DS2.4 Supplier Performance Monitoring (Monitoramento de Desempenho de Fornecedores - Estabelecer um processo para monitorar a entrega dos serviços de forma a garantir que o fornecedor esteja cumprindo os requisitos do negócio e continue seguindo os termos acordados no contrato e no SLA. Esse processo deve garantir, também, que o desempenho do fornecedor seja compatível com o de fornecedores alternativos e com as condições do mercado).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 31. Há verificação de itens predefinidos que embasem a atestação técnica dos bens e serviços de TI contratados referentes a cada fatura apresentada? (fl. 37-v);
b) Apêndice I, planilha de resultados, pergunta: 33. É feita monitoração técnica dos contratos relativos a bens e serviços de TI? Quantos funcionários realizam esta atividade? Quantos contratos relativos a bens e serviços de TI estão em vigor? (fl. 38).
Efeitos potenciais
a) Descumprimento de leis e normas relativas à gestão de contratos de TI;
b) Pagamentos indevidos;
c) Não-aplicação de multas previstas nos contratos;
d) Desperdício de recursos.
Achado XXVII. Monitoração administrativa dos contratos de TI feita pela área de TI
140. A monitoração administrativa dos contratos deve ser feita em cumprimento ao disposto no inciso XIII do art. 55, c/c o art. 29, da Lei n.º 8.666/1993. Tal monitoração envolve a verificação de aspectos trabalhistas (encargos, subordinação direta, desvio de função, não-verificação da impessoalidade, ingerência administrativa), aspectos fiscais (regularidade cadastral), manutenção das condições de habilitação na licitação, atendimento aos normativos internos do órgão ou entidade e regularidade dos recolhimentos de contribuições sociais.
141. Nem todos os profissionais de TI estão aptos a realizar a monitoração administrativa, sem uma preparação específica, por ser uma atividade que requer o acompanhamento da legislação e jurisprudência da área de licitações e contratos. Além disso, essa atividade pode tomar um tempo elevado devido à quantidade de documentos e requisitos burocráticos a serem observados. Se a atividade for realizada por pessoa não preparada devidamente ou que não esteja atualizada nessa matéria, o risco de problemas futuros para a organização é considerável. Levando tudo isso em consideração, a monitoração administrativa deve ser realizada por setor especializado que não precisa necessariamente estar ligado à área de TI.
142. Das organizações consultadas, em menos da metade (45%) a monitoração administrativa é realizada por setor especializado não vinculado à área de TI. Nos outros 55% dos órgãos/entidades pesquisados, uma parte significativa do tempo de profissionais especializados de TI é gasto no desempenho dessa tarefa.
142.1. Esse procedimento específico deve constar do processo formal de trabalho para gestão dos contratos de TI e ser realizado por profissionais preparados para tal. Caso contrário, o risco de serem descumpridos dispositivos legais que poderão acarretar pendências judiciais para a organização é significativo. Nesse aspecto, é interessante lembrar o caso recentemente julgado pelo Tribunal, em que órgãos da Administração Pública Federal pagavam 0,5% a mais de FGTS, em contratos de TI, por não terem observado a mudança da alíquota em 1º de janeiro de 2007, conforme a Lei Complementar n.º 110/2001 (Acórdão 353/2008-TCU-Plenário).
Critérios
a) Art. 29 e inciso XIII do art. 55 da Lei n.º 8.666/1993;
b) Cobit 4.1 DS2.2 Supplier Relationship Management (Gerenciamento de Relacionamento com Fornecedores - Formalizar o processo de gerenciamento e relacionamento com cada fornecedor. O contato com o fornecedor deve tratar dos assuntos relativos a clientes e fornecedores e garantir a qualidade do relacionamento baseado na confiança e transparência, isto é, por meio de SLA).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 32. A monitoração administrativa dos contratos relativos a bens e serviços de TI é feita pela área de TI? (fl. 38).
Efeitos potenciais
a) Descumprimento de leis e normas relativas à gestão de contratos de TI;
b) Pendências judiciais relativas a encargos trabalhistas e previdenciários;
c) Não-aplicação de multas previstas nos contratos.
Achado XXVIII. Não-transferência de conhecimento relativo aos produtos e serviços terceirizados para os servidores dos órgãos/entidades
143. Menos da metade (43%) dos órgãos/entidades participantes do levantamento informou que exige a transferência de conhecimento nos contratos relativos aos produtos e serviços de TI terceirizados. O percentual restante, 57%, é significativo, ainda mais quando são analisados alguns dos motivos que levam as organizações a terceirizarem serviços de TI: necessidade de acesso a tecnologias mais avançadas e redução de riscos associados a essas tecnologias.
144. É um contra-senso a contratação de serviços importantes para a organização mas para os quais não há os recursos necessários para serem realizados internamente, ou serviços que usem novas tecnologias e não ser exigida a transferência do conhecimento para sua realização. Deve-se observar que a organização paga inclusive pela aquisição do conhecimento por parte do prestador e, em muitos contratos, não assegura, ao seu término, a manutenção do conhecimento na instituição.
145. Esse procedimento específico deve constar dos processos formais de trabalho para contratação de TI e para gestão dos contratos de TI. No primeiro caso, é necessário que a transferência de conhecimento conste desde o início da contratação, ou seja, no edital da licitação. No segundo caso, deve haver a verificação se a transferência de conhecimento é realizada. Caso contrário, há risco de que os serviços terceirizados, após o final do contrato, não possam ser realizados pelo pessoal da própria instituição.
Critérios
a) Cobit 4.1 AI4.4 Knowledge Transfer to Operations and Support Staff (Transferência de Conhecimentos para Equipes de Operação e Suporte - Transferir conhecimento e habilidades para permitir que equipes de operação e suporte técnico possam executar, dar suporte e manter efetiva e eficientemente o sistema e a infra-estrutura associada).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 34. Há transferência de conhecimento para servidores do órgão/entidade referente a produtos e serviços de TI terceirizados?
(fl. 38).
Efeitos potenciais
a) Problemas com a continuidade do serviço de TI após o fim do contrato;
b) Documentação insuficiente dos produtos advindos do contrato;
c) Serviço de ajuda (help-desk) sobrecarregado;
d) Perda de conhecimento importante para a organização;
e) Desperdício de recursos.
Conclusão
146. O processo formal de trabalho para gestão dos contratos de TI é uma necessidade que menos da metade (45%) das organizações consultadas adota. Mesmo a maioria (90%) realizando a monitoração técnica, apenas 78% designam formalmente um gestor para cada contrato e somente 53% definem previamente os itens a serem verificados para atestar as faturas apresentadas. A monitoração administrativa é ainda realizada pela área de TI em 55% das organizações pesquisadas.
147. Um percentual pequeno (35%) das organizações consultadas realiza periodicamente reuniões com os contratados para avaliação da execução de cada contrato de TI. Somente 43% exigem, em contrato, que o conhecimento seja transferido pelos prestadores de serviço aos servidores do órgão/entidade .
148. Os órgãos/entidades da Administração Pública Federal devem ser encorajados a adotar processo formal de trabalho para gestão dos contratos de TI para minimizar os riscos de descumprimento da legislação, desperdício de recursos, interrupção de serviços de TI, baixa qualidade de serviços contratados, entre outros.
Proposta de encaminhamento
149. Recomendar ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações com objetivo de disseminar a importância de processo de trabalho formalizado de gestão de contratos de TI e induzir, mediante orientação normativa nos moldes recomendados pelo item 9.4 do Acórdão 786/2006-TCU-Plenário, os órgãos do Poder Judiciário e do Ministério Público a realizarem ações para implantação e/ou aperfeiçoamento desse processo de gestão.
10. Processo orçamentário de TI
150. No Brasil, apesar do processo orçamentário ser regulamentado na área pública, para se prever adequadamente o valor necessário para a área de TI, são necessários dois elementos essenciais: planejamento e controle.
151. O planejamento estratégico de TI (Achado II), aliado com os planos de ação e as decisões do comitê diretivo de TI (Achado III), indica quais gastos deverão ser realizados, a prioridade na execução financeira e como se dará a expansão dos serviços de TI. O controle das atividades de TI, por sua vez, indica as ações que atingem os resultados esperados e aquelas que precisam ser modificadas para alcançar os objetivos determinados. O acompanhamento dos gastos de TI é um dos componentes essenciais para o controle eficiente das ações de TI. A partir da análise das informações obtidas no acompanhamento do planejamento e das atividades de TI, pode-se fazer uma previsão orçamentária apropriada para a área de TI. Entretanto, a falta do conhecimento detalhado dos gastos de TI prejudica tal previsão.
152. Nesse aspecto, observou-se que uma quantidade razoável de organizações participantes do levantamento teve dificuldade de responder rapidamente o total de gastos com TI e como está distribuído esse gasto. Deve-se ressaltar que, sobre esse assunto, o Tribunal já se manifestou no Acórdão 371/2008-TCU-Plenário, com determinações à Secretaria do Tesouro Nacional (STN) do Ministério da Fazenda, ao Departamento de Coordenação e Governança das Empresas Estatais (Dest) e à Secretaria de Orçamento Federal (SOF) do Ministério do Planejamento, Orçamento e Gestão. Com a finalidade de permitir a identificação clara, objetiva e transparente da previsão e da execução dos gastos em TI, foi determinado que elaborassem e encaminhassem ao TCU proposta de alteração do Orçamento Geral da União e do Programa de Dispêndios Globais (PDG). No mesmo Acórdão, o Tribunal propôs a criação de uma ou mais ações que agreguem as despesas relacionadas a TI, de elemento de despesa que identifique execução de despesas com bens e serviços de TI e de rubricas próprias de TI tanto para despesas correntes como para despesas de capital.
Achado XXIX. Não-consideração das ações planejadas para o próximo ano quando da solicitação de orçamento para a área de TI
153. Apesar da maioria (61%) dos órgãos/entidades participantes do levantamento afirmar que, em 2006, foram levadas em consideração as ações previstas para o exercício seguinte na solicitação do orçamento para 2007, um percentual significativo (39%) não utilizou essas informações.
154. A partir desses dados, pode-se supor que 39% das organizações consultadas, quando da solicitação de orçamento para a área de TI em 2007, ou repetiram os valores do ano anterior ou simplesmente aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda, acrescentaram um valor ao total do ano anterior sem a utilização de um critério transparente.
155. Diante disso, verifica-se que a elaboração do orçamento para a área de TI nem sempre utiliza os insumos necessários à obtenção de resultado mais próximo da realidade.
Critérios
a) Cobit 4.1 PO5.3 IT Budgeting (Orçamento de TI - Estabelecer e implementar práticas para elaborar um orçamento que reflita as prioridades estabelecidas na lista de projetos de TI e inclua os custos atuais de operação e manutenção da infra-estrutura existente. As práticas devem dar suporte ao desenvolvimento de um orçamento geral para TI, assim como o desenvolvimento de orçamentos específicos para os projetos com ênfase específica nos componentes de TI. As práticas devem permitir revisão do andamento, refinamento das informações e aprovação do orçamento geral para TI e dos orçamentos específicos dos projetos).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 35. A solicitação do orçamento para a área de TI, encaminhada em 2006, foi feita com base nas ações da área de TI planejadas para 2007? (fl. 38).
Efeitos potenciais
a) Recursos insuficientes para a área de TI;
b) Interrupção de serviços de TI por falta de recursos necessários;
c) Não-alcance de metas estabelecidas para a organização por falta de suporte da área de TI.
Achado XXX. Não-alocação dos recursos previstos no orçamento às ações constantes do planejamento de TI no início do ano
156. Apesar de 82% dos órgãos/entidades consultados afirmarem que controlam os gastos de TI, um percentual considerável (21%) não enviou informações sobre o total de gastos com TI e uma parcela significativa, mesmo enviando os dados, informou que teve dificuldade em obter esses valores.
157. Além disso, pouco menos da metade (49%) das organizações consultadas disse que no 1º trimestre de 2007 fez a alocação orçamentária às ações constantes do planejamento de TI. Esse quadro é um indício de que 51% dos pesquisados não exerce o controle sobre os gastos de TI a partir do orçamento aprovado e das ações planejadas. Provavelmente, essas organizações apenas atendem o que a legislação determina e não realizam um controle eficiente sobre os gastos de TI.
Critérios
a) Cobit 4.1 PO5.3 IT Budgeting (Orçamento de TI - Estabelecer e implementar práticas para elaborar um orçamento que reflita as prioridades estabelecidas na lista de projetos de TI e inclua os custos atuais de operação e manutenção da infra-estrutura existente. As práticas devem dar suporte ao desenvolvimento de um orçamento geral para TI, assim como o desenvolvimento de orçamentos específicos para os projetos com ênfase específica nos componentes de TI. As práticas devem permitir revisão do andamento, refinamento das informações e aprovação do orçamento geral para TI e dos orçamentos específicos dos projetos).
Evidências
a) Apêndice I, planilha de resultados, pergunta: 36. No 1º trimestre de 2007 foi feita a alocação orçamentária às ações constantes do planejamento? (fl. 38);
b) Apêndice I, planilha de resultados, pergunta: 37. Ao longo do exercício financeiro há controle dos gastos e da disponibilidade orçamentária? (fl. 38).
Efeitos potenciais
a) Recursos insuficientes para a área de TI;
b) Interrupção de serviços de TI por falta de recursos necessários;
c) Não-alcance de metas estabelecidas para a organização por falta de suporte da área de TI.
Conclusão
158. O controle sobre os gastos de TI é de suma importância para o melhor aproveitamento dos recursos disponíveis, a solicitação de recursos financeiros adequados à necessidade da área de TI e o atendimento das ações consideradas prioritárias. Esse processo de trabalho está ligado aos processos de planejamento e contratação de bens e serviços de TI.
159. Apesar de 82% dos órgãos/entidades pesquisados afirmarem que realizam essa atividade, foi observado que, em muitos casos, as informações sobre gastos de TI foram de difícil obtenção. Esse fato denota a necessidade de melhoria no controle de gastos de TI. Assim, espera-se que os órgãos/entidades elaborem suas propostas orçamentárias para a área de TI com base nas ações que efetivamente pretendam realizar e alinhadas aos objetivos de negócio. Além disso, os órgãos/entidades devem manter acompanhamento da execução dos gastos de TI para que saibam, precisamente, quanto foi gasto, em que ações e qual a disponibilidade para gastos futuros.
Proposta de encaminhamento
160. Recomendar à Secretaria de Logística e Tecnologia da Informação (SLTI) do Ministério do Planejamento, Orçamento e Gestão, ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações com objetivo de garantir que as propostas orçamentárias para a área de TI dos órgãos/entidades da Administração Pública Federal sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de negócio.
11. Auditoria de tecnologia da informação
161. A área de TI foi considerada, por muito tempo, uma "caixa preta", sobre a qual a administração tinha pouco controle e da qual não se sabia ao certo o que esperar como benefício para a organização. Com o aumento da importância estratégica das áreas de TI, essa situação não pôde mais se sustentar. Há uma busca pela aplicação de modelos de governança de TI , com o objetivo de tornar as áreas de TI controláveis, com resultados mensuráveis e orientadas aos objetivos do negócio da organização.
162. Nessa perspectiva, a Auditoria de TI consiste em verificar um ou vários aspectos da governança de TI de uma organização. Note-se que essa ainda é uma definição ampla e abrange vários tipos e perspectivas para Auditorias. Assim, uma Auditoria de TI pode, por exemplo, avaliar apenas controles de acesso lógico ao ambiente de TI, por meio de análise de vulnerabilidade. Já se for realizada com um objetivo mais gerencial, a Auditoria pode avaliar se os processos de TI ligados ao desenvolvimento de sistemas, por exemplo, estão sendo executados conforme a política da empresa e estão gerando sistemas eficazes. Outra possibilidade é uma Auditoria para verificar a integridade e fidedignidade das informações armazenadas nas bases de dados da organização. Ou, ainda, pode-se verificar se a contratação de bens e serviços de TI é feita de acordo com as normas da organização e a legislação vigente.
163. Em termos gerais, a Auditoria de TI é, assim, uma ferramenta para avaliar a conformidade, a qualidade, a eficácia e a efetividade de uma área de TI. Por isso mesmo, há uma tendência em incluir/valorizar atividades de Auditoria periódica como instrumento para gestão. Um reflexo dessa tendência é o fato de que uma das principais mudanças quando da atualização do Cobit versão 3.0 para a versão 4.0, em 2005, foi o incremento e reorganização do domínio de monitoração, que passou a se chamar "Monitoração e Avaliação", como descrito no Apêndice V do Cobit 4.1, que sinaliza que esse domínio passou a ser visto como parte do processo de melhoria da governança de TI.
164. Por isso, foram incluídas nesse levantamento questões para verificar se esse tipo de Auditoria é realizado nos órgãos/entidades pesquisados da Administração Pública Federal. Alguns dentre os órgãos/entidades pesquisados têm, por força de legislação, a obrigação de executar periodicamente Auditorias independentes em várias áreas, inclusive em TI.
165. Outro objetivo é verificar se os órgãos/entidades possuem a figura do Auditor interno de TI. Esse papel é, em muitos aspectos, complementar ao Auditor externo: o Auditor interno não apenas verifica a abrangência e efetividade dos controles internos de TI em sua Auditoria, como também é agente de melhoria desses controles e, assim, pode ser um agente de melhoria da própria gestão.
Anexo XXXI. Inexecução de Auditoria de TI pelos órgãos/entidades
166. Somente 40% dos pesquisados declarou ter realizado Auditoria de TI nos últimos cinco anos no seu órgão/entidade. O Gráfico 5 estratifica a quantidade de Auditorias de TI realizadas nessas 101 organizações.
Gráfico 5 - Quantidade de Auditorias de TI realizadas nos últimos cinco anos
167. Dentre os órgãos/entidades que realizaram alguma Auditoria de TI nos últimos cinco anos, observa-se que 68% deles declararam ter feito somente até cinco Auditorias de TI nesse período. Além disso, 55% desses órgãos (38 instituições) declararam que, dentre essas Auditorias de TI realizadas, pelo menos uma foi executada por órgão de controle externo (TCU) ou interno (Secretaria Federal de Controle ou Controladoria Geral da União). Isso é um indício de que nessas instituições a Auditoria de TI ainda não é realizada em bases periódicas.
168. A conseqüência disso é que as organizações correm o risco de ter processos de TI com controles inadequados e, assim, de tais processos serem executados em desacordo com as políticas de TI da própria organização e com a legislação vigente, sem que haja conhecimento do ocorrido pela administração da organização. Além disso, os gestores de TI deixam de ter em mãos uma importante ferramenta para a melhoria dos processos de TI.
Critérios
a) Cobit 4.1 ME2 Monitor and Evaluate Internal Control (Monitorar e Avaliar os Controles Internos - Estabelecer um programa efetivo de controle interno de TI requer um processo bem definido de monitoramento. Esse processo inclui o monitoramento e o relato das exceções de controle, resultados de auto-avaliações e revisão de terceiros. Um benefício chave do monitoramento dos controles internos é prover segurança com vistas a operações efetivas e eficientes e conformidade com leis e regulações);
b) NBR ISO/IEC 17799:2005, item 15.2 - Conformidade com normas e políticas de segurança da informação e conformidade técnica: convém que a segurança dos sistemas de informação seja analisada criticamente a intervalos regulares;
c) NBR ISO/IEC 17799:2005, item 6.1.8 - Análise crítica independente de segurança da informação: convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementação (...) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanças significativas relativas à implementação da segurança da informação.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 39. Foi realizada alguma Auditoria de TI nos últimos cinco anos no órgão/entidade? (fl. 38).
Efeitos potenciais
a) Inobservância da política de segurança da informação da organização quando da implementação dos controles de acesso lógico nos sistemas de informação;
b) Existência de informações não confiáveis na base de dados da organização, o que compromete não só a efetividade dos seus sistemas de informação como a de sistemas de outras organizações que utilizam essa mesma base de dados;
c) Área de TI com governança imatura, sem controles e indicadores que possam apontar os problemas e oportunidades de negócio para a organização.
Achado XXXII. Inexistência de equipe própria para realizar Auditoria de TI
169. Somente 19% dos pesquisados declararam ter equipe interna para Auditoria de TI. Assim, para uma quantidade expressiva de órgãos/entidades, a Auditoria de TI somente é realizada por Auditores/consultores independentes, ou por organizações reguladoras, como TCU e CGU. Por esses dados, infere-se que tais organizações ainda não foram afetadas pela tendência de incorporar atividades de Auditoria nos seus próprios processos de trabalho. Com isso, tais organizações perdem a oportunidade de ter, no seu Auditor interno, um parceiro no processo de melhoria dos seus controles de TI. Além disso, expõem-se ao risco inerente de Auditorias realizadas por terceiros: o risco de uso malicioso de ferramentas de Auditoria e das informações acessadas durante os trabalhos de Auditoria.
170. Vale ressaltar, por outro lado, que ao serem contabilizadas todas as Auditorias declaradas pelos órgãos/entidades dos últimos cinco anos, 73% delas foram realizadas por equipe de Auditoria interna. Assim, pode-se inferir que, entre os órgãos que declararam fazer tal tipo de Auditoria com maior regularidade, o fazem com equipe interna. De fato, ao observar o Achado XXXI, considerando os 22% que declararam ter realizado mais de 10 Auditorias nos últimos cinco anos, 91% deles têm equipe interna de Auditoria.
171. Observa-se, também, que dentre as Auditorias realizadas, a maior quantidade delas (32%) está focada na aquisição de bens e serviços de TI, seguida das Auditorias com foco em segurança da informação (20%). Uma possível explicação é que as organizações que executam tais Auditorias o fazem em função de exigências legais de agências reguladoras, mais do que por necessidades de gestão.
Critérios
a) Cobit 4.1 ME2 Monitor and Evaluate Internal Control (Monitorar e Avaliar os Controles Internos - Estabelecer um programa efetivo de controle interno de TI requer um processo bem definido de monitoramento. Esse processo inclui o monitoramento e o relato das exceções de controle, resultados de auto-avaliações e revisão de terceiros. Um benefício chave do monitoramento dos controles internos é prover segurança com vistas a operações efetivas e eficientes e conformidade com leis e regulações);
b) NBR ISO/IEC 17799:2005, item 15.2 - Conformidade com normas e políticas de segurança da informação e conformidade técnica: convém que a segurança dos sistemas de informação seja analisada criticamente a intervalos regulares.
Evidências
a) Apêndice I, planilha de resultados, pergunta: 38. O órgão/entidade possui equipe própria para realizar Auditorias de TI? (fl. 38).
Efeitos potenciais
a) Ausência de Auditores internos que poderiam auxiliar em Auditorias de processos de gestão.
Conclusão
172. Auditorias de TI ainda são pouco freqüentes entre os pesquisados: apenas 40% declararam ter realizado alguma Auditoria de TI nos últimos cinco anos. Mesmo entre os 101 órgãos/entidades que a realizaram, 68% executaram no máximo uma Auditoria de TI por ano. Além disso, apenas 19% dos pesquisados declararam possuir equipe interna de Auditoria de TI.
172.1. Tal resultado indica que a realização de Auditorias de TI em bases periódicas não é uma realidade entre os pesquisados. Com isso, esses órgãos/entidades estão perdendo a oportunidade de usar essas Auditorias para aperfeiçoar os seus controles internos de TI e, conseqüentemente, promover a melhoria da sua governança de TI.
Proposta de encaminhamento
173. Recomendar à Controladoria-Geral da União que realize regularmente Auditorias de TI nos órgãos/entidades da Administração Pública Federal.
174. Recomendar à Controladoria-Geral da União, ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que promovam ações para estimular a realização de Auditorias de TI nos órgãos/entidades da Administração Pública Federal.
12. Conclusão
175. O objetivo deste levantamento foi obter informações para elaboração de mapa com a situação da governança de TI na Administração Pública Federal. Ao final do processo, 255 órgãos/entidades representativos da Administração Pública Federal enviaram tais informações ao TCU por meio de questionário eletrônico elaborado pela Sefti. Dessa relação, constaram os ministérios, as universidades federais, os tribunais federais, as agências reguladoras e as principais autarquias, secretarias, departamentos e empresas estatais.
As respostas recebidas foram agrupadas em nove conjuntos, apresentados nos itens 3 a 11 do presente relatório, em função das questões de Auditoria e das áreas de foco da governança de TI. Os grupos foram: Planejamento estratégico institucional e de TI; Estrutura de pessoal de TI; Segurança da informação; Desenvolvimento de sistemas de informação; Gestão de acordos de níveis de serviço; Processo de contratação de bens e serviços de TI; Processo de gestão de contratos de TI; Processo orçamentário de TI; Auditoria de tecnologia da informação.
176. Sobre planejamento estratégico, observou-se que 59% das organizações declararam não realizar o planejamento estratégico de TI, e mais de dois terços não têm comitê diretivo de TI, do qual participam vários setores da organização que decidem sobre as estratégias de TI. A partir desses dados pode-se inferir que a falta de planejamento estratégico institucional pode inibir e/ou prejudicar o planejamento das ações de TI. Assim, o estímulo à elaboração de planejamento estratégico institucional acompanhado da elaboração do planejamento estratégico de TI, em consonância com o primeiro, é uma ação para a melhoria da governança de TI.
177. No que diz respeito à estrutura de pessoal de TI, observou-se que 29% dos pesquisados possuem menos de 1/3 da sua área de TI composta por servidores, o que pode acarretar risco de dependência de indivíduos sem vínculo com o órgão/entidade para a execução de atividades críticas ao negócio, além de perda do conhecimento organizacional. Do ponto de vista da governança de TI, ainda há que se coletar informações que correlacionem a qualidade das áreas de TI e a sua estrutura de pessoal, para avaliar a adequação entre estruturas e as necessidades dos órgãos/entidades.
178. Já no grupo de questões sobre segurança da informação, observou-se o pior desempenho. Dentre as nove questões sobre o assunto, apenas em uma delas um pouco mais da metade dos pesquisados afirmou executar o controle correspondente, enquanto nas outras questões, a maioria dos órgãos/entidades declarou não fazê-lo (Gráfico 4). O maior quantitativo de respostas negativas ocorreu nas questões sobre plano de continuidade de negócios (88%) e gestão de mudança (88%), ambos relacionados diretamente com a manutenção da disponibilidade dos serviços de TI. As questões tiveram por base recomendações de boas práticas da norma de segurança NBR ISO/IEC 17799:2005 e incluíram diversos controles que visam garantir a confidencialidade, a integridade e a disponibilidade das informações tratadas por órgãos/entidades públicas. O resultado preocupa pois a própria prestação do serviço de uma instituição pública aos cidadãos depende da confiabilidade das informações por ela tratadas e ofertadas. O Auditor de TI pode ter papel fundamental no aperfeiçoamento da gestão da segurança de informação por meio da indicação de controles para apoiar estruturas e processos organizacionais com vistas à proteção das informações, tendo como referência modelos apropriados.
179. Quanto ao desenvolvimento de sistemas de informação, observou-se que 51% dos pesquisados declararam não possuir metodologia de desenvolvimento de sistemas. Esse resultado representa um risco de produção de software de baixa qualidade, bem como maior dificuldade no gerenciamento do processo de desenvolvimento, o que representa risco de má gestão dos recursos. Além disso, identificou-se o uso de sistemas transacionais com acesso via Internet para as atividades de prestação de serviço ao cidadão por 76% das organizações. Essas informações indicam que é relevante que o Auditor de TI esteja preparado para recomendar controles relacionados às boas práticas dos modelos de desenvolvimento de sistemas e, também, avaliar os controles especificamente relacionados às tecnologias de sistemas transacionais via Internet.
180. Sobre gestão de níveis de serviço, 89% dos pesquisados declararam não realizá-la para os serviços prestados internamente, e 74% não o fazem para os serviços contratados. Essa gestão é o principal instrumento de negociação de qualidade de serviço entre as gerências de TI e os seus clientes, e sua ausência em quantidade tão expressiva de organizações preocupa pelo risco tanto de clientes insatisfeitos quanto de investimentos inadequados.
