Entre a Lei e a Tecnologia: O Desafio da Nuvem na Administração Pública

Escrito por: Gilvan Cavalcante Souza Junior e Amanda Cristina Fernandes de Lima

A transformação digital nas instituições públicas brasileiras vem tropeçando em um obstáculo silencioso, mas profundo: a incapacidade de tomar decisões técnicas baseadas em conhecimento sólido. Quando o assunto é computação em nuvem, essa falha fica ainda mais evidente.

Apesar das claras vantagens da nuvem — como escalabilidade, resiliência, segurança e redução de custos operacionais — muitas instituições seguem paralisadas. E não se trata de uma escolha estratégica: trata-se de falta de conhecimento e medo institucional de errar, alimentado por interpretações imprecisas da legislação e por receios de descontrole financeiro.

É comum ouvir, nos corredores do setor público, que "nuvem não pode porque os dados precisam estar no Brasil". Essa afirmação não é verdadeira. A legislação brasileira, incluindo a Lei Geral de Proteção de Dados (LGPD), permite a transferência internacional de dados, desde que observados critérios legais. O Tribunal de Contas da União (TCU), por sua vez, recomenda que dados sensíveis sejam armazenados preferencialmente em território nacional, mas não impõe vedação ao uso de nuvem pública internacional.

Além disso, normas recentes como a IN SGD nº 94/2022, IN GSI/PR nº 5/2021 e a Portaria SGD/MGI nº 5.950/2023 oferecem um marco claro e detalhado para a contratação segura e responsável de serviços de computação em nuvem, com diretrizes sobre planejamento, segurança, conformidade e governança.

O problema? Poucos conhecem essas normas. E isso vale tanto para servidores públicos quanto para fornecedores. O resultado é uma inércia perigosa: o setor público continua operando em infraestruturas obsoletas, caras e inseguras, enquanto evita deliberadamente o debate sobre a nuvem.

Outro temor comum — e legítimo — diz respeito à imprevisibilidade dos custos com serviços em nuvem. Como a maioria dos modelos de nuvem opera por demanda, sem controle, os gastos podem, de fato, escalar rapidamente.

Mas o que falta aqui não é tecnologia — é governança. A própria legislação orienta que os órgãos públicos implementem mecanismos de controle e monitoramento, como:

• Ferramentas de acompanhamento em tempo real do consumo por serviço e por unidade organizacional;
• Limites e cotas orçamentárias por projeto;
• Políticas de desligamento automático de serviços ociosos;
• Contratos com modelos previsíveis de cobrança, como instâncias reservadas, planos com teto de uso ou escalonamento controlado.

Ou seja, há formas eficazes de evitar o “efeito surpresa” na conta da nuvem — basta estruturar o projeto corretamente e adotar ferramentas que já existem no mercado e nas diretrizes federais.

É importante lembrar: não decidir também é uma decisão. E nesse caso, costuma ser a decisão mais cara. Quando o setor público se recusa a avaliar com seriedade a viabilidade da computação em nuvem, ele se condena a:

• Manter estruturas locais com custo de energia, refrigeração e pessoal elevado;
• Operar com baixa escalabilidade e falhas frequentes;
• Perder oportunidades de inovação, interoperabilidade e integração com plataformas de governo digital.

Mais do que isso, perde-se a chance de melhorar o serviço prestado ao cidadão, em um momento onde agilidade, segurança e acessibilidade digital são cada vez mais exigidos pela sociedade.

A resposta não é simples — mas é clara: é preciso capacitar os gestores e os fornecedores. Eles precisam conhecer:

• O que as normas brasileiras realmente dizem
• Quais exigências devem constar em um contrato de nuvem
• Quais mecanismos estão disponíveis para garantir segurança da informação e controle financeiro

Só assim a nuvem deixará de ser vista como um risco — e passará a ser encarada como o que realmente é: um instrumento estratégico de modernização, eficiência e transparência no setor público.

Enquanto faltarem decisões informadas, sobrarão desperdícios — de tempo, de dinheiro e de oportunidade.

Mas este não é um cenário sem saída. A boa notícia é que já temos o arcabouço legal, as ferramentas técnicas e os exemplos práticos de adoção bem-sucedida de nuvem no setor público. O que precisamos agora é aproximar o conhecimento da decisão, promovendo mais diálogo entre gestores, áreas técnicas, jurídicos e fornecedores.

A sistematização da gestão de riscos em nível institucional constitui estratégia que aumenta a capacidade da organização para lidar com incertezas, estimula a transparência e contribui para o uso eficiente, eficaz e efetivo de recursos, bem como para o fortalecimento da imagem da instituição. As melhores práticas internacionais de gestão recomendam a adoção de sistemas de gerenciamento de riscos associados aos processos de planejamento, de tomada de decisão e de execução dos trabalhos relevantes, de modo a garantir que as finalidades públicas sejam alcançadas de fato, com a melhor relação custo-benefício.

Capacitar é um passo essencial, mas tão importante quanto isso é criar ambientes seguros para decidir, com suporte dos órgãos de controle e compartilhamento de boas práticas entre instituições.

O avanço para a nuvem não precisa ser abrupto nem desgovernado — ele pode (e deve) ser planejado, gradual, seguro e eficiente.

É hora de virar a chave: transformar o medo em estratégia, e a incerteza em ação consciente. Porque a nuvem não é uma ameaça — é uma oportunidade de modernizar com responsabilidade.

Referências:

• Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
• Instrução Normativa SGD nº 94, de 23 de setembro de 2022: https://www.gov.br/governodigital/pt-br/contratacoes-de-tic/instrucao-normativa-sgd-me-no-94-de-23-de-dezembro-de-2022
• Portaria SGD/MGI nº 5.950, de 6 de julho de 2023: https://www.gov.br/governodigital/pt-br/contratacoes-de-tic/portaria-sgd-mgi-no-5-950-de-26-de-outubro-de-2023
• Acórdão nº 2.164/2021 – Plenário do TCU: https://www.trt7.jus.br/files/acesso_informacao/transparencia/acoes_de_controle/TCU/ACRDO-2164-2021_TCUPlenrio.pdf
• Adoção de serviços de computação em nuvem no âmbito da Administração Pública federal – Ministério da Gestão e da Inovação em Serviços Públicos: https://www.gov.br/governodigital/pt-br/estrategias-e-governanca-digital/estrategias-e-politicas-digitais/computacao-em-nuvem
• Decreto nº 10.332/2020 – Estratégia de Governo Digital: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/d10332.htm
• Instrução Normativa GSI/PR nº 5, DE 31 DE AGOSTO DE 2021: https://www.in.gov.br/en/web/dou/-/instrucao-normativa-n-5-de-30-de-agosto-de-2021-341649684
• Governo Federal – Priorize a Nuvem - https://www.gov.br/governodigital/pt-br/estrategias-e-governanca-digital/rede-nacional-de-governo-digital/10passos/passo-08.