Por uma Política de Certificação dos SIGADs e Repositórios Digitais

Por uma Política de Certificação dos SIGADs e Repositórios Digitais

Neide Alves Dias De Sordi[1]

Nas instituições públicas brasileiras, a proliferação de sistemas de processos e documentos eletrônicos é uma realidade e implica uma mudança cultural tão radical que tem sido comparada à revolução da escrita a mão para a máquina de escrever. Certamente, essa grande revolução trará eficiência e economia, contribuindo para reduzir a burocracia, a morosidade e aprimorar o acesso às informações públicas.

As empresas estão procurando soluções para substituir a consulta e o manuseio do documento em papel pelo documento digital, função da tecnologia de ECM – Enterprise Content Management – (Gerenciamento do Conteúdo Empresarial).

Modelos de requisitos para o desenvolvimento de sistemas de gestão da documentação em formato físico e digital foram aprovados pelo Conselho Nacional de Arquivos (Conarq) e Conselho Nacional de Justiça (CNJ). O Conarq instituiu o e-Arq Brasil, aprovado pela Resolução nº 25/2007[i], e o CNJ, o MoReq-Jus, aprovado pela Resolução CNJ nº 91/2009[ii]. Esses modelos, ambos derivados do MoReq da União Europeia, versão 2001[iii], especificam requisitos de software, mas também incluem os relativos à politica de preservação e ao ambiente de implantação dos sistemas. A tradução dos requisitos em especificação de software não foi objeto de norma ou orientações dessas entidades, dificultando a sua implementação. 

Os sistemas de gestão dos documentos eletrônicos foram denominados, no e-Arq Brasil, como SIGAD – Sistema Informatizado de Gestão Arquivística de Documentos (e no MoReq-Jus como GestãoDoc) e proliferam na administração pública federal, muitos deles são vendidos como sistemas que atendem ao e.Arq Brasil ou ao MoReq-Jus, dependendo do mercado que pretendem atingir.

Além do e-Arq Brasil, o Conarq aprovou três outras resoluções que estabelecem diretrizes relativas à segurança e à preservação da informação digital. No entanto, as resoluções são pouco operacionais, algumas vezes abordam, de forma diferente, funcionalidades do e-Arq Brasil porque cada norma reflete o estado da arte da preservação digital da época em que foi editada. Infelizmente, nem sempre uma norma substitui ou complementa a outra.

A falta de operacionalidade pode ser observada na Resolução Conarq nº 37/2012[iv], sobre diretrizes para a presunção de autenticidade de documentos arquivísticos digitais, que estabelece a necessidade de adoção dos requisitos para o estabelecimento e a aplicação contínua e efetiva de políticas e procedimentos administrativos, fornecendo a melhor evidência para apoiar a presunção de autenticidade dos documentos arquivísticos digitais, independentemente de mecanismos tecnológicos de autenticação”.  Porém, a Resolução não especifica o que deve ser feito para a efetividade da questão. Apenas, recomenda que “devem-se implementar, sempre que possível, técnicas de autenticação apoiadas em políticas e procedimentos administrativos e arquivísticos independentes de tecnologia e/ou neutros. O sistema informatizado tem que ser confiável. Para tanto deve incluir trilhas de auditoria, controle de acesso de usuários, métodos robustos para garantir a integridade dos documentos (como checksum  ou hash), meios de armazenamento estáveis e medidas de segurança para controlar o acesso indevido à infraestrutura tecnológica (computadores, redes e dispositivos de armazenamento).”

Em 2013, o Conarq aprovou a Resolução nº 38[v], que dispõe sobre a adoção das Diretrizes do Produtor – A elaboração e a manutenção de materiais digitais: Diretrizes Para Indivíduos e Diretrizes do Preservador – A preservação de documentos arquivísticos digitais: Diretrizes para Organizações.  Essa norma, a exemplo da anterior, apresenta recomendações genéricas como, por exemplo, “selecione hardwares, softwares e formatos de arquivo que ofereçam as melhores expectativas de garantia de que os materiais digitais permanecerão facilmente acessíveis ao longo do tempo” ou “Use softwares aderentes a padrões” (que padrões?) ou “Adquira Recursos” (financiamento, capacidades tecnológicas e conhecimento especializado).