181. Quanto à existência de processo formal de contratação de TI, 46% dos órgãos/entidades consultados informaram não adotá-lo. Essa informação, associada ao fato de que 47% dos pesquisados não realizam análise de custo/benefício das contratações de TI e 40% das organizações consultadas não explicitam os benefícios para a obtenção dos resultados institucionais esperados com cada contratação de TI, sugere que há muito trabalho a ser feito para a melhoria das aquisições de bens e serviços de TI nos órgãos/entidades da Administração Pública Federal.
182. Na gestão dos contratos de TI, a situação não é confortável já que mais da metade (55%) das organizações consultadas não adotam processo formal de trabalho para essa atividade. Além disso, um percentual expressivo (65%) das organizações consultadas não realiza periodicamente reuniões com os contratados para avaliação da execução de cada contrato de TI e, 57% não exigem, em contrato, que o conhecimento seja transferido pelos prestadores de serviço aos servidores do órgão/entidade. Assim, os órgãos/entidades da Administração Pública Federal devem ser encorajados a adotar processo formal de trabalho para gestão dos contratos de TI para minimizar os riscos de descumprimento da legislação, desperdício de recursos, interrupção de serviços de TI e baixa qualidade de serviços contratados.
183. Sobre Auditorias de TI, 60% dos pesquisados declararam não ter realizado Auditorias de TI nos últimos cinco anos. Dentre os órgãos/entidades que realizam esses trabalhos, a maioria (68%) executou de uma a cinco Auditorias nos últimos cinco anos. Tal resultado indica que a realização de Auditorias de TI em bases periódicas não é uma realidade entre os pesquisados e, portanto, esse recurso não é utilizado de maneira contínua para melhoria da governança de TI.
184. Em paralelo aos itens relacionados à governança, foram identificados os principais sistemas utilizados pelos órgãos/entidades da Administração Pública Federal pesquisados e as bases de dados associadas. Com essas informações, o planejamento das fiscalizações da Sefti contará com subsídios valiosos para seu aprimoramento.
185. Diante do quadro apresentado, observa-se que a situação da governança de TI na Administração Pública Federal é bastante heterogênea do ponto de vista dos seus diversos aspectos. Os aspectos que de alguma forma são regulados por leis e normas (processo orçamentário e contratação e gestão de bens e serviços de TI), somados a planejamento estratégico, desenvolvimento de sistemas, gestão de níveis de serviço e Auditoria de TI, apresentam algum desenvolvimento, apesar de estarem longe do ideal. A questão de estrutura de pessoal de TI é bastante diversa e está atrelada à natureza jurídica da organização.
186. O aspecto em que a situação da governança de TI está mais crítica é no que diz respeito ao tratamento da segurança da informação. Conclui-se que essa é uma área em que o TCU pode, e deve, atuar como indutor do processo de aperfeiçoamento da governança de TI. O Tribunal já acertou, inclusive, ao editar, em 2003 e 2007, a "Cartilha de Segurança da Informação" para servir como orientação sobre o tema. Outra maneira de induzir a melhoria no tratamento da segurança é a realização de Auditorias de TI com foco em segurança da informação, que poderão fornecer subsídios valiosos para os gestores sobre os principais controles que devem ser implementados visando garantir a confiabilidade, a integridade e a disponibilidade das informações tratadas pelos órgãos/entidades da Administração Pública Federal.
187. Assim, existe um campo vasto para atuação deste Tribunal na área de governança de TI na Administração Pública Federal. Se essa atuação for realizada de forma consistente e constante, os resultados serão promissores tendo em vista que poderá haver melhoria generalizada em todos os aspectos da governança de TI. Esse fato repercutirá na gestão pública como um todo e trará benefícios para o País e os cidadãos.
13. Proposta de encaminhamento
188. Ante o exposto, submetemos os autos à consideração superior, com fulcro no art. 43, inciso I, da Lei n.º 8.443/1992, c/c o art. 250, incisos II e III, do Regimento Interno do TCU, com as seguintes propostas:
I - recomendar ao Conselho Nacional de Justiça que:
a) promova ações com o objetivo de disseminar a importância do planejamento estratégico e induzir, mediante orientação normativa, os órgãos do Poder Judiciário a realizarem ações para implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI (parágrafos 17 a 32);
b) promova as ações cabíveis quanto à estrutura de pessoal de TI nos órgãos do Poder Judiciário (parágrafos 34 a 52);
c) promova ações com objetivo de disseminar a importância do gerenciamento da segurança da informação e induzir, mediante orientação normativa, os órgãos do Poder Judiciário a realizarem ações para implantação e/ou aperfeiçoamento da gestão da continuidade do negócio, da gestão de mudanças, da gestão de capacidade, da classificação da informação, da gerência de incidentes, da análise de riscos de TI, da área específica para gerenciamento da segurança da informação, da política de segurança da informação e dos procedimentos de controle de acesso (parágrafos 54 a 87.11);
d) promova ações com objetivo de disseminar a importância da adoção de metodologia de desenvolvimento de sistemas e induzir os órgãos do Poder Judiciário a realizarem ações para implantação e/ou aperfeiçoamento dessa metodologia (parágrafos 89 a 93.1);
e) promova ações com objetivo de disseminar a importância de gestão de níveis de serviço e induzir os órgãos do Poder Judiciário a realizarem ações para implantação e/ou aperfeiçoamento de acordos de níveis de serviço (parágrafos 95 a 106);
f) promova ações com objetivo de disseminar a importância de processo de trabalho formalizado de contratação de bens e serviços de TI e induzir, mediante orientação normativa nos moldes recomendados pelo item 9.4 do Acórdão 786/2006-TCU-Plenário, os órgãos do Poder Judiciário a realizarem ações para implantação e/ou aperfeiçoamento do processo de contratação de TI (parágrafos 108 a 125);
g) promova ações com objetivo de disseminar a importância de processo de trabalho formalizado de gestão de contratos de TI e induzir, mediante orientação normativa nos moldes recomendados pelo item 9.4 do Acórdão 786/2006-TCU-Plenário, os órgãos do Poder Judiciário a realizarem ações para implantação e/ou aperfeiçoamento desse processo de gestão (parágrafos 127 a 148);
h) promova ações com objetivo de garantir que as propostas orçamentárias para a área de TI dos órgãos do Poder Judiciário sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de negócio (parágrafos 150 a 159);
i) promova ações para estimular a realização de Auditorias de TI nos órgãos do Poder Judiciário (parágrafos 161 a 172.1);
II - recomendar ao Conselho Nacional do Ministério Público que:
a) promova ações com objetivo de disseminar a importância do planejamento estratégico e induzir, mediante orientação normativa, os órgãos do Ministério Público a realizarem ações para implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI (parágrafos 17 a 32);
b) promova as ações cabíveis quanto à estrutura de pessoal de TI nos órgãos do Ministério Público (parágrafos 34 a 52);
c) promova ações com objetivo de disseminar a importância do gerenciamento da segurança da informação e induzir, mediante orientação normativa, os órgãos do Ministério Público a realizarem ações para implantação e/ou aperfeiçoamento da gestão da continuidade do negócio, da gestão de mudanças, da gestão de capacidade, da classificação da informação, da gerência de incidentes, da análise de riscos de TI, da área específica para gerenciamento da segurança da informação, da política de segurança da informação e dos procedimentos de controle de acesso (parágrafos 54 a 87.11);
d) promova ações com objetivo de disseminar a importância da adoção de metodologia de desenvolvimento de sistemas e induzir os órgãos do Ministério Público a realizarem ações para implantação e/ou aperfeiçoamento dessa metodologia (parágrafos 89 a 93.1);
e) promova ações com objetivo de disseminar a importância de gestão de níveis de serviço e induzir os órgãos do Ministério Público a realizarem ações para implantação e/ou aperfeiçoamento de acordos de níveis de serviço (parágrafos 95 a 106);
f) promova ações com objetivo de disseminar a importância de processo de trabalho formalizado de contratação de bens e serviços de TI e induzir, mediante orientação normativa nos moldes recomendados pelo item 9.4 do Acórdão 786/2006-TCU-Plenário, os órgãos do Ministério Público a realizarem ações para implantação e/ou aperfeiçoamento do processo de contratação de TI (parágrafos 108 a 125);
g) promova ações com objetivo de disseminar a importância de processo de trabalho formalizado de gestão de contratos de TI e induzir, mediante orientação normativa nos moldes recomendados pelo item 9.4 do Acórdão 786/2006-TCU-Plenário, os órgãos do Ministério Público a realizarem ações para implantação e/ou aperfeiçoamento desse processo de gestão (parágrafos 127 a 148);
h) promova ações com objetivo de garantir que as propostas orçamentárias para a área de TI dos órgãos do Ministério Público sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de negócio (parágrafos 150 a 159);
i) promova ações para estimular a realização de Auditorias de TI nos órgãos do Ministério Público (parágrafos 161 a 172.1);
III - recomendar ao Gabinete de Segurança Institucional da Presidência da República que promova ações com objetivo de disseminar a importância do gerenciamento da segurança da informação e induzir, mediante orientação normativa, os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento da gestão da continuidade do negócio, da gestão de mudanças, da gestão de capacidade, da classificação da informação, da gerência de incidentes, da análise de riscos de TI, da área específica para gerenciamento da segurança da informação, da política de segurança da informação e dos procedimentos de controle de acesso (parágrafos 54 a 87.11);
IV - recomendar à Controladoria-Geral da União que realize regularmente Auditorias de TI e/ou promova ações para estimular a realização dessas Auditorias nos órgãos/entidades da Administração Pública Federal (parágrafos 161 a 172.1);
V - recomendar ao Ministério do Planejamento, Orçamento e Gestão que promova as ações cabíveis quanto à estrutura de pessoal de TI nos órgãos/entidades da Administração Pública Federal (parágrafos 34 a 52);
VI - recomendar à Secretaria de Logística e Tecnologia da Informação (SLTI) do Ministério do Planejamento, Orçamento e Gestão que:
a) promova ações com objetivo de disseminar a importância do planejamento estratégico e induzir, mediante orientação normativa, os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI (parágrafos 17 a 32);
b) promova ações com o objetivo de disseminar a importância da adoção de metodologia de desenvolvimento de sistemas e induzir os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento dessa metodologia (parágrafos 89 a 93.1);
c) promova ações com o objetivo de disseminar a importância de gestão de níveis de serviço e induzir os órgãos/entidades da Administração Pública Federal a realizarem ações para implantação e/ou aperfeiçoamento de acordos de níveis de serviço (parágrafos 95 a 106);
d) promova ações com objetivo de garantir que as propostas orçamentárias para a área de TI dos órgãos/entidades da Administração Pública Federal sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de negócio (parágrafos 150 a 159);
VII - recomendar à Diretoria-Geral do Senado Federal e à Diretoria-Geral da Câmara dos Deputados que adotem as providências contidas no item I no âmbito de suas Casas Legislativas;
VIII - recomendar à Secretaria-Geral da Presidência (Segepres) e à Secretaria-Geral de Administração (Segedam) que adotem as providências contidas no item I no âmbito deste Tribunal;
IX - determinar à Secretaria-Geral de Controle Externo (Segecex) que oriente suas unidades técnicas para considerarem as informações armazenadas na Sefti quando forem executar ações de controle em governança de TI (parágrafos 12, 13, 16, 92.2 e 179.3);
X - assinar prazo de 30 dias, com fulcro no § 1º do art. 42 da Lei n.º 8.443/1992, para que os integrantes da lista disponível no Apêndice III deste relatório enviem, em meio magnético, conforme orientação da Sefti, as informações necessárias para resposta ao questionário utilizado neste levantamento;
XI - remeter cópias do Acórdão que vier a ser adotado nestes autos, acompanhado dos respectivos Relatório e Voto, e deste Relatório de Levantamento:
a) à Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática do Senado Federal;
b) à Subcomissão Permanente de Serviços de Informática do Senado Federal;
c) à Diretoria-Geral do Senado Federal;
d) à Secretaria Especial de Informática do Senado Federal (Prodasen);
e) à Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados;
f) à Comissão de Trabalho, de Administração e Serviço Público da Câmara dos Deputados;
g) à Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara dos Deputados;
h) à Subcomissão Permanente de Ciência e Tecnologia e Informática da Câmara dos Deputados;
i) à Diretoria-Geral da Câmara dos Deputados;
j) ao Centro de Informática da Câmara dos Deputados;
k) ao Conselho Nacional de Justiça;
l) ao Conselho Nacional do Ministério Público;
m) ao Gabinete de Segurança Institucional da Presidência da República;
n) à Controladoria-Geral da União;
o) ao Ministério do Planejamento, Orçamento e Gestão;
p) à Secretaria de Logística Tecnologia da Informação (SLTI) do Ministério do Planejamento, Orçamento e Gestão;
q) à Secretaria de Orçamento Federal (SOF) do Ministério do Planejamento, Orçamento e Gestão;
r) ao Departamento de Coordenação e Controle das Empresas Estatais (Dest) da Secretaria-Executiva do Ministério do Planejamento, Orçamento e Gestão;
s) aos integrantes da lista disponível no Apêndice II deste relatório;
XII - remeter relatório individualizado contendo a posição de cada órgão/entidade e do seu segmento de atuação aos integrantes da lista disponível no Apêndice II deste relatório;
XIII - autorizar, a partir da data do acórdão que vier a ser proferido, a divulgação das informações consolidadas constantes deste levantamento em sumários executivos e informativos;
XIV - arquivar os presentes autos na Secretaria de Fiscalização de Tecnologia da Informação (Sefti)".
É o Relatório.
Voto do Ministro Relator
Os presentes autos referem-se a Levantamento de Auditoria efetuado pela Secretaria de Fiscalização de Tecnologia da Informação - Sefti, junto a diversos órgãos e entidades da Administração Pública Federal, com vistas a obter informações acerca da governança de Tecnologia da Informação - TI, identificando as áreas onde o TCU deve, preferencialmente, atuar como indutor do processo de aperfeiçoamento do setor.
Dos achados de Auditoria discriminados pela equipe encarregada dos trabalhos, gostaria de destacar aqueles que considerei mais relevantes.
O primeiro diz respeito à constatação da ausência, em 64% dos órgãos/entidades pesquisados, de uma Política de Segurança da Informação formalmente definida na organização, motivada por diretriz institucional. Consoante destacado, é a partir dessa política que derivam os documentos específicos para cada meio de armazenamento, transporte, manipulação ou tratamento específico da segurança da informação em TI.
Verificou-se também a ausência de Plano de Continuidade de Negócios, em cerca de 88% dos pesquisados. Tal plano, nos termos consignados no Relatório, deve abarcar o conjunto de documentos que contém a definição das responsabilidades individuais, dos procedimentos de emergência, dos procedimentos operacionais temporários e dos procedimentos de recuperação.
Essas constatações preocupam-me porque revelam certo descompasso entre a gestão da segurança da informação e os objetivos intrínsecos da instituição, podendo boa parte da administração pública estar vulnerável à ocorrência de interrupção de serviços, perda de dados, fraudes e paralisação de funções essenciais.
Outro ponto que vale ser ressaltado refere-se ao fato de que 47% dos órgãos/entidades pesquisados não tem planejamento estratégico institucional em vigor e 59% não fazem planejamento estratégico de TI. A ausência de planejamento afeta diretamente a eficácia e a efetividade das propostas orçamentárias e das contratações de bens e serviços de informática.
Realmente, a partir dos dados obtidos, deduziu-se que 39% das organizações consultadas, quando da solicitação de orçamento para a área de TI em 2007, "ou repetiram os valores do ano anterior ou simplesmente aplicaram um percentual de aumento linear sobre as despesas realizadas ou, ainda, acrescentaram um valor ao total do ano anterior sem a utilização de um critério transparente".
Da mesma forma, no tocante à contratação de bens e serviços de TI, apurou-se que percentual expressivo de entes (46%) não adota processo de trabalho formalizado e padronizado, que demonstre o custo, a oportunidade e os benefícios a serem obtidos pela organização.
Tal cenário remete inevitavelmente à alocação indevida de recursos de TI por desarmonia com as prioridades da organização.
Constatou-se também que mais da metade dos entes pesquisados não adota processo formal de trabalho para gestão de contratos de tecnologia da informação, o que pode acarretar baixa qualidade dos serviços prestados, interrupção na execução de contratos e, em última instância, o desperdício de recursos.
Quanto à estrutura de pessoal de TI, além de quantitativo deficiente de servidores efetivos, com significativo percentual de colaboradores externos nos órgãos/entidades pesquisados, foi identificado ainda percentual elevado de funcionários sem formação específica no setor. Como bem assinalado pela unidade técnica, tal circunstância aumenta o risco de perda de conhecimento organizacional, porquanto apreendido por trabalhadores não compromissados com a instituição.
Merece registro, ainda, os percentuais elevados dos órgãos/entidades pesquisados que não executam seja gestão de acordos de níveis de serviços prestados internamente (89%), seja gestão de acordos de níveis de serviços contratados externamente (74%). Conforme salientado, é a partir desses ajustes que se estabelece a qualidade dos serviços de TI em função das necessidades da organização, devendo neles integrar como indicadores, entre outros, a disponibilidade da infra-estrutura de rede, o desempenho dos sistemas e o tempo de solução de problemas.
Não se pode ignorar que os fatos evidenciados neste Levantamento de Auditoria preocupam, pois sugerem um quadro inquietante da governança de TI na Administração Pública Federal.
Contudo, há que vê-los com cautela, já que a própria equipe de fiscalização registrou que "as informações coletadas foram declaradas pelos gestores e não verificadas pela equipe junto aos órgãos/entidades", não tendo sido também, nesse primeiro momento, avaliada a pertinência e a qualidade dos documentos produzidos e anexados pelos órgãos/entidades. Ainda que reconheça o caráter preliminar dos trabalhos, penso que maior solidez dos resultados adviria com uma correspondente confirmação dos fatos em algumas entidades selecionadas por amostragem estatística.
Nada obstante, diante das informações coligidas e da relevância da gestão e do uso de Tecnologia da Informação - TI para que os diversos órgãos e entidades da Administração Pública Federal consigam cumprir suas missões, considero imprescindível a realização de fiscalizações com o objetivo de verificar in loco a situação das áreas consideradas mais críticas. Faz-se necessária, ademais, a atualização regular das informações coletadas neste levantamento de modo a permitir que o Tribunal tenha condições de acompanhar a evolução da situação então encontrada. Nesse sentido, acrescentei determinação à Sefti a respeito.
Ante o exposto, VOTO por que seja adotada a deliberação que ora submeto à apreciação deste Plenário.
Sala das Sessões Ministro Luciano Brandão Alves de Souza, em 13 de agosto de 2008.
GUILHERME PALMEIRA
Ministro-Relator
Declaração de Voto
Considerando a relevância do tema, louvo a iniciativa deste tribunal em determinar a realização de levantamento com o objetivo de "coletar informações acerca dos processos de aquisição de bens e serviços de TI, de segurança da informação, de gestão de recursos humanos de TI, e das principais bases de dados e sistemas da Administração Pública Federal".
O Relatório produzido pela Sefti teve como principal objetivo obter informações para elaboração de mapa com a situação da governança de TI na Administração Pública Federal.
No percurso do alcance desse objetivo, o Tribunal identificou as seguintes lacunas:
a) ausência de planejamento estratégico institucional
b) quantidade reduzida e deficiência de qualificação de servidores na área de TI
c) ausência de carreira específica para a área;
d) ausência de política de segurança da informação, dentre outras.
O resultado alcançado pelo presente processo justifica, assim, a atuação deste Tribunal como instrumento de aperfeiçoamento da gestão publica. Some-se a isso a significância dos recursos empregados pela Administração Federal na área de tecnologia da informação, que, segundo dados do Siafi de 2007, ultrapassam a soma de seis bilhões de reais por ano.
Vejo, portanto, com satisfação, o conjunto de recomendações sugerido pelo relator da matéria, o qual, certamente, se devidamente implementado, trará grande contribuição para o alcance da governança adequada de TI no setor público federal.
Com esse breve comentário, manifesto minha concordância com o voto proferido pelo relator, ao tempo em que parabenizo a equipe técnica que atuou no processo.
AROLDO CEDRAZ
Ministro-Relator
Acórdão
VISTOS, relatados e discutidos estes autos de Levantamento de Auditoria efetuado pela Secretaria de Fiscalização de Tecnologia da Informação - Sefti, junto a diversos órgãos e entidades da Administração Pública Federal, com vistas a obter informações acerca da situação da gestão e do uso de Tecnologia da Informação - TI.
ACORDAM os Ministros do Tribunal de Contas da União, reunidos em Sessão Plenária, ante as razões expostas pelo Relator, em:
9.1. recomendar ao Conselho Nacional de Justiça - CNJ e ao Conselho Nacional do Ministério Público - CNMP que, nos órgãos integrantes da estrutura do Poder Judiciário Federal e do Ministério Público da União, respectivamente:
9.1.1. promovam ações com o objetivo de disseminar a importância do planejamento estratégico, procedendo, inclusive mediante orientação normativa, ações voltadas à implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI, com vistas a propiciar a alocação dos recursos públicos conforme as necessidades e prioridades da organização;
9.1.2. atentem para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessário ao pleno desempenho das atribuições do setor, garantindo, outrossim, sua capacitação, como forma de evitar o risco de perda de conhecimento organizacional, pela atuação excessiva de colaboradores externos não comprometidos com a instituição;
9.1.3. orientem sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante normatização, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso;
9.1.4. estimulem a adoção de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido, níveis razoáveis de padronização e bom grau de confiabilidade e segurança;
9.1.5. promovam ações voltadas à implantação e/ou aperfeiçoamento de gestão de níveis de serviço de TI, de forma a garantir a qualidade dos serviços prestados internamente, bem como a adequação dos serviços contratados externamente às necessidades da organização;
9.1.6. envidem esforços visando à implementação de processo de trabalho formalizado de contratação de bens e serviços de TI, bem como de gestão de contratos de TI, buscando a uniformização de procedimentos nos moldes recomendados no item 9.4 do Acórdão 786/2006-TCU-Plenário;
9.1.7. adotem providências com vistas a garantir que as propostas orçamentárias para a área de TI sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos do negócio;
9.1.8. introduzam práticas voltadas à realização de Auditorias de TI, que permitam a avaliação regular da conformidade, da qualidade, da eficácia e da efetividade dos serviços prestados;
9.2. recomendar ao Gabinete de Segurança Institucional da Presidência da República - GSI/PR que oriente os órgãos/entidades da Administração Pública Federal sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante orientação normativa, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso;
9.3. recomendar à Controladoria-Geral da União - CGU que realize regularmente Auditorias de TI e/ou promova ações para estimular a realização dessas Auditorias nos órgãos/entidades da Administração Pública Federal;
9.4. recomendar ao Ministério do Planejamento, Orçamento e Gestão - MPOG que, nos órgãos/entidades da Administração Pública Federal:
9.4.1. promova ações com o objetivo de disseminar a importância do planejamento estratégico, procedendo, inclusive mediante orientação normativa, à execução de ações voltadas à implantação e/ou aperfeiçoamento de planejamento estratégico institucional, planejamento estratégico de TI e comitê diretivo de TI, com vistas a propiciar a alocação dos recursos públicos conforme as necessidades e prioridades da organização;
9.4.2. atente para a necessidade de dotar a estrutura de pessoal de TI do quantitativo de servidores efetivos necessário ao pleno desempenho das atribuições do setor, garantindo, outrossim, sua capacitação, como forma de evitar o risco de perda de conhecimento organizacional, pela atuação excessiva de colaboradores externos não comprometidos com a instituição;
9.4.3. estimule a adoção de metodologia de desenvolvimento de sistemas, procurando assegurar, nesse sentido, níveis razoáveis de padronização e bom grau de confiabilidade e segurança;
9.4.4. promova ações voltadas à implantação e/ou aperfeiçoamento de gestão de níveis de serviço de TI, de forma a garantir a qualidade dos serviços prestados internamente, bem como a adequação dos serviços contratados externamente às necessidades da organização;
9.4.5. adote providências com vistas a garantir que as propostas orçamentárias para a área de TI sejam elaboradas com base nas atividades que efetivamente pretendam realizar e alinhadas aos objetivos de negócio;
9.5. recomendar à Diretoria-Geral do Senado Federal e à Diretoria-Geral da Câmara dos Deputados que adotem, no âmbito de suas Casas Legislativas, as providências contidas no item 9.1;
9.6. recomendar à Secretaria-Geral da Presidência - Segepres e à Secretaria-Geral de Administração - Segedam que adotem, no âmbito deste Tribunal, as providências contidas no item 9.1;
9.7. determinar à Secretaria-Geral de Controle Externo - Segecex que oriente suas unidades técnicas para considerarem as informações armazenadas na Secretaria de Fiscalização de Tecnologia da Informação - Sefti quando forem executar ações de controle em governança de TI;
9.8. reiterar diligência aos órgãos/entidades que não responderam ou que não completaram as respostas à pesquisa levada a efeito pela Secretaria de Fiscalização de Tecnologia da Informação - Sefti, fixando prazo de 30 (trinta) dias para que sejam enviados, em meio magnético, conforme orientação daquela Secretaria, as informações necessárias para resposta ao questionário utilizado neste levantamento;
9.9. determinar à Secretaria de Fiscalização de Tecnologia da Informação - Sefti que realize fiscalizações nas áreas consideradas mais críticas da governança de TI nos órgãos/entidades fiscalizados e organize outros levantamentos com o intuito de acompanhar e manter base de dados atualizada com a situação da governança de TI na Administração Pública Federal;
9.10. remeter cópias do presente Acórdão, acompanhado do Relatório e Voto que o fundamentam, bem como cópia integral do Relatório de Levantamento à Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática do Senado Federal; à Subcomissão Permanente de Serviços de Informática do Senado Federal; à Diretoria-Geral do Senado Federal; à Secretaria Especial de Informática do Senado Federal - Prodasen; à Comissão de Fiscalização Financeira e Controle da Câmara dos Deputados; à Comissão de Trabalho, de Administração e Serviço Público da Câmara dos Deputados; à Comissão de Ciência e Tecnologia, Comunicação e Informática da Câmara dos Deputados; à Subcomissão Permanente de Ciência e Tecnologia e Informática da Câmara dos Deputados; à Diretoria-Geral da Câmara dos Deputados; ao Centro de Informática da Câmara dos Deputados; ao Conselho Nacional de Justiça; ao Conselho Nacional do Ministério Público; ao Gabinete de Segurança Institucional da Presidência da República; à Controladoria-Geral da União; ao Ministério do Planejamento, Orçamento e Gestão; à Secretaria de Logística Tecnologia da Informação - SLTI do Ministério do Planejamento, Orçamento e Gestão; à Secretaria de Orçamento Federal - SOF do Ministério do Planejamento, Orçamento e Gestão; ao Departamento de Coordenação e Controle das Empresas Estatais - Dest da Secretaria-Executiva do Ministério do Planejamento, Orçamento e Gestão; aos órgãos/entidades que responderam à pesquisa promovida pela Sefti (Apêndice II do Relatório);
9.11. autorizar, a partir da data do acórdão que vier a ser proferido, a divulgação das informações consolidadas constantes deste levantamento em sumários executivos e informativos;
9.12. arquivar os presentes autos na Secretaria de Fiscalização de Tecnologia da Informação - Sefti
Quorum
13.1. Ministros presentes: Walton Alencar Rodrigues (Presidente), Marcos Vinicios Vilaça, Valmir Campelo, Guilherme Palmeira (Relator), Ubiratan Aguiar, Benjamin Zymler, Augusto Nardes, Aroldo Cedraz e Raimundo Carreiro.
13.2. Auditores presentes: Augusto Sherman Cavalcanti, Marcos Bemquerer Costa e André Luís de Carvalho
Publicação
Ata 32/2008 - PlenárioSessão 13/08/2008Aprovação 14/08/2008Dou 18/08/2008
Referências (HTML)
Documento(s):008-380-2007-1-GP.doc

