É regular a exigência de
certificação ISO para habilitação de licitante, com base no art. 17, § 6º,
inciso III, da Lei 14.133/2021. A exigência de certificação em relação a
“material” e “corpo técnico”, referenciados no aludido dispositivo legal, pode
ser entendida como a demonstração da capacidade técnica do quadro de pessoal
integrada com a experiência organizacional da empresa e seus meios de
produção, ou seja, a sua própria capacidade operacional (art. 67, caput e
inciso III, da Lei 14.133/2021).
Representação
formulada ao TCU indicou possíveis irregularidades no Pregão Eletrônico
427/2024, promovido pelo Departamento Nacional de Infraestrutura de Transportes
(Dnit) sob a regência da Lei 14.133/2021, com valor estimado de R$
7.772.946,59, cujo objeto era a contratação de empresa especializada na
prestação de serviços de sustentação de infraestrutura do ambiente tecnológico
do Dnit. A empresa representante alegou, em suma, que sua inabilitação fora
indevida, por decorrer da exigência ilegal de certificação ISO 9001 na fase de
habilitação, o que teria restringido a competitividade do certame. Argumentou
que seus atestados de conformidade já seriam suficientes para comprovar a qualificação
técnica exigida, além de sustentar que a ISO 20000 já contemplaria os
principais requisitos da ISO 9001, tornando a exigência cumulativa
desnecessária. Em sua instrução inicial, a unidade técnica destacou que o
edital do PE 427/2024 exigira, como condição de habilitação, a apresentação de
certificações ISO 9001, ISO 20000 e ISO 27001, o que poderia, sim, configurar
cláusula restritiva à competitividade, sobretudo por “ausência de
justificativa técnica objetiva e proporcionalidade entre as exigências e o
objeto contratado”. Em razão disso, propôs, no mérito, o envio de ciência
ao Dnit quanto às impropriedades constatadas. O relator não acolheu a proposta,
decidindo por, preliminarmente, realizar oitiva a fim de que fossem
apresentadas justificativas acerca da “exigência de certificações ISO 9001,
20000 e 27001 como requisitos de habilitação, inclusive demonstrando a
adequação da exigência à Lei 14.133/2021; razões por que as certificações não
podem ser exigidas apenas da futura contratada, com prazo adequado para esta
obtê-las; eventual sobreposição desnecessária de requisitos, pois a ISO 20000
abrangeria o contido na ISO 9001”. Em resposta, o Dnit afirmou que a
exigência das certificações ISO 9001, ISO 20000 e ISO 27001 se dera com
fundamento nos arts. 17, § 6º, e 42, inciso III, da Lei 14.133/2021, os quais
permitem, segundo sua interpretação, a exigência de certificações como
requisitos de habilitação técnica, especialmente quando justificadas
tecnicamente em função da complexidade do objeto. Pontuou que a criticidade da
infraestrutura de TI da autarquia, composta por “aproximadamente 695
máquinas virtuais, sendo 250 responsáveis por aplicações estratégicas como
SIOR, SIAC, SUPRA e SEI”, justificava a necessidade de elevado padrão
técnico-operacional das empresas contratadas. Defendeu, ainda, que a futura
migração de serviços para a nuvem reforçava a necessidade de maturidade técnica
e aderência a padrões internacionais de qualidade e segurança, os quais seriam
demonstrados pelas certificações exigidas. Quanto à ISO 9001, o Dnit salientou
que sua exigência decorrera da necessidade de padronização de processos e
melhoria contínua, especialmente no contexto da implantação de “ambientes
DevOps e DevSecOps”. A ISO 20000, por sua vez, fora considerada essencial
por estar alinhada às “melhores práticas do ITIL”, assegurando
eficiência na operação e na gestão dos serviços de TI. Já a ISO 27001 teria
sido solicitada em razão do elevado volume de ataques cibernéticos no país,
exigindo da contratada estrutura e processos robustos de segurança da
informação, com a contratação de equipes especializadas (“Red Team e Blue
Team”). A entidade também justificou a exigência das certificações na fase
de habilitação, e não apenas da empresa contratada, sob o argumento de que os