A Resolução nº 39/2014[vi]: “Estabelece diretrizes para a implementação de repositórios digitais confiáveis para a transferência e recolhimento de documentos arquivísticos digitais para instituições arquivísticas dos órgãos e entidades integrantes do Sistema Nacional de Arquivos – SINAR”.  A norma, com 25 páginas de textos conceituais, toma por base o modelo Open Archival Information System – OAIS[vii], a ISO 14721:2003, publicada no Brasil como a norma ABNT NBR 15472: 2007 – Sistema Aberto de Arquivamento de Informação – SAAI[viii], e o documento “Trustworthy Repository Audit & Certification: Criteria and Checklist – TRAC”, publicado em 2007 pela Research Library Group (RLG), em parceria com a National Archives and Records Administration US (NARA)[ix].

O OAIS é um modelo conceitual desenvolvido pelo Consultive Committee for Space Data Systems – CCSDS, que descreve as funções de um repositório digital e os metadados necessários para a preservação e acesso aos materiais digitais gerenciados pelo repositório.

O TRAC, base para a norma ISO 16363:2012, visa fornecer uma ferramenta que permita auditar, avaliar, e potencialmente certificar repositórios digitais; estabelecer a documentação necessária para realizar uma auditoria; apoiar o planejamento do processo de certificação e estabelecer metodologias apropriadas para determinar a robustez e a sustentabilidade de um repositório digital. 

O TRAC tem um conjunto de critérios e um checklist a serem tomados como referência para a certificação de repositórios digitais confiáveis e, ainda, uma lista de métricas TRAC[x], com exemplos dos tipos de evidências do atendimento dessas métricas pelos repositórios. Essa última, bastante objetiva, não foi incluída na Resolução nº 39/2014. O TRAC apontou a necessidade da certificação de software para garantir a segurança, a preservação da informação digital e aumentar a confiabilidade dos repositórios digitais.

A Resolução nº 39/2014 define um repositório digital confiável como aquele capaz de manter autênticos os materiais digitais, preservá-los e prover acesso a eles pelo tempo necessário. Estabelece também que “no caso de um repositório para documentos arquivísticos, a definição dos metadados deve observar o e-ARQ Brasil (nas fases corrente e intermediária) e a NOBRADE (na fase permanente). Para a admissão de documentos no repositório, no caso de transferência ou recolhimento, devem-se observar os procedimentos indicados na Resolução nº 24, de 3 de agosto de 2006, do CONARQ[xi]”.

Apesar ou por conta dessas diversas normas, as instituições não estão seguras na escolha das soluções tecnológicas que melhor cumprem esses conjuntos de recomendações, princípios, conceitos e requisitos. Muitas vezes, as instituições não detêm conhecimentos para avaliar a aderência das tecnologias adotadas às normas e padrões de segurança e preservação da informação digital. Como saber se o software escolhido atende aos requisitos do e-Arq Brasil? Como saber se o repositório do sistema, que, pelas normas, deve ser acessado independentemente do software, é um repositório digital confiável? As normas existentes deveriam ser complementadas por uma política de certificação que ateste a capacidade das soluções tecnológicas, a efetividade e a qualidade dos sistemas utilizados.

Segundo a Resolução nº 39, um repositório digital não se resume a uma solução informatizada para armazenamento (storage), este é apenas um componente do repositório. Tal orientação não responde a questão do e-Arq, que estabelece, por exemplo, que o repositório dos documentos sigilosos do SIGAD deve ser separado do repositório dos documentos ostensivos. Como avaliar se a informação no sistema está criptografada, se ele é capaz de recuperar informação contida em marcas d’água digitais, se assegura a captura de documentos cifrados, diretamente de uma aplicação de software que disponha da funcionalidade de cifração?