Pontos que estão sendo objeto de reflexão e estudo na Pesquisa "Direito Administrativo Eletrônico"

2008-12-09T03:59:00.000-08:00

Clique aqui

Referências a nossa pesquisa no meio acadêmico

2008-12-07T06:44:00.000-08:00

1. Ivar Alberto Martins Hartmann. O ACESSO À INTERNET COMO DIREITO FUNDAMENTAL (1ª. Parte).

2. Hélio Santiago Ramos Júnior. Governo eletrônico e tele-administração

3. Aires J. Rover e Hélio Santiago R. Júnior. Universidade Federal de Santa Catarina (UFSC) . Perspectivas para a tele-administração no Brasil: sistema inteligentes e software livre na Administração Pública.

4. Aires J. Rover e Hélio Santiago R. Júnior. II CONEGOV. Ato administrativo eletrônico sob a ótica do princípio da eficiência.

5. Aires J. Rover e Hélio Santiago R. Júnior. Direito Digital na UFSC. Ato administrativo eletrônico sob a ótica do princípio da eficiência.

Ementa da Disciplina Processo Administrativo Eletrônico (UCAM)

2008-12-06T18:45:00.001-08:00

III Convegno Nacionale di Diritto Amministrativo Elettronico- 2004-Catania-Italia

2008-12-06T18:31:00.000-08:00

Proferi a palestra sobre o ato administrativo eletrônico no Brasil. Para conferir a programação realizada da Convenção, clique aqui

II Seminário Internacional de Direito Administrativo Eletrônico 2007-Campos

2008-12-06T18:25:00.000-08:00

I Seminário Internacional de Direito Administrativo Eletrônico - mar-2004

2008-12-06T18:09:00.001-08:00

PROGRAMAÇÃO

19h Palestra de Abertura (teleconferência): “Teleadministração”
Prof. Giovanni Duni
Doutor em Direito
Prof. da Universidade de Estudos de Cagliari – Itália

19h20min Palestra: “Ato administrativo eletrônico. Perspectivas de investigação”
Prof. Marcus Vinícius Filgueiras Júnior
Mestre em Direito Administrativo pela PUC/SP
Prof. de Direito Administrativo da Universidade Candido Mendes

19h40min Palestra: “A licitação pública e o pregão eletrônico”
Prof.ª Ana Cristina Azeredo da Silva Freitas
Mestranda em Direito pela FDC
Prof.ª de Direito Administrativo

20h Intervalo

20h15min Palestra: “A segurança dos dados digitais”
Prof. Jefferson Manhães Azevedo
Mestre e Doutorando em Informática pela UFRJ

20h40min Palestra de encerramento: “Aspectos do regime jurídico das telecomunicações”
Prof.ª Juliana Pinheiro
Mestre em Direito pela UERJ
Prof.ª de Direito Civil da Universidade Candido Mendes

Data: 23 de março de 2004
Local: Auditório da Universidade Candido Mendes - Campos
Inscrições: Secretaria da Universidade Candido Mendes - Campos

Administração Pública Digital *

2008-12-06T11:55:00.001-08:00

A informatização é um fenômeno verdadeiramente irreversível. A sociedade vem adotando, a cada dia mais, os instrumentos informáticos de modo a tornar as suas atividades mais ágeis e mais econômicas. Sem sair de casa se pode comprar um livro em uma livraria européia em questão de minutos, para lhe ser entregue pelo correio postal.
Mas deve ser observado que o mundo jurídico sempre foi mais conservador. Em tempos antigos, a palavra falada constituía-se na substância dos atos e negócios jurídicos. Logo após a invenção da escrita, o papel era somente considerado como uma forma de comprovação da relação jurídica constituída por meio verbal. Somente muito tempo depois, e após a superação de muitas resistências, é que o documento escrito tornou-se a própria substância dos atos e negócios jurídicos. Essa mesma resistência verifica-se hoje relativamente ao abandono do documento papelizado para a adoção do documento digital. A verdade é que não é fácil adaptar as nossas mentes para aceitar o mundo digital como real, como produtor de efeitos jurídicos.
As relações privadas saíram na frente na utilização da internet para a realização de negócios jurídicos em razão de seu regime mais flexível. No entanto, as relações jurídicas travadas pelo Estado-Administração possuem um regime jurídico muito diferenciado das relações privadas. Os atos da Administração Pública devem ser documentados de modo a permitir o controle posterior tanto pelo cidadão, quanto pelos órgãos e entidades competentes (Tribunais de Contas, Poder Legislativo, Ministério Público). Por isso, não é possível ao administrador público sentar-se perante um computador e, tal qual um particular, tornar a sua atividade totalmente digital.
Para que os atos da Administração Pública possam ser considerados válidos, devem ser expedidos por escrito, datados e assinados. Um documento elaborado em um editor de mensagens eletrônicas poderá ser facilmente alterado, o que tornaria o ato tão volátil quanto a palavra falada. Assim, os atos administrativos para serem válidos eletronicamente devem oferecer segurança, sobretudo, no que toca ao seguinte: a) integridade dos dados e do documento que os registra, b) identificação da autoria do documento.
Na prática, a edição do ato administrativo eletrônico para ser válida deverá observar dois requisitos: a) utilização de tecnologia para dar forma segura de arquivamento do documento informático e b) certificação digital.
Quanto ao primeiro requisito, tem-se hoje a gravação digital em superfície óptica não regravável, que é conhecida tecnologia “worm” (write once read many). Os CDs não regraváveis são exemplos mais comuns hoje. Além disso, o documento deve ser registrado nessas superfícies óticas com cópias arquivadas em lugares físicos distintos e sob vigilância. Com esses artifícios haverá a proteção quanto à existência dos documentos. Esse requisito tem fundamento jurídico no princípio da segurança jurídica.
Quanto ao segundo, a certificação digital, é um programa informático, que funciona como uma espécie de chave eletrônica codificada (criptografada), que é fornecida por entidades credenciadas (Autoridades Certificadoras) que aqui no Brasil compõem o denominado ICP-Brasil – Infra-estrutura Brasileira de Chaves Públicas. Esses programas são incorporados aos documentos eletrônicos quando estes são emitidos. Com este recurso se identifica o autor e protege a integridade dos dados relativamente a alterações indevidas. Ressalte-se que esse recurso não garante a existência do documento eletrônico, e, por isso, não tem o poder de evitar a sua extinção, mas sim o que ele contém, o que é bem distinto. A utilização da certificação digital é exigida pelo art. 10, da Medida Provisória 2.200/01.
É inquestionável que a Administração Pública digital apresenta muitas vantagens, a começar por ser mais econômica. Está provado cientificamente que o custo do armazenamento de milhões de bytes é muito, mas muito mais econômico do que o de arquivar papéis. Só para se ter uma idéia, imagine o quanto de papel seria economizado (e quantas árvores!), quantas viagens se tornariam desnecessárias (malotes, trânsito de processos), quanto espaço físico seria disponibilizado, quanto mobiliário poderia ser dispensado. E isso, em princípio, não geraria desemprego, pois os servidores públicos que tivessem as suas atividades suprimidas pela informatização se deslocariam da atividade-meio para a atividade-fim, que é sempre muito carente na Administração Pública. Mas a digitalização administrativa também inibiria o costumeiro desaparecimento de processos administrativos (de boa ou má fé), e, de outro lado, facilitaria a localização de documentos e processos administrativos. Além disso, muitos desses processos administrativos que “passeiam” por diversas repartições poderiam ser convertidos em atos administrativos complexos, isto é, em vez das autoridades administrativas se manifestarem uma após a outra, cada uma em suas repartições, aguardando a chegada dos processos, poderiam se manifestar no processo praticamente de modo simultâneo, reduzindo absurdamente o tempo necessário à expedição do ato administrativo final. E nem precisa dizer muito para compreender que essas vantagens tornariam a Administração Pública mais transparente também.
Realmente a atividade administrativa acessível via internet tornaria a Administração Pública muito mais conhecida e próxima do cidadão, mesmo daqueles pertencentes ao grupo dos excluídos digitais. Estes últimos poderiam ter acesso por meio de computadores oficiais com o auxílio de servidores públicos. Por isso, é certo que muitos administradores querem distância da Administração Pública Digital exatamente por tornar o Estado mais transparente, e, por isso, mais controlável. Preferem o descontrole.
Por fim, é imprescindível registrar que a informática é um instrumento, é um meio e não um fim em si mesma. O Estado busca a realização de seus fins e a informática não é um deles. Portanto, deve ser adotada pela Administração Pública por força do princípio constitucional da eficiência, mas deve fazê-lo com cautela e razoabilidade, de modo a não criar mais desigualdades e discriminações vedadas pela Carta da República.
* Originariamente publicado no "blog" "Campos em Debate", do Dr. Cleber Tinoco, em 26.11.08.

Ato administrativo elaborado eletronicamente. Duni. 1978

2008-12-05T13:42:00.000-08:00

GIOVANNI DUNI
L'UTILIZZABILITÀ DELLE TECNICHE ELETTRONICHE NELL'EMANAZIONE DEGLI ATTI E NEI PROCEDIMENTI AMMINISTRATIVI. SPUNTO PER UNA TEORIA DELL'ATTO AMMINISTRATIVO EMANATO NELLA FORMA ELETTRONICA(*)
Estratto dalla Rivista Amministrativa della Repubblica Italiana
Anno 129° - Giugno 1978 - Volume CXXIX - Fasc. 6
TIPOGRAFIA TAPPINI - CITTÀ DI CASTELLO (PERUGIA)
1978

1. - Premessa. La forma scritta, cui è legata l'attività amministrativa, come principale ostacolo alla piena utilizzabilità delle tecniche elettroniche. La forma elettronica.
Attualmente già esistono in numerose pubbliche amministrazioni apparecchiature elettroniche, anche di avanguardia. Esse arrecano indubbiamente dei grandi benefici, ma questi sono sempre settoriali e, nel complesso, non hanno risolto il problema delle gravi disfunzioni delle amministrazioni pubbliche.
La ragione di tale parziale insuccesso è dovuta al fatto che la vigente normativa concernente la forma degli atti e dei procedimenti amministrativi non si concilia con la completa meccanizzazione. Come rileva il Giannini (Atto Amministrativo, in " Enciclopedia del diritto ", vol. IV, pag. 178), esigenze di controllo dell'azione amministrativa e certezze dei pubblici documenti hanno condotto alla necessità del documento scritto nella maggioranza dei casi e sempre negli atti di maggiore rilievo. Tale documento può costituire, a seconda delle fattispecie, la sua " forma ", come per i decreti amministrativi che vengono ad esistenza con la firma da parte dei funzionari abilitati; può anche trattarsi di documentazione successiva, come per i verbali delle sedute degli organi collegiali ed i verbali di esami.
In questa relazione tenterò di dimostrare che, con una riforma legislativa molto agevole ma di conseguenze rivoluzionarie, è necessario svincolarsi dallo scritto tradizionale e consentire che l'atto sorga direttamente nella forma elettronica, nel momento stesso in cui lo si introduce nella memoria della macchina. Parallelamente, per quanto riguarda altre ipotesi nelle quali è attualmente necessaria la scritturazione, dovrebbe essere conferito pieno valore legale all'introduzione nell'apparecchiatura elettronica delle verbalizzazioni e di ogni altro atto oggi legato alla tradizionale scritturazione.
Rispetto alla memoria elettronica, che costituirebbe l'archivio ufficiale, le riproduzioni ottenibili sarebbero soltanto delle copie. Non è questa la sede per tracciare una teoria dogmatica sull'atto amministrativo in forma elettronica, sulle sue riproduzioni ufficiali, nonché sull'impugnabilità e contestabilità in genere: mi basta, per il momento, accennare all'esistenza dell'importantissimo problema, e prospettare, al riguardo le considerazioni generali che seguono.
2. - Le disfunzioni nelle pubbliche amministrazioni. L'utilizzazione delle tecniche elettroniche, come strumenti di efficienza.
Come si è detto nel paragrafo precedente, i benefici apportati dalle apparecchiature elettroniche nelle pubbliche amministrazioni, per quanto rilevanti, sono soltanto parziali e settoriali. E' necessario quindi studiare non solo il potenziamento quantitativo e qualitativo di tali apparecchiature, ma anche le condizioni necessarie per la loro piena utilizzazione, attualmente ostacolata dai principi vigenti in tema di atti e procedimenti.
Se la Pubblica amministrazione fosse un'azienda privata, l'introduzione e la piena utilizzazione degli automatismi in genere e delle tecniche elettroniche in particolare avverrebbe — almeno entro certi limiti — spontaneamente, per effetto della concorrenza nazionale ed internazionale, che impone inderogabilmente l'utilizzazione di tutti quegli accorgimenti idonei a migliorare la produzione ed abbassare i costi, pena la sopravvivenza stessa dell'impresa.
Nella gestione della cosa pubblica manca uno stimolo così potente ed immediato volto al miglioramento delle strutture. Una disfunzione in un settore dell'attività amministrativa causa soltanto disagi al cittadino e talora danni generali e particolari di notevoli entità. Ho detto " soltanto " non per sminuire i fatti, ma per sottolineare che nella maggior parte dei casi tutto finisce nella più o meno supina accettazione del disagio e del danno. Il quasi generale stato di disfunzione delle pubbliche amministrazioni ha ingenerato in molti cittadini una mentalità fatalistica che li porta ad accettare questa realtà come qualcosa di ineluttabile. Nei pubblici dipendenti si può spesso constatare un senso di sfiducia nelle possibilità di migliorare la situazione, pur con la buona volontà del singolo, che di conseguenza è facilmente trascinato verso il lassismo ed uno scarso attaccamento al lavoro, salvo naturalmente molte eccezioni di pubblici dipendenti dal comportamento particolarmente meritorio.
La Pubblica Amministrazione è stata già da tempo equiparata dalla dottrina ad una impresa: in situazione non concorrenziale, produce servizi di carattere giuridico e servizi di carattere materiale. La mancanza della concorrenza tuttavia, se esclude il pericolo della "chiusura fallimentare" , determina per altro la possibilità di danni generalizzati di una vastità incalcolabile.
Inoltre il solo rilievo che un bene o servizio prodotto dallo Stato costi il doppio o il quadruplo di quanto potrebbe costare in situazione di maggiore efficienza, significa distruzione di ricchezza, abbassamento del reddito nazionale, diminuzione del benessere, imposizione fiscale non proporzionata ai risultati, perdita della competitività internazionale.
Infinite possono essere le forme di perdita di ricchezza. Esse si verificano—tra l'altro—anche quando il cittadino è costretto a dedicare tempo eccessivo negli uffici per il disbrigo di pratiche che lo riguardano. Errori vari nel procedimento, o anche la semplice lentezza, importano disfunzioni di ogni tipo, con la conseguenza di un maggior costo unitario del " prodotto " dell'"azienda " pubblica amministrazione, nonché con danni diretti per il cittadino singolo e più indiretti, ma sempre apprezzabili, per l'intera collettività.
I dipendenti pubblici dovrebbero diventare i protagonisti dell'ammodernamento della pubblica amministrazione, considerando che ciascuno di essi, è fornitore di un determinato servizio, ma contemporaneamente, per infiniti altri aspetti, è anche utente dei servizi resi dalle Pubbliche Amministrazioni, si che risente dei danni generali e particolari al pari di ogni cittadino.
E' oggi prassi normale che il cittadino si rechi presso gli uffici pubblici per sollecitare le pratiche che lo riguardano, determinando così una serie di inconvenienti, per la maggior parte a carico dello stesso ufficio e quindi dei componenti di esso: a) necessità di un cospicuo dispendio di attività per i rapporti con il pubblico, sempre più intensi; b) turbamento del normale ritmo di lavoro e quindi impossibilità di una effettiva programmazione del lavoro ordinario.
Il secondo degli inconvenienti ora accennati impedisce di poter determinare con certezza la produttività di un ufficio; ma su ciò torneremo nell’ultimo paragrafo, rilevando come il problema verrebbe risolto con le apparecchiature elettroniche.
Sul piano sociale non è indifferente sottolineare che legare una pratica ad un ritmo di lavoro certo, rappresenta un motivo di maggiore eguaglianza fra i cittadini, poiché non si discrimina più fra quelli che hanno conoscenze negli uffici e quelli che ne sono privi, nonché fra quelli che hanno tempo e possibilità di seguire le pratiche e quelli che non possono farlo. D'altra parte i cittadini che appaiono favoriti dai punti di vista sopra detti sarebbero ben lieti di potersi affidare alla completa ed efficiente iniziativa della Pubblica Amministrazione, risparmiando il tempo e l'attività che attualmente sono costretti a dedicare perché le loro pratiche giungano in porto in un tempo ragionevole e con la garanzia di un turno rigido, senza preferenze e favoritismi. La modifica dei turni di lavorazione delle singole pratiche dovrebbe essere esplicitata in provvedimenti scritti e motivati del capo dell’ufficio.

