O Conselho Nacional de Justiça soltou um megaedital de tecnologia que causou espanto entre técnicos, peritos e empresas do setor. Trata-se, no palavreado verboso dos órgãos públicos, de um termo de referência para contratação de serviços gerenciados de segurança da informação.
O primeiro ponto a causar espécie entre os especialistas: o CNJ resolveu juntar, num só contrato (e que contrato!), serviços de segurança cibernética e de adequação do órgão à LGPD, a Lei Geral de Proteção de Dados.
São objetos e serviços distintos. Não faz sentido que estejam no mesmo contrato. Cria-se um risco estratégico de concentração dos dados mais sensíveis do Judiciário numa empresa privada. Ademais, quanto mais balofo o edital, maior a possibilidade de restrição de concorrência.
Pior: como órgão da cúpula do Judiciário, o CNJ provavelmente estabelecerá o padrão nos contratos públicos de adequação à LGPD. Abre-se a possibilidade real de que o mercado de adequação à LGPD se torne um monopólio, como acontece com tantos serviços de tecnologia no setor público brasileiro.
Num cenário de múltiplas invasões digitais, em que o próprio CNJ criou um comitê para estudar uma política de segurança cibernética para o Judiciário, sobressai a aparentemente açodada decisão do mesmo órgão de já decidir terceirizar toda sua defesa digital a uma empresa privada.
O segundo problema do “termo de referência” mora nos detalhes. Na verdade, na montanha de detalhes das 123 páginas de letras miúdas.
Embora haja aspectos técnicos relevantes e inacessíveis para leigos, a combinação de exigências altamente específicas em distintas soluções e plataformas levanta a suspeita de que o edital esteja direcionado à única empresa brasileira capaz de atender à demanda.
São coisas como 6300 “procedimentos de controle” e “biblioteca” com 15000 perguntas. Parece inofensivo, mas são combinações de números e especificações que abrem um sorriso maroto em quem conhece os atores do mercado de segurança cibernética.