Como esperar que as instituições disponham de profissionais com conhecimentos para analisar se um determinado software atende ao exaustivo volume de normas e padrões relacionados apenas na Resolução nº 39/2014 sobre repositórios digitais? Modelo de referência OAIS; Metadados de preservação – PREMIS; Padrão de codificação e transmissão de metadados – METS; Protocolo para coleta de metadados – OAI-PMH; Norma Geral Internacional de Descrição Arquivística – ISAD(G); Norma Brasileira de Descrição Arquivistica – NOBRADE; (as duas são relacionadas. Não bastaria preconizar o uso da NOBRADE?) e ainda a Descrição arquivística codificada – EAD e  os requisitos do e.Arq Brasil, que “devem ser levados em consideração para a implementação dos repositórios arquivísticos digitais, já que a integração dos repositórios aos sistemas informatizados de gestão arquivística de documentos (SIGADs) é fundamental para o sucesso das iniciativas de gestão.”

No caso dos documentos em papel, quando os SIGADs eram apenas sistemas referenciais, existia a possibilidade de complementar as informações da descrição arquivística com uma consulta ao documento em questão. Em se tratando de documentos digitais, as facilidades de complementar metadados indisponíveis podem comprometer a autenticidade do documento.

Segundo o INMETRO[xii], a Certificação é o modo pelo qual uma terceira parte dá garantia escrita de que um produto, processo ou serviço está em conformidade com os requisitos especificados. Já a Certificação de Software é definida como a emissão de um certificado de conformidade de um software a certo conjunto de normas ou especificações, comprovada por testes de conformidade e por testes de campo.

A certificação é feita por um organismo ou entidade certificadora, independente e devidamente acreditada (reconhecida) para realizar atividades de certificação de produtos, serviços, sistemas, entre outros, num determinado âmbito e segundo um ou vários referenciais normativos. O reconhecimento da competência e credibilidade destes organismos é fundamental para a sua atuação.

Na área de Gestão da Documentação Digital, os processos de certificação de software devem ser criados para apoiar as organizações públicas e privadas na escolha de softwares que atendam aos modelos de requisitos e normas complementares mencionadas. A certificação não será uma dificuldade para os produtores de software, ela dá maturidade aos sistemas para que atinjam padrões de qualidade essenciais para a sobrevivência no mercado de Tecnologia da Informação. São apontadas diversas vantagens da certificação de software, como a melhoria do prestígio e da imagem; o aumento da competitividade e da confiança dos clientes; a redução de custos e a prevenção e minimização de riscos.

Projetos de abrangência nacional, como o Processo Eletrônico Nacional (PEN), iniciativa coordenada pelo Ministério do Planejamento, que congrega diversos órgãos e entidades públicas visando construir uma infraestrutura para a integração dos documentos e processos dos órgãos do Governo Federal deveriam ser precedidos por um processo de certificação de software para facilitar a confiabilidade e o apoio sempre necessários nesses cenários de mudanças culturais.

O MoReq2, lançado em 2008[xiii], incluiu um conjunto de testes e o projeto de certificação, o que inspirou o CNJ na criação do Selo de Certificação MoReq-Jus, para avaliar a adesão do sistema aos requisitos do MoReq-Jus.

Assim, em 2009, o Departamento de Pesquisas Judiciárias do CNJ, coordenou um grupo de trabalho com representantes de todos os segmentos do Judiciário e deu início ao Programa de Avaliação da Conformidade dos Sistemas de Gestão de Processos e Documentos do Judiciário ao Modelo de Requisitos MoReq-Jus[xiv], com a colaboração do CPqD.

O Programa de Avaliação resultou em instrumentos de avaliação de requisitos (checklists), manual do avaliador, templates de Relatório e de Laudo Técnicos, além de questionário para Auto avaliação, elementos que integraram o Método e Processo de Avaliação de Conformidade ao MoReq-Jus, que incluía acreditação, avaliação, certificação, homologação e emissão do Selo MoReq-Jus.

