O Tribunal de Contas da União começou a consolidar silenciosamente uma das mais amplas frentes de fiscalização já realizadas sobre a infraestrutura digital do Estado brasileiro. O movimento, que inicialmente aparecia fragmentado em auditorias sobre governança de tecnologia da informação, compartilhamento de dados, proteção de informações pessoais e contratos tecnológicos específicos, agora começa a revelar um desenho mais amplo. O TCU passou a enxergar a transformação digital do governo federal como um tema estrutural de soberania, coordenação estatal, segurança operacional e controle estratégico de dados públicos. No centro dessa nova arquitetura de fiscalização aparece o Serpro, que agora virou a “Empresa Nacional de Inteligência em Governo Digital e Tecnologia da Informação”.
Maior estatal federal de tecnologia do país e principal operador das plataformas digitais do governo, o Serpro passou a surgir, direta ou indiretamente, em auditorias relacionadas à Receita Federal, ao gov.br, à interoperabilidade nacional, à LGPD, à reforma tributária, ao compartilhamento de dados públicos, à segurança pública, à política nacional de inteligência artificial e às novas parcerias firmadas entre o Estado e empresas privadas.
A publicação do Acórdão 1159/2026-TCU-Plenário, divulgada nesta terça-feira (20), no Diário Oficial da União, ajuda a consolidar esse novo eixo de atuação do tribunal. Embora o novo acórdão não trate especificamente do Serpro, ele praticamente costura todas as preocupações que o TCU vem levantando nos últimos anos sobre a governança digital do Estado brasileiro. O tribunal monitora o cumprimento do Acórdão 870/2024-TCU-Plenário, produzido dentro do processo TC 029.178/2022-3, aberto para avaliar a implementação da Estratégia Brasileira para a Transformação Digital (E-Digital), especialmente no eixo de pesquisa, desenvolvimento e inovação.
O diagnóstico do TCU é duro. Segundo o novo acórdão, a Casa Civil da Presidência da República esclareceu apenas “em termos gerais” como funciona o atual arranjo institucional da E-Digital, mas não conseguiu demonstrar de forma concreta quais medidas estão sendo adotadas para revisão ou substituição da estratégia após 2027, quais serão as etapas do processo, quais órgãos serão responsáveis, quais produtos serão entregues, quais mecanismos de integração serão utilizados nem como ocorrerá a articulação entre as diversas políticas digitais do governo federal. Na prática, o TCU afirma que o governo ainda não apresentou um planejamento operacional consistente para a futura política nacional de transformação digital.
O tribunal determinou que a Casa Civil apresente, em até 90 dias, plano, cronograma, etapas, marcos temporais, produtos esperados, mecanismos de participação social, integração com políticas correlatas e tratamento das fragilidades já identificadas anteriormente pela própria Corte. O trecho talvez mais importante da decisão aparece quando o TCU exige articulação explícita entre a futura política substitutiva da E-Digital, a Nova Indústria Brasil (NIB) e o Plano Brasileiro de Inteligência Artificial (PBIA). Esse ponto é central porque mostra que o tribunal passou a enxergar política industrial, inteligência artificial, infraestrutura computacional, transformação digital, interoperabilidade, plataformas públicas e soberania tecnológica como partes de um mesmo ecossistema estratégico. E quase todas essas estruturas passam direta ou indiretamente pelo Serpro.
O novo acórdão reforça uma percepção que já aparecia em auditorias anteriores: o TCU começou a identificar fragmentação institucional na condução da política digital brasileira. As decisões recentes do tribunal mostram preocupação crescente com ausência de coordenação centralizada, baixa integração entre órgãos, sobreposição de iniciativas, fragilidade de indicadores, ausência de métricas de efetividade, baixa rastreabilidade operacional e falta de clareza sobre responsabilidades institucionais. O tribunal começa a sugerir que o governo acelerou a digitalização sem consolidar plenamente a governança da infraestrutura digital que sustenta o Estado.