3. - Segue. L'autenticità ed il valore legale dell’atto amministrativo creato direttamente nell'apparecchiatura elettronica o ufficialmente archiviato nella sua memoria.
Le apparecchiature elettroniche consentono di realizzare le finalità sopra illustrate, eliminando gli inconvenienti del sistema attuale ed apportando ulteriori benefici altrimenti neppure ipotizzabili. Ma per il conseguimento di questi risultati è indispensabile che il legislatore consenta di superare tutti gli ostacoli formali che attualmente ne impediscono la più completa utilizzazione.
Ovviamente, essendo le attività della Pubblica Amministrazione quanto mai varie nel contenuto e nelle procedure, ogni tipo di pubblica funzione dovrebbe essere oggetto di un esame specifico, congiuntamente da parte di tecnici e giuristi.
Devo quindi limitarmi a delineare soltanto le possibili soluzioni che mi sembrano realizzabili, avvertendo che, nell'esposizione che segue, avrò principalmente presenti gli atti ed i procedimenti relativi alla nomina, alla carriera ed alle retribuzioni dei dipendenti pubblici. Ad alcuni atti o momenti del procedimento farò un esplicito riferimento, che deve per altro essere considerato quale mero esempio di un tipo di problemi che, con diverse sfumature, può presentarsi in ogni altro procedimento amministrativo che si voglia meccanizzare con le apparecchiature elettroniche.
Per il radicale ammodernamento dell'attività amministrativa, più sopra accennato, è indispensabile che la legge riconosca piena validità agli atti amministrativi legati non più alla forma scritta, ma a quella elettronica.
necessario, tuttavia, che sussistano le massime garanzie di autenticità.
Un embrione di questi problemi si ebbe in passato quando si dovette ammettere la validità di atti pubblici dattiloscritti, quali i verbali dei processi e gli atti notarili.
Riconosco però che la proposta che mi accingo ad esporre è ben più ardita ed impegnativa.
Punto cardine della riforma deve essere il capovolgimento dei rapporti fra incartamento ed elaborazione o memorizzazione elettronica. Attualmente (e cosi non potrebbe non essere, secondo l'attuale legislazione) il documento scritto e firmato costituisce l'atto ufficiale. L'apparecchiatura elettronica — quando esiste— può solo fornire i dati che il funzionario recepisce, introducendoli nel documento che firma, assumendosi la responsabilità (almeno teorica) della esattezza dei dati. (Vedi i certificati anagrafici rilasciati dal terminale e poi firmati da un funzionario del Comune).
Con il sistema attuale vediamo con troppa frequenza sui tavoli dei funzionari mucchi di carte varie, spesso in un disordine che si spera solo apparente, ma che comunque disincentiva l'attaccamento al lavoro e certamente abbassa 1e produttività. Questa situazione deve cambiare radicalmente; deve essere assolutamente preclusa la possibilità che un documento si perda, ed anzi deve essere possibile il più agevole e rapido richiamo dall'archivio. Se vogliamo tutto ciò, è indispensabile dare valore legale all'operato della macchina, nella misura più ampia possibile.
Naturalmente l'intervento dell'uomo resta sempre ineliminabile in tutte le valutazioni discrezionali ed in tutte quelle operazioni per le quali la macchina non sia stata ancora predisposta. Ed è evidente che l'intervento dell'individuo deve sempre risultare formalmente, con garanzia di autenticità.
Oggi la garanzia di autenticità è data da una firma, spesso accompagnata da un timbro normalmente a disposizione su di un tavolo. Non si tratta di una garanzia assoluta: lo diviene solo in caso di contestazione e quindi di perizia sull'autenticità della firma: eventualità non certo frequente.
Viceversa è noto che il più delle volte le firme sono, sì, autentiche, ma il contenuto non è neppure letto dal firmante. Si tratta di una prassi oggi supinamente accettata; come si vedrà, tuttavia, il maggior rigore, che deriva dall'introduzione dei sistemi elettronici, imporrebbe un'ampia revisione dell'abilitazione alla firma, con le più ampie possibilità di delega a favore di chi già effettivamente oggi predispone l'atto.
Che un atto immesso nella memoria elettronica possa essere " firmato "dall'autore è certamente possibile, e per di più con le maggiori garanzie di autenticità. Escluderei la vera e propria firma, che la macchina potrebbe memorizzare come una serie di punti sul tipo delle " telefoto ". Lo escluderei perché tale firma riprodotta sarebbe probabilmente imperfetta e quindi non darebbe garanzie. Credo inoltre che predisporre le macchine per questa funzione sarebbe difficile e costoso.
Là soluzione ideale dovrebbe basarsi sul sistema della chiave elettronica, analogo a quello adottato dalle banche per i prelevamenti automatici dalla cassa continua. Come il correntista per le banche, così l'abilitato alla firma per gli atti amministrativi, dovrebbe disporre di un tesserino non falsificabile, per mezzo del quale la macchina deve poter riconoscere chi l'ha manovrata e registrare tale avvenuto riconoscimento. Il tutto si accompagnerebbe ad eventuali altri accorgimenti e garanzie. Sull'ultimo rigo dell'atto dovrebbe apparire:
a) un simbolo che indica la messa in funzione del controllo dell'autenticità;
b) qualifica, nome e cognome in chiaro di chi " firma ";
c) eventuali altre indicazioni in chiaro per il caso di omonimie;
d) un simbolo indicante che l'operatore ha battuto sulla tastiera una combinazione di lettere e numeri segreti (codice personale). Questa garanzia ulteriore potrebbe essere eliminata per gli atti meno importanti;
e) un simbolo attestante che è stato introdotto il tesserino personale; che esso appartiene alla persona di cui alle lettere b) e c) e che il codice di cui alla lettera d) è anch'esso esatto e corrispondente agli altri elementi b), c) ed e). La macchina dovrebbe essere tuttavia predisposta per non memorizzare affatto gli atti per i quali il controllo automatico ora detto dia esito negativo;
f) il codice di identificazione del terminale. Il terminale deve indicarlo necessariamente ed automaticamente;
g) data ed ora, parimenti inserite necessariamente ed automaticamente;
h) simbolo attestante il riscontro, operato dalla macchina, che la persona che ha " firmato " era abilitata per quel tipo di atti. Anche a questo proposito va osservato che la macchina potrebbe essere predisposta in modo da non recepire affatto gli atti provenienti dalle persone non abilitate specificamente per essi. Per gli atti atipici, invece, l'unico riscontro possibile da parte della macchina è quello di cui alla lettera e).
Naturalmente il funzionario deve avere la piena responsabilità della custodia del tesserino, con esclusione della possibilità di cederlo in uso. Se viene sentita l'esigenza di delegare parte del lavoro, il capo dell'ufficio deve provvedervi formalmente, munendo un altro dipendente di un proprio tesserino e fornendo alla macchina i dati relativi al nuovo funzionario abilitato.
E' essenziale che l'introduzione nella macchina dei dati relativi alle persone: abilitate avvenga con le massime garanzie, senza alcuna possibilità di successiva manomissione, se non previo ordine e controllo da parte del capo dell’ufficio.
4. - Il procedimento amministrativo a mezzo delle tecniche elettroniche.
Consegue a quanto esposto che, con adeguate riforme legislative, un atto amministrativo può nascere ed esistere come elettronico, in sostituzione del sistema basato sullo scritto tradizionale. L'eventuale scritturazione— a mezzo della stampatrice abbinata al terminale — deve avere carattere puramente accessorio o strumentale. E' comunque opportuno che venga mantenuto un archivio tradizionale nel quale conservare gli originali di tutti i documenti (certificati, corrispondenza ecc.) provenienti dal privato o da uffici non collegati al sistema elettronico. E' comunque necessario, per il corretto funzionamento del sistema, che i predetti documenti, se rilevanti ai fini del procedimento, siano introdotti nella memoria della macchina con attestazione di " copia conforme " o di " estratto conforme " da parte di un funzionario abilitato. Questa operazione è indispensabile per rendere il meno necessaria possibile la consultazione dell'archivio cartaceo.
Per l'eventualità di eventi accidentali o di usura della memoria, va conservato un archivio elettronico di riserva. Occorre valutare altresì l'opportunità di inserire nell'archivio tradizionale più sopra accennato una copia, tratta dalla stampatrice della macchina, di tutto quanto attiene all'atto ed al procedimento.
A questo punto il procedimento nella nuova prospettiva risulta agevolmente delineabile a mezzo di una rete di collegamenti tra i vari centri elettronici che verrebbero istituiti presso le principali amministrazioni. Amministrazioni minori potrebbero essere fornite di soli terminali e fare capo a centri maggiori.
Pensando all'esempio relativo all’amministrazione dello status individuale di un pubblico dipendente, escluse le singole operazioni di concorso, tutte le tappe dovrebbero essere introdotte nell'apparecchiatura elettronica. Per quanto riguarda le operazioni di concorso, un funzionario abilitato dovrebbe poter inserire nella macchina gli elementi necessari ai successivi controlli che la legge prevede, compresa la relazione finale ed i giudizi sui candidati, firmando poi " per copia conforme ". Sarebbe infatti inopportuno abilitare all'uso delle macchine i singoli componenti delle commissioni di concorso, poiché si tratta di organi dello Stato aventi durata limitata al compimento dei soli atti del concorso.
Questi atti del concorso, attraverso collegamenti di soli terminali ovvero collegamenti con centri elettronici, verrebbero automaticamente trasferiti agli altri uffici di competenza: uffici consultivi; uffici di controllo interni ed esterni; uffici abilitati ad emettere i decreti di nomina.
Tornando ad un discorso più generale, è indispensabile che presso ogni ufficio l'atto pervenga dopo essere stato sottoposto al maggior numero possibile di controlli automatici. L'addetto agli uffici dovrebbe cioè essere esentato dal compiere tutti quei controlli che possono essere affidati alla macchina. E per macchina s'intende o quella di partenza, che rifiuta la trasmissione o ancora più radicalmente non memorizza l'atto che non corrisponde a certi requisiti; oppure può essere il centro elettronico di arrivo che segnala automaticamente certi errori o illegittimità all'ufficio di provenienza. La duplice possibilità non può essere esclusa, anche se può sembrare una iterazione. Gli uffici pubblici hanno infatti competenze autonome: l'ufficio che controlla può ritenere corretto un certo criterio di controllo, diverso da quello ritenuto esatto dall’ufficio di partenza. Conseguentemente i rispettivi centri elettronici potrebbero essere programmati per controlli secondo criteri contrastanti. Il procedimento amministrativo si arresta se manca l'accordo fra i due centri elettronici, cioè tra le persone che, appartenendo a diversi uffici, hanno disposto i programmi degli elaboratori partendo da opinioni giuridiche divergenti. In situazioni del genere, la macchina, bloccando il lavoro, sollecita le amministrazioni ad adottare tutti i rimedi giuridici previsti dall'ordinamento per risolvere il conflitto in via definitiva.
Il sistema dovrebbe prevedere inoltre tutta una serie di operazioni completamente automatizzate, senza l'intervento umano. Anzitutto dovrebbe essere previsto il protocollo automatico in partenza ed in arrivo.
In una struttura organizzativa complessa, il centro elettronico non potrebbe essere carente di un sistema di smistamento automatico degli atti presso i diversi uffici abilitati ai vari interventi procedimentali (per esempio in funzione della materia). Gli atti atipici, invece, finirebbero automaticamente presso il terminale del capo dell’ufficio o di un funzionario determinato, che dovrebbe provvedere o direttamente o smistandoli ad altri.
Tutta l'ordinaria amministrazione, ossia il lavoro di " routine ", che rappresenta almeno il 90% del lavoro amministrativo, potrebbe essere compiuta, al limite, nel giro dei tempi reali di lettura dei documenti nei " video " dei terminali da parte dei vari funzionari abilitati presso i diversi, anche se numerosi uffici, con enormi risparmi di energie e di spese, anche postali. I tempi di attesa del cittadino potrebbero scendere in certi casi limite da 5 anni, a 5 ore, anche quando devono intervenire uffici variatamente dislocati nella capitale ed in altre città. Solo per casi delicati si dovrebbe ricorrere al lavoro sullo scritto, ottenibile dalla stampatrice collegata al terminale. Il funzionario abilitato potrebbe volere approfondire particolarmente lo studio della questione, utilizzando lo scritto su carta, oppure consultare il capo dell’ufficio, che potrebbe avocare a sé il provvedimento.
Tutta una serie di operazioni dovrebbe essere sottratta al lavoro umano: per esempio, nell'avanzamento economico e di carriera del pubblico dipendente, l’archivio contenente lo status dei singoli potrebbe essere automaticamente aggiornato sulla base del collegamento dell'elaboratore elettronico ad un calendario automatico. Pertanto le varie progressioni, predisposte fin dal momento della nomina, diverrebbero automatiche (scatti biennali, passaggi di parametro), sempre che non debbano intervenire valutazioni discrezionali e sempre che per i più diversi motivi non si debba modificare la carriera programmata.
L'apparato elettronico dovrebbe essere in grado di applicare automaticamente a tutti la scala mobile, una volta inseriti gli elementi generali.
Infine, per approfondire l'esempio, osservo che — se, in avvenire, il pubblico dipendente riuscirà a raggiungere una tutela simile al dipendente privato ed otterrà il diritto alla rivalutazione monetaria ed agli interessi sugli emolumenti arretrati (art. 429 c.p.c.), così come richiesto anche da alcune domande giudiziali pendenti innanzi al giudice del lavoro — allora l'apparecchiatura dovrà essere idonea ad applicare automaticamente l'art. 429 c.p.c. nei pagamenti degli arretrati, previa introduzione in essa dei dati di svalutazione forniti dall'ISTAT.
5. - Problemi di carattere pratico. Difficoltà materiali. Lo stimolo al lavoro ed il controllo automatico della produttività. L’arretrato basato sui vecchi sistemi di lavoro.
Sarebbe grave errore sottovalutare le difficoltà pratiche che si presentano per una cosi vasta e radicale riforma della attività amministrativa.
Sussistono problemi di costo degli impianti e di spese connesse al loro esercizio. Ma l'investimento per lo Stato sarebbe dei più proficui, a condizione che gli impianti venissero utilizzati a pieno ritmo: purtroppo sappiamo di apparecchiature acquistate e poi lasciate inutilizzate e di acquisti che poi si sono rivelati inadatti allo scopo e tecnicamente superati.
Occorre quindi la massima oculatezza nella spesa del denaro pubblico. Per la verità i " cervelli elettronici " più moderni sono tecnicamente costruiti con le più ampie capacità di memoria e vanno comunque scelti fra quelli dotati della maggiore elasticità di utilizzazione, per far fronte anche a futuri ripensamenti in merito alla impostazione dei sistemi di lavoro, dei controlli, dei collegamenti, ecc. Se le scelte saranno oculate, porteranno ad un grande risparmio di lavoro ed enormi economie per il bilancio statale. In un lungo periodo di tempo, riducendo o almeno non accrescendo la spesa per i pubblici dipendenti addetti alla gestione delle pratiche, si renderebbe il bilancio sempre meno rigido e quindi più aperto a spese sociali e di investimento in senso stretto.
Sussistono problemi di preparazione del personale all'uso delle macchine. Ma essi possono essere sopravvalutati solo da chi non ha mai visto il funzionamento del terminale: è questo in pratica il solo strumento che deve saper adoperare il funzionario abilitato, e, trattandosi di un uso continuo, non dovrebbe esserci il rischio di disimparare, ma anzi, al contrario, si verificherebbe un continuo perfezionamento del funzionario-operatore.
Nella Scuola superiore della Pubblica Amministrazione già esiste l’insegnamento dell'informatica. Ma è evidente, che se si realizzasse la radicale riforma che ho proposto, diverrebbero necessari corsi capillari, ed a tutti i livelli, in merito all'uso dei terminali. Nei futuri concorsi dovrebbe essere introdotta l'informatica come nuova materia di esame. Ed in tale prospettiva la stessa scuola media e l'università non dovrebbero ignorare la disciplina, da insegnare a livello non specialistico.
Diverso è il problema dei tecnici elettronici e dei programmatori, dei quali crescerebbe enormemente la domanda. Le principali amministrazioni dovrebbero prevedere nel loro stesso organico soprattutto i programmatori, i quali dovrebbero lavorare a stretto contatto con gli uffici e tenere costantemente aggiornate le macchine secondo le emergenti esigenze, dovute a nuove impostazioni del lavoro o a nuove leggi che incidono sugli atti e sui procedimenti amministrativi.
In un primo periodo i programmatori potrebbero esser forniti dalle ditte private. Per quanto riguarda gli altri tecnici, invece, dovrà essere valutata l’opportunità che essi rimangano sempre dei privati, inviati dalle ditte in base a regolari contratti di assistenza.
Tra i vantaggi della riforma non è da trascurare il dato psicologico derivante dal fatto che la presenza di una macchina modernissima costituisce uno stimolo al lavoro: il funzionario si sente inserito in un complesso operativo moderno, efficiente, ed anche costoso, e tende quindi ad evitare l'inattività dello strumento che gli viene affidato.
Va inoltre sottolineato che — quando il sistema sarà completo e comprenderà il protocollo e lo smistamento automatico delle pratiche — se il ritmo di lavoro si inceppa presso qualche operatore, l'inconveniente viene subito rilevato ed il funzionario è tenuto a fornire spiegazioni.
Oggi, con un tavolo ingombro di carte, il funzionario è sempre intimamente convinto di essere oberato di lavoro, e tale convincimento ha anche il cittadino. Pertanto una eventuale scarsa produttività viene difficilmente evidenziata. D'altra parte, mancando un preciso dovere di trattare le pratiche secondo un certo ordine, non si può addebitare al funzionario di trascurare la pratica A, quella B oppure la pratica Z, tanto più se si considera che spesso il funzionario potrà dimostrare di avere contemporaneamente evidenziato e parzialmente trattato numerose pratiche nello stesso periodo. Invece, con il lavoro programmato dalla macchina, e con deroghe che solo il capo dell'ufficio può disporre con provvedimenti motivati, la macchina evidenzierà se tra l'ultimazione della pratica M (ad esempio alle ore l0) e l'ultimazione della pratica N (ad esempio alle ore 13 dello stesso giorno) è trascorso un tempo giustificato dal tipo di problemi che la pratica N richiedeva. Nel corso della giornata, il funzionario dovrebbe sbrigare 6 pratiche di impegno medio di l ora, oppure 3 di impegno di 2 ore o 12 di 30 minuti. Naturalmente queste valutazioni—spettanti al capo dell'ufficio—non possono essere che approssimative. Ma certamente gravi disparità del rendimento effettivo, rispetto a quello teorico, imporrebbero quei necessari accertamenti che oggi sono pressoché impossibili.
Sussiste infine il problema dell'arretrato impostato sul vecchio sistema del documento scritto.
Anzitutto appare evidente che per un non breve periodo il vecchio sistema dovrà coesistere con il nuovo. E' però essenziale che una eventuale legge di riforma imponga tassativamente che ogni nuova pratica sia impostata secondo il nuovo sistema delle macchine elettroniche.
Per l'arretrato occorre forse seguire la strada della selezione: molte pratiche, che si possono considerare di scarsi sviluppi futuri, possono essere lasciate completamente nella vecchia impostazione e non essere inserite nell'elaboratore.
Altre pratiche (per esempio quella concernente lo status di un giovane dipendente pubblico) potrebbero essere inserite nell'archivio elettronico da appositi funzionari abilitati a firmare elettronicamente " per copia conforme " o " per estratto conforme ". Nell'esempio dello status di pubblico dipendente, tale archiviazione elettronica dovrebbe poi concludersi con la programmazione della carriera e dell'avanzamento economico dell'interessato.
Per lo smaltimento del lavoro arretrato lo Stato avrà bisogno di personale straordinario. Se ciò non sarà possibile, la coesistenza del vecchio e del nuovo sistema durerà molto più a lungo. E sarebbe un vero peccato, poiché il massimo beneficio del nuovo sistema si potrà avere solo quando esso sarà completo.
La completezza del sistema sarà realizzata quando tutte le amministrazioni " parleranno tra di loro a mezzo dei soli collegamenti fra i centri elettronici e a mezzo di terminali. Ma ciò richiede da un lato la completezza delle apparecchiature e della rete di collegamento; d'altra parte è necessario che scompaia al più presto possibile la " palla al piede " dei vecchi e spesso disordinati documenti cartacei, non ancora introdotti nell'archivio elettronico. Comunque se ci si incammina seriamente verso la nuova strada e non si aprono nuove pratiche con il vecchio sistema, il tempo attenuerà tuttavia L'importanza delle vecchie pratiche e quindi sarà sempre meno frequente 1a necessità di doverle richiamare manualmente da un polveroso archivio, piuttosto che averle a disposizione con 1a ricerca elettronica.
Occorre rilevare che, mentre per lo Stato il problema delle pratiche e degli archivi legati al sistema tradizionale è particolarmente grave, esso può essere affrontato con migliori prospettive di rapido successo da parte di organismi più giovani, quali le Regioni a statuto ordinario. Prima che il contagio derivante dalla disfunzione statale diventi una malattia cronica, l'adozione dei sistemi di attività più sopra proposti porrebbe la Regione all’avanguardia nell'efficienza operativa; essa potrebbe diventare addirittura il modello cui lo Stato si ispirerebbe nella sua evoluzione necessariamente più lenta.

(*) La Rivista Amministrativa è lieta di pubblicare il presente articolo del Prof. Giovani Duni, ordinario di diritto pubblico; scritto in base al quale è stata svolta una relazione al Convegno "l’informatica giuridica al servizio del Paese " tenutosi a Roma nei giorni 1-2-3 giugno 1978.

A Administração Pública Digital e o Direito

2008-12-04T06:29:00.000-08:00

Referência da publicação:

FILGUEIRAS JUNIOR, Marcus Vinícius. A Administração Púnblica digital e o Direito. Jornal Folha da Manhã. 16 ago. 2008. Campos dos Goytacazes (RJ), 2008, p.2.

__________________________________________

A informatização é um fenômeno verdadeiramente irreversível. Cresce a cada dia a utilização de instrumentos informáticos na realização de negócios. Mas deve ser observado que o mundo jurídico sempre foi mais conservador. Nesse setor, constata-se que as relações privadas saíram na frente na utilização da internet para a realização de negócios jurídicos em razão de seu regime mais flexível. As relações jurídicas travadas pelo Estado-Administração possuem um regime jurídico muito diferenciado. Os atos da Administração Pública devem ser documentados de modo a permitir o controle posterior tanto pela sociedade, quanto pelos órgãos e entidades competentes (Tribunais de Contas, Poder Legislativo, Ministério Público). Um documento elaborado em um editor de mensagens eletrônicas pode facilmente ser alterado, o que o torna volátil como a palavra falada. Assim, para que um ato administrativo possa ser editado validamente por meio eletrônico, o Direito exige que possua, entre outros requisitos, a certificação digital, de modo a proteger a integridade dos dados nele registrados e identificar o seu subscritor. A certificação digital é como se fosse um carimbo digital que autentica o documento eletrônico.
É inquestionável que a Administração Pública digital apresenta muitas vantagens, a começar por ser mais econômica e especialmente por tornar mais transparente a atividade estatal. Exatamente por essa característica, muitos políticos querem distância desses instrumentos de eficiência, porque, em verdade, preferem o descontrole e a obscuridade. É um dado que deve ser considerado com seriedade pela população no momento do voto!
Por fim, é imprescindível registrar que a informática é um instrumento, é um meio e não um fim em si mesma. O Estado busca a realização de seus fins e a informática não é um deles. Portanto, deve ser adotada pela Administração Pública por força do princípio constitucional da eficiência, mas deve fazê-lo com cautela e razoabilidade, de modo a não criar mais desigualdades e discriminações vedadas pela Carta da República.

Marcus Vinícius Filgueiras Júnior

Advogado. Professor de Direito Administrativo das Universidades Candido Mendes-Campos e Estácio de Sá. Mestre em Direito Administrativo (PUC/SP). Coordenador do Projeto Direito Administrativo Eletrônico, da Universidade Candido Mendes-Campos.

O ato administrativo eletrônico no Brasil

2008-12-04T06:07:00.000-08:00

Referência da publicação:

FILGUEIRAS JÚNIOR, Marcus Vinícius. L´atto amministrativo nel Brasile. Diritto & Diritti. Quadirmestrale di informazioni giuridica. n. 18/Abr. 2005. Ragusa (Italia), p. 3.

______________________________________________

L´atto amministrativo elettronico nel Brasile

L’informatica ed il principio dell’efficienza nel Brasile.

L’informatica è un mezzo e non un fine a essere perseguito. L’informatica è un importante strumento di sviluppo sociale se impiegata con ragionevolezza.

Il principio giuridico dell’efficienza implica le scelte dei migliori mezzi per raggiungere al meglio il fine pubblico amministrativo, nel rispetto dell’art. 37 della Costituzione della Repubblica Brasiliana). L’atto di scelta dei migliori mezzi possiede la caratteristica di essere in grande parte discrezionale. Ciò nonostante, nel caso della scelta degli strumenti informatici, non si tratta di una scelta discrezionale, ma vincolata, perchè senza dubbio l’applicazione degli strumenti informatici viene rivelandosi come quella attività che assicura al meglio alti livelli di efficienza.

L’atto amministrativo elettronico nel Brasile.

La teleamministrazione è l’Amministrazione Pubblica telematica, in cui è riconosciuta piena validità agli atti praticati per mezzo di terminali di computer. L’atto amministrativo elettronico è l’atto spedito in forma elettronica (presupposto di esistenza), e valido come tale.

L’atto amministrativo elettronico è il genere; l’atto amministrativo elettronico tradizionale
e l’atto amministrativo automatico sono specie di quello. La Legge brasiliana numero 9.784, del
1999 (Legge sul procedimento amministrativo federale), all’articolo 22 stabilisce che l’atto amministrativo deve essere scritto e sottoscritto.

Inoltre, la “Medida Provisória” 2.200 del 2001 (che è paragonabile ad un provvedimento temporaneo, quali i Decreti Legge, nell’ordinamento giuridico italiano) sancisce come validi i documenti elettronici pubblici o particolari spediti attraverso il sistema “ICP-Brasil” (sistema
pubblicistico di certificazione delle chiavi digitali) o per altro sistema eletto per le parte. Però, l´atto amministrativo elettronico deveno sempre essere espedito per mezzo del "ICP-Brasil", come condizione di validità giuridica. La Medida Provisória 2.200, tuttavia, non tratta del sistema di archivio e conservazione degli atti giuridici.

Conclusioni generali.

E’, in sintesi, pacifico che l’adozione dell’atto amministrativo elettronico nel Brasile è un dovere Costituzionale, in ossequio ai fondamentali principi di efficacia ed efficienza. L’atto amministrativo sarà, comunque, valido solamente se spedito attraverso il sistema di chiave statale - il suddetto ICP-Brasil – e se verrà dichiarato per la Pubblica Amministrazione conforme alla sicurezza del sistema di archivio e conservazione degli atti. Il diritto brasiliano, in conclusione, deve essere profondamente modificato per esigere l’utilizzazione di mezzi sicuri di archivio e conservazione degli atti amministrativi, quale la tecnologia “Worm” (write once, read many).

Marcus Vinícius Filgueiras Júnior

Professore di Diritto amministrativo presso Universidade Candido Mendes e Universidade Estácio de Sá, Brasil

Instrumentos informáticos e vinculação administrativa

2008-12-04T06:00:00.000-08:00

Referência da publicação:
FILGUEIRAS JÚNIOR, M. V. . A informática como opção jurídica vinculada da Administração Pública. Boletim de Direito Administrativo, São Paulo, v. n. 2, n. 2005, p. 191-197, 2005.
_____________________________________

1. A informática e o desenvolvimento social

A informática pode ser conceituada como ciência do tratamento lógico e automático da informação, compreendendo-se as técnicas e os meios relativos à coleta, tratamento e difusão de informações (Garcia Marques) [1].
Na mesma linha de entendimento, a informática pode ser considerada como a ciência do tratamento automático e racional da informação como suporte de conhecimentos e comunicações [2].
Os conceitos de informática acima expostos revelam que a informática se apresenta como uma teoria científica. Pode-se dizer que se trata de um conceito de informática em sentido estrito. No entanto, a informática pode ser vista também em sentido amplo, dentro do qual alcance não só o estudo teórico mas também o uso de computadores ou equipamentos eletrônicos voltados para o tratamento da informação[3]. É nesse sentido amplo que a expressão informática será empregada neste estudo, de maneira que quando se falar na utilização da informática deve ser compreendido a utilização de técnicas, teorias, estudos e/ou equipamentos informáticos.
No mundo contemporâneo, é fácil verificar que a informática vem revelando-se como uma extraordinária causa e, ao mesmo tempo, como um resultado do avanço tecnológico.
Caracteriza-se como um resultado na medida em que apresenta programas e equipamentos cada vez mais eficientes no tratamento e processamento dos dados e também na medida em que difunde, a longas distâncias, os dados e resultados obtidos. Neste último caso, temos a telemática[4], que se caracteriza como um ramo da informática que estuda o tratamento da informação à distância e a sua respectiva integração.
Por outro lado, a informática é também causa do avanço tecnológico, uma vez que permite o acentuado progresso de outras áreas científicas que se valem dos programas e equipamentos informáticos para realizar as suas experiências e desenvolver novos conhecimentos. Pode-se verificar os exemplos mais comuns na medicina, na física, na astronomia, na astrofísica e em tantos outros ramos científicos.
Somente por esses fatores, pode-se dizer que a informática é um instrumento de grande importância ao desenvolvimento social.
É de observar, entretanto, que a informática pode também ser causa de alienação, desemprego e até mesmo de desagregação social. Tudo dependerá de como é utilizada. A questão, para Domenico de MASI, repousa sobre a capacidade de distribuir bem o trabalho. Vejamos as suas palavras: em todo o mundo, e especialmente no Brasil, há muito desemprego. Em parte, culpa disso é da robótica, do computador. É uma situação paradoxal. O computador veio para livrar o homem do trabalho burocrático e para poupar tempo que gastava com suas tarefas, para liberá-lo para o lazer, a família, o estudo. Mas, se o mesmo trabalho pode ser feito em menos tempo, ou se reduz a carga horária ou se reduz o número de trabalhadores. Infelizmente, a segunda solução foi a preferida. Mas é uma solução burra. Mais do que isso, é uma loucura. As pessoas estão trabalhando muito mais horas, enquanto as cidades estão cheias de desocupados. O desemprego depende, sobretudo, da boa distribuição do trabalho, da riqueza e do saber. Os comunistas sabiam distribuir, mas não sabiam produzir. Nós sabemos produzir, mas não sabemos distribuir o trabalho, assim como não distribuímos bem as riquezas e o saber. [5]
Do exposto pode-se verificar que, usada adequadamente, a informática é um meio a ser utilizado para contribuir para o desenvolvimento da sociedade em seus diversos seguimentos.