O Projeto contou ainda com reuniões técnicas entre as equipes do CPqD, consultoria contratada, e do Judiciário, para discussões técnicas e gerenciais sobre o Programa de Avaliação. Foi feita a validação do Programa de Avaliação através de um Projeto Piloto de avaliação dos sistemas PROJUDI e PJe. Os insumos coletados no Projeto Piloto ajudaram a aperfeiçoar o Programa de Avaliação.

Lamentavelmente, os resultados do trabalho não foram transformados em resolução e aproveitados pelo CNJ. Caso uma instituição idônea tivesse sido acreditada para implementar essa certificação, seriam minimizados muitos dos problemas de desconfianças dos advogados e da OAB na implantação do PJe.

Não apenas o Judiciário precisa de certificação da qualidade e da aderência dos softwares de gestão documental aos padrões e às boas práticas, como recomendam, genericamente, as Resoluções do Conarq. É preciso que seja implementada política de apoio às instituições nesse processo de escolha extremamente complexo, e a certificação é a política mais adequada.

Segundo Miguel Ferreira[xv], a certificação estabelece um clima de confiança em torno do repositório e da informação que nele se encontra custodiada. Ela possibilita demonstrar, de forma objetiva, o quanto o repositório é confiável e estabelece uma postura de transparência perante os intervenientes, demonstrando, com base em evidências, que todos os processos e procedimentos são seguidos. A certificação é uma opção estratégica de desenvolvimento das organizações, no sentido de quererem evoluir e melhorar o seu desempenho.

[1] Neide De Sordi é diretora da InnovaGestão, pesquisadora do Instituto Brasiliense de Direito Público (IDP) e membro do Conselho Deliberativo da Sociedade Brasileira de Gestão do Conhecimento (SBGC).Foi diretora-executiva do Departamento de Pesquisas Judiciárias (DPJ) do Conselho Nacional de Justiça (CNJ) e Secretária de Pesquisa e Informação Jurídicas do Centro de Estudos Judiciários (CEJ) do Conselho da Justiça Federal (CJF).

[i] BRASIL. CONSELHO NACIONAL DE ARQUIVOS. Resolução nº 25, 27 de abril de 2007. Dispõe sobre a adoção do Modelo de Requisitos para Sistemas Informatizados de Gestão Arquivística de Documentos – e-ARQ Brasil pelos órgãos e entidades integrantes do Sistema de Arquivos-SINAR. Disponível em: <http://www.conarq.arquivonacional.gov.br/Media/publicacoes/earqbrasilv1.pdf> Acesso: 18 nov. 2014. 

[ii] BRASIL. CONSELHO NACIONAL DE JUSTIÇA. Resolução nº 91, de 29 de setembro de 2009. Institui o Modelo de Requisitos para Sistemas Informatizados de Gestão de Processos e Documentos do Poder Judiciário e disciplina a obrigatoriedade da sua utilização no desenvolvimento e manutenção de sistemas informatizados para as atividades judiciárias e administrativas no âmbito do Poder Judiciário. Disponível em: <http://www.cnj.jus.br/atos-administrativos/atos-da-presidencia/323-resolucoes/12206-resolucao-no-91-de-29-de-setembro-de-2009> Acesso: 18 nov. 2014. 

[iii] MODEL requirements for the management of electronic record: MoReq specification. 2002. IDA Programme of the European Commission by Cornwell Management Consultants plc. Disponível em: http://ec.europa.eu/archival-policy/moreq/doc/moreq_en.pdf  Acesso: 18 nov. 2014. 

[iv]BRASIL. CONSELHO NACIONAL DE ARQUIVOS. Resolução nº 37, de dezembro de 2012. Aprova as Diretrizes para a Presunção de Autenticidade de Documentos Arquivísticos Digitais. Disponível em: http://www.conarq.arquivonacional.gov.br/cgi/cgilua.exe/sys/start.htm?infoid=832&sid=46 Acesso: 18 nov. 2014. 