prazos para obtenção dessas certificações seriam longos, podendo alcançar até
doze meses, envolvendo um processo contínuo e complexo, que não estaria
limitado à obtenção do selo. Acrescentou que “a certificação exige a
implementação de padrões e a comprovação de experiência prévia nesses padrões
de qualidade e segurança”, os quais, segundo a entidade, não poderiam ser
garantidos por empresa que já não tivesse as certificações exigidas. Por fim, o
Dnit registrou não ter havido restrição à competitividade, haja vista que oito
empresas participaram do certame, e que outras licitantes teriam sido excluídas
da disputa por motivos diversos da ausência das certificações. A diferença de
apenas R$ 0,60 entre a proposta da empresa representante e a da empresa vencedora
da licitação também foi utilizada pelo Dnit como argumento de que não teria
havido impacto econômico relevante decorrente da exigência impugnada. Para a
unidade instrutiva, a defesa do Dnit baseara-se em fundamentos genéricos e
descolados de análise técnica específica e contextualizada. Em nenhum momento,
segundo ela, fora demonstrado de forma objetiva por que a exigência de cada uma
das certificações, especialmente da ISO 9001, seria imprescindível ao alcance
dos objetivos contratuais. A entidade também não teria apresentado estudo
técnico, avaliação de riscos, falhas pregressas ou evidência empírica que
permitisse inferir que a exigência cumulativa das três certificações seria a
única forma de mitigar riscos à execução do objeto. Ainda de acordo com a unidade
instrutiva, o conteúdo da Nota Técnica 9/2025/CGTI/DAF, trazida aos autos pelo
Dnit, limitara-se a apresentar conceitos e enumerações de boas práticas, sem
realizar a devida correlação técnica entre os requisitos normativos e as
especificidades do contrato, estando assim em conflito com o entendimento
consolidado do TCU de que a exigência de certificações ISO na fase de
habilitação “é vedada, exceto se demonstrada, de forma técnica e
objetiva, sua essencialidade para a execução do contrato, o que não foi
evidenciado no presente caso”. Assinalou, ainda, que o Tribunal já se
posicionara reiteradamente contra esse tipo de exigência, pois “pode
restringir a competitividade e afastar concorrentes que, embora não
certificados, possuam plena capacidade técnica para executar o objeto licitado”,
a exemplo dos Acórdãos 1085/2011, 539/2015 e 2129/2021, todos do Plenário. Consoante a unidade técnica, as
justificativas apresentadas não teriam indicado, por exemplo, por que a ISO
20000, norma voltada especificamente à gestão de serviços de TI, não seria
suficiente para assegurar os padrões de qualidade e eficiência almejados pela
Administração. Tampouco se demonstrara por que a ISO 9001, de escopo genérico,
seria imprescindível à execução de um contrato com objeto claramente delimitado
à área de tecnologia da informação. O Dnit também não teria respondido, de
forma específica, o questionamento quanto à sobreposição entre as normas ISO
9001 e ISO 20000, limitando-se a reafirmar sua tese inicial de
complementaridade entre os sistemas de gestão. Na sequência, a unidade
instrutiva ponderou que, embora reconhecesse que a exigência cumulativa das
certificações não teria sido, no caso concreto, justificada de forma técnica e
objetiva, seria razoável considerar que “as certificações ISO 20000 e ISO
27001 guardam relação mais direta com o objeto da contratação, qual seja, a
sustentação da infraestrutura tecnológica do Dnit. A ISO 20000 é uma norma
internacional voltada especificamente à gestão de serviços de TI, sendo,
portanto, inerente ao escopo dos serviços contratados. Já a ISO 27001, por sua
vez, trata da segurança da informação, elemento essencial em ambientes com
grande volume de dados sensíveis e operações críticas, como no caso da
autarquia”, além do que “diversos princípios de gestão da qualidade
previstos na ISO 9001 – como a melhoria contínua, a padronização de processos e
o foco no cliente – estão incorporados nos requisitos da ISO 20000”.
