TSE aprova Política de Segurança da Informação para proteger eleições contra ataques

O Plenário do Tribunal Superior Eleitoral aprovou por unanimidade uma Política de Segurança da Informação unificada que estabelece um marco regulatório para a proteção dos sistemas, infraestrutura tecnológica e urnas eletrônicas contra ataques cibernéticos em toda a Justiça Eleitoral, com entrada em vigor imediata à publicação e adequação estrutural dos tribunais regionais até 31 de dezembro de 2027.

Contexto

A segurança dos sistemas eleitorais constitui tema de relevância institucional máxima, considerando a criticidade das operações executadas pela Justiça Eleitoral durante pleitos e a crescente sofisticação das ameaças cibernéticas no ambiente digital contemporâneo. A adoção anterior de normas pontuais e específicas por tribunal regional gerava fragmentação normativa e disparidades nas capacidades de proteção da informação. A antiga Resolução nº 23.644/2021 funcionava como marco anterior, mas não contemplava questões emergentes como inteligência artificial, computação em nuvem e modelos de trabalho remoto. A necessidade de unificação reflete tanto a evolução das tecnologias de ataque quanto a demanda por resiliência institucional em operações críticas como registro de candidaturas, votação e apuração de resultados.

O que foi decidido

O Plenário estabeleceu um conjunto abrangente de diretrizes obrigatórias de segurança cibernética aplicável em toda a estrutura da Justiça Eleitoral, revogando a norma anterior e criando três pilares operacionais: (i) procedimentos padronizados de proteção, compreendendo gestão de riscos, controle de acesso, monitoramento de vulnerabilidades, cópias de segurança e resposta a incidentes; (ii) governança permanente, mediante criação de Comissões de Segurança da Informação em cada tribunal e unidades especializadas para coordenação e tratamento de incidentes cibernéticos; (iii) capacitação contínua e avaliações periódicas de maturidade das estruturas.

A política amplia o escopo de responsabilidade institucional, envolvendo magistrados, servidores, colaboradores, terceirizados, estagiários e demais usuários de sistemas e ativos digitais, exigindo observância das diretrizes e participação em ações de conscientização. O presidente do TSE destacou que a medida fortalece a prevenção, detecção e resposta a incidentes, protegendo "sistemas eleitorais, infraestrutura tecnológica da Justiça Eleitoral e urnas eletrônicas, reforçando a segurança e a confiabilidade das eleições".

Base normativa e precedentes

• Lei 13.709/2018 (Lei Geral de Proteção de Dados) — Estabelece os princípios e diretrizes para proteção de dados pessoais, aos quais a política se articula no tratamento de informações sensíveis da Justiça Eleitoral.
• Lei 14.532/2023 (Segurança Eleitoral) — Normas específicas sobre segurança de sistemas eleitorais e infraestrutura tecnológica, reforçadas pela nova política.
• Resolução TSE nº 23.644/2021 — Norma anterior revogada, que servia como referência anterior para segurança da informação.
• Jurisprudência de cibersegurança — A tendência global e nacional é de fortalecimento de marcos normativos em órgãos críticos, como demonstram políticas de cibersegurança em órgãos federais e executivos.

Impacto prático

Para tribunais eleitorais: Obrigatoriedade de estruturação de Comissões de Segurança da Informação, equipes especializadas em resposta a incidentes, capacitação permanente de pessoal e avaliações periódicas de maturidade das estruturas até 31 de dezembro de 2027. Tribunais menores poderão necessitar de terceirizações ou parcerias para implementação de controles técnicos avançados.

Para eleições gerais de 2026: Já nestas eleições, a nova política operacionalizará fortalecimento de prevenção e capacidade de resposta a ataques em tempo real, cobrindo detecção de vulnerabilidades, monitoramento contínuo e procedimentos de fallback em caso de incidentes.

Para servidores e usuários: Sujeição a treinamentos obrigatórios, diretrizes de trabalho remoto seguro, protocolos de autenticação e controle de acesso, além de responsabilização por descumprimento de medidas de proteção.

Para tecnologias emergentes: Normatização específica para uso seguro de inteligência artificial e computação em nuvem, reduzindo riscos de dependência tecnológica não controlada e vazamento de dados.

O que observar

A implementação gradual até 2027 permite ajustes, mas deixa margem para inconsistências durante o período de transição. Tribunais com orçamentos reduzidos podem enfrentar dificuldades na contratação de pessoal especializado, potencialmente levando a solicitações de extensão de prazos. O envolvimento de "terceirizados" na cadeia de responsabilidade amplia o espectro de potencial vulnerabilidade (supply chain security) e exigirá cláusulas específicas em contratos futuros. A Corte terá papel de coordenação nacional e proposição de modelos de normativos, o que significa que regulamentações posteriores e manuais de implementação serão determinantes para a efetividade prática. Profissionais que atuam com a Justiça Eleitoral — consultores de TI, fornecedores de software e prestadores de serviços — devem acompanhar publicações futuras do TSE que detalharão requisitos técnicos e padrões de compliance.