[v] BRASIL. CONSELHO NACIONAL DE ARQUIVOS. Resolução nº 38, de 9 de julho de 2013. Dispõe sobre a adoção das “Diretrizes do Produtor – A Elaboração e a Manutenção de Materiais Digitais: Diretrizes Para Indivíduos” e “Diretrizes do Preservador – A Preservação de Documentos Arquivísticos digitais: Diretrizes para Organizações”. Disponível em: http://www.conarq.arquivonacional.gov.br/Media/publicacoes/earqbrasilv1.pdf Acesso: 18 nov. 2014.

[vi] BRASIL. CONSELHO NACIONAL DE ARQUIVOS. Resolução nº 39, de 29 de abril de 2014. Estabelece diretrizes para a implementação de repositórios digitais confiáveis para a transferência e recolhimento de documentos arquivísticos digitais para instituições arquivísticas dos órgãos e entidades integrantes do Sistema Nacional de Arquivos – SINAR. Disponível em: http://www.conarq.arquivonacional.gov.br/cgi/cgilua.exe/sys/start.htm?infoid=947&sid=46  Acesso: 18 nov. 2014. 

[vii] CONSULTATIVE COMMITTEE FOR SPACE DATA SYSTEMS (CCSDS). Reference model for an Open Archival Information System (OAIS); CCSDS Recommendation for an OAIS Reference Model. Blue Book, Issue 1. Washington, 2002. 139p. Disponível em: <http://public.ccsds.org/publications/archive/650x0b1s.pdf> Acesso: 18 nov. 2014. 

[viii] ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR 15472: Sistemas espaciais de dados e informações – Modelo de referência para um sistema aberto de arquivamento de informação (SAAI). 2007. 

[ix]  RLG/NARA TASK FORCE ON DIGITAL REPOSITORY CERTIFICATION. Trustworthy repositories audit & certification. Feb. 2007. Disponível em: http://www.crl.edu/sites/default/files/attachments/pages/trac_0.pdf  . Acesso em: 16 nov. 2014. 

[x] RLG/NARA TASK FORCE ON DIGITAL REPOSITORY CERTIFICATION. Trustworthy repositories audit & certification. Disponível em: http://www.crl.edu/archiving-preservation/digital-archives/metrics-assessing-and-certifying/trac  Acesso em: 16 nov. 2014. 

[xi] BRASIL. CONSELHO NACIONAL DE ARQUIVOS. Resolução nº 24, de 3 de agosto de 2006. Estabelece diretrizes para a transferência e recolhimento de documentos arquivísticos digitais para instituições arquivísticas públicas. Disponível em: http://www.conarq.arquivonacional.gov.br/cgi/cgilua.exe/sys/start.htm?from_info_index=11&infoid=75&sid=46    Acesso: 18 nov. 2014. 

[xii] INMETRO. Avaliação da Conformidade. Disponível em: http://www.inmetro.gov.br/qualidade/certificacao.asp  Acesso em: 19 nov. 2014. 

[xiii] MoReq2. Disponível em: http://moreq2.eu/moreq2 Acesso: 18 nov. 2014. 

[xiv] PROGRAMA de Avaliação da Conformidade dos Sistemas de Gestão de Processos e Documentos do Judiciário ao Modelo de Requisitos MoReq-Jus. Conselho Nacional de Justiça (Brasil). 2009. Disponível em: http://colaboracao.cnj.jus.br/ Acesso em: 16 nov. 2014. 

[xv] FERREIRA, Miguel. Certificação de Repositórios Digitais. Disponível em: https://repositorium.sdum.uminho.pt/bitstream/1822/19412/1/Ceritificacao%20de%20repositorios%20digitais-0.2.pdf  Acesso em: 16 nov. 2014.