Destarte, à luz da razoabilidade, uma exigência fundamentada exclusivamente na
ISO 20000 e na ISO 27001 poderia, a seu ver, ser considerada mais proporcional
e condizente com os objetivos contratuais, “desde que devidamente motivada”.
Em relação à possibilidade de exigência das certificações ISO apenas da empresa
contratada, a unidade técnica considerou que as justificativas apresentadas
pelo Dnit careciam de robustez técnica e não eram corroboradas pelos elementos
constantes dos autos. Apesar de a entidade ter afirmado que o processo de
certificação levaria entre seis e doze meses, os documentos juntados pela
empresa autora da representação apontariam uma realidade distinta, com
evidências de que o processo poderia ser concluído em prazo significativamente
inferior ao alegado, colocando em dúvida a generalização apresentada pela
entidade. Quanto à argumentação do Dnit de que a obtenção da certificação não
se resumiria ao recebimento do selo, envolvendo um processo de maturação
organizacional que incluiria experiência prática nos padrões certificados, a
unidade técnica entendeu que ela não se sustentava, uma vez que “a
certificação, por definição, pressupõe que a organização já opere conforme os
padrões estabelecidos pela norma. A emissão do certificado apenas chancela
formalmente a capacidade de uma organização, razão pela qual a exigência de
experiência prévia nos padrões certificados perde força lógica. Da mesma forma,
a posse do selo não garante, por si só, que os processos certificados estejam
sendo efetivamente praticados.”. A despeito de reconhecer a dificuldade que
é, muitas vezes, para a Administração contratante avaliar e assegurar os
padrões de qualidade exigidos na certificação, na sua ótica “não se
justifica a exigência da certificação como critério de habilitação”, pois a
licitante “já pode operar com esses padrões, mas apenas não fez a
certificação exigida, até mesmo porque envolve custos. Nada impede, todavia,
que uma vez vencedora do certame, adote as providências para retirar sua
certificação.”. No que diz respeito à alegação de que a presença de oito
empresas no certame teria afastado a restrição à competitividade, a unidade
instrutiva retrucou que tal argumento não se sustentava à luz da jurisprudência
do TCU, tendo em vista que a análise da restrição à competitividade “não
pode se limitar à quantidade de licitantes, mas deve considerar se as condições
estabelecidas no edital produziram efeitos concretos de exclusão indevida”,
a exemplo dos Acórdãos 2066/2016 e 3306/2014, ambos do Plenário. E arrematou: “a exigência das
certificações ISO 9001, 20000 e 27001 como critério de habilitação, sem a
devida motivação técnica específica e objetiva de que tais certificações seriam
imprescindíveis à execução do objeto, configura violação ao princípio da
competitividade, além de contrariar a jurisprudência consolidada deste Tribunal”.
Nada obstante a indevida exigência da certificação ISO como critério de
habilitação, sem a demonstração, de forma técnica e objetiva, de sua
essencialidade para a execução do contrato, mas levando em conta que a
exigência não resultara em prejuízo econômico para a Administração – a
diferença de preço entre a proposta da empresa representante e o valor ofertado
pela empresa vencedora fora de apenas R$ 0,60 –, a unidade técnica considerou
suficiente dar ciência ao Dnit sobre as irregularidades identificadas. Em seu
voto, para início de abordagem, o relator transcreveu os seguintes dispositivos
da Lei 14.133/2021: “Art. 17. O processo de licitação observará as seguintes
fases, em sequência: § 6º A Administração poderá exigir certificação por
organização independente acreditada pelo Instituto Nacional de
Metrologia, Qualidade e Tecnologia (Inmetro) como condição para aceitação
de: I - estudos, anteprojetos, projetos básicos e projetos executivos; II -
conclusão de fases ou de objetos de contratos; III - material e corpo técnico
apresentados por empresa para fins de habilitação.” (...) “Art.
