A contratação de infraestrutura em nuvem para abrigar dados estratégicos da segurança pública do Paraná abriu uma nova frente de questionamentos sobre a governança e a soberania dessas informações. O processo administrativo da Secretaria de Segurança Pública (SESP) prevê a contratação do Serpro para prover ambiente de contingência e recuperação de desastres (Disaster Recovery – DR) para sistemas sensíveis do Estado. No entanto, a arquitetura tecnológica apresentada no estudo técnico preliminar e o conteúdo do Relatório de Impacto à Proteção de Dados (RIPD) encaminhado à Agência Nacional de Proteção de Dados (ANPD) expõem uma contradição central: enquanto o projeto administrativo indica uma solução de infraestrutura centralizada em nuvem governamental, o modelo comercial do Serpro prevê uma arquitetura de multinuvem, com possibilidade de utilização de provedores parceiros.
A inconsistência levanta dúvidas sobre a efetiva custódia dos dados públicos do Paraná, sobretudo em um momento em que o governo estadual conduz o processo de privatização da Celepar, estatal responsável hoje pela operação de grande parte da infraestrutura digital do Estado.
O processo administrativo encaminhado pela SESP indica que a contratação do Serpro tem como objetivo garantir redundância operacional para sistemas críticos, como o Gestor de Laudos e Documentos (GDL) da Polícia Científica, considerado “espinha dorsal da produção probatória” do sistema de justiça criminal. O documento afirma que esses sistemas operam de forma ininterrupta e que sua paralisação poderia comprometer investigações, atrasar processos judiciais e até impedir a liberação de corpos para familiares.
Além do GDL, o projeto abrange um conjunto mais amplo de plataformas sensíveis da segurança pública, incluindo sistemas de controle de armas e munições, gestão do fundo penitenciário, credenciais funcionais e outros registros operacionais do aparato policial. No total, o estudo técnico menciona um ecossistema de dezenas de aplicações vinculadas à SESP, com armazenamento inicial previsto na casa de centenas de terabytes e crescimento contínuo da base de dados.
A solução escolhida pela secretaria prevê a contratação direta do Serpro, por dispensa de licitação, com base no artigo 75 da Lei de Licitações, que permite a contratação de empresas públicas especializadas em tecnologia. O contrato teria vigência inicial de 12 meses, mas poderia ser renovado sucessivamente por até dez anos.
Embora o estudo técnico sustente que a nuvem governamental garantiria soberania e segurança para dados criminais sensíveis, a própria lógica da solução entra em choque com o modelo tecnológico descrito em documentos institucionais do Serpro. Reportagem do Capital Digital mostra que a plataforma oferecida pela estatal federal foi concebida para funcionar como um broker de serviços em cloud computing, no qual clientes podem acessar recursos de infraestrutura tanto da própria empresa quanto de provedores parceiros de nuvem.
Esse modelo de multinuvem significa que a infraestrutura final utilizada por um órgão público pode não estar restrita aos datacenters do próprio Serpro. Dependendo da arquitetura contratada, partes do processamento, armazenamento ou backup podem ser executadas em ambientes de outros provedores tecnológicos integrados à plataforma.
É justamente nesse ponto que surge a contradição com o RIPD apresentado à ANPD no contexto da privatização da Celepar. O relatório foi elaborado para demonstrar que os dados estratégicos do Estado permaneceriam sob custódia segura e em ambiente controlado, afastando o risco de exposição após a venda da estatal paranaense. Entretanto, ao admitir a possibilidade de operação em múltiplos ambientes de nuvem, o próprio modelo tecnológico do Serpro torna menos clara a delimitação física e institucional da infraestrutura onde esses dados ficariam hospedados.
Na prática, a promessa de custódia integral em uma “nuvem governamental” pode ser substituída por uma arquitetura distribuída entre diferentes plataformas de cloud computing.
Essa ambiguidade tecnológica reforça um problema já identificado em outras etapas do processo. O Tribunal de Contas do Paraná tem questionado a ausência de um arranjo contratual definitivo que assegure de forma inequívoca a governança e o controle dos dados sensíveis do Estado fora da Celepar. Segundo reportagem do Capital Digital, até agora não existe contrato formal que obrigue o Serpro a absorver ou operar bases de dados atualmente mantidas pela estatal paranaense.
A situação revela um cenário de incerteza institucional. Enquanto o governo estadual argumenta que a privatização da Celepar não colocará em risco a soberania dos dados públicos, a própria arquitetura tecnológica proposta para substituir parte dessa infraestrutura não define de forma clara onde essas informações estarão efetivamente armazenadas.
A contradição ganha ainda mais relevância quando se observa que o próprio processo administrativo da SESP reconhece que a reestruturação da infraestrutura digital da segurança pública ocorre justamente em função da possível privatização da Celepar. O estudo técnico afirma que, diante desse cenário, foi identificada uma “lacuna crítica” na continuidade da operação dos sistemas, o que motivou a busca por uma solução de nuvem externa.
O resultado é um paradoxo institucional. A privatização de uma empresa pública responsável por operar sistemas sensíveis do Estado é acompanhada da migração parcial dessa infraestrutura para uma plataforma que, segundo sua própria concepção tecnológica, pode operar em múltiplos ambientes de nuvem.
Para especialistas em governança digital, a questão central deixa de ser apenas tecnológica e passa a ser institucional. Em um modelo multinuvem, a custódia efetiva dos dados depende não apenas do provedor principal contratado, mas também dos acordos tecnológicos e comerciais estabelecidos entre esse provedor e outros operadores de infraestrutura.
Sem transparência sobre essa cadeia tecnológica, a promessa de soberania digital torna-se mais difícil de verificar.
No caso do Paraná, a discussão sobre a custódia dos dados públicos ocorre em paralelo ao debate político sobre o futuro da Celepar. A estatal é responsável por parte significativa da infraestrutura digital do governo e guarda informações sensíveis de diversas áreas da administração pública. A possibilidade de venda da empresa, combinada com a adoção de uma arquitetura de nuvem ainda indefinida, transforma a governança desses dados em uma das questões centrais do processo.
A contradição entre o discurso de soberania digital apresentado no RIPD e a arquitetura multinuvem prevista pelo próprio modelo de serviços do Serpro sugere que a discussão está longe de encerrada. Em vez de resolver o dilema sobre onde ficarão os dados estratégicos do Paraná após a privatização da Celepar, a nova infraestrutura proposta pode apenas deslocar a dúvida para outra camada da arquitetura tecnológica do Estado.
