É regular a exigência de certificação ISO para habilitação de licitante, com base no art. 17, § 6º, inciso III, da Lei 14.133/2021.

 

É regular a exigência de certificação ISO para habilitação de licitante, com base no art. 17, § 6º, inciso III, da Lei 14.133/2021. A exigência de certificação em relação a “material” e “corpo técnico”, referenciados no aludido dispositivo legal, pode ser entendida como a demonstração da capacidade técnica do quadro de pessoal integrada com a experiência organizacional da empresa e seus meios de produção, ou seja, a sua própria capacidade operacional (art. 67, caput e inciso III, da Lei 14.133/2021).

Representação formulada ao TCU indicou possíveis irregularidades no Pregão Eletrônico 427/2024, promovido pelo Departamento Nacional de Infraestrutura de Transportes (Dnit) sob a regência da Lei 14.133/2021, com valor estimado de R$ 7.772.946,59, cujo objeto era a contratação de empresa especializada na prestação de serviços de sustentação de infraestrutura do ambiente tecnológico do Dnit. A empresa representante alegou, em suma, que sua inabilitação fora indevida, por decorrer da exigência ilegal de certificação ISO 9001 na fase de habilitação, o que teria restringido a competitividade do certame. Argumentou que seus atestados de conformidade já seriam suficientes para comprovar a qualificação técnica exigida, além de sustentar que a ISO 20000 já contemplaria os principais requisitos da ISO 9001, tornando a exigência cumulativa desnecessária. Em sua instrução inicial, a unidade técnica destacou que o edital do PE 427/2024 exigira, como condição de habilitação, a apresentação de certificações ISO 9001, ISO 20000 e ISO 27001, o que poderia, sim, configurar cláusula restritiva à competitividade, sobretudo por “ausência de justificativa técnica objetiva e proporcionalidade entre as exigências e o objeto contratado”. Em razão disso, propôs, no mérito, o envio de ciência ao Dnit quanto às impropriedades constatadas. O relator não acolheu a proposta, decidindo por, preliminarmente, realizar oitiva a fim de que fossem apresentadas justificativas acerca da “exigência de certificações ISO 9001, 20000 e 27001 como requisitos de habilitação, inclusive demonstrando a adequação da exigência à Lei 14.133/2021; razões por que as certificações não podem ser exigidas apenas da futura contratada, com prazo adequado para esta obtê-las; eventual sobreposição desnecessária de requisitos, pois a ISO 20000 abrangeria o contido na ISO 9001”. Em resposta, o Dnit afirmou que a exigência das certificações ISO 9001, ISO 20000 e ISO 27001 se dera com fundamento nos arts. 17, § 6º, e 42, inciso III, da Lei 14.133/2021, os quais permitem, segundo sua interpretação, a exigência de certificações como requisitos de habilitação técnica, especialmente quando justificadas tecnicamente em função da complexidade do objeto. Pontuou que a criticidade da infraestrutura de TI da autarquia, composta por “aproximadamente 695 máquinas virtuais, sendo 250 responsáveis por aplicações estratégicas como SIOR, SIAC, SUPRA e SEI”, justificava a necessidade de elevado padrão técnico-operacional das empresas contratadas. Defendeu, ainda, que a futura migração de serviços para a nuvem reforçava a necessidade de maturidade técnica e aderência a padrões internacionais de qualidade e segurança, os quais seriam demonstrados pelas certificações exigidas. Quanto à ISO 9001, o Dnit salientou que sua exigência decorrera da necessidade de padronização de processos e melhoria contínua, especialmente no contexto da implantação de “ambientes DevOps e DevSecOps”. A ISO 20000, por sua vez, fora considerada essencial por estar alinhada às “melhores práticas do ITIL”, assegurando eficiência na operação e na gestão dos serviços de TI. Já a ISO 27001 teria sido solicitada em razão do elevado volume de ataques cibernéticos no país, exigindo da contratada estrutura e processos robustos de segurança da informação, com a contratação de equipes especializadas (“Red Team e Blue Team”). A entidade também justificou a exigência das certificações na fase de habilitação, e não apenas da empresa contratada, sob o argumento de que os prazos para obtenção dessas certificações seriam longos, podendo alcançar até doze meses, envolvendo um processo contínuo e complexo, que não estaria limitado à obtenção do selo. Acrescentou que “a certificação exige a implementação de padrões e a comprovação de experiência prévia nesses padrões de qualidade e segurança”, os quais, segundo a entidade, não poderiam ser garantidos por empresa que já não tivesse as certificações exigidas. Por fim, o Dnit registrou não ter havido restrição à competitividade, haja vista que oito empresas participaram do certame, e que outras licitantes teriam sido excluídas da disputa por motivos diversos da ausência das certificações. A diferença de apenas R$ 0,60 entre a proposta da empresa representante e a da empresa vencedora da licitação também foi utilizada pelo Dnit como argumento de que não teria havido impacto econômico relevante decorrente da exigência impugnada. Para a unidade instrutiva, a defesa do Dnit baseara-se em fundamentos genéricos e descolados de análise técnica específica e contextualizada. Em nenhum momento, segundo ela, fora demonstrado de forma objetiva por que a exigência de cada uma das certificações, especialmente da ISO 9001, seria