2. A informática e a democracia

Inobstante, pode-se, por um outro ângulo, observar a informática como um instrumento de concretização da democracia.
Vale pontualizar que a expressão democracia deve ser compreendida no seu sentido formal e material. Assim, quando se fala em governo do povo[6] deve ser entendido de que se trata não só de um povo que exerce a democracia indireta, com os seus instrumentos clássicos inerentes (sistema político representativo, o sufrágio, o referendo, entre outros) mas sobretudo que possa ser um povo que participe das decisões políticas de seu país.
Não há dúvidas de que, nesse particular aspecto da participação popular no governo, o sistema representativo revela uma crise inegável. Hoje já se sustenta a ilegitimidade da democracia representativa justamente pela identificação da ausência da vontade popular nas decisões políticas[7]. Trata-se de uma doutrina da cidadania, calcada na interpretação do inc. II, do art. 1.º e no art. 2.º, ambos da Constituição Federal da República de 1988, que impõem, para a real efetivação dos valores constitucionais, a participação direta do cidadão nas esferas decisórias mais importantes da sociedade. A democracia participativa, em última análise, vem reclamando um saudável retorno à vontade geral de cunho rousseauniano[8].
Nessa perspectiva, deve ser anotado que para o real exercício democrático surgem dois pressupostos inafastáveis: o acesso à informação governamental e a possibilidade de participação do cidadão no Poder Público. São pressupostos amplamente apoiados na Constituição da República, tal como, exemplificativamente, pode-se ver no caput, inc. II (cidadania como fundamento do Estado Democrático de Direito) e no § único, do art. 1.º (Todo poder emana do povo, que o exerce por meio de representantes eleitos ou diretamente); no inc. XXXIII, do art. 5.º (direito de receber informações dos órgãos públicos); no caput, do art. 37 (publicidade); no inciso II, do § 3.º, também do art. 37 (acesso a registros administrativos e informações sobre ato de governo), dentre tantos outros.
A informática – especialmente a telemática – permite a difusão de informações e a interatividade entre cidadãos do mundo inteiro. A rede mundial conhecida como internet é exemplo incontendível da capacidade democrática da informática. Por meio dela se tem acesso a informações e também por meio dela pode-se participar de modo efetivo e concreto de diversos processos mobilizatórios e até mesmo decisórios.
Neste ponto da reflexão, é interessante observar acerca das diferenças de informações na guerra do golfo e na última guerra do Iraque, ocorrida recentemente. Diferentemente da guerra do golfo, na guerra recente do Iraque a internet teve papel decisivo na difusão de informações, pois em muito divergiam das emanadas do governo norte-americano, cujo principal veículo era a conhecida rede mundial de televisão CNN. Graças a essa ampla difusão de informações é que se pôde revelar ao mundo, com força inquestionável, sobre as verdadeiras razões da invasão e dos ataques impostos ao Iraque e ao seu povo. Isso ensejou até mesmo uma mobilização transnacional contra o Governo Bush, por meio da rede mundial da internet, cuja iniciativa partiu do próprio povo americano mais conscientizado e já cansado da arrogância e das inverdades do discurso do governo de seu país. Portanto, a informática poderá ser um importante instrumento para a realização da democracia substancial ou material.

3. A informatização da Administração Pública

É notório que a informática foi inicialmente desenvolvida no seio da empresa privada, dada a sua maior capacidade de investimento, e notadamente nos países mais desenvolvidos.
O Estado, de certo modo, iniciou mais tarde o seu acesso ao mundo da informática em relação às empresas privadas. A Administração Pública, historicamente marcada pela morosidade até mesmo por causa do seu natural múnus público, somente depois começou a desfrutar das virtudes do mundo da informática. Mas tal desfrute ainda apresenta-se por demais tímido. A rigor, hoje a informática permite aos órgãos e entidades Administrativos – especialmente os brasileiros – comunicarem-se por meio de fac-símile ou mensagens eletrônicas, mas que funcionam apenas como instrumentos paralelos à Administração cartácea ou papelizada, já que só detêm validade na medida em que se revelam como representações temporárias de documentos e processos cartáceos. Esse estágio de informatização da Administração Pública é denominado criticamente pelo Prof. italiano Giovanni Duni de informática paralela[9].
A Administração Pública informatizada, também denominada de teleadministração pelo referido jurista italiano, por evidente que representa um avanço, uma forma do Estado tornar-se mais eficiente. Para melhor compreensão do fenômeno, é pertinente citar, a título exemplificativo, alguns benefícios ou resultados que seriam trazidos pela teleadministração: a) tornariam os processos administrativos mais rápidos; b) dariam mais uniformidade aos tratamentos administrativos, inibindo ou pelo menos restringindo o espaço para favorecimentos ou prejuízos pessoais ilegais; c) converteria muitos procedimentos e muitos atos autônomos em atos complexos; d) facilitaria o arquivo e a pesquisa de documentos; e) facilitaria o controle, trazendo mais segurança jurídica aos administrados, f) liberaria o Estado para uma atuação maior nas atividades-fim em razão da otimização das atividades-meio, entre tantos outros benefícios[10].

4. A informática e o princípio da eficiência no Direito Administrativo

No estágio em que se encontra a informática, acaba por tornar-se obrigatória a sua utilização pela Administração Pública por força do princípio da eficiência, previsto explicitamente no caput do art. 37, e implicitamente no inc. I, do seu § 3º (direito de reclamação contra serviços de má qualidade) , bem como na parte final do § 7.º, do art. 39 (aplicação de parte de recursos orçamentários na “modernização, reaparelhamento e racionalização do serviço público”), todos da Constituição Federal vigente. Isso sem mencionar que constitui objetivo da República garantir o desenvolvimento nacional (art. 3.º, II, CF), o que, é certo, não se faz sem eficiência. Vejamos em seguida as razões que fundamentam essa assertiva.
O princípio da eficiência enuncia que configura dever da Administração Pública adotar os melhores meios para que possa atingir os fins do Estado.
Desse conceito do princípio da eficiência, dois elementos podem ser extraídos: um explícito, que se refere à escolha do melhor meio de atuação e outro implícito, que se refere à cidadania.
Nesse passo, é oportuno observar que, a partir da imprescindível doutrina de Antônio Carlos Cintra do AMARAL[11], não se pode conceber o princípio da eficiência como aquele que, no bojo da denominada reforma administrativa, trazida pela Emenda Constitucional 19/98, privilegia os fins de modo a converter Administração Pública em administração de resultados (Administração gerencial, nos termos do Plano Diretor da Reforma Administrativa)[12]-[13]. Ao contrário, eficiência significa, tal como se conceituou inicialmente, que a Administração deve empregar os meios mais adequados para a realização dos fins colimados pela ordem jurídica. A conclusão apóia-se no conceito de eficiência extraído da ciência da Administração[14], tal como fez o jurista Antônio Carlos Cintra do AMARAL[15], quando se reportou a Idalberto CHIAVENATO, para quem a eficiência não se preocupa com os fins, mas simplesmente com os meios. O alcance dos objetivos visados não entra na esfera de competência da eficiência; é um assunto ligado à eficácia[16].
Escolher os melhores meios significa escolher aquelas opções (instrumentos, formas, modos) que farão a função administrativa mais qualificada, isto é, mais rápida, atual, regular e cortês para o administrado. Esse entendimento também encontra acolhida no pensamento do jurista José Afonso da SILVA, o qual ensina que tal princípio consiste na organização racional dos meios e recursos humanos, materiais e institucionais para a prestação de serviços de públicos de qualidade (...)[17].
No entanto, é de capital relevância anotar que o rol das possíveis opções a serem adotadas deve encartar-se no rol daquelas admitidas pelo ordenamento jurídico. Exatamente por isso, não basta encontrar na ciência da Administração uma solução mais eficiente para que de imediato se converta na opção legítima a ser escolhida pelo Poder Público. Ela, a opção escolhida, deve também atender aos condicionamentos impostos pela ordem jurídica vigente. Em poucas palavras, pode-se dizer que o princípio da eficiência não configura uma forma de flexibilização do princípio da legalidade[18]. Ao contrário, o princípio da eficiência deve ser interpretado na intimidade do princípio da legalidade[19]. Assim, escolher um determinado meio de ação que venha a violar o princípio da igualdade ou o da impessoalidade não poderá ser considerado eficiente e muito menos válido juridicamente.
No que toca à cidadania, a atuação da Administração com eficiência, como conseqüência da escolha adequada de meios para atingir os seus fins, permite que os direitos dos cidadãos restem respeitados, na medida em que serão destinatários de serviços com mais qualidade ou na medida em que cria condições reais para o exercício de direitos. Portanto, é inegável a relação existente entre o princípio da eficiência e a cidadania[20], o que lhe impõe peso ainda maior.
Ao que parece, o princípio da eficiência teve mesmo a sua inspiração no princípio constitucional italiano do bom andamento[21], que é extraído do art. 97, da Constituição da República Italiana[22]. Segundo a abalizada doutrina de Vicenzo Cerulli IRELLI, do princípio constitucional do bom andamento emergem dois outros de grande importância: o da eficiência e o da eficácia[23].
A eficácia, para a doutrina italiana, se constitui na capacidade de produzir concretamente os efeitos dos atos praticados pela Administração Pública[24]. E em sendo assim, a eficácia de algum modo leva em consideração o resultado do ato, pois para verificar se haverá produção de efeitos é preciso investigar a aplicação concreta do ato ou dispositivo.
Nessa perspectiva doutrinária, a eficiência e a eficácia detêm sentidos distintos e, por isso, alcance distintos[25]. O princípio da eficácia é menos abrangente do que o da eficiência.
No que se reporta ainda à eficácia, no Brasil ela é tratada como atributo de validez da norma jurídica no âmbito da Teoria Geral do Direito[26] e como a aptidão para produzir efeitos concretos no do Direito Administrativo[27], tal como sustenta voz qualificada da doutrina italiana há pouco comentada. Assim, um ato administrativo capaz é aquele que detém todos os elementos que o permitem produzir concretamente os seus efeitos no mundo do Direito, de sorte que deve a Administração Pública adotar somente soluções eficazes. A adoção de uma medida ineficaz compromete a sua exeqüibilidade, vale dizer, o ato administrativo ineficaz perde o atributo de exeqüível, o que obstacula a sua aplicação concreta.
A partir dessas premissas, só cabe a análise da eficiência do ato administrativo depois de se ter verificado que é eficaz[28]. No caso da informática, somente poderá ser escolhida e implementada se concorrerem as condições materiais, técnicas, econômicas e jurídicas.
Decorrem dos argumentos expostos duas importantes conclusões parciais: a) não é possível, do ponto de vista do regime-jurídico administrativo, priorizar os fins em detrimento dos meios. Os meios – somente os admitidos pelo direito positivo vigente e eficazes – são tão importantes quanto os fins; b) a informática ao ser utilizada pela Administração Pública deve revelar-se um meio e não um fim em si mesma. O valor informática não se configura como fim do ordenamento jurídico, mas um instrumento, um meio para se atingir fins.
Essas conclusões parciais revelam grande importância pois se apresentam como prudente contenção daqueles que pretendem implementar o sistema informático a qualquer custo na Administração Pública brasileira, colocando tal fenômeno como se fosse um fim a ser perseguido pelo Estado sem que, muitas vezes, haja o necessário amparo jurídico. Não é raro encontrarmos atos administrativos praticados de forma informatizada sem qualquer certificação digital e também sem a garantia de integridade do documento que abriga o seu conteúdo, o que torna o referido ato viciado, quando não se configura inexistente.

5. A adoção da informática como ato vinculado

Diante desse quadro que aponta para o fenômeno da informática como uma realidade irreversível, bem como para o princípio da eficiência da Administração Pública na Constituição Federal vigente, a adoção dos instrumentos informáticos pela Administração Pública, com o devido respeito à ordem jurídica, configura uma opção vinculada e não meramente discricionária como se poderia inicialmente supor[29].
É correto afirmar que as escolhas dos meios mais adequados para a realização do interesse público por parte da Administração Pública sempre foram dotadas de notório caráter discricionário. Pode-se citar como exemplo o dever do Estado de promover a educação prevista no art. 205 da Constituição da República. Os meios para atender a tal dever de ordem constitucional dependerá da escolha discricionária da Administração Pública, cujo critério adotado não poderá sofrer controle jurisdicional, ressalvado o seu uso incorreto, vale dizer, a escolha de opções que se encontram fora dos limites da razoabilidade[30]. Uma escolha carente de razoabilidade instaurará uma lesão que não é admitida pelo Direito, o que dará amparo jurídico ao referido controle jurisdicional, com base no art. 5.º, XXXV, da Constituição Federal[31].
Assim, quando se trata de promover a escolha entre instrumentos informáticos e não informáticos, a opção pelos segundos revela-se carente de razoabilidade. Noutros termos, não há, a rigor, liberdade do Administrador em fazer tal opção, devendo sempre adotar políticas e atos que possam promover a informatização da Administração Pública e também a inclusão digital da população. Note-se que nem sempre poderá a Administração Pública optar pela utilização de instrumentos informáticos por completa impossibilidade material, econômica ou mesmo jurídica. Mas a questão que ora se coloca é no sentido de que, em havendo tal possibilidade, a escolha revela-se vinculada em favor dos instrumentos informáticos. A Emenda Constitucional n. 19/98 chegou a determinar que parte do orçamento decorrente de economias fosse destinada à “modernização, reaparelhamento e racionalização do serviço público” (§ 7.º, do art. 39, CF), o que reforça toda a racionalidade até aqui exposta.
No que tange à situação de impossibilidade (material, técnica, econômica ou jurídica) de adotar instrumentos informáticos, configurará dever da Administração Pública tomar decisões para que no futuro possa criar condições para tanto, de maneira a atender ao princípio da eficiência.

Conclusões

Em face do exposto, pode-se apresentar as seguintes conclusões sintéticas:
1. A informática é um dos instrumentos de concretização da democracia e da eficiência, desde que bem empregada.
2. A informática deve ser compreendida como um instrumento para cumprir o princípio da eficiência e não como um fim em si mesma.
3. Presente as condições materiais, técnicas, econômicas e jurídicas, a adoção da informática na Administração Pública revela-se como um ato vinculado por força do princípio constitucional da eficiência e não discricionário.

REFERÊNCIAS

· AMARAL, Antônio Carlos Cintra do. O princípio da eficiência no Direito Administrativo. In: Revista diálogo jurídico. Salvador: CAJ Centro de Atualização Jurídica n. 14, junho-agosto, 2002. Disponível em: . Acesso em: 22 mar 2004.
AMARAL, Roberto. A democracia representativa está morta: viva a democracia participativa!. In: GRAU, Eros Roberto; GUERRA FILHO, Willis Santiago (orgs.). Direito Constitucional: estudos em homenagem a Paulo Bonavides. São Paulo: Malheiros, 2003.
CARVALHO FILHO, José dos Santos. Manual de direito administrativo, 10 ed., Rio: Lumen Juris, 2003.
COELHO, Paulo Magalhães da Costa. Controle jurisdicional da administração pública. São Paulo: Saraiva, 2002, p. 33
DALLARI, Dalmo de Abreu. Elementos de teoria geral do Estado. 19. ed.. São Paulo: Saraiva, 1995
· DI PIETRO, Maria Sylvia Zanella. Direito Administrativo. 16 ed. São Paulo: Atlas, 2003.
DINIZ, Maria Helena. Informática. Dicionário jurídico, v. 2, São Paulo: Saraiva, p. 837, 1998.
DUNI, Giovanni. Conferência de abertura do I Seminário Internacional de Direito Administrativo Eletrônico, Campos-RJ (Universidade Candido Mendes e Universidade de Estudos de Cagliari-Itália), 23 mar 2004. Texto original disponível em www.teleamministrazione.it.
· ______ Teleamministrazione. In Enciclopedia giuridica. Vol. XXX, Roma: Istituto della enciclopedia italiana, 1993
· FAGÚNDEZ, Paulo Roney Ávila. A virtualidade. In: Direito e informática. Barueri: Manole, 2004, p. 123-154.
IRELLI, Vicenzo Cerulli. Corso di diritto amministrativo. Torino: G. Giappichelli. 2002.
· KOOGAN/HOUAISS, Informática. In: Enciclopédia e dicionário ilustrado. Rio de Janeiro: edições Deltas, 1998, p. 867.
· MASI, Domenico de. Jornal do Brasil. Caderno Idéias. Ed. 23 nov 2003, Rio de Janeiro.
· MASUCCI, A., L’atto amministrativo elettronico. Primi lineamenti di una ricostruzione, Napoli [n. Ed.], 1989, [n.p.].
· MEDAUAR, Odete. Direito administrativo moderno. 6.ª ed. São Paulo: RT, p. 157.
· MEDAUAR, Odete. Direito Administrativo moderno. 6ª ed. Rev. e atual. Sâo Paulo: RT, 2002.
· PEREIRA JÚNIOR, Jessé Torres. Da reforma administrativa constitucional. Rio: renovar, 1999.
· ROUSSEAU, Jean Jaques. O contrato social. Princípios de direito político. Trad.Antônio de P. Machado. Rio: edições de ouro [n. a].
· SILVA, José Afonso da. Curso de direito constitucional positivo. 23ª ed. São Paulo: Malheiros, 2004, p. 653.
· VIRGA, Pietro. Diritto amministrativo. Atti e ricorsi. vl. 2. 6. ed. Atual. Milão: Giuffrè, 2001.

Notas_______________________________

Marcus Vinícius Filgueiras Júnior

Advogado. Professor de Direito Administrativo da Universidade Candido Mendes e da Universidade Estácio de Sá. Mestre em Direito Administrativo pela PUC/SP.

[1] DINIZ, Maria Helena. Informática. Dicionário jurídico, v. 2, São Paulo: Saraiva, p. 837, 1998.
[2] KOOGAN/HOUAISS, Informática. In: Enciclopédia e dicionário ilustrado. Rio de Janeiro: edições Deltas, 1998, p. 867. Vale a pena acrescentar a seguinte definição de informática: é a ciência e a tecnologia que se ocupa do armazenamento e tratamento da informação, mediante a utilização de equipamentos e procedimentos da área de procedimentos de dados (Nova enciclopédia Barsa. São Paulo: Barsa Consultoria Editorial Ltda., 2001, p. 119).
[3] Information science (also information technology) study or use of processes (esp. computers, telecommunications, etc) for storing, retrieving and sending information of all kinds (eg words, numbers, pictures). (Information. In Oxford advanced learner´s dictionary. Oxford: Oxford University press, 1993, p. 641).
[4] Disciplina che studia gli aspetti tecnici e scientifici dell'integrazione tra telecomunicazioni ed elaborazione elettronica. (Dizionario Gazanti. Telematica. Disponível em: . Acesso em: 27 out. 2003).
[5] MASI, Domenico de. Jornal do Brasil. Carderno Idéias. Ed. 23 nov 2003, Rio de Janeiro.
[6] DALLARI, Dalmo de Abreu. Elementos de teoria geral do Estado. 19. ed.. São Paulo: Saraiva, 1995, p. 123.
[7] AMARAL, Roberto. A democracia representativa está morta: viva a democracia participativa!. In: GRAU, Eros Roberto; GUERRA FILHO, Willis Santiago (orgs.). Direito Constitucional: estudos em homenagem a Paulo Bonavides. São Paulo: Malheiros, 2003, p. 46.).
[8] (...) somente a vontade geral pode por si só dirigir as forças do Estado (...). Para que uma vontade seja geral não é sempre necessário que seja unânime, porém necessita da contagem de todos os votos. Qualquer exclusão formal quebra a generalidade. (ROUSSEAU, Jean Jaques. O contrato social. Princípios de direito político. Trad.Antônio de P. Machado. Rio: edições de ouro. [n. a], p. 51 e 53 nota 08)
[9] DUNI, Giovanni. Conferência de abertura do I Seminário Internacional de Direito Administrativo Eletrônico, Campos-RJ (Universidade Candido Mendes e Universidade de Estudos de Cagliari- Itália), 23 mar 2004. Texto original disponível em www.teleamministrazione.it).
[10] Acerca dos resultados inovadores da teleadministração ver DUNI, Giovanni. Teleamministrazione. In Enciclopedia giuridica. Vol. XXX, Roma: Istituto della enciclopedia italiana, 1993
[11] AMARAL, Antônio Carlos Cintra do. O princípio da eficiência no Direito Administrativo. In: Revista diálogo jurídico. Salvador: CAJ Centro de Atualização Jurídica n. 14, junho-agosto, 2002. Disponível em: . Acesso em: 22 mar 2004.
[12] A administração pública gerencial constitui um avanço, e até um certo ponto um rompimento com a administração pública burocrática. (...) A diferença fundamental está na forma de controle, que deixa de basear-se nos processos para concentrar-se nos resultados, e não na rigorosa profissionalização da administração pública, que continua um princípio fundamental. (Plano Diretor da Reforma do Aparelho do Estado, nov 1995, disponível em <>. Acesso em 20 ago 2004).
[13] Bastante difundida é a idéia de que o Estado, a partir dessa reforma, deve praticar a eficiência como se fora uma empresa privada. Tal idéia é absolutamente incompatível com o ordenamento jurídico, isto porque os regimes jurídicos de direito privado e de direito público apresentam diferenças inconciliáveis. Acerca do tema, veja-se as observações do ilustre jurista Jessé Torres PEREIRA JÚNIOR: nas entrelinhas da explicitação, estaria a Emenda 19 a exortar a Administração Pública a operar como se empresa fora, com o fim de sanar suas desordens e mazelas internas, segundo compreensão político-ideológica que quer reduzir as funções do Estado e entregar ao capital privado a execução daquelas que o ente público vinha desempenhando, para que possa fazê-lo empresarialmente. Ocorre que, na empresa privada, a eficiência é instrumento para a perseguição do lucro, o que é legítimo. Na Administração, a axiologia é outra. O lucro não é o valor justificador das funções públicas. Cabe ao Estado promover o bem comum, a dignidade da pessoa humana, paz social, o que já se deduz do Preâmbulo da Constituição de 1988. (Da reforma administrativa constitucional. Rio: renovar, 1999, p. 44).
[14] Note-se que não há prejuízo para a metodologia jurídica a utilização de conclusões de outras ciências para auxiliar na tarefa da interpretação do Direito. A interdisciplinariedade não significa substituir o método jurídico pelo da ciência da Administração. Noutros termos, pode-se valer de conclusões e instrumentos de outras ciências auxiliares, mas desde que não se perca o objetivo da metodologia jurídica que é o estabelecimento de regime jurídico de fatos.
[15] Idem, ibidem.
[16] CHIAVENATO, Idalberto. Introdução à teoria geral da administração, 4ª ed., SãoPaulo: Mcgrow Hill, 1993, p. 238 apud AMARAL, Antonio Caros Cintra, op. cit.
[17] SILVA, José Afonso da. Curso de direito constitucional positivo. 23ª ed. São Paulo: Malheiros, 2004, p. 653.
[18] MEDAUAR, Odete. Direito administrativo moderno. 6.ª ed. São Paulo: RT, p. 157.
[19] BANDEIRA DE MELLO, Celso Antonio. Op. cit., p. 104.
[20] COELHO, Paulo Magalhães da Costa. Controle jurisdicional da administração pública. São Paulo: Saraiva, 2002, p. 33.
[21] BANDEIRA DE MELLO, Celso Antonio. Op. cit., p. 104.
[22] 97. Il pubblici uffici sono organizzati secondo disposizioni di legge, in modo che siano assicurati il buon andamento e l´imparzialità dell´amministrazione.
[23] Il principio di buon andamento, sul piano dell´attività deve intendersi come esigenza di buona amministrazione. (...) dove emergono i principi di efficienza ed efficacia dell´azione amministrativa (IRELLI, Vicenzo Cerulli. Corso di diritto amministrativo. Ed. atualizada até dez 2001. Torino: Giappichelli, 2002, p. 358).
[24] Idem, ibidem, p. 392
[25] Idem, ibidem.
[26] Ver FERRAZ JÚNIOR, Tércio Sampaio. Introdução ao estudo do Direito: técnica, decisão, dominação. 3. ed. São Paulo: atlas, 2001 e REALE, Miguel. Lições preliminares de direito. 16 ed. São Paulo: Saraiva, 1988.
[27] Trata-se de uma abordagem já tradicional no Direito Administrativo dada a essa matéria, normalmente versada juntamente com a análise da perfeição e da validade do ato administrativo. A validade do ato administrativo é considerada a compatibilidade do ato com o seu fundamento legal.
[28] É certo que o dever de verificação da eficácia do ato administrativo é uma decorrência direta das construções da Teoria Geral do Direito, pois compromete postulado científico jurídico elementar admitir a aplicação de uma norma que não detém capacidade de produzir efeitos. Até mesmo o KELSEN, na segunda edição de sua Teoria Pura do Direito, admitiu como atributo de validez da norma um mínimo de eficácia. No entanto, tal comando pode ser extraído do próprio Direito positivo, notadamente do art. 5.º da Lei de Introdução ao Código Civil, parte primeira, que determina ao aplicador da lei que atenda aos fins sociais ao aplicá-la. Tal comando se aplica ao Direito Administrativo também, pois se cabe ao Administrador Público executar a lei de ofício, não poderá aplicá-la em caso de incapacidade de produzir os fins para a qual foi criada.
[29] Lecionando sobre o princípio da eficiência, José dos Santos CARVALHO FILHO já inclui em seu conceito o dever da Administração Pública de recorrer à moderna tecnologia e aos métodos hoje adotados para obter qualidade total (Manual de direito administrativo. 10 ed. Rio: Lumen juris, 2003, p. 19).
[30] BANDEIRA DE MELLO, Celso Antônio. Discricionariedade e controle jurisdicional. 2. ed 2ª tiragem. São Paulo: malheiros, 1996, p. 23 a 25, 29 e 30, 96 e 97.
[31] Não é difícil verificar que o princípio da razoabilidade é também importante para a aplicação do princípio da eficiência.

