O Ministério da Gestão e Inovação em Serviços Públicos (MGI), publicou hoje (16) a Instrução Normativa SGD/MGI nº 4, de 14 de janeiro de 2026, que marca uma virada silenciosa, porém estrutural, na forma como o governo federal passa a tratar privacidade e segurança da informação dentro da administração pública. A IN regulamenta o ciclo de implementação de 2026 do framework do Programa de Privacidade e Segurança da Informação (PPSI), pela Secretaria de Governo Digital (SGD) e mostra que o tema deixa de ser um enunciado genérico de boas intenções e passa a operar como um sistema formal de governança, com prazos, métricas, indicadores e monitoramento contínuo.
Ao definir as novas regras o MGI acaba dando contornos concretos a uma disputa interna no governo federal sobre quem deve comandar a política de segurança da informação e segurança cibernética no Estado. Ao regulamentar o ciclo de implementação de 2026 do Programa de Privacidade e Segurança da Informação (PPSI), o Ministério da Gestão e da Inovação em Serviços Públicos estrutura, na prática, um modelo centralizado, transversal e mensurável de governança digital, que passa a atingir toda a administração pública federal integrante do SISP.
Esse movimento do MGI, agora formalizado em ato normativo com prazos, indicadores e monitoramento contínuo, cria o pano de fundo institucional que tensiona a iniciativa do Gabinete de Segurança Institucional da Presidência da República de inserir a Agência Nacional de Telecomunicações no núcleo da política de segurança da informação e cibernética. A existência de um framework operacionalizado pelo MGI reforça a leitura de que a proposta do GSI não apenas amplia o número de atores envolvidos, mas introduz o risco de fragmentação de competências em um campo que acaba de ser organizado de forma centralizada.
Essa disputa também ganhou novos contornos com a publicação pelo GSI de uma Instrução Normativa na qual estabeleceu a figura do “gestor de segurança” e afastou essa função da área de Tecnologia da Informação dentro do governo. Também ampliou o controle do Gabinete de Segurança Institucional da Presidência da República sobre riscos cibernéticos, dados e tecnologias emergentes.
A instrução normativa publicada hoje pelo MGI rebate essa estratégia do GSI/Anatel, pois transforma o Programa de Privacidade e Segurança da Informação (PPSI) em uma política pública de execução obrigatória, com diagnóstico anual, plano de trabalho, métricas padronizadas e indicadores de maturidade que permitem comparação entre órgãos. E segurança da informação e privacidade passam a ser tratadas como temas de governança administrativa, vinculados à gestão de riscos, à proteção de dados e à organização interna do Estado, sob coordenação direta da Secretaria de Governo Digital, vinculada ao MGI. Esse desenho reduz ambiguidades e estabelece um centro claro de coordenação em contraponto à estratégia do Gabinete de Segurança Institucional.
É justamente essa centralização que torna mais evidente o conflito com a proposta do GSI. Ao defender a inclusão da Anatel no arranjo de segurança cibernética, o GSI deslocou parte do debate para uma agência reguladora setorial, cujo mandato legal está concentrado na regulação das Telecomunicações. Com a IN nº 4/2026 em vigor, esse movimento deixa de ser apenas uma ampliação de participação institucional e passa a representar uma possível sobreposição de comandos em um campo já normatizado pelo MGI.
Não por acaso, o próprio Ministério da Gestão e o Ministério da Justiça se posicionaram contra a proposta do GSI de inserir a Anatel no contexto. A resistência ganhou novo peso político à luz da instrução normativa recém-publicada, que demonstra que o governo já possui um modelo formal de governança de segurança da informação em funcionamento. A entrada da Anatel, nesse contexto, criou múltiplos polos de orientação, com riscos de interpretações divergentes, exigências paralelas e insegurança regulatória para órgãos públicos e prestadores de serviços.
Não foi à toa que o diretor de Privacidade e Segurança da Informação da SGD, Leonardo Rodrigo Ferreira, deixou claro na reunião do Comitê Nacional de Cibersegurança (CNCiber) em dezembro do ano passado, que transferir a competência de cibersegurança à Anatel, mantendo a segurança da informação sob a coordenação do Gabinete de Segurança Institucional, criaria um cenário de dupla autoridade sobre os gestores públicos responsáveis pela proteção digital. Esse desenho, segundo o representante do ministério, poderia gerar “conflitos de orientação, sobreposição de atribuições e insegurança administrativa, especialmente no setor público”, que figura entre os mais afetados por incidentes cibernéticos. A pasta avaliou que o modelo compromete a clareza da governança e dificulta a coordenação efetiva das políticas de segurança digital. A resposta ao movimento do GSI/Anatel veio agora na fiorma da IN 4/2026.
A norma do MGI também evidencia uma diferença de abordagem dentro do governo. O PPSI não cria obrigações regulatórias sobre o mercado, nem atribui novos poderes a agências setoriais. Seu foco está na organização interna do Estado, na definição de responsabilidades claras para a alta administração, gestores de TIC, gestores de segurança da informação e encarregados de dados. Ao envolver a Anatel, o GSI reintroduz uma lógica setorial e potencialmente securitária em um espaço que o MGI acaba de enquadrar como política administrativa transversal.
O factual de hoje, portanto, não é apenas a edição de mais uma instrução normativa, mas a consolidação de um arranjo institucional que reforça a tese da fragmentação de poderes. Com o PPSI operacionalizado e monitorado pelo MGI, a proposta do GSI passa a colidir com um modelo já instituído, expondo uma disputa interna sobre o comando da política digital e da segurança da informação no Estado brasileiro.
Mais do que um embate técnico, o episódio revela um choque de visões. De um lado, o MGI estrutura uma governança baseada em métricas, maturidade e gestão contínua. De outro, o GSI tenta expandir seu raio de influência incorporando uma agência reguladora setorial a um tema que acaba de ser organizado de forma centralizada. A publicação da IN nº 4/2026 transforma essa divergência em um conflito institucional concreto, com potencial de impactar a coerência da política de segurança da informação e cibernética nos próximos anos.