imprescindível ao alcance dos objetivos contratuais. A entidade também não teria apresentado estudo técnico, avaliação de riscos, falhas pregressas ou evidência empírica que permitisse inferir que a exigência cumulativa das três certificações seria a única forma de mitigar riscos à execução do objeto. Ainda de acordo com a unidade instrutiva, o conteúdo da Nota Técnica 9/2025/CGTI/DAF, trazida aos autos pelo Dnit, limitara-se a apresentar conceitos e enumerações de boas práticas, sem realizar a devida correlação técnica entre os requisitos normativos e as especificidades do contrato, estando assim em conflito com o entendimento consolidado do TCU de que a exigência de certificações ISO na fase de habilitação “é vedada, exceto se demonstrada, de forma técnica e objetiva, sua essencialidade para a execução do contrato, o que não foi evidenciado no presente caso”. Assinalou, ainda, que o Tribunal já se posicionara reiteradamente contra esse tipo de exigência, pois “pode restringir a competitividade e afastar concorrentes que, embora não certificados, possuam plena capacidade técnica para executar o objeto licitado”, a exemplo dos Acórdãos 1085/2011, 539/2015 e 2129/2021, todos do Plenário. Consoante a unidade técnica, as justificativas apresentadas não teriam indicado, por exemplo, por que a ISO 20000, norma voltada especificamente à gestão de serviços de TI, não seria suficiente para assegurar os padrões de qualidade e eficiência almejados pela Administração. Tampouco se demonstrara por que a ISO 9001, de escopo genérico, seria imprescindível à execução de um contrato com objeto claramente delimitado à área de tecnologia da informação. O Dnit também não teria respondido, de forma específica, o questionamento quanto à sobreposição entre as normas ISO 9001 e ISO 20000, limitando-se a reafirmar sua tese inicial de complementaridade entre os sistemas de gestão. Na sequência, a unidade instrutiva ponderou que, embora reconhecesse que a exigência cumulativa das certificações não teria sido, no caso concreto, justificada de forma técnica e objetiva, seria razoável considerar que “as certificações ISO 20000 e ISO 27001 guardam relação mais direta com o objeto da contratação, qual seja, a sustentação da infraestrutura tecnológica do Dnit. A ISO 20000 é uma norma internacional voltada especificamente à gestão de serviços de TI, sendo, portanto, inerente ao escopo dos serviços contratados. Já a ISO 27001, por sua vez, trata da segurança da informação, elemento essencial em ambientes com grande volume de dados sensíveis e operações críticas, como no caso da autarquia”, além do que “diversos princípios de gestão da qualidade previstos na ISO 9001 – como a melhoria contínua, a padronização de processos e o foco no cliente – estão incorporados nos requisitos da ISO 20000”. Destarte, à luz da razoabilidade, uma exigência fundamentada exclusivamente na ISO 20000 e na ISO 27001 poderia, a seu ver, ser considerada mais proporcional e condizente com os objetivos contratuais, “desde que devidamente motivada”. Em relação à possibilidade de exigência das certificações ISO apenas da empresa contratada, a unidade técnica considerou que as justificativas apresentadas pelo Dnit careciam de robustez técnica e não eram corroboradas pelos elementos constantes dos autos. Apesar de a entidade ter afirmado que o processo de certificação levaria entre seis e doze meses, os documentos juntados pela empresa autora da representação apontariam uma realidade distinta, com evidências de que o processo poderia ser concluído em prazo significativamente inferior ao alegado, colocando em dúvida a generalização apresentada pela entidade. Quanto à argumentação do Dnit de que a obtenção da certificação não se resumiria ao recebimento do selo, envolvendo um processo de maturação organizacional que incluiria experiência prática nos padrões certificados, a unidade técnica entendeu que ela não se sustentava, uma vez que “a certificação, por definição, pressupõe que a organização já opere conforme os padrões estabelecidos pela norma. A emissão do certificado apenas chancela formalmente a capacidade de uma organização, razão pela qual a exigência de experiência prévia nos padrões certificados perde força lógica. Da mesma forma, a posse do selo não garante, por si só, que os processos certificados estejam sendo efetivamente praticados.”. A despeito de reconhecer a dificuldade que é, muitas vezes, para a Administração contratante avaliar e assegurar os padrões de qualidade exigidos na certificação, na sua ótica “não se justifica a exigência da certificação como critério de habilitação”, pois a licitante “já pode operar com esses padrões, mas apenas não fez a certificação exigida, até mesmo porque envolve custos. Nada impede, todavia, que uma vez vencedora do certame, adote as providências para retirar sua certificação.”