Pular para o conteúdo
CIVITRIA — Tecnologia para governos

Cheat sheet · Liderança de TI pública

Cheat sheet do CIO Público: decisões críticas em uma página.

Página única, densa e factual, para quem ocupa a função de CIO, secretário de TI ou diretor de tecnologia em órgão público brasileiro. Sem narrativa. Tudo que se costuma reconstruir caso a caso, consolidado em listas extraíveis.

Em resumo

O CIO público combina engenharia, gestão pública e diplomacia institucional. Opera sob a Lei 14.133/2021, com responsabilidade integral por LGPD, conformidade com TCE/TCU, controle de acesso, plano de continuidade e relacionamento com sistemas federais (gov.br, ConectaGov, SERPRO). Esta é a referência rápida — marcos, custos, decisões.

Os marcos legais que estruturam a função

  • Lei 14.133/2021 (Nova Lei de Licitações) — regula contratação de software, SaaS e serviços de TI. Acomoda assinatura recorrente com mais clareza que a 8.666/93, mas exige caracterização de objeto e fundamentação do quantitativo.
  • Lei 13.709/2018 (LGPD) — aplica-se integralmente ao setor público. Não há isenção por ser ente público; há adaptação de bases legais (execução de política pública, obrigação legal).
  • Lei 12.527/2011 (LAI) — exige transparência ativa em receita, despesa, contratos, licitações, servidores. Portal da Transparência atualizado é controle do CIO em prática.
  • MP 2.200-2/2001 — institui a ICP-Brasil. Atos com requisito legal forte ainda exigem certificado ICP, mesmo com assinatura gov.br disponível.
  • Decreto 10.332/2020 — Estratégia de Governo Digital. Define o gov.br como identidade digital padrão federal e direciona convergência das três esferas.
  • Instruções normativas do TCE local e do TCU — definem o formato de envio de dados de execução orçamentária, prazos e ritos de defesa. Variam por estado.
  • LRF (LC 101/2000) — limites de despesa com pessoal e de endividamento que aparecem nas planilhas do CIO quando há discussão de contrato de TI longo.

Controles que toda auditoria pede primeiro

  • Controle de acesso baseado em papel (RBAC) ativo em todos os sistemas críticos — folha, tributário, protocolo, saúde, educação.
  • Autenticação multifator (MFA) em sistemas que tratam dado sensível ou executam ato com efeito jurídico ou financeiro.
  • Trilha de auditoria persistente por usuário, com retenção mínima alinhada ao TCE local (geralmente 5 anos).
  • Plano de continuidade documentado para os sistemas de missão crítica, com RTO e RPO declarados.
  • Backup com cópia em local geograficamente distinto, testado periodicamente (restauração efetiva, não só leitura do log).
  • Política de segurança da informação publicada e renovada quando há mudança regulatória ou incidente.
  • Encarregado de dados (DPO) nomeado por ato publicado e com contato divulgado, conforme LGPD art. 41.
  • ROPA (Registro de Operações de Tratamento) atualizado por área — folha, atendimento, contratos.

Custos típicos para dimensionar conversas

  • ERP municipal pequeno porte: R$ 30 mil a R$ 120 mil/ano em licença + suporte. Implantação e migração à parte, podendo dobrar no ano 1.
  • ERP municipal médio porte: R$ 120 mil a R$ 500 mil/ano. Custos de migração e treinamento somam significativamente.
  • Programa LGPD em prefeitura pequena: R$ 30 mil a R$ 80 mil/ano em assessoria + ferramentas básicas. Médio porte: R$ 80 mil a R$ 250 mil. Grande porte: R$ 250 mil a R$ 1 milhão.
  • DPO terceirizado: tipicamente R$ 4 mil a R$ 20 mil/mês conforme escopo e porte.
  • Power BI corporativo (1000 usuários): centenas de milhares de reais/ano em licença. Metabase self-host: custo de infraestrutura, geralmente um dígito menor.
  • Certificado ICP-Brasil A3: R$ 250 a R$ 500/3 anos por usuário.
  • Modernização TI municipal completa (ERP + protocolo + LGPD + dashboard): R$ 300 mil a R$ 1,5 milhão no ano 1, com custo recorrente de 30-40% disso nos anos seguintes.

Integrações federais que viabilizam serviços modernos

  • gov.br — identidade digital com três níveis (Bronze, Prata, Ouro). Integração via OpenID Connect. Gratuito.
  • ConectaGov — barramento de APIs para validação de CPF/CNPJ, CadÚnico, SUS e dezenas de outros. Gratuito ou baixo custo.
  • SERPRO — sistemas críticos federais e serviços de dados. Convênio direto ou via ConectaGov.
  • Compras.gov.br (Comprasnet) — plataforma federal de compras. Estados e municípios podem aderir ou integrar via API.
  • SIAFI / Tesouro Transparente — fonte autoritativa para execução orçamentária federal. Estados/municípios consomem para análise comparativa.
  • e-Social federal — envio obrigatório de eventos trabalhistas e previdenciários. Cronograma diferenciado para setor público.
  • Portal da Transparência da CGU — agrega dados federais. Estados e municípios mantêm portais próprios alinhados.