Palestra de Giovanni Duni publicada na RDA-2004

2008-12-03T10:02:00.000-08:00

ESTÁGIO ATUAL DAS PESQUISAS EM TELEADMINISTRAÇÃO[1]-[2]

Prof. Giovanni Duni*

Uma cordial saudação a todos os participantes do Seminário de Direito Administrativo Eletrônico, na Universidade Candido Mendes, de Campos, no Brasil. Uma saudação especial ao colega Marcus Vinícius Filgueiras, que há tempo me contactou acerca das pesquisas sobre teleadministração e com o qual há uma promessa recíproca de intercâmbios culturais.
Pediu-me para ater-me ao texto escrito para permitir a tradução do que direi. Aceito o convite e falarei, então, lentamente.
No breve tempo de que disponho, tentarei dar um quadro muito sintético do estado da arte desta pesquisa, iniciada em 1978, e que prossegue e se desenvolve com indicações sempre mais circunstanciais para aquelas Administrações Públicas que desejam dar um salto de qualidade no uso eficiente da informática e da telemática. Na última parte da exposição, darei indicações a quem quiser aprofundar na matéria. Temos uma página na internet, no qual estão reportadas às pesquisas, à didática regular e às atividades do doutorado ().
Ao término mostraremos as suas páginas básicas.
A síntese a qual me limitarei será muito semelhante a um sumário. Será uma série de afirmações, que mereceria um comentário mais detido para o qual me falta tempo.
A idéia na base de toda a mudança revolucionária proposta no distante 1978 foi aquela de desmaterializar os atos jurídicos, isto é, de reconhecê-los válidos diretamente na forma eletrônica, com as adequadas garantias de autenticidade que o direito exige. Esta proposta inovadora não era estimulada por um instinto genérico para a inovação e para a modernidade a todo custo, mas por uma precisa constatação: nos fios de rede telemática não passam das cartas, mas somente as mensagens eletrônicas. Ademais, não havia muito sentido expedir uma mensagem velocíssima, uma mensagem eletrônica, se se precisa aguardar a chegada daquela no papel, como sendo a única válida. Essa informática que convive com os papéis foi por mim criticamente denominada de “informática paralela”, expressão que hoje é bastante difundida.
Inicialmente, gostaria de destacar que a passagem do papel à forma eletrônica é um evento que entra na história da evolução da civilização do homem. Sabemos, todavia, que formas de comunicação precederam por anos e decênios a sua aceitação por parte do direito. As operações jurídicas são um pouco como as cerimônias religiosas, nas quais o rito termina por ser parte mesma do valor que se defende e que se quer conservar. É difícil alterar as coisas no campo jurídico e no religioso fez-se através dos séculos.
Assim, a escrita no direito superou pelo cansaço a oralidade. A escrita à mão foi superada pelo cansaço por aquela feita por meios mecânicos. A própria máquina de escrever foi acolhida na Itália pelas leis notariais somente na segunda metade do século XX. Em todas essas mudanças sempre houve uma fase de uso paralelo do novo com o velho. A forma escrita dos atos jurídicos era, antigamente, só a documentação dos atos que eram válidos com base na “palavra dada”, ou seja, da oralidade (aqui o uso do escrito é como forma ad probationem). A constância com a qual vinha exigida a nova forma para os atos mais importantes levou a realidade a considerar que a escrita fosse a condição própria de existência desses atos (aqui a escrita tornou-se forma ad substantiam).
Nos últimos decênios, maiores dúvidas são colocadas em questão sobre a possibilidade de dar validade à forma eletrônica, sobre a causa da sua intangibilidade e do seu próprio desaparecimento, quando tem origem ligada apenas à memorização magnética. A facilidade de se apagar, intencional, por erros ou por defeitos fazia a forma eletrônica parecer efêmera quase como a oralidade. Mas a segurança dos sistemas de memorização, que podem também ser plúrimos e sobre suporte ótico não cancelável, têm chamado a atenção dos estudiosos do problema da conservação dos dados e aquele, mais importante do ponto de vista jurídico, da segura atribuição do ato ao seu autor.
O que há de particular nessa nova forma de comunicação? Quais os problemas que se põem para que possa tornar-se forma jurídica ad probationem e, sobretudo, ad substantiam? Alguns autores, a fim de acelerar a evolução, escreveram que a forma eletrônica era também uma forma escrita. A argumentação não era, no entanto, relevante porque daquele tempo até hoje se entende o ato escrito como ato subscrito. E certamente não pode ser subscrito o ato que reside no computador. Os desenhos digitais da assinatura, inseridos no final do documento, não conferem nenhuma garantia, pois qualquer pessoa poderá copiá-lo e inseri-lo ao final de outros escritos, com a finalidade de atribuir-lhe à pessoa que foi a autora daquele exemplar de assinatura desenhada.
Portanto, somos obrigados a percorrer outros caminhos. Mas aqui a tarefa do jurista se detém, pois nas regras de base da teleadministração está previsto que "a firma (eletrônica) consiste na identificação da identidade do operador por meio de técnicas sofisticadas", confiando, assim, o problema aos técnicos.
As soluções foram muitas. Hoje podem ser identificadas com:
Qualquer coisa que se conhece (password);
Qualquer coisa do próprio corpo: chaves biométricas (impressão digital, iris, e muitas outras);
Qualquer coisa que se possua: esta última solução se divide em outras duas:
Segundo a mais simples, possui-se um cartãozinho, que contém os códigos de identificação: na prática, uma password memorizada e que pode ser muito mais complexa do que aquela que de se recordar e digitar;
A solução mais evoluída prevê, ao contrário, a posse da chave para se apor a firma digital.
Todas essas soluções podem ser utilizadas isoladamente ou combinadas para melhorar a segurança nas intervenções jurídicas de maior importância. Para as mais velhas soluções sabemos que o caixa eletrônico prevê seja o cartãozinho, seja a digitação da password.
De qualquer forma, todas as soluções dividem-se em duas categorias:
Identificação de efeito momentâneo
Identificação que se incorpora ao documento
Entre todas aquelas mencionadas, somente a firma digital se incorpora ao documento.
As conseqüências desta diferença são muito importantes. A identificação momentânea (por exemplo, por meio da iris) garante que o operador é aquele que deve agir. Mas, de per si, a identificação momentânea impõe que o documento criado seja cuidadosamente guardado. Se o documento sai do sistema informativo da Administração Pública que o possui, perde todo o valor. As cópias possíveis são aquelas em papel, que um encarregado poderá certificar como "conforme o original" existente no sistema informativo da Administração Pública.
A firma digital, ao contrário, se incorpora ao documento e o segue em toda cópia que venha a ser feita. A tecnologia tem também resolvido outro problema de extrema importância no mundo do direito: aquele da datação. É possível que um ente habilitado certifique que a firma digital seja aposta em um determinado momento. Esta certificação se traduz na marcação temporal, que igualmente se incorpora ao documento.
Sobre estas soluções que a técnica colocou à disposição, o jurista não pode deixar de observar que a firma digital é seguramente superior às outras soluções. Password e biometria deixam o documento em permanente situação de perigo, relegada à imperfeita guarda da Administração Pública.
Mas a firma digital também contém defeito, qual seja aquele de ser relegada ao possuidor. Ela garante que quem emanou o ato possuía aquela chave para a firma digital, mas não garante que quem a usou tenha sido efetivamente o titular habilitado a usá-la. Pensemos nas hipóteses de desaparecimento, furto, consignação em confiança.
O ideal seria uma chave de firma digital que, para funcionar, exigisse uma confirmação biométrica da pessoa. Isto será possível para atos jurídicos de particular importância, pois se se pretendesse estender esses a todos esse sistema o custo revelar-se-ia excessivo. Na Itália se fala no objetivo de dotar todos os cidadãos de firma digital, eventualmente incorporada à carteira de identidade eletrônica. Para o cidadão comum será possível usar a firma digital, mas deverá dispensar muita atenção na sua guarda. A perda da chave da firma digital seria muito mais grave do que a perda do “bancomat” ou do cartão de crédito.
A Itália foi a primeira nação européia a adotar a solução da firma digital, com um regulamento de 1997. Mas a União Européia tem entendido necessário alterar a normativa, tornando-a menos rigorosa, distinguindo uma firma digital segura daquela do tipo comum.
Em comentário às últimas leis, posso dizer que, mesmo após cerca de 20 anos da idéia do valor jurídico da forma eletrônica, o legislador já desenhou o princípio base.
Todavia, a passagem da velha informática paralela à nova não se verificou ainda por causa de um importante esquecimento: partindo da premissa de que o ato administrativo em forma eletrônica seja válido, como se o produz?
Em toda esta minha exposição cometi um pequeno engano, ou melhor, falei com base numa simplificação irreal, ou seja, para simplificar o discurso, falei como se os atos administrativos fossem instruídos, valorados, controlados e decididos por uma só pessoa. Na realidade, todos os atos são fruto da atividade de mais órgãos no âmbito do procedimento administrativo. Os procedimentos administrativos mais importantes, entre outros, envolvem várias administrações separadas e autônomas.
Falta uma disciplina adequada para gerir esta complexa realidade. É necessário destacar fortemente que somente quando existir a disciplina do procedimento administrativo telemático se poderá produzir um ato administrativo eletrônico.
Hipoteticamente verifica-se varias soluções: utilizar o correio eletrônico certificado, usar os “formulários on line” ... Mas não posso caminhar além dessa problemática, cuja abordagem demandaria muito tempo.
No momento das escolhas, é de se recordar que estas devem considerar o fato de que a complexidade administrativa não tem limites. À época do Jubileu, o Prefeito de Roma observou que para uma intervenção urbanística eram necessárias 65 passagens burocráticas. Mas era ainda pouco. Sabemos que para uma conferência de serviços relativa à metropolitana de Roma era preciso locar uma sala cinematográfica, pois deveriam intervir (acreditem!) 185 autoridades.
Concluo, assim, sem comentar que estes dados indicam a importância das escolhas relativas ao tema dos procedimentos telemáticos. Com os presentes aqui em Cagliari poderemos abrir um debate.
Aos amigos brasileiros envio uma saudação especial cheia de calor latino, e desejo um bom trabalho no seminário sobre o Direito Administrativo Eletrônico. Obrigado.

Notas_______________________________________________________
[1] Conferência inaugural proferida por teleconferência no I Seminário Internacional de Direito Administrativo Eletrônico promovido pela Universidade Candido Mendes Campos e pela Universidade de Estudos de Cagliari, Itália, realizado no dia 23 de março de 2004, em Campos (RJ).
[2] Tradução autorizada de Marcus Vinícius Filgueiras Júnior.
* Professor Titular de Direito Administrativo da Faculdade de Direito da Universidade de Estudos de Cagliari, Itália; Diretor do Departamento de Direito Público e Estudos Sociais e Coordenador do Doutorado em Direito da Atividade Administrativa Informatizada e da Comunicação Pública, da mesma Universidade; e Presidente da Associazione Teleamministrazione.

Ato administrativo eletrônico e teleadministração. Perspectivas de investigação

2008-12-03T09:50:00.000-08:00

Referência da publicação:

FILGUEIRAS JÚNIOR, Marcus Vinícius. Revista de Direito Administrativo n. 237. Rio: Renovar/FGV, 2004, p. 243/264.

____________________________________________________________________

ATO ADMINISTRATIVO ELETRÔNICO E TELEADMINISTRAÇÃO. PERSPECTIVAS DE INVESTIGAÇÃO[1]

Sumário:
1. Saudações. 2. Do projeto “Direito Administrativo Eletrônico”. 3. Delimitação do tema. 4. Informática como instrumento democrático e de eficiência. 5. Teleadministração: conceito e seus resultados inovadores. 6. O Ato administrativo eletrônico, 6.1 O ato administrativo eletrônico e suas espécies; 6.2 Aspectos a serem investigados. Visão panorâmica; 6.2.1 A forma eletrônica; 6.2.2 O sujeito e a competência; 6.2.3 A garantia da integridade documental; 6.2.4 O processo administrativo eletrônico; 6.2.5 A publicidade; 6.2.6 Outros aspectos, 6.3 A validade da forma eletrônica do ato administrativo no Direito brasileiro. 7. Síntese conclusiva. Referências.

1. SAUDAÇÕES

Inicialmente, gostaria de agradecer à Universidade Candido Mendes de Campos-RJ, especialmente na pessoa do Prof. Marcos Bruno, pelo convite para vir desenvolver uma linha de pesquisa em Direito Administrativo. Desejo registrar vivamente o quanto fui bem recebido por esta Casa, pelos seus dirigentes, professores, funcionários e alunos. Muito obrigado.
Gostaria também de registrar o meu agradecimento ao Prof. Giovanni Duni, da Universidade de Cagliari, Itália, e também aos Doutorandos Daniele Marongiu e Valeria Floris pela generosa colaboração com a pesquisa que estamos começando a desenvolver.

2. DO PROJETO “DIREITO ADMINISTRATIVO ELETRÔNICO”

Antes mesmo de adentrar ao tema a mim reservado, revela-se necessário esclarecer que a pesquisa que estamos desenvolvendo junto à Universidade Candido Mendes, em Campos, intitulada “Direito Administrativo Eletrônico”, tem como objetivo geral a reelaboração da teoria do Direito Administrativo com vistas à implantação da teleadministração[2] na Administração Pública Brasileira. Noutras palavras, trata-se de uma investigação que pretende colaborar para o desenvolvimento do discurso científico do Direito Administrativo de maneira que possa alcançar o ato administrativo (e conseqüentemente o processo administrativo) praticado por meio da informática.
Essa pesquisa se justifica pelo fato da informatização mostrar-se um processo irreversível ao mesmo tempo em que se apresenta como um importante instrumento de participação democrática e uma fonte de maior efetividade dos serviços. Por isso, vem revelando-se também como uma imposição de ordem Constitucional, como mais adiante será demonstrado.
É certo que mencionar as virtudes que a informática pode proporcionar não afasta a realidade de que no Brasil não existe a inclusão digital maciça, porque boa parte da população não tem sequer o que comer. No entanto, a implementação da teleadministração ainda assim se justifica, pois tornará o Estado mais ágil e controlável, desonerando a atividade-meio e permitindo uma atuação mais eficaz e eficiente na atividade-fim, especialmente junto à população mais carente, que não participa da mencionada inclusão digital.
Sob um outro aspecto, constata-se que o Direito Administrativo não vem acompanhando essa evolução tecnológica, de maneira a configurar-se como um obstáculo à implementação de uma Administração Pública informatizada. Em última análise, cabe ao Direito Administrativo contribuir para a existência da teleadministração, reformulando seus conceitos e oferecendo sugestões para alterações normativas compatíveis com a ordem constitucional vigente. E é o que procuraremos realizar ao desenvolver a presente pesquisa na Universidade Candido Mendes-Campos.

3. DELIMITAÇÃO DO TEMA

A presente abordagem pretende refletir sobre alguns pontos acerca da possibilidade de existência jurídica do ato administrativo eletrônico, bem como suscitar outros pontos que merecem ser investigados para a sua adequada existência e validade. Para tanto, trataremos inicialmente de expor a idéia central do fenômeno denominado teleadministração – expressão cunhada pelo Prof. Giovanni Duni – que reflete a utilização da informática na Administração Pública, tal como será visto mais adiante.
É de se notar que as observações que serão aduzidas não têm o condão de esgotar a temática do ato administrativo eletrônico, muito ao contrário, pretendem ser uma provocação para que tal instituto seja objeto de reflexões e investigações científicas, de modo a colaborar para o desenvolvimento do Direito Administrativo Brasileiro.

4. INFORMÁTICA COMO INSTRUMENTO DEMOCRÁTICO E DE EFICIÊNCIA

A informática pode ser conceituada como ciência do tratamento lógico e automático da informação, compreendendo-se as técnicas e os meios relativos à coleta, tratamento e difusão de informações (Garcia Marques) [3].
Na mesma linha de entendimento, a informática pode ser considerada como a ciência do tratamento automático e racional da informação como suporte de conhecimentos e comunicações [4].
No mundo contemporâneo, é fácil verificar que a informática vem revelando-se como uma extraordinária causa e, ao mesmo tempo, como um resultado do avanço tecnológico.
Caracteriza-se como um resultado na medida em que apresenta programas e equipamentos cada vez mais eficientes no tratamento e processamento dos dados e também na medida em que difunde, a longas distâncias, os dados e resultados obtidos. Neste último caso, temos a telemática [5], que se caracteriza como um ramo da informática que estuda o tratamento da informação à distância e a sua respectiva integração.
Por outro lado, a informática é também causa do avanço tecnológico, uma vez que permite o acentuado progresso de outras áreas científicas que se valem dos programas e equipamentos informáticos para realizar as suas experiências e desenvolver novos conhecimentos. Pode-se verificar os exemplos mais comuns na medicina, na física, na astronomia, na astrofísica e em tantos outros ramos científicos.
Somente por esses fatores, pode-se dizer que a informática é um instrumento de grande importância ao desenvolvimento social[6].
No entanto, pode-se, por um outro ângulo de visão, observar a informática como um instrumento de concretização da democracia[7]. Para o real exercício democrático surgem dois pressupostos inafastáveis: o acesso à informação governamental e a possibilidade de participação do cidadão no Poder Público. Trata-se de assertiva amplamente apoiada na Constituição da República, tal como, exemplificadamente, pode-se ver no caput, inc. II e no § único, do art. 1.º; no inc. XXXIII, do art. 5.º; no caput, do art. 37; nos incisos I e II, do § 3.º, também do art. 37, dentre outros.
A informática – especialmente a telemática – permite a difusão de informações e a interatividade entre cidadãos do mundo inteiro. A rede mundial conhecida como internet é exemplo incontendível da capacidade democrática da informática. Por meio dela se tem acesso a informações e também por meio dela pode-se participar de modo efetivo e concreto de diversos processos mobilizatórios e até mesmo decisórios[8].
É notório que a informática foi inicialmente desenvolvida no seio da empresa privada, dada a sua maior capacidade de investimento, e notadamente nos países mais desenvolvidos.
O Estado, de certo modo, iniciou mais tarde o seu acesso ao mundo da informática em relação às empresas privadas. A Administração Pública, historicamente marcada pela morosidade até mesmo por causa do seu natural múnus público, somente depois começou a desfrutar das virtudes do mundo da informática. Mas tal desfrute ainda revela-se por demais tímido. A rigor, hoje a informática permite aos órgãos e entidades Administrativos comunicarem-se por meio de fac-símile ou mensagens eletrônicas, mas que funcionam apenas como instrumentos paralelos à Administração cartácea ou papelizada[9], já que só detêm validade na medida em que se revelam como representações temporárias de documentos e processos cartáceos.
No estágio em que se encontra a informática, acaba por tornar-se obrigatória a sua utilização por força do princípio da eficiência, previsto no caput do art. 37, bem como no inc. I, do seu § 3º, todos da Constituição Federal vigente. No entanto, é de se advertir que, a partir da imprescindível doutrina de Antônio Carlos Cintra do AMARAL[10], não concebemos o princípio da eficiência como aquele que, no bojo da denominada reforma administrativa, trazida pela Emenda Constitucional 19/98, privilegia os fins de modo a converter Administração Pública em administração de resultados (Administração gerencial, nos termos do Plano Diretor da Reforma Administrativa). Ao contrário, eficiência significa Administração que deve empregar os meios mais adequados para a realização da função administrativa. Portanto, a partir dessa racionalidade, é de importância capital destacar que a informática deve revelar-se um meio e não um fim em si mesma.
Mesmo com a ainda baixa utilização do instrumental informático, a atividade administrativa que se utiliza desse sistema vem proporcionando muitas indagações, e exigindo muitas reflexões, sobretudo considerando o regime jurídico de Direito Público ao qual se submete.
Nesse contexto, uma das manifestações pioneiras acerca de uma Administração Pública informatizada veio à luz na Europa, em 1978, com o estudo do Professor Giovanni DUNI, atualmente Professor Titular de Direito Administrativo da Universidade de Cagliari, Itália, intitulado L´utilizzabilità delle techiche eletroniche nell´emanazione degli atti e nei procedimenti amministrativi. Spunto per una teoria dell´atto amministrativo emanato nella forma elettronica., publicado na Rivista Amministrativa della Repubblica Italiana. Vol. CXXIX. Città di Castello (Perugia): Tappini, em 1978.
A partir dessa iniciativa e de outros estudos que se seguiram, consolidou-se na Itália, na última década, especialmente junto à Universidade de Cagliari (Sardenha), um movimento denominado de Teleadministração (Teleamministrazione), sob a regência do referido Professor.
Nesse particular é de se consignar que a Itália é um dos países mais avançados na Europa no que concerne a informatização da Administração Pública, o que muito se deve aos estudos desenvolvidos pela Universidade de Cagliari e em especial pelo Prof. Giovanni Duni.

5. TELEADMINISTRAÇÃO: CONCEITO E SEUS RESULTADOS INOVADORES.

Teleadministração pode ser conceituada como a Administração Pública telemática, cuja atividade, dotada de valor jurídico, é exercida por meio de terminais de computadores conectados a uma central de dados, que compõe, por sua vez, uma rede nacional de Administração Pública, com várias centrais de dados[11].
Há que se observar que, segundo o conceito acima exposto, a teleadministração não significa a mera comunicação de dados por meio eletrônico, tais como os decorrentes de fac-símile, teleconferência, ou mesmo mensagens eletrônicas, para que se convertam em documentos cartáceos posteriormente. Do mesmo modo, teleadministração não significa se valer de um computador para processar informações ou transmitir dados que subsidiarão a impressão do ato-final em documento-papel. Portanto, a teleadministração não se confunde com a teleburótica [12].
A teleadministração, em verdade, pressupõe a existência eletrônica de um ato administrativo, que seja válida juridicamente dentro do próprio ambiente digital, produzindo os efeitos como qualquer outro ato administrativo papelizado.
Nessa perspectiva costuma-se dizer que um dos objetivos da teleadministração é realizar uma Administração desmaterializada. Mas o sentido que se pretende imprimir a esta expressão é a da busca de uma Administração Pública sem documento-papel. A rigor, o dado digital é também real, do ponto de vista material. O fato de o dado digital caracterizar-se por energia e encontrar-se gravado em memória auxiliar dos computadores, não descaracteriza a sua existência concreta e, portanto, a sua materialidade.
São por essas razões que evitaremos utilizar a expressão virtual [13], para designar os instrumentos e os objetos da teleadministração, pois, ao nosso ver, os dados digitais são concretos[14]. Hoje se deve dispensar cuidado especial para se negar a existência de algo, exatamente pelo golpe histórico sofrido pelo materialismo. Notadamente após o advento da teoria da relatividade e dos avanços da física quântica, o “nada” que se une ao “nada” pode gerar algum elemento “concreto”[15]-[16]. Talvez a derrocada do materialismo tenha sido mesmo irreversível a partir dessa nova racionalidade que espalhou os seus efeitos por todas as searas do conhecimento humano.
Assim, tendo em conta todas essas observações, vale notar que o conceito de teleadministração ora proposto é mais específico ou mais rigoroso em relação ao conceito daqueles que admitem enquadrar como governo eletrônico a simples utilização de tecnologias avançadas por parte da Administração Pública [17]-[18] (teleadministração). Note-se que não estamos fazendo uma crítica a conceitos mais abrangentes de atuação informatizada da Administração Pública, mas tão somente pontualizando que a teleadministração pretendida pressupõe atribuir existência e validade jurídica a atos administrativos só encontráveis no ambiente digital.
Ademais, para bem dimensionar o fenômeno da teleadministração é preciso compreender que os seus objetivos revelam-se como um complexo de resultados inovadores[19] dos quais se pode destacar os seguintes: a total possibilidade de automatizar os denominados atos administrativos vinculados[20]; a maior precisão dos procedimentos, com revelação evidente das disfunções procedimentais, tal como ocorre em certificações da Administração que se mostrarão cada vez mais supérfluas; diminuição do número de situações equivocadas acerca da competência do ato administrativo, visto que o protocolo individual do servidor as inibiria[21]; a redução dos casos de disparidade de tratamento[22]; controle preventivo e tipológico dos atos administrativos[23]; facilidade e agilidade de pesquisa de documentos[24]; facilidade de levantamentos estatísticos por parte do Estado[25]; possibilidade de melhor organização do trabalho como, por exemplo, a possibilidade de fixar critérios de produtividade que possam ser verificáveis, podendo surgir inclusive a autorização para o trabalho a domicílio; abertura do sistema aos particulares, de modo a permitir uma participação mais efetiva do cidadão na Administração Pública, além de permitir – em muitos casos – a comunicação direta com o Administrado e evitar o envio postal de cartas/intimações ou mesmo evitando o comparecimento desnecessário do Administrado à repartição pública[26]; os servidores públicos diminuiriam o número de viagens a serviço, pois os órgãos se comunicariam pelos terminais validamente, o que redundaria numa maior presença dos serventuários em suas repartições, proporcionando um atendimento mais eficiente; maior motivação dos servidores públicos ao verificarem que estão participando de uma Administração moderna e mais eficiente; impossibilidade de perda de documentos, pois serão armazenados em diversas memórias auxiliares, em órgãos com sedes diversas com tecnologia “Worm” (discos de alta capacidade não regraváveis); a conversão de muitos atos administrativos autônomos – emanados em tempos, lugares e por autoridades diversos – em atos administrativos complexos, pois poderão contemplar a atuação de vários agentes em um só ato, como decorrência da rede informática interligada[27], entre outros resultados.
A partir desse quadro, vale consignar que não pode ser considerado como objetivo primário, em si mesmo, da teleadministração, a eliminação do documento-papel tradicionalmente utilizado para a veicular os atos da Administração Pública, mas sim um objetivo instrumental[28].
Inobstante, implantar a teleadministração pressupõe enfrentar a questão da existência do ato administrativo eletrônico, sem papel. Como decorrência disso, a eliminação de arquivos, papéis, fichários, transporte de documentos será uma conseqüência natural.

6. ATO ADMINISTRATIVO ELETRÔNICO

6.1 O ato administrativo eletrônico e suas espécies
Compreendido o conceito básico de teleadministração, passemos a refletir sobre a via técnico-jurídica das ações da Administração Pública informatizada: o ato administrativo eletrônico.
Como bem salientou Alessandro USAI[29], a denominação Ato administrativo eletrônico é ambígua, pois por meio dela pode-se designar o ato administrativo tradicional, que é redigido em forma eletrônica, cuja autoria é do servidor o qual teve a sua identificação fixada pela certificação digital, incorporada ao ato no momento de sua expedição; bem como aquele ato administrativo elaborado diretamente pelo computador, cuja autoria é atribuída ao próprio sistema informático e não ao servidor cuja firma eletrônica estaria consignada no referido documento. A rigor, como se verifica, são duas espécies de atos eletrônicos.
Nesse mesmo sentido, Daniele MARONGIU, doutorando pela Universidade de Cagliari, adverte em sua tesi di laurea sobre a necessidade de se estabelecer essa diferença. O referido autor, então, passou a referir-se aos atos da primeira espécie, como atos administrativos eletrônicos e aos da segunda espécie como atos administrativos automáticos ou de elaboração eletrônica [30].
Para efeito da presente exposição, utilizaremos a expressão ato administrativo eletrônico como gênero, que, por sua vez, subdivide-se nas seguintes espécies: a) ato administrativo eletrônico tradicional, que é aquele ato emanado por um agente público, cuja forma é eletrônica; b) ato administrativo eletrônico automático, que é aquele ato administrativo cuja forma é também eletrônica, mas que foi gerado pelo próprio sistema informático de modo automático, sem a intervenção imediata do servidor. Neste caso a intervenção do servidor acontece no ato-programa, que, a rigor, funciona como um pressuposto procedimental ou processual do ato[31]. Por seu turno, o ato administrativo eletrônico automático poderá ainda apresentar duas outras subespécies; b.1) ato administrativo eletrônico totalmente automático; e b.2) ato administrativo eletrônico parcialmente automático. Por vezes não será possível a automatização completa de um ato administrativo, sendo possível apenas parcialmente. A completa automatização dos atos administrativos eletrônicos encontra limitações sobretudo no que se refere à discricionariedade[32].
Em seguida, abordaremos os aspectos gerais a serem investigados para a construção de uma teoria dos atos administrativos eletrônicos, que serão objeto da mencionada pesquisa em curso na Universidade Candido Mendes, em Campos.
Traçada a visão panorâmica, apresentaremos uma análise introdutória da possibilidade de existência do ato administrativo eletrônico perante o Direito Administrativo Brasileiro.