. No que diz respeito à alegação de que a presença de oito empresas no certame teria afastado a restrição à competitividade, a unidade instrutiva retrucou que tal argumento não se sustentava à luz da jurisprudência do TCU, tendo em vista que a análise da restrição à competitividade “não pode se limitar à quantidade de licitantes, mas deve considerar se as condições estabelecidas no edital produziram efeitos concretos de exclusão indevida”, a exemplo dos Acórdãos 2066/2016 e 3306/2014, ambos do Plenário. E arrematou: “a exigência das certificações ISO 9001, 20000 e 27001 como critério de habilitação, sem a devida motivação técnica específica e objetiva de que tais certificações seriam imprescindíveis à execução do objeto, configura violação ao princípio da competitividade, além de contrariar a jurisprudência consolidada deste Tribunal”. Nada obstante a indevida exigência da certificação ISO como critério de habilitação, sem a demonstração, de forma técnica e objetiva, de sua essencialidade para a execução do contrato, mas levando em conta que a exigência não resultara em prejuízo econômico para a Administração – a diferença de preço entre a proposta da empresa representante e o valor ofertado pela empresa vencedora fora de apenas R$ 0,60 –, a unidade técnica considerou suficiente dar ciência ao Dnit sobre as irregularidades identificadas. Em seu voto, para início de abordagem, o relator transcreveu os seguintes dispositivos da Lei 14.133/2021: “Art. 17. O processo de licitação observará as seguintes fases, em sequência: § 6º A Administração poderá exigir certificação por organização independente acreditada pelo Instituto Nacional de Metrologia, Qualidade e Tecnologia (Inmetro) como condição para aceitação de: I - estudos, anteprojetos, projetos básicos e projetos executivos; II - conclusão de fases ou de objetos de contratos; III - material e corpo técnico apresentados por empresa para fins de habilitação.” (...) “Art. 42. A prova de qualidade de produto apresentado pelos proponentes como similar ao das marcas eventualmente indicadas no edital será admitida por qualquer um dos seguintes meios: III - certificação, certificado, laudo laboratorial ou documento similar que possibilite a aferição da qualidade e da conformidade do produto ou do processo de fabricação, inclusive sob o aspecto ambiental, emitido por instituição oficial competente ou por entidade credenciada” (grifos do relator). Depreendeu então que, “em relação ao estatuto anterior de licitações, a nova norma guarda mais flexibilidade no tocante à exigência de certificações técnicas como requisitos de habilitação e classificação”, ao permitir a exigência de certificação como “requisito de habilitação em relação ao material e corpo técnico da licitante (art. 17, § 6º, inciso III)”. E como a habilitação diz respeito ao “conjunto de informações e documentos necessários e suficientes para demonstrar a capacidade do licitante de realizar o objeto da licitação”, a exigência de certificação referente a “material e corpo técnico”, a seu ver, enquadrar-se-ia no atendimento dos requisitos técnicos de habilitação, ou seja, na “demonstração da capacidade de adequadamente executar o objeto do contrato”. Dito de outra forma, essa certificação enquadrar-se-ia nos requisitos técnico-profissional e técnico-operacional, pois seria possível compreender que “os elementos da capacidade operacional de uma empresa, previstos no inciso III do art. 67 da Lei 14.133/2021, são mão de obra, equipamentos e tecnologia, os quais podem ser entendidos nos termos legais de ‘material’ e ‘corpo técnico’ a que se refere o art. 17, inciso III, da Lei 14.133/2021”. Resumindo, a exigência de certificação em relação a esses dois requisitos poderia ser entendida como a “demonstração da capacidade técnica do quadro de pessoal integrada com a experiência organizacional da empresa e seus meios de produção, ou seja, a sua própria capacidade operacional”. Retomando o caso concreto, o relator asseverou que a controvérsia se encontrava na exigência simultânea das normas ISO 9001 e 20000, as quais, seguindo a autora da representação, seriam redundantes, mas que, em princípio, as justificativas do Dnit para a exigência de ambas as certificações “foram exercidas dentro do poder discricionário do gestor”, vislumbrando “espaço, pois, para a aplicação do princípio da deferência administrativa”. Nesse sentido, não seria o caso de o TCU se manifestar sobre o mérito da exigência cumulativa de ambas as certificações, até porque “a exigência das duas certificações simultâneas não apresentou prejuízo em concreto ou afetou a competitividade do certame, pois ambas as empresas – a representante, sem a certificação ISO 9001, e a provisoriamente vencedora, com a certificação ISO 9001 – apresentaram propostas com valores praticamente idênticos”. Especificamente quanto ao momento da exigência da apresentação das certificações, ele enfatizou que “a norma legal rege que ocorrerá quando da habilitação. Assim, sob esse aspecto, não há o que se questionar da conduta do Dnit”. Deixou assente também que, caso se exigissem as certificações apenas da empresa vencedora, como requisito da celebração do contrato, seria possível evitar que as empresas incorressem em custos para a sua obtenção apenas com o propósito de participar da licitação e, assim, seria aumentada a competitividade do certame. No entanto, a obtenção das certificações pelas empresas “não seria automática e poderia demorar meses”, prejudicando assim “a entrega dos serviços e comprometendo a continuidade das operações”, de forma que, no caso concreto, as alegações do Dnit a respeito estariam dentro do seu espaço de discricionariedade. Ao final, acolhendo a proposição do relator, o Plenário decidiu considerar improcedente a representação.

Acórdão 1091/2025 Plenário, Representação, Relator Ministro Benjamin Zymler.