Decisões reversíveis vs. decisões caras de errar

  • Reversível em meses: ferramenta de BI, fornecedor de DPO terceirizado, plataforma de protocolo eletrônico moderno.
  • Reversível em ano(s): infraestrutura de nuvem (com cuidado de portabilidade), aplicativo cidadão.
  • Cara de errar (5+ anos de fricção): contrato ERP público, contrato de folha de pagamento, escolha de stack para sistema finalístico custom.
  • Irreversível na prática: estrutura de dados centrais (CPF como chave, cadastro único de cidadão, padrões de identificação de servidor). Vale projetar com cuidado desde o início.

Erros comuns que aparecem em auditoria

  • Senhas compartilhadas entre servidores para acesso a sistemas críticos (folha, tributário) — vira não-conformidade em qualquer auditoria séria.
  • Trilha de auditoria desligada ou com retenção curta demais para o exigido pelo TCE local.
  • Backup configurado mas nunca testado em restauração efetiva.
  • Portal da Transparência alimentado por upload manual com atraso de semanas ou meses.
  • Sistemas finalísticos sem integração com identidade central — usuário cadastrado individualmente em cada sistema, dificultando desligamento.
  • Contratos SaaS sem cláusula de portabilidade de dados, criando lock-in efetivo no ato da assinatura.
  • Acúmulo de função do DPO com diretoria de TI — conflito de interesse explícito.

Quando faz sentido contratar GovTech estratégica

  • Diagnóstico técnico ou de maturidade exige leitura externa para destravar decisão política interna.
  • A modernização precisa atravessar duas ou mais áreas (TI + jurídico + finanças + finalístico) que não se conversam.
  • Há sistemas legados que precisam ser estabilizados em paralelo a uma camada nova — sem ruptura.
  • A próxima troca de gestão está no horizonte e o conhecimento precisa ser documentado para sobreviver.
  • Conformidade vira fonte de risco institucional — multa potencial, ação do MP, apontamento de TCE.
  • Existe orçamento aprovado mas faltam mãos técnicas para executar com qualidade defensável.

Tabela de decisão

Se isto acontece, faça aquilo.

SituaçãoRecomendação
Equipe interna de TI tem menos de 5 pessoas e nenhuma especialista em LGPDDPO terceirizado + servidor encarregado por ato formal. Programa LGPD em ciclos de adequação por área.
Sistemas críticos sem trilha de auditoria persistenteTratar como prioridade zero. Trilha desligada vira não-conformidade automática em fiscalização do TCE.
Contrato ERP vencendo em 12-24 mesesIniciar discovery de alternativas agora. Migração de ERP exige 9-18 meses, com piloto setorial antes do go-live.
Pressão política para entregar portal novo em 60 diasRecusar. Portal sem mudança de processo interno vira fachada — alvo fácil de fiscalização posterior.
Há orçamento mas falta capacidade técnica para executarContratação de discovery + capacidade externa com transferência real de conhecimento embutida no escopo.
Auditoria do TCE apontou falhas de controle de acessoPlano de adequação RBAC + MFA por sistema crítico com prazo formal. Documentar cada decisão para defesa.
Servidor encarregado de dados acumula função com gestor de sistema críticoReorganizar — conflito de interesse caracterizado. Solução interina: terceirizar DPO até reorganização.

Referências numéricas

Os números que tipicamente entram na conta.

Sanção máxima da LGPD por infração
2% do faturamento, limitado a R$ 50 milhões

Aplicada pela ANPD. Aplicável a entes públicos.

Prazo de resposta a pedido LAI
20 dias + 10 prorrogáveis

Servidor responsabilizável por descumprimento sem justificativa.

Tempo típico de migração de ERP público
9 a 18 meses

Com piloto setorial antes do go-live completo.

Tempo típico de programa LGPD em prefeitura média
6 a 12 meses para adequação inicial

Operação contínua é eterna — não é projeto com fim.

Investimento típico em modernização completa de TI municipal
R$ 300 mil a R$ 1,5 milhão no ano 1

Custo recorrente 30-40% disso nos anos seguintes.

Perguntas comuns

Perguntas frequentes — CIO Público

Como o CIO público se diferencia do CIO privado?
O CIO público opera sob marco legal de licitações, sustentabilidade entre mandatos, fornecedores com contratos longos, exigências de transparência e ausência dos incentivos financeiros típicos do setor privado. Eficácia depende mais de diplomacia institucional e capacidade de negociar prioridades do que de poder hierárquico direto.
Quais sistemas merecem MFA obrigatório no setor público?
Folha de pagamento, sistema tributário, sistema de protocolo com autorização administrativa, sistemas que tratam dado sensível (saúde, assistência social) e qualquer sistema que execute autorização de pagamento ou alteração cadastral com efeito jurídico. É controle frequentemente exigido pelo TCU, TCE e controle interno.
Como contratar SaaS de forma defensável sob a Lei 14.133/2021?
Caracterização clara do objeto como serviço (não bem); cláusulas obrigatórias de portabilidade de dados em formato aberto; garantia de conformidade LGPD documentada; plano de saída com prazo de extração ao fim do contrato; fundamentação do quantitativo (por usuário, processo ou capacidade) com método replicável.

Aprofundar

Conteúdo relacionado.

Conversar

Comece pela jornada concreta da sua instituição.

Esta página é mapa, não rota. A conversa institucional começa por escutar restrições reais. Mande o cenário — devolvemos uma leitura honesta.

Conversar com a CIVITRIAVer todas as soluções