6.2 Aspectos a serem investigados. Visão panorâmica

6.2.1 A forma eletrônica
É de se observar que entre as duas espécies de ato mencionadas – ato administrativo eletrônico tradicional e ato administrativo eletrônico automático – , há um ponto comum a ser investigado, que é a validade da forma eletrônica[33] perante o Direito positivo brasileiro. O objetivo dessa investigação é desenvolver uma teoria jurídico-administrativa capaz de amparar a existência plenamente válida de um ato administrativo eletrônico.
Acreditamos, ao que tudo indica, que esta investigação terá um tom nitidamente crítico do Direito positivo, o que alcançará um patamar ultrajurídico. No entanto, buscando apresentar soluções para permitir a existência eletrônica válida do ato administrativo, procuraremos apresentar soluções legislativas compatíveis com o sistema constitucional vigente. Dados os objetivos da pesquisa, cremos que seria destituída de utilidade prática mantermo-nos no plano dogmático e apenas reconhecer os obstáculos jurídicos para cumprir tais objetivos da teleadministração.

6.2.2 O sujeito e a competência
No que se reporta à competência (pressuposto subjetivo de validade) ambas espécies de ato administrativo exigem também investigação, mas por aspectos distintos. O assim denominado ato administrativo eletrônico tradicional, requer a investigação acerca da identificação do agente emissor do ato, o que exige o seu reconhecimento por meio de um sistema digital válido e seguro. Trata-se da investigação das certificações das firmas eletrônicas ou digitais[34]. Acresce-se que essas investigações não afastam a indagação tradicional – necessária em qualquer ato administrativo – no sentido de se saber se o agente devidamente indentificado detém competência para a expedição de tal ato.
Enquanto isso, o ato administrativo eletrônico automático requer, antes de investigar os pontos relativos à competência acima alinhados, a investigação da existência do sujeito (pressuposto subjetivo de existência). É de se registrar que a existência do sujeito, na teoria clássica do ato administrativo, é um pressuposto de existência do ato[35]. Se não existe o sujeito, não há que se falar na possibilidade de emanação de qualquer ato.
Do ponto de vista do ato administrativo eletrônico automático, a teoria clássica poderá sofrer ligeira alteração, na medida em que se poderá admitir a existência do sujeito apenas para a construção do ato-programa (pressuposto procedimental do ato), que é, a rigor, o ato do qual emanará o ato administrativo principal. E essa ligeira alteração poderá implicar em substancial mudança da teoria do ato e do fato jurídicos, já que para distinguir tais conceitos jurídicos, o critério refere-se à presença do sujeito[36].

6.2.3 A garantia da integridade documental
Um aspecto novo é a garantia de integridade dos documentos em forma eletrônica, sobretudo considerando o regime de Direito Público ao qual se submete o ato administrativo. Falar em documento eletrônico no âmbito do Direito Administrativo implica em apresentar garantia de que o documento não poderá ser alterado ou apagado, sob pena de torná-lo mais efêmero do que a própria palavra falada. E a tecnologia já oferece solução por meio do recurso conhecido como “Worm”[37], encontrado no sistema dos CD´s ópticos não regraváveis. Mas a legislação ainda não a exige, o que decerto é de se recomendar alterações para que o ato administrativo possa existir válida e seguramente.

6.2.4 O processo administrativo eletrônico
Outro ponto que merecerá cuidadoso exame é o relativo ao processo[38] administrativo eletrônico. A doutrina tem chamado atenção para o fato de que não é possível a edição de ato administrativo isoladamente[39]. Nenhum ato nasce instantaneamente, mas com base numa série de atos preparatórios, por mais singelo que seja o ato administrativo. Assim é com a licitação, que é consubstanciada em processo com diversos atos que visam a edição do ato-final, que é a adjudicação do objeto licitado ao vencedor. Também pode ser citado como exemplo o ato de investidura de um servidor, que requer processo devidamente instruído com todos os requisitos procedimentais: aprovação no concurso, nomeação e posse, com as respectivas publicações. Por tudo isso, o processo administrativo vem ocupando ponto central na doutrina do Direito Administrativo[40].
As razões da necessidade da atividade administrativa revestir-se de natureza processual repousam principalmente na peculiaridade do regime de Direito Público, que requer a documentação de elementos para que se viabilize a publicidade e o controle posterior[41], o que não ocorre no âmbito do Direito Privado.
A racionalidade acima exposta também se aplica à teleadministração. Não se poderia pensar em estudar o ato administrativo eletrônico sem relacioná-lo com o processo administrativo eletrônico, não só pelas razões acima aduzidas, mas também pelo fato de que a teleadministração permitirá que os diversos órgãos e entidades da Administração Pública passem a relacionar-se de modo mais efetivo, por meio da telemática, cuja relação será consubstanciada em processo administrativo[42].

6.2.5 A publicidade

A questão da publicidade também ensejará uma importante investigação, além de muitos debates. O problema a que se deve afrontar desde o início é aquele que, podemos dizer, clássico e não decorre do avanço tecnológico ou da informática. Trata-se de se pontuar se a publicação do ato administrativo refere-se à sua existência ou validade[43]. Noutras palavras, se a publicação compõe a materialidade do ato administrativo, só se pode falar na sua existência após tê-la sido efetuada. Em caso contrário, isto é, se se entender que a publicação não compõe a materialidade do ato, não haverá a necessidade de ser publicado para que possa existir. Nesse último caso, a publicação seria apenas um requisito de validade[44]. E a questão ganha importância ao se pensar no ato administrativo eletrônico e no processo administrativo eletrônico, que requererá seguro modo de acesso e divulgação, que certamente levará em consideração a própria internet[45].

6.2.6 Outros aspectos
Pois bem, ainda há vários aspectos a serem explorados na pesquisa que se pretende aprofundar, tais como o das específicas formas de acesso aos atos do processo eletrônico, o dos vícios do ato administrativo eletrônico e de seu controle, a da discricionariedade e a automação do ato. No entanto, tendo em vista a proposta inicial e o fato de que os pontos aqui noticiados já representam muito trabalho a ser desenvolvido, passaremos a apresentar as primeiras indagações acerca das possibilidades de existência do ato administrativo eletrônico perante o Direito Administrativo brasileiro.

6.3 A validade da forma eletrônica do ato administrativo no Direito brasileiro

O ato administrativo tradicional tem, via de regra, a sua forma representada em papel, em cuja superfície são impressos os textos dos quais se extrai o conteúdo. Normalmente, exige publicação em meio oficial, que se dá, do mesmo modo, por meio impressão papelizada.
Relembre-se, antes de mesmo de adentrar ao tema propriamente dito, com base na doutrina de Celso Antônio BANDEIRA DE MELLO, que a forma a que aludimos é o revestimento exterior do ato, que lhe confere a possibilidade de existir no mundo jurídico e, por isso, caracteriza-se como elemento existencial do ato administrativo. É dizer, um ato administrativo sem forma é um ato imperfeito, é um ato inexistente vez que não se manifestou no mundo. Enquanto isso, a formalidade (ou formalização), que é a específica forma pelo qual um ato se apresenta, configura-se um pressuposto de validade.
Do ponto de vista jurídico, destacar a diferença dos planos de existência e validade[46] da norma jurídica (e do ato administrativo como norma individual) tem grande relevo. Basta dizer que o ato carente de forma – ato inexistente ou mero fato administrativo – não é passível de impugnação, invalidação ou revogação, pois não se impugna ou retira o não-ato, ou seja, não se remove um fato administrativo. E, por outro lado, com bem leciona BANDEIRA DE MELLO, para ser invalidado, o ato precisa existir, pois, por uma questão de lógica, só se consegue retirar do ordenamento jurídico um ato que existe dentro dele[47]. De outra sorte, a lógica também restaria comprometida caso se aceitasse o entendimento da inexistência de um ato que produz concretamente seus efeitos no mundo.
Essas últimas duas constatações auxiliam na demonstração de que é equivocado o entendimento de que os atos nulos não produzem efeito. Os atos nulos produzem efeitos nefastos e, exatamente por isso, precisam ser retirados. Por tudo isso, fundamental é a diferença entre forma e formalidade[48].
Feitas essas observações preliminares, passemos a verificar como Direito brasileiro trata a forma do ato administrativo.
A Lei 9.784/99, que rege o processo administrativo no âmbito federal[49], estabelece que os atos administrativos devem ser produzidos por escrito, em vernáculo, com data e local de sua realização e a assinatura da autoridade responsável.(art. 22, § 1.º).
Decorre do preceito transcrito que a forma papelizada parece ser uma exigência inafastável, considerando a visão tradicional de que o escrito consta de documento-papel. Nesse passo, impossibilitada restaria a forma eletrônica.
No entanto, com o advento da Medida Provisória n. 2.200-2, de 24 de agosto de 2001, que ainda vigora[50], a questão passa a merecer novas reflexões. A referida MP disciplina o sistema da Infra-Estrutura de Chaves Públicas Brasileira (ICP-Brasil), transforma o Instituto Nacional de Tecnologia da Informação em autarquia, além de disciplinar a validade dos documentos eletrônicos.
O art. 10, da MP 2.200/2001 assim dispõe:
Art. 10. Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.
§ 1.º As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumen-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei 3.071, de 1º de janeiro de 1916 – Código Civil.[51]
§ 2.º O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa.
A partir da leitura desses dispositivos, a indagação que se põe é a seguinte: poderá o ato administrativo em forma eletrônica ser considerado escrito para os efeitos da Lei 9.784/99, a partir do art. 10 da MP 2.200/01, de maneira a dar-lhe existência jurídica?
Apenas admitir que o ato eletrônico é também escrito não resolve a contento o problema, isto porque, como bem salienta o Prof. DUNI, por ato escrito entende-se aquele ato que é subscrito[52]-[53], o que não se poderá assim considerá-lo pelo simples fato de ser eletrônico, dado as inegáveis questões que envolvem a assinatura eletrônica. Desse modo, para se considerá-lo escrito e subscrito requer-se a identificação de uma assinatura eletrônica segura e confiável.
No caso da MP 2.200/01, a certificação digital provinda da ICP-Brasil é atualmente o sistema oficial para atribuir validade à assinatura digital dos documentos eletrônicos. Logo, pode-se afirmar que o ato administrativo eletrônico emitido com base no sistema de certificação eletrônica da ICP-Brasil é considerado um ato escrito e também subscrito. E em sendo o sistema oficial, criado por Lei (Medida Provisória, por enquanto), a ninguém é dado desconhecê-lo ou mesmo argüir em defesa o seu desconhecimento, tal como enuncia o art. 3.º da Lei de Introdução ao Código Civil. Por tudo isso, é o § 1.º, do art. 10 da MP, que, em princípio, dá amparo à existência jurídica do ato administrativo eletrônico.
A contrário senso, o § 2.º, do art. 10, da referida MP, é inaplicável aos atos administrativos eletrônicos. Isso porque o dispositivo admite como válida a certificação digital provinda de outro sistema, bastando ser acordada pelas partes. Ora, tal disposição tem nítida feição de Direito Privado. Um acordo entre a Administração Pública e o Administrado não é o suficiente para legitimar o ato, porque não será um meio oficial, e com base em lei, para a sua emissão. Note-se que as relações jurídicas de Direito Administrativo formam-se ao influxo finalidades gerais, previstas no ordenamento jurídico e não de vontades de seus participantes. Como afirmara Ruy Cirne LIMA, o fim – e não a vontade – domina todas as formas de administração[54]. Por conseqüência, a vontade das partes não poderá eleger uma condição de existência de um ato administrativo, que a todos interessa e não somente às partes. Noutras palavras, todo cidadão tem o Direito de ver os atos administrativos eletrônicos editados por meio do sistema de certificação digital oficial e não por um sistema, que as partes elegeram, diferente do oficial, que é fixado por lei,[55].
Aliás, na oportunidade, é de se observar que a Medida Provisória em referência foi construída em sua totalidade com o espírito do regime de Direito Privado, exigindo do intérprete maior dificuldade para aplicação nas relações de Direito Público. O fato de se reconhecer que a MP faz referência a documento público ou mesmo a certificação de assinatura digital por meio de órgão público não afasta a crítica que ora se faz, a qual se volta para o regime jurídico das relações e documentos nela tratados.
No que tange à existência jurídica dos atos eletrônicos, o Direito comparado tem percorrido o mesmo raciocínio jurídico. Na Itália, cuja normação já se encontra mais evoluída, chegou-se a mesma conclusão no que se refere à possibilidade de admitir a existência do ato administrativo eletrônico e de considerar atendida a exigência de ato escrito. Nesse sentido se pode citar, além do Prof. DUNI, os administrativistas Pietro VIRGA[56] e Vicenzo Cerulli IRELLI[57].
Na França a questão foi posta mais decisivamente pela reforma do Código Civil, de 13 de março de 2000. O artigo 1316 estabelece que os escritos elaborados sob a forma eletrônica são admitidos como prova do mesmo modo que os escritos em papel (Art. 1316-1). Acrescenta que os escritos sobre o suporte eletrônico têm a mesma força probante daquele escrito em suporte de papel (Art. 1316-3)[58].
É de se ressaltar que a análise até aqui desenvolvida limita-se ao plano da existência do ato administrativo eletrônico. Portanto, cuidamos de analisar se a forma eletrônica pode ser considerada de tal maneira que possa cumprir o ciclo mínimo para conferir existência ao ato jurídico administrativo.
No entanto, como bem esclarece Valérie SÉDALLIAN, em artigo sobre o arquivo dos atos eletrônicos, diretamente ligado à forma eletrônica está a necessidade de conservação da integridade do ato administrativo eletrônico. Essa necessidade requer que o ato eletrônico seja expedido com base em tecnologia que garanta a sua conservação segura, de maneira que possa ser posteriormente acessado e, então, controlado[59].
Pode-se reconhecer que, em princípio, a necessidade da integridade estaria ligada à formalidade ou formalização, que se revela como um pressuposto de validade jurídica do ato administrativo e não de existência. No entanto, para efeito do ato administrativo eletrônico, a questão, se bem analisada, converte-se em pressuposto de existência, na medida em que a ausência de segurança tornará o ato eletrônico de tal modo volátil, que permitirá o seu fácil desaparecimento.
Diante de tal constatação, é de se indagar se o prescrito pelo § 1.º do art. 10 da MP 2.200/01 já seria o suficiente para garantir a existência do ato administrativo. Considerando a grave repercussão da volatilidade do ato relativamente a sua conservação, a resposta deveria ser negativa. No entanto, a mera declaração do poder público de que o sistema é seguro, de que os atos não poderão ser alterados ou subtraídos poderá, do ponto de vista jurídico, surtir efeito, por causa da presunção de legitimidade da declaração administrativa.
Mas, inobstante a solução apontada, é de todo recomendável que o Direito Positivo exija que os atos eletrônicos sejam gravados em superfícies ópticas que não permitam alterações posteriores, bem como de que haja cópias de segurança realizadas sob as mesmas condições. E mais: que se torne obrigatória para a Administração a adoção permanente de políticas de segurança.

7. SÍNTESE CONCLUSIVA

Em face da exposição, pode-se apresentar as seguintes conclusões sintéticas:
1. A informática é um dos instrumentos de concretização da democracia e da eficiência, desde que bem empregada.
2. Considerando esse aspecto, a informática revela-se de uso obrigatório por força do princípio constitucional da eficiência.
3. A teleadministração é a Administração Pública telemática cuja atividade, dotada de valor jurídico, é exercida por meio de terminais de computadores conectados a uma central de dados, que compõe, por sua vez, uma rede nacional de Administração Pública, com várias centrais de dados.
4. Como vantagens da teleadministração pode-se citar os seguintes resultados inovadores: a total possibilidade de automatizar os denominados atos administrativos vinculados; a maior precisão dos procedimentos, com revelação evidente das disfunções procedimentais, tal como ocorre em certificações da Administração que se mostrarão cada vez mais supérfluas; diminuição do número de situações equivocadas acerca da competência do ato administrativo, visto que o protocolo individual do servidor as inibiria; a redução dos casos de disparidade de tratamento; controle preventivo e tipológico dos atos administrativos; facilidade e agilidade de pesquisa de documentos; facilidade de levantamentos estatísticos por parte do Estado; possibilidade de melhor organização do trabalho como, por exemplo, a possibilidade de fixar critérios de produtividade que possam ser verificáveis, podendo surgir inclusive a autorização para o trabalho a domicílio; abertura do sistema aos particulares, de modo a permitir uma participação mais efetiva do cidadão na Administração Pública, além de permitir – em muitos casos – a comunicação direta com o Administrado e evitar o envio postal de cartas/intimações ou mesmo evitando o comparecimento desnecessário do Administrado à repartição pública; os servidores públicos diminuiriam o número de viagens a serviço, pois os órgãos se comunicariam pelos terminais validamente, o que redundaria numa maior presença dos serventuários em suas repartições, proporcionando um atendimento mais eficiente; maior motivação dos servidores públicos ao verificarem que estão participando de uma Administração moderna e mais eficiente; impossibilidade de perda de documentos, pois serão armazenados em diversas memórias auxiliares, em órgãos com sedes diversas com tecnologia “Worm” (discos de alta capacidade não regraváveis); a conversão de muitos atos administrativos autônomos – emanados em tempos, lugares e por autoridades diversos – em atos administrativos complexos, pois poderão contemplar a atuação de vários agentes em um só ato, como decorrência da rede informática interligada, entre outros resultados
5. A via técnico-jurídica para a realização da atividade da Teleadministração é o ato administrativo eletrônico, que é o ato administrativo emitido em forma eletrônica.
6. Muitos pontos devem ainda ser investigados acerca do ato administrativo eletrônico, dos quais se pode citar a possibilidade jurídica da forma eletrônica, a questão que envolve a identificação do agente público e a competência, a do processo administrativo eletrônico, a do controle, a dos vícios, a garantia da integridade, a discricionariedade em relação aos atos automáticos, entre outros pontos.
7. A Lei 9.784/99 exige que o ato seja escrito e assinado pela autoridade competente.
8. Com o advento da Medida Provisória 2.200/01, que, entre outras providências, dispôs sobre a validade dos documentos eletrônicos emitidos pela ICP-Brasil, é correto admitir a possibilidade de existência do ato administrativo em forma eletrônica, mas desde que seja emitido pelo sistema da ICP-Brasil (§ 1.º, do art. 10) e também que haja declaração formal do órgão emissor do ato de que o sistema de arquivo e conservação do documento eletrônico seja seguro.
9. Com relação à segurança no arquivo e conservação dos documentos, recomenda-se que, urgentemente, seja alterada a MP no sentido de exigir por parte dos entes públicos a utilização de tecnologia “worm” ou equivalente, e também a adoção permanente de políticas de segurança.
10. Não se aplica aos atos administrativos eletrônicos o § 2º, do art. 10, da referida Medida Provisória 2.200/01, que admite a existência de documento eletrônico com base em sistema diverso da ICP-Brasil, eleito por acordo entre as partes. Tal dispositivo tem nítida característica de Direito Privado.