Dados Públicos
Essa preocupação aparece de forma particularmente forte nas auditorias sobre compartilhamento de dados públicos. No Acórdão 644/2025-TCU-Plenário, o tribunal determinou que Serpro e Dataprev passassem a fornecer aos órgãos contratantes informações detalhadas sobre compartilhamento de dados, funcionamento das integrações, rastreabilidade operacional, fluxos informacionais e mecanismos de interoperabilidade utilizados pelas plataformas federais. A decisão surgiu após auditoria sobre o Programa Conecta e as plataformas de interoperabilidade da administração pública federal. O diagnóstico do tribunal foi contundente: baixo compartilhamento de dados, limitações orçamentárias, contratos insuficientes, ausência de transparência operacional e fragilidade de governança. Na prática, o TCU começou a tratar Serpro e Dataprev não apenas como empresas públicas de tecnologia, mas como operadores centrais da infraestrutura nacional de dados públicos.
O tribunal também passou a demonstrar preocupação crescente com a forma como os sistemas federais se comunicam entre si. As auditorias sugerem que o TCU teme fragmentação de bases, inconsistência informacional, ausência de padronização, duplicidade de registros, dificuldade de auditoria e perda de rastreabilidade. Esses pontos ganharam relevância especialmente diante da expansão do gov.br, da integração nacional de bases públicas, da futura arquitetura digital da reforma tributária e da consolidação de plataformas nacionais de autenticação e compartilhamento de dados.
As preocupações chegaram diretamente à Receita Federal. No Acórdão 1095/2025-TCU-Plenário, produzido na auditoria das demonstrações contábeis do Ministério da Fazenda, o tribunal identificou inconsistências em bases mantidas pelo Serpro para a Receita. Segundo o relatório, houve registros duplicados de informações fiscais em sistemas operados pela estatal. O TCU recomendou reforço nos controles de consistência dos dados fornecidos pelos prestadores tecnológicos da Receita Federal.
O episódio ganhou enorme peso institucional porque ocorre simultaneamente à implementação da reforma tributária, considerada pelo próprio Serpro seu principal projeto estratégico. A nova arquitetura tributária brasileira dependerá de interoperabilidade massiva, integração nacional de bases fiscais, compartilhamento em tempo real, autenticação digital e infraestrutura computacional de alta criticidade. Isso ajuda a explicar por que o TCU passou a ampliar a fiscalização sobre qualidade de dados, governança operacional, interoperabilidade e coordenação institucional.
Outro eixo fortemente monitorado pelo tribunal envolve proteção de dados pessoais. No Acórdão 1372/2025-TCU-Plenário, o TCU realizou auditoria nacional sobre adequação dos órgãos federais à Lei Geral de Proteção de Dados. O Serpro apareceu entre as instituições mais avançadas em maturidade de proteção de dados, mas o tribunal emitiu determinações e recomendações específicas à estatal relacionadas à governança de dados, à conformidade, à rastreabilidade, aos controles internos e aos mecanismos de proteção informacional.
Nuvem Soberana
Embora o governo venha defendendo conceitos como “nuvem soberana”, praticamente todas as auditorias recentes do TCU convergem para elementos diretamente associados ao tema: controle da infraestrutura crítica, dependência tecnológica, participação de empresas privadas, soberania operacional, governança computacional, interoperabilidade nacional e controle sobre dados estratégicos do Estado. Mas os próprios movimentos recentes do tribunal indicam que a Corte parece começar a perceber que soberania digital não depende apenas da posse formal dos dados públicos.
O problema passa a envolver quem efetivamente controla a infraestrutura física, as camadas computacionais, os ambientes em nuvem, os softwares proprietários, os mecanismos de integração, os sistemas de autenticação, os fluxos nacionais de interoperabilidade, os algoritmos, as APIs públicas, os modelos de inteligência artificial, os mecanismos de observabilidade e a própria continuidade operacional da máquina pública digital.
Hoje o discurso de “multinuvem” e “nuvem soberana” defendido pelo Serpro reduz alguns riscos importantes, como “dependência absoluta de um único fornecedor, indisponibilidade operacional, lock-in extremo e concentração de workloads críticos”. O modelo defendido pela estatal envolve isolamento lógico, múltiplas zonas operacionais, redundância, segregação de ambientes, interoperabilidade entre nuvens e controle estatal da operação. Além disso, as estatais argumentam que parte da infraestrutura das big techs está sendo internalizada fisicamente em ambientes controlados pelo próprio governo brasileiro, o que permitiria maior controle sobre armazenamento, segregação operacional e auditoria dos dados públicos.
Mas especialistas em soberania digital apontam que essa tese, por si só, não encerra a discussão. Isso porque soberania digital não se resume apenas à localização física dos servidores ou ao fato de os equipamentos estarem instalados dentro do território nacional. Mesmo quando os equipamentos são internalizados em estruturas controladas pelo Estado brasileiro, continuam existindo possíveis dependências em múltiplas camadas tecnológicas: software proprietário, firmware, hipervisores, ferramentas de observabilidade, sistemas de gerenciamento remoto, inteligência artificial embarcada, criptografia, APIs, telemetria, suporte técnico e mecanismos de atualização e administração das plataformas. Na prática, críticos argumentam que o servidor pode estar fisicamente dentro do Brasil, mas parte relevante do controle tecnológico pode continuar fora do país.
Além disso, especialistas em soberania digital e proteção de dados apontam que parte dessas vulnerabilidades decorre não apenas de questões técnicas, mas também de legislações estrangeiras que podem obrigar empresas internacionais a fornecer dados armazenados fora dos Estados Unidos às autoridades norte-americanas. Entre os principais instrumentos jurídicos citados nesse debate está o CLOUD Act (Clarifying Lawful Overseas Use of Data Act), aprovado pelos Estados Unidos em 2018, que permite que autoridades americanas exijam de empresas submetidas à jurisdição dos EUA o fornecimento de dados armazenados em servidores localizados em outros países.
Outro instrumento frequentemente citado é a Foreign Intelligence Surveillance Act (FISA), especialmente sua Seção 702, que autoriza mecanismos de coleta de inteligência envolvendo empresas de tecnologia submetidas à legislação norte-americana. Também aparecem nesse debate ordens secretas emitidas pela Foreign Intelligence Surveillance Court (FISC), além de dispositivos derivados do Patriot Act e de diretivas associadas à segurança nacional dos Estados Unidos.
Na prática, críticos desse modelo argumentam que mesmo uma “nuvem soberana” localizada fisicamente em território brasileiro pode continuar baseada em tecnologias submetidas a fornecedores internacionais, cadeias globais de atualização, jurisdições estrangeiras e ambientes tecnológicos cujo controle integral não pertence ao Estado brasileiro. Isso significa que empresas estrangeiras eventualmente poderiam ser compelidas, por legislação de seus países de origem, a fornecer informações, metadados ou mecanismos de acesso que entrem em tensão com princípios previstos na legislação brasileira.
Esse debate se conecta diretamente com dispositivos da própria Lei Geral de Proteção de Dados, especialmente o artigo 33, que estabelece requisitos para transferência internacional de dados, o artigo 46, que trata da obrigação de adoção de medidas de segurança, e os princípios previstos no artigo 6º da LGPD relacionados à finalidade, necessidade, segurança e proteção do titular. Também se relaciona com princípios constitucionais brasileiros ligados à soberania nacional, ao sigilo de dados, à proteção da intimidade e à inviolabilidade das comunicações.
Em alguns casos, juristas e especialistas apontam possível tensão entre essas normas brasileiras e mecanismos extraterritoriais previstos na legislação norte-americana. O tema ganhou relevância internacional após decisões da Corte de Justiça da União Europeia nos casos “Schrems I” e “Schrems II”, ações movidas pelo ativista austríaco Max Schrems contra a Meta Platforms (na época Facebook), que questionaram justamente o grau de proteção oferecido a dados europeus submetidos à legislação americana de inteligência e vigilância (os acordos “Safe Harbor” e “Privacy Shield”).