42. A prova de qualidade de produto apresentado pelos proponentes como similar
ao das marcas eventualmente indicadas no edital será admitida por qualquer um
dos seguintes meios: III - certificação, certificado, laudo laboratorial ou
documento similar que possibilite a aferição da qualidade e da conformidade do produto
ou do processo de fabricação, inclusive sob o aspecto ambiental, emitido
por instituição oficial competente ou por entidade credenciada” (grifos do
relator). Depreendeu então que, “em relação ao estatuto anterior de
licitações, a nova norma guarda mais flexibilidade no tocante à exigência de
certificações técnicas como requisitos de habilitação e classificação”, ao
permitir a exigência de certificação como “requisito de habilitação em
relação ao material e corpo técnico da licitante (art. 17, § 6º, inciso III)”.
E como a habilitação diz respeito ao “conjunto de informações e documentos
necessários e suficientes para demonstrar a capacidade do licitante de realizar
o objeto da licitação”, a exigência de certificação referente a “material
e corpo técnico”, a seu ver, enquadrar-se-ia no atendimento dos requisitos
técnicos de habilitação, ou seja, na “demonstração da capacidade de
adequadamente executar o objeto do contrato”. Dito de outra forma, essa
certificação enquadrar-se-ia nos requisitos técnico-profissional e
técnico-operacional, pois seria possível compreender que “os elementos da
capacidade operacional de uma empresa, previstos no inciso III do art. 67 da
Lei 14.133/2021, são mão de obra, equipamentos e tecnologia, os quais podem ser
entendidos nos termos legais de ‘material’ e ‘corpo técnico’ a que se refere o
art. 17, inciso III, da Lei 14.133/2021”. Resumindo, a exigência de
certificação em relação a esses dois requisitos poderia ser entendida como a “demonstração
da capacidade técnica do quadro de pessoal integrada com a experiência
organizacional da empresa e seus meios de produção, ou seja, a sua própria
capacidade operacional”. Retomando o caso concreto, o relator asseverou que
a controvérsia se encontrava na exigência simultânea das normas ISO 9001 e
20000, as quais, seguindo a autora da representação, seriam redundantes, mas
que, em princípio, as justificativas do Dnit para a exigência de ambas as
certificações “foram exercidas dentro do poder discricionário do gestor”,
vislumbrando “espaço, pois, para a aplicação do princípio da deferência
administrativa”. Nesse sentido, não seria o caso de o TCU se manifestar
sobre o mérito da exigência cumulativa de ambas as certificações, até porque “a
exigência das duas certificações simultâneas não apresentou prejuízo em
concreto ou afetou a competitividade do certame, pois ambas as empresas – a
representante, sem a certificação ISO 9001, e a provisoriamente vencedora, com
a certificação ISO 9001 – apresentaram propostas com valores praticamente idênticos”.
Especificamente quanto ao momento da exigência da apresentação das
certificações, ele enfatizou que “a norma legal rege que ocorrerá quando da
habilitação. Assim, sob esse aspecto, não há o que se questionar da conduta do
Dnit”. Deixou assente também que, caso se exigissem as certificações apenas
da empresa vencedora, como requisito da celebração do contrato, seria possível
evitar que as empresas incorressem em custos para a sua obtenção apenas com o
propósito de participar da licitação e, assim, seria aumentada a
competitividade do certame. No entanto, a obtenção das certificações pelas
empresas “não seria automática e poderia demorar meses”, prejudicando
assim “a entrega dos serviços e comprometendo a continuidade das operações”,
de forma que, no caso concreto, as alegações do Dnit a respeito estariam dentro
do seu espaço de discricionariedade. Ao final, acolhendo a proposição do
relator, o Plenário decidiu considerar improcedente a representação.
Acórdão
1091/2025 Plenário, Representação, Relator Ministro Benjamin Zymler.