REFERÊNCIAS

· AMARAL, Antônio Carlos Cintra do. O princípio da eficiência no Direito Administrativo. In: Revista diálogo jurídico. Salvador: CAJ Centro de Atualização Jurídica n. 14, junho-agosto, 2002. Disponível em: . Acesso em: 22 mar 2004.
· AMARAL, Roberto. A democracia representativa está morta: viva a democracia participativa!. In: GRAU, Eros Roberto; GUERRA FILHO, Willis Santiago (orgs.). Direito Constitucional: estudos em homenagem a Paulo Bonavides. São Paulo: Malheiros, 2003.
· ANTOCICCO, S., Le norme per l’E.D.I., Relatório da Convenção CEIIL. In: La legislazione italiana di fronte all’informatica nel mercato unico europeo - Roma, 3 de dezembro, 1991.
· BANDEIRA DE MELLO. Celso Antônio. Curso de Direito Administrativo. 15 ed. rev e amp. São Paulo: Malheiros, 2003.
· ______ Discricionariedade e controle jurisdicional. 2. ed. São Paulo: Malheiros, 1996.
· BOBBIO, Norberto. Teoria generale del diritto. Torino: Giappichelli, 1993.
· CASSAGNE, Juan Carlos. Derecho administrativo. T. I 7.ª ed. Buenos Aires: Abeledo-Perrot, Lexis Nexis, 2002.
· COSTA, Lopes da, Manual Elementar de Direito processual civil. 3.ª ed. Rev. e atual. por TEIXEIRA, Sávio de Figueiredo. Rio: Forense, 1982.
· DALLARI, Dalmo de Abreu. Elementos de teoria geral do Estado. 19. ed.. São Paulo: Saraiva, 1995
· DI PIETRO, Maria Sylvia Zanella. Direito Administrativo. 16 ed. São Paulo: Atlas, 2003.
· DINIZ, Maria Helena. Informática. Dicionário jurídico, v. 2, São Paulo: Saraiva, p. 837, 1998.
· Dizionario Gazanti. Telematica. Disponível em: . Acesso em: 27 out. 2003.
· DUNI, Giovanni. L´utilizzabilità delle techiche eletroniche nell´emanazione degli atti e nei procedimenti amministrativi. Spunto per una teoria dell´atto amministrativo emanato nella forma elettronica. In Rivista Amministrativa della Repubblica Italiana. Vol. CXXIX. Città di Castello (Perugia): Tappini., 1978.
· ______ Teleamministrazione. In Enciclopedia giuridica. Vol. XXX, Roma: Istituto della enciclopedia italiana, 1993.
· ______ et al. Firma digitale o garanzie biometriche? Cagliari, 10 jul 2000, disponível em www.teleamministrazioni.it, Acesso em ago 2003.
· ______ Conferência de abertura no I Seminário Internacional de Direito Administrativo, Campos-RJ, 23 mar 2004, disponível em www.teleamministrazione.it).
· FAGÚNDEZ, Paulo Roney Ávila. A virtualidade. In: Direito e informática. Barueri: Manole, 2004, p. 123-154.
· FERRAZ JR., Tércio Sampaio. Introdução ao estudo do Direito: técnica, decisão, dominação. 3. ed. São Paulo: atlas, 2001.
· FERRAZ, Sérgio; DALLARI, Adilson Abreu. Processo administrativo. São Paulo: Malheiros, 2001.
· FIGUEIREDO, Lúcia Valle. Curso de Direito Administrativo. 6.ª ed. São Paulo: Malheiros, 2003.
· FORTUNY, Maria Alejandra. A virtualidade informática e o sistema financeiro: paradoxos ineludíveis da sociedade pós-moderna. In: Direito e informática. Barueri: Manole, 2004, p. 109-122;
· GANDINI, João Agnaldo Donizeti et al. A segurança dos documentos digitais. Jus navigandi, Teresina, a. 6, n. 54, fev 2002. disponível em: .
· GORDILLO, Agustín. Tratado de derecho administrativo. Buenos Aires: FDA, Tomo I, 2003. Disponível em .
· IRELLI, Vicenzo Cerulli. Corso di diritto amministrativo. Torino: G. Giappichelli. 2002.
· JUSTEN FILHO, Marçal. Comentários à legislação do pregão comum e eletrônico. 2. ed. ver. atual. São Paulo: Dialética, 2003.
· ______. Comentários à lei de licitações e contratos administrativos. 7. ed., rev. ampl. São Paulo: Dialética, 2000.
· KAMINSKI, Omar. A evolução da certificação digital no Brasil. In: Direito e informática. ROVER, José Aires (org.). Barueri: Manole, 2004.
· KOOGAN/HOUAISS, Informática. In: Enciclopédia e dicionário ilustrado. Rio de Janeiro: edições Deltas, 1998, p. 867.
· LIMA, Ruy Cirne. Princípios de Direito Administrativo. 6 ed. São Paulo: RT, 1987.
· MARONGIU, Daniele. Gli atti amministrativi ad elaborazione elettronica. Tesi di Laurea. Cagliari, 2002, disponível em: http://spol.unica.it/teleamm/italiano/tesi/danielemarongiu/danielemarongiu.htm. Acesso em 02 mar 2004.
· MASI, Domenico de. Jornal do Brasil. Carderno Idéias. Ed. 23 nov 2003, Rio de Janeiro.
· MASUCCI, A., L’atto amministrativo elettronico. Primi lineamenti di una ricostruzione, Napoli [n. Ed.], 1989, [n.p.].
· MEDAUAR, Odete. Direito Administrativo moderno. 6ª ed. Rev. e atual. Sâo Paulo: RT, 2002.
· MELLO, Marcos Bernardes. Teoria do fato jurídico: plano da existência. São Paulo: Saraiva, 2000.
· MELLO, Rafael Munhos de. Processo administrativo, devido processo legal e a Lei 9.784/99. In: Revista de Direito Administrativo n. 227. p. 83-106, Rio: Renovar, 2002.
· Nova enciclopédia Barsa. São Paulo: Barsa Consultoria Editorial Ltda., 2001, p. 119
· PASOLINI, Piero. O futuro melhor que qualquer passado. Evolução ciência e fé. São Paulo: Cidade nova, 1983.
· QUADROS, Jaqueline Maria. Direito e informática. Barueri: Manole, 2004, p. 238.
· SÉDALLIAN, Valérie. L´archivage de l´acte électronique. 2002, p. 3. Disponível em . Acesso em 26 mar 2004.
· SKLAROWSKY, Leon Frejda. A informática e o mundo moderno. Jus navigandi, Teresina-PI, a. 4, n. 38, jan 2000. Disponível em: .Acesso em 16 fev 2004.
· SUNDFELD, Carlos Ari. Fundamentos de Direito Público, 4.ed. São Paulo: Malheiros, 2000.
· USAI, Alessandro. Le elaborazioni possibili delle informazioni. I limiti allá decisioni amministrative automatiche. In: Dall’informatica amministrativa alla teleamministrazione. Roma: Istituto poligrafico dello Stato, 1992. Disponível em . Acesso em 02 mar 2004.
· VIRGA, Pietro. Diritto amministrativo. Atti e ricorsi. vl. 2. 6. ed. Atual. Milão: Giuffrè, 2001.
[1] Palestra proferida no I Seminário Internacional de Direito Administrativo Eletrônico, promovido pela Universidade Candido Mendes e pela Universidade de Cagliari (Itália), em Campos dos Goytacazes (RJ), em 23 de março de 2004, revista e acrescida de notas.
[2] A expressão será explicada de modo mais detido no curso da exposição.
[3] DINIZ, Maria Helena. Informática. Dicionário jurídico, v. 2, São Paulo: Saraiva, p. 837, 1998.
[4] KOOGAN/HOUAISS, Informática. In: Enciclopédia e dicionário ilustrado. Rio de Janeiro: edições Deltas, 1998, p. 867. Vale a pena acrescentar a seguinte definição de informática: é a ciência e a tecnologia que se ocupa do armazenamento e tratamento da informação, mediante a utilização de equipamentos e procedimentos da área de procedimentos de dados (Nova enciclopédia Barsa. São Paulo: Barsa Consultoria Editorial Ltda., 2001, p. 119).
[5] disciplina che studia gli aspetti tecnici e scientifici dell'integrazione tra telecomunicazioni ed elaborazione elettronica. (Dizionario Gazanti. Telematica. Disponível em: . Acesso em: 27 out. 2003).
[6] É de observar que a informática pode também ser causa de alienação, desemprego e até mesmo de desagregação social. Tudo dependerá de como é utilizada. A questão, para Domenico de MASI, repousa sobre a capacidade de distribuir bem o trabalho. Vejamos as suas palavras: em todo o mundo, e especialmente no Brasil, há muito desemprego. Em parte, culpa disso é da robótica, do computador. É uma situação paradoxal. O computador veio para livrar o homem do trabalho burocrático e para poupar tempo que gastava com suas tarefas, para liberá-lo para o lazer, a família, o estudo. Mas, se o mesmo trabalho pode ser feito em menos tempo, ou se reduz a carga horária ou se reduz o número de trabalhadores. Infelizmente, a segunda solução foi a preferida. Mas é uma solução burra. Mais do que isso, é uma loucura. As pessoas estão trabalhando muito mais horas, enquanto as cidades estão cheias de desocupados. O desemprego depende, sobretudo, da boa distribuição do trabalho, da riqueza e do saber. Os comunistas sabiam distribuir, mas não sabiam produzir. Nós sabemos produzir, mas não sabemos distribuir o trabalho, assim como não distribuímos bem as riquezas e o saber (MASI, Domenico de. Jornal do Brasil. Carderno Idéias. Ed. 23 nov 2003, Rio de Janeiro).
[7] A expressão democracia está sendo usada no seu sentido formal e material. Quando se fala em governo do povo (DALLARI, Dalmo de Abreu. Elementos de teoria geral do Estado. 19. ed.. São Paulo: Saraiva, 1995, p. 123.) deve ser entendido que se trata não só de um povo que exerce a democracia indireta, com os seus instrumentos clássicos inerentes (sistema político representativo, o sufrágio, o referendo, entre outros) mas sobretudo que possa participar das decisões de seu país. Não há dúvidas de que, nesse particular aspecto da participação popular no governo, o sistema representativo revela uma crise inegável. Hoje já se sustenta a ilegitimidade da democracia representativa justamente pela identificação da falta de vontade popular nas decisões políticas (AMARAL, Roberto. A democracia representativa está morta: viva a democracia participativa!. In: GRAU, Eros Roberto; GUERRA FILHO, Willis Santiago (orgs.). Direito Constitucional: estudos em homenagem a Paulo Bonavides. São Paulo: Malheiros, 2003, p. 46.). Trata-se de uma doutrina da cidadania, calcada na interpretação do inc. II, do art. 1.º da Constituição Federal da República de 1988. A democracia participativa, em última análise, vem reclamando um saudável retorno à vontade geral de cunho rousseauniano.
[8] É interessante refletir sobre as diferenças de informações acerca da guerra do golfo e a da última guerra do Iraque, ocorrida recentemente. Diferentemente da guerra do golfo, na do Iraque a internet teve papel decisivo na difusão de informações, pois em muito divergiam das emanadas do governo norte-americano. Graças a essa ampla difusão de informações é que se pode revelar ao mundo, com força inquestionável, sobre as verdadeiras razões da invasão e dos ataques impostos ao Iraque e ao seu povo. Isso ensejou até mesmo uma mobilização transnacional contra o Governo Bush, por meio da rede mundial da internet.
[9] Esse estágio de informatização da Administração Pública é denominado criticamente pelo Prof. Duni de “informática paralela” (DUNI, Giovanni. Conferência no I Seminário Internacional de Direito Administrativo, Campos-RJ, 23 mar 2004, disponível em www.ucam-campos.br/projetos/dae).
[10] AMARAL, Antônio Carlos Cintra do. O princípio da eficiência no Direito Administrativo. In: Revista diálogo jurídico. Salvador: CAJ Centro de Atualização Jurídica n. 14, junho-agosto, 2002. Disponível em: . Acesso em: 22 mar 2004.
[11] L’espressione "teleamministrazione" significa amministrazione telematica e si riferisce essenzialmente all’attività, avente pieno valore formale, svolta dalla Pubblica Amministrazione a mezzo di terminali (o personal computers in prevalente funzione di terminali), collegati ad un centro elaborazione dati. Nella prospettiva globale ogni centro è a sua volta inserito in una rete nazionale della Pubblica Amministrazione.(DUNI, Giovanni. Teleamministrazione. In Enciclopedia giuridica. Vol. XXX, Roma: Istituto della enciclopedia italiana, 1993. Disponível em: . Acesso em: 14 jul. 2003.)
[12] Idem, ibidem.
[13] A expressão virtual possui vários significados, sempre representando ou uma realidade simulada ou efêmera. Vale conferir os significados conferidos à expressão pelo KOOGAN/HOUAISS, Enciclopédia e dicionário ilustrado, 3. ed. Rio: Seifer, Delta, 1998.
[14] Para uma análise mais ampla da relação entre virtualidade, realidade e a informática, ver FORTUNY, Maria Alejandra. A virtualidade informática e o sistema financeiro: paradoxos ineludíveis da sociedade pós-moderna. In: Direito e informática. Barueri: Manole, 2004, p. 109-122; e FAGÚNDEZ, Paulo Roney Ávila. A virtulalidade. In: Direito e informática. Barueri: Manole, 2004, p. 123-154.
[15] Einstein ficou muito conhecido por sua célebre equação acerca da transformação da energia em massa material e vice-versa (PASOLINI, Piero. O futuro melhor que qualquer passado. Evolução ciência e fé. São Paulo: Cidade nova, 1983, pp. 16).
[16] Acreditou-se, por algum tempo, que os átomos dos chamados corpos simples fossem os últimos componentes materiais. Mas bem cedo – como se sabe – verificou-se que o nome de “átomo”, (isto é, indivisível) estava errado; que também os átomos são feitos da união de outras partículas ainda mais simples: os prótons, os nêutrons e os elétrons. (...) Uma coisa que muito interessa aos físicos de hoje é descobrir se as partículas que compõem o átomo são simples e irredutíveis; ou então se, ao invés, também elas são, por sua vez, compostas de elementos de graus inferiores. (...) O resultado das pesquisas realizadas com essa potência de meios [aceleradores de partículas potentíssimos] foi o aparecimento de tantas novas que confundiram as idéias dos físicos mais aguerridos.(...) Daí nasceu um novo setor da Física, a física das partículas. (...) O mundo dessas partículas, através do seu curioso modo de comportar-se, do fundo da realidade material está nos enviando uma mensagem, que não diz respeito apenas aos físicos mas também aos filósofos. São as últimas idéias sobre a composição das partículas, que estão nos revelando essa mensagem. Trata-se da teoria dos “quarks”. (...) os quarks foram concebidos como reais componentes das partículas; mas não existem isolados, e sim apenas em combinação entre si, para dar origem a cada uma das partículas. Não é possível romper uma partícula para isolar os quarks; estes não podem existir em estado individual. (PASOLINI, Piero, op. cit., pp. 15-18.) Analogicamente, talvez o dado digital possa ser considerado o quark, do ponto de vista da existência material, pois não existe de per si; depende do computador para ser lido, interpretado e ganhar existência visível aos olhos do usuário do próprio computador. Mas essa dependência de outro elemento não elimina a sua materialidade como energia registrada nas superfícies das memórias auxiliares.
[17] Do ponto de vista terminológico, a expressão governo eletrônico vem sendo empregada em sentido semelhante ao aqui proposto para a teleadministração. Essa expressão é a tradução da norte-americana eletronic government, que vem sendo abreviada para e-government ou simplesmente e-gov, bem ao gosto do pragmatismo norte-americano. Preferimos, no entanto, a expressão teleadministração por referir-se à Administração e não a governo, que é apenas a parte alta da Administração Pública de qualquer Estado juridicamente constituído.
[18] Para Jaqueline Maria QUADROS governo eletrônico é a utilização, por parte do setor público, das novas tecnologias de informação e comunicação, em especial a internet, para a prestação de melhores serviços, disseminação de informações, controle das contas públicas, redução de custos administrativos e ampliação das possibilidades de participação dos cidadãos na Administração Pública. In: Direito e informática. Barueri: Manole, 2004, p. 238.
[19] DUNI, Giovanni, op. cit.
[20] Os atos administrativos vinculados são aqueles atos que não reclamam a participação subjetiva do Administrador Público. Exemplo: o ato administrativo que defere o pedido de exoneração de um servidor é classificado como ato administrativo vinculado. De outro lado, tem-se os atos administrativos discricionários que reclamam a participação dos critérios administrativos de conveniência e oportunidade eleitos pelo próprio Administrador. Exemplo de ato discricionário é a aprovação de um projeto para patrocínio, como atividade de fomento do Estado.
[21] Idem, ibidem.
[22] MASUCCI, A., L’atto amministrativo elettronico. Primi lineamenti di una ricostruzione, Napoli [n. Ed.], 1989, [n.p.]. Apud DUNI, Giovanni, op. Cit.
[23] ANTOCICCO, S., Le norme per l’E.D.I., Relatório da Convenção CEIIL, La legislazione italiana di fronte all’informatica nel mercato unico europeo - Roma, 3 dicembre 1991.
[24] DUNI, Giovanni. Op. cit.
[25] MASUCCI, op. cit.; ANTOCCICO, op. cit.
[26] Como já se mencionou, é certo que a realidade brasileira não nos permite ainda falar na inclusão digital da população, pois muitos sequer detém saneamento básico. No entanto, o atendimento aos que estão incluídos no sistema informático liberaria mais a Administração para o atendimento justamente da classe mais desfavorecida.
[27] DUNI, Giovanni. Op. cit.
[28] DUNI, Giovanni. Op. cit.
[29] USAI, Alessandro. Le elaborazioni possibili delle informazioni. I limiti allá decisioni amministrative automatiche. In: Dall’informatica amministrativa alla teleamministrazione. Roma: Isitituto poligrafico dello Stato, 1992. Disponível em . Acesso em 02 mar 2004.
[30] MARONGIU, Daniele. Gli atti amministrativi ad elaborazione elettronica. Tesi di Laurea. Cagliari, 2002, disponível em: http://spol.unica.it/teleamm/italiano/tesi/danielemarongiu/danielemarongiu.htm. Acesso em 02 mar 2004. O trabalho de MARONGIU analisa, com rara clareza e competência, a problemática que envolve exatamente o ato administrativo automático, inclusive no que concerne aos limites dessa automação, que repousarão na discricionariedade.
[31] Os pressupostos procedimentais de um ato administrativo papelizado configuram, via de regra, pressupostos de validade de um ato. No caso do ato administrativo eletrônico automático, o ato-programa será um pressuposto de existência pela simples razão de que inexistindo o programa, inexistirá o ato principal.
[32] Sobre a discricionariedade como limite da automatização dos atos administrativos, ver MARONGIU, Daniele, op. cit.
[33] A forma deve ser entendida como o revestimento exterior do ato, ou seja, o modo pelo qual o ato ganha existência, independentemente se o específico modo pelo qual se apresentou conforma-se ou não com o Direito. Portanto, a forma deve ser vista como um elemento do ato ligado a sua existência e não à sua validade. Trata-se de doutrina inspirada nas lições do Prof. Celso Antonio BANDEIRA DE MELLO (Curso de Direito Administrativo, 14 ed. São Paulo: Malheiros, 2002, p. 348). No item 5.3 desta exposição será mais bem discutida a questão da existência e validade do ato administrativo.
[34] A respeito do tema, ver: DUNI, Giovanni et al. Firma digitale o garanzie biometriche? Cagliari, 10 jul 2000, disponível em www.teleamministrazioni.it, Acesso em ago 2003. e Teleamministrazione. In Enciclopedia giuridica. Vol. XXX, Roma: Istituto della enciclopedia italiana, 1993. Disponível em: . Acesso em: 14 jul. 2003. KAMINSKI, Omar. A evolução da certificação digital no Brasil. In: Direito e informática ROVER, José Aires (org.). Barueri: Manole, 2004, p. 247-265. GANDINI, João Agnaldo Donizeti et al. A segurança dos documentos digitais. Jus navigandi, Teresina, a. 6, n. 54, fev 2002. disponível em: .
[35] VIRGA, Pietro. Diritto amministrativo. Atti e ricorsi. vl. 2. 6. ed. Atual. Milão: Giuffrè, 2001, p. 35. Vale observar que o Prof. Virga entende, muito acertadamente ao nosso ver, que a competência difere do sujeito (agente público), situando-os em planos diversos. A competência no da validade e o sujeito no existencial. Esse aspecto da teoria é pouco mencionado na doutrina brasileira.
[36] Ver JUSTEN FILHO, Marçal. Comentários à legislação do pregão comum e eletrônico. 2. ed. ver. atual. São Paulo: Dialética, 2003, p. 225/226. O referido autor leciona que se pode verificar a “vontade” do agente expressa no ato programa também no ato administrativo principal.
[37] Write Once Read Many. É tecnologia do tipo “CD-ROM não regravável”. (DUNI, Giovanni et al. Firma digitale o garanzie biometriche? Cagliari, 10 jul 2000, disponível em . Acesso em ago 2003).
[38] Na doutrina, nacional ou estrangeira, ainda se discute sobre a possibilidade de utilização das expressões processo ou procedimento. Estaremos utilizando o termo processo administrativo para designar o gênero da materialização de toda a atividade administrativa, conforme da doutrina de Marcelo Harger (Princípios constitucionais do processo administrativo. Forense: Rio, 2001, p. 55 e ss.). Ver também FERRAZ, Sérgio e DALLARI, Adilson Abreu. Processo Administrativo. São Paulo: Malheiros, 2001, pp. 30-35. BANDEIRA DE MELLO, Celso Antonio, op. cit., pp. 428-434. FIGUEIREDO, Lúcia Valle. Op. cit. pp. 410-416.
[39] BANDEIRA DE MELLO, Celso Antônio. Op. cit. p. 430. HARGER, Marcelo. Op. cit., p. 54.
[40] Esta posição vem sendo defendida sobretudo pela doutrina italiana por autores como Mario NIGRO, Giovanni PUGLIESE, Francesca TRIMARCHI, Mario CHITI, Enzo CARDI, tal como nos informa Rafael Munhos de MELLO. (Processo administrativo, devido processo legal e a Lei 9.784/99. In: Revista de Direito Administrativo n. 227. p. 83-106, Rio: Renovar, 2002, p. 84).
[41] Nesse sentido, ver SUNDFELD, Carlos Ari. Fundamentos de Direito Público, 4.ed. São Paulo: Malheiros, 2000, especialmente o cap. VI.
[42] Il tutta questa mia esposizione vi ho fatto un piccolo inganno, o meglio, ho parlato sulla base di una semplificazione irreale: ossia per semplificare i discorsi ho parlato come se gli atti amministrativi siano istruiti, valutati, controllati, e decisi da una sola persona. In realtà tutti gli atti sono frutto dell’attività di più uffici nell’ambito del procedimento amministrativo. I procedimenti amministrativi più importanti – inoltre – coinvolgono varie amministrazioni separate ed autonome. Manca una disciplina adeguata per gestire questa complessa realtà. È necessario sottolineare con forza che solo quando esisterà la disciplina del procedimento amministrativo telematico si potrà produrre un atto amministrativo elettronico. (DUNI, Giovanni. Conferência de abertura no I Seminário Internacional de Direito Administrativo, Campos-RJ, 23 mar 2004, disponível em www.ucam-campos.br/projetos/dae).
[43] Vide MEDAUAR, Odete. Direito Administrativo moderno. 6ª ed. Rev. e atual. Sâo Paulo: RT, 2002, pp. 170-171. MELLO, Marcos Bernardes. Teoria do fato jurídico: plano da existência. São Paulo: Saraiva, 2000, esp. Pp. 67-70. FERRAZ JR., Tércio Sampaio. Introdução ao estudo do Direito: técnica, decisão, dominação. 3. ed. São Paulo: atlas, 2001, pp. 193-199.
[44] Ver MEDAUAR, Odete. Direito Administrativo moderno. 6 ed. São Paulo: RT, 2002, p 170/171.
[45] Vale mencionar a sugestão feita pelo ilustre jurista Leon Frejda SKLAROWSKY acerca da alteração da Lei de Introdução ao Código Civil no sentido de que seja obrigatória a divulgação das leis na internet (A informática e o mundo moderno. Jus navigandi, Teresina-PI, a. 4, n. 38, jan 2000. Disponível em: .Acesso em 16 fev 2004).
[46] Vale advertir que as terminologias utilizadas (validade e existência) são de fato equívocas. Os teóricos do Direito, que desenvolvem o seu discurso sobre as normas jurídicas de modo geral, costumam referir-se ao plano da existência da norma jurídica como sendo o da validez. Portanto uma norma existe (é válida) se ela pertence ao ordenamento jurídico. A denominada validade do ato administrativo refere-se a compatibilidade ou a correspondência existente entre a norma geral e o ato. Esse aspecto, na terminologia dos referidos teóricos, poderá repousar tanto na vigência quanto na eficácia do tipo técnica. Utilizam a referida terminologia dos teóricos Norberto BOBBIO, Teoria generale del diritto. Torino: Giappichelli, 1993, cap. II, e Tércio Sampaio FERRAZ JÚNIOR, Introdução ao estudo do Direito. 3. ed., São Paulo: Atlas, op. cit. p.193-195.
[47] BANDEIRA DE MELLO, Celso Antonio. Op. cit., p. 341, nota n. 07.
[48] Em outro sentido, Juan Carlos CASSAGNE leciona que fazer a distinção entre forma e formalidade não apresenta maiores utilidades práticas ou teóricas. Assim manifesta o referido mestre: La distinción entre forma y formalidades, que un sector calificado de la doctrina tradicional acoge, aunque reconozca que las formalidades integran los requisitos “formales” del acto, no parece reportar mayores ventajas praticas ni teóricas. (Derecho administrativo. T. II, 7. ed. Buenos Aires: Lexis Nexis, Abeledo-Perrot, 2002, p. 107).
[49] A Lei 9.784/99 estabelece em seu art. 1.º que esta Lei trata de normas básicas sobre o processo administrativo no âmbito federal. No entanto, por traduzir e detalhar a contento os pressupostos processuais constitucionais, já se tem levantado vozes em favor da aplicação subsidiária desta Lei a todos os processos administrativos nacionais como se fosse norma geral. Nesse sentido reportamo-nos a JUSTEN FILHO, Marçal, que assim se pronuncia: a lei de Processo Administrativo torna explícitos princípios cuja incidência deriva diretamente da própria Constituição. Isso produz uma situação muito peculiar. A Lei 9.784 disciplina o tema do processo administrativo no âmbito federal. Portanto, poderia dizer-se que o diploma não afetaria as demais órbitas federativas, titulares de competência privativa para dispor sobre o tema no seu próprio âmbito. Ocorre que a Lei 9.784 torna evidentes certos postulados de natureza constitucional, de observância obrigatória em toda e qualquer atividade administrativa. Logo, os princípios constitucionais explicitados através da Lei 9.784 não podem deixar de ser respeitados pelos demais entes federais: não porque esse diploma tenha natureza de lei complementar, nem porque veicula “normas gerais”, mas por ser essa a única alternativa compatível com a Constituição. Sob esse ângulo, o aplicador (em qualquer segmento da Federação) encontra na Lei n. 9.784 uma espécie de ‘confirmação’ do conteúdo da Constituição. As regras meramente procedimentais, porém, retratam o poder de auto-organização atribuído a todo e qualquer ente federativo (Comentários à lei de licitações e contratos administrativos. 7. ed., rev. ampl. São Paulo: Dialética, 2000, p. 91-92).
[50] Esta MP foi editada antes da Emenda Constitucional n. 32, de 11 de setembro de 2001, e encontrava-se em vigor, em sua segunda edição, na data da publicação da referida emenda. Considerando essa situação e o inconstitucionalíssimo art. 2.º da EC 32/2001, a MP 2.200-2 permanecerá em vigor até que outra MP a revogue ou até ulterior deliberação definitiva do Congresso Nacional.
[51] O atual Código Civil trata da questão no art. 219.
[52] Para Lopes da COSTA, documento ou instrumento é a coisa material sobre a qual se escreve o ato jurídico. Tem duas partes: o texto, ondem vem a declaração, e a assinatura. O documento como que representa o autor da declaração, de sorte que de regra a assinatura é essencial ao documento. (Manual Elementar de Direito processual civil. 3.ª ed. Rev. e atual. Por TEIXEIRA, Sávio de Figueiredo. Rio: Forense, 1982, p. 190).
[53] Alcuni autori, per accelerare l’evoluzione, scrissero che anche la forma elettronica era una forma scritta. L’argomentazione non era tuttavia rilevante perché da tempo ormai per atto giuridico scritto si intende l’atto sottoscritto (DUNI, Giovanni. Conferência de abertura no I Seminário Internacional de Direito Administrativo,conferencia...)
[54] LIMA, Ruy Cirne. Princípios de Direito Administrativo. 6 ed. São Paulo: RT, 1987, p. 22.
[55] Vale a pena observar que nem mesmo a mera declaração prévia da autoridade administrativa competente – para se valer da presunção de legitimidade – de que o sistema X ou Y é seguro soluciona a questão, pois a MP parte do pressuposto de o acolhimento de outro sistema que não o da ICP-Brasil tem base em acordo e não em ato unilateral e, ademais, não milita em favor da razoabilidade optar por outro sistema quando existe um que é o fornecido pelo próprio Estado.
[56] Il regolamento [n. 513, de 10 de novembro de 1997, que regulamenta o art. 15, parágrafo 2.º da Lei n. 59, de 15 de março de 1997] prevede che il documento informatico, se formato secondo le regole tecniche prescritte e se sottoscrito dal suo autore con l´uso della firma digitale, soddisfa il requisito della forma scritta ed ha piena efficacia giuridica (art 2 d.P.R. 513/97) (VIRGA, Pietro. Diritto amministrativo. Atto e ricorsi. Vl. 02 6.ª ed. atual. Milão: Giuffrè, 2001, p. 37.)
[57] L´art. 15, 2º co., legge n. 59/1997 ha sucessivamente disposto che “gli atti e documenti formati dalla pubblica amministrazione (...) con strumenti informatici e telematici (...) nonchè la loro archiviazione e trasmissione con strumenti informatici sono validi e rilevanti a tutti gli effetti di legge”. Si tratta dell´atto amministrativo informatico (MASUCCI), di cui è stata definitivamente riconosciuta la piena rilevanza e validità giuridica e che costituisce (dato il risparmio in termini di tempi e costi per l´azione amministrativa) un importantissimo passaggio verso il risultato dell´efettiva modernizzazione del Paese e della sua compiuta integrazione in ambito sovranazionale. Il t. u. doc. amm. Ha affermato la validità e la rilevanza giuridica (tra cui appunto gli atti amministrativi) formati, registrati su supporto informatico e trasmessi con strumenti telematici, in conformità alle disposizioni normative in esso contenute (artt. 8 e 9), i quali vengono in questo modo a soddisfare il requisito legale della forma scritta (art. 10). L´art. 25 t.u. cit. prevede inoltre l ´equiparazione alla sottoscrizione autografa sul documento cartaceo, della c. d. firma digitale sul documento informatico. (...) (IRELLI, Vicenzo Cerlli. Corso di diritto amministrativo. Ristampa agiornata al 31 dicembre 2001. Torino: G.Giappichelli editore, 2002, p. 479-480).
[58] Article 1316-1 L ´ecrit sous forme électronique est admis en preuve au même titre que l´ecrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu´il soit établi et conservé dans des conditions de nature à en garantir l ´intégrité.
Article 1316-3 L´ecrit sur support électronique a la même force probante que l´ecrit sur support papier.
[59] La conservation est ainsi indissociable de la question de la validité juridique de l´acte électronique et correspond à un besoin pratique réel. Comment se servir de la preuve électronique si la conservation afférente aux documents électronique n´est pas résolue? (SÉDALLIAN, Valérie. L´archivage de l´acte électronique. 2002, p. 3. Disponível em . Acesso em 26 mar 2004).

Marcus Vinícius Filgueiras Júnior

Advogado. Professor de Direito Administrativo da Universidade Candido Mendes e da Universidade Estácio de Sá. Mestre em Direito Administrativo pela PUC/SP.