Esse debate já aparece hoje em países da União Europeia, Índia e China, onde soberania digital deixou de significar apenas armazenamento local de dados e passou a envolver controle efetivo da infraestrutura, autonomia computacional, independência operacional, governança algorítmica, continuidade do Estado e domínio sobre ecossistemas nacionais de inteligência artificial e interoperabilidade.
No caso brasileiro, a questão ganha dimensão ainda maior porque gov.br, Receita Federal, reforma tributária, biometria nacional, autenticação digital, integração federativa de dados, plataformas transacionais, inteligência artificial estatal e sistemas nacionais de segurança pública e de saúde caminham rapidamente para uma integração crescente. Isso significa que soberania digital deixa de ser apenas a discussão sobre onde os dados estão armazenados. Passa a envolver quem governa e controla a arquitetura computacional do próprio Estado brasileiro.
Parcerias Confusas
Dentro dessa preocupação sobre governança, talvez o caso mais sensível analisado recentemente pelo tribunal envolva justamente as novas parcerias tecnológicas firmadas pelo Serpro com empresas privadas. O exemplo mais relevante surgiu com o Edital 76/2025 do Serpro, destinado à escolha de parceiro privado para exploração de solução de “broker de pagamento” vinculada à Senatran. O caso gerou representação no TCU e levou à emissão dos Acórdãos 247/2026-TCU-Plenário e 377/2026-TCU-Plenário.
O tribunal suspendeu cautelarmente a execução do contrato associativo firmado pelo Serpro após identificar possíveis falhas no chamamento público. Entre as preocupações levantadas estavam flexibilização de exigências técnicas, aceitação de demonstrações simuladas, dúvidas sobre capacidade técnica da empresa, riscos operacionais, fragilidade de governança e impactos potenciais sobre infraestrutura nacional de pagamentos e trânsito.
O caso ganhou enorme relevância porque envolve justamente o modelo que o Serpro vem expandindo: contratos associativos, compartilhamento de risco, desenvolvimento conjunto, monetização futura, exploração econômica de plataformas públicas, integração com sistemas nacionais e participação privada em ambientes sensíveis da infraestrutura estatal. Nos bastidores do controle externo, o tribunal começou a tratar essas estruturas como possível questão de soberania digital e soberania operacional do Estado.
A área de segurança pública também entrou no radar. Auditorias do TCU sobre o Sistema Nacional de Informações de Segurança Pública (Sinesp) identificaram problemas de parametrização, falhas de integração, inconsistência de registros, dificuldades de compartilhamento entre estados e União e limitações operacionais no fluxo nacional de dados de segurança pública. Embora o Serpro não apareça formalmente como alvo único desses trabalhos, as auditorias atingem diretamente a infraestrutura de interoperabilidade que sustenta o compartilhamento nacional dessas informações.
O que começa a emergir do conjunto dessas decisões é uma mudança profunda na forma como o TCU enxerga a transformação digital do Estado. O tribunal já não parece tratar como temas separados, os dados públicos, plataformas digitais, inteligência artificial, interoperabilidade, computação governamental, infraestrutura em nuvem, autenticação digital, biometria, pagamentos públicos, integração fiscal, segurança pública e governança tecnológica.
O TCU começa a construir uma linha de fiscalização sistêmica sobre a própria infraestrutura digital brasileira. E nesse novo desenho o Serpro aparece como peça central. Não apenas como fornecedor de tecnologia, mas como operador da arquitetura digital do Estado brasileiro. O novo Acórdão 1159/2026 praticamente fecha esse ciclo ao exigir que o governo apresente uma política digital integrada, articulada e coordenada entre transformação digital, inteligência artificial e política industrial.
No fundo, o que o tribunal começa a perguntar é: quem controla, governa, integra e opera os dados estratégicos do Estado